Guest

Cisco Identity Services Engine 管理者ガイド リリース 2.0

マニュアルのコンテンツ
このマニュアル内で検索
ご利用いただける言語
Download Options

Book Title

Cisco Identity Services Engine 管理者ガイド リリース 2.0

Chapter Title

認証ポリシーの管理

検索結果

Updated:
2017年6月19日

章のタイトル: 認証ポリシーの管理

認証ポリシーの管理

Cisco ISE 認証ポリシー

認証ポリシーは、Cisco ISE がネットワーク デバイスと通信するために使用するプロトコルを定義します。また、認証に使用するソースを特定します。ポリシーは、一連の条件と結果で構成されています。ポリシー条件は、オペランド(属性)、演算子(equal to、not equal to、greater than など)、および値で構成されています。複合条件は、1 つ以上の単純条件で構成され、それぞれの条件が AND または OR 演算子で結合されています。実行時に、Cisco ISE はポリシー条件を評価し、ポリシー評価が true または false 値のどちらを返すかに応じて、定義された結果を適用します。

認証ポリシーは次の要素で構成されています。

  • ネットワーク アクセス サービス:このサービスは次のいずれかとなります。

    • 許可されるプロトコル サービス。初期要求およびプロトコル ネゴシエーションを処理するためのプロトコルを選択します。

    • プロキシ サービス。外部 RADIUS サーバが処理を行うように要求をプロキシします。

  • ID ソース:認証に使用する ID ソースまたは ID ソース順序。

インストール後に、認証に使用される Cisco ISE でデフォルトの ID 認証ポリシーが使用できます。認証ポリシーを更新すると、デフォルトの設定が上書きされます。

ポリシー条件の評価

ポリシー条件の評価時に、Cisco ISE は属性と値を比較します。ポリシー条件で指定された属性に、要求内で割り当てられた値が含まれていない場合があります。このとき、比較に使用されている演算子が「not equal to」である場合、この条件は true と評価されます。その他の場合、この条件は false と評価されます。

たとえば、「Radius.Calling_Station_ID Not Equal to 1.1.1.1」という条件の場合に RADIUS 要求に Calling Station ID が存在しない場合、この条件は true と評価されます。この評価は RADIUS ディクショナリに特有なものではなく、「Not Equal to」演算子の使用に起因して発生します。

サポートされる認証プロトコル

認証ポリシーの定義時に選択可能なプロトコルを次に示します。

  • パスワード認証プロトコル(PAP)

  • Protected Extensible Authentication Protocol(PEAP)

  • Microsoft Challenge Handshake Authentication Protocol version 2(MS-CHAPv2)

  • Extensible Authentication Protocol-Message Digest 5(EAP-MD5)

  • Extensible Authentication Protocol-Transport Layer Security(EAP-TLS)

  • Extensible Authentication Protocol-Flexible Authentication via Secure Tunneling(EAP-FAST)

  • Extensible Authentication Protocol-Tunneled Transport Layer Security(EAP-TTLS; 拡張認証プロトコル - トンネル方式トランスポート層セキュリティ)

  • Protected Extensible Authentication Protocol-Transport Layer Security(PEAP-TLS)

サポートされる認証タイプおよびデータベース

認証タイプは、選択されたプロトコルに基づきます。認証タイプはパスワード ベースです。認証は、要求内に存在するユーザ名とパスワードを使用してデータベースに対して実行されます。

認証ポリシーの結果である ID 特定方法は、次のいずれかになります。

  • アクセスを拒否:ユーザへのアクセスは拒否され、認証は実行されません。

  • ID データベース:次のいずれかの単一の ID データベース。

    • 内部ユーザ

    • ゲスト ユーザ

    • 内部エンドポイント

    • Active Directory

    • Lightweight Directory Access Protocol(LDAP)データベース

    • RADIUS トークン サーバ(RSA または SafeWord サーバ)

    • 証明書認証プロファイル

  • ID ソース順序:認証に使用する ID データベースの順序。

デフォルトでは、Cisco ISE がユーザ情報の検索に使用する ID ソースは、内部ユーザ データベースです。

認証失敗のタイプ

識別方法としてアクセス拒否を選択した場合、要求への応答として拒否メッセージが送信されます。ID データベースまたは ID データベース順序を選択して、認証が成功した場合、認証ポリシーの処理が続行されます。一部の認証は失敗し、その場合次のように分類されます。

  • 認証の失敗:クレデンシャルが正しくない、無効なユーザであることなどが原因で認証が失敗したことを示す明確な応答を受信します。アクションのデフォルト コースは拒否です。

  • ユーザが見つからない:どの ID データベースでもこのユーザが見つかりませんでした。アクションのデフォルト コースは拒否です。

  • 処理の失敗:ID データベース(複数の場合もある)にアクセスできません。アクションのデフォルト コースはドロップです。

Cisco ISE では、認証失敗に対して次のアクションのコースのいずれかを設定することができます。

  • [拒否(Reject)]:拒否応答が送信されます。

  • [ドロップ(Drop)]:応答は送信されません。

  • [続行(Continue)]:許可ポリシーに従って Cisco ISE を継続します。

[続行(Continue)] オプションを選択した場合でも、使用されているプロトコルの制限により Cisco ISE が要求の処理を実行できない場合があります。PEAP、LEAP、EAP-FAST、EAP-TLS、または RADIUS MSCHAP を使用した認証では、認証に失敗したり、ユーザが見つからなかったときには、要求の処理を続行することはできません。

認証に失敗した場合、PAP/ASCII または MAC 認証バイパス(MAB またはホスト ルックアップ)の許可ポリシーの処理を続行できます。その他のすべての認証プロトコルの場合、認証に失敗すると、次のいずれかの状態となります。

  • 認証の失敗:拒否応答が送信されます。

  • ユーザまたはホストが見つからない:拒否応答が送信されます。

  • 処理に問題が発生:応答は送信されず、要求はドロップされます。

認証ポリシーの用語

以下は認証ポリシー ページの一般用語の一部です。

  • 許可されるプロトコル:許可されるプロトコルは、ネットワーク リソースへのアクセスを要求するデバイスとの通信に Cisco ISE が使用できるプロトコルのセットを定義します。

  • アイデンティティ ソース:Cisco ISE データベースがユーザ情報に使用する ID ソースを定義します。データベースは内部データベースの場合や、Active Directory または LDAP などの外部 ID ソースの場合もあります。一連のデータベースを ID ソース順序に加えて、この順序をポリシー内で ID ソースとしてリストできます。Cisco ISE は、リストされている順序でデータベース内のクレデンシャルを検索します。

  • フェールオーバー オプション:認証に失敗した、ユーザが見つからない、または処理に失敗した場合に Cisco ISE が取るべきアクションのコースを指定できます。

簡易認証ポリシー

簡易認証ポリシーでは、Cisco ISE が通信に使用する、許可されるプロトコルおよび ID ソースまたは ID ソース順序を静的に定義できます。単純なポリシーでは条件を定義できません。Cisco ISE ではすべての条件が満たされていると想定され、次の定義を使用して結果が決まります。

  • 常に使用する必要がある許可されるプロトコルおよび ID ソースを静的に定義でき、条件のチェックが必要ない環境では、単純なポリシーを作成できます。

  • プロキシ サービスベースの単純なポリシーを作成することもできます。Cisco ISE は、ポリシー サーバに要求をプロキシして、ユーザ認証に使用する ID ソースを決定します。要求が別のポリシー サーバにプロキシされた場合、プロトコル ネゴシエーションは発生しません。ポリシー サーバはどの ID ソースを認証に使用するべきかを評価し、応答を Cisco ISE に返します。

簡易認証ポリシーのフロー

図 1. 簡易認証ポリシーのフロー

単純なポリシーの結果は、次のいずれかとなります。

  • 認証に成功しました

  • 認証に失敗しました

認証は次のいずれかの原因で失敗することがあります。

  • 正しくないクレデンシャルまたは無効なユーザです。

  • ユーザが見つかりません。

  • 認証プロセスが失敗しました。

簡易認証ポリシー設定のガイドライン

簡易認証ポリシーを設定するときは、次のガイドラインに従ってください。

  • RADIUS サーバ順序を使用する場合は、このアクセス サービスを定義してからポリシーを定義する必要があります。

  • ユーザが外部 ID ソースで定義されている場合、ポリシーを定義する前に Cisco ISE でこれらの ID ソースが設定されていることを確認してください。

  • ID ソース順序を使用してユーザを認証する場合、ポリシーを定義する前に、ID ソース順序が作成済みであることを確認してください。

  • 単純なポリシーとルールベースのポリシーを切り替える場合、最初に設定したポリシーは失われます。たとえば、単純な認証ポリシーを設定した後でルールベースの認証ポリシーに移動すると、単純な認証ポリシーは失われます。また、ルールベースの認証ポリシーから簡易認証ポリシーに移動した場合は、ルールベースの認証ポリシーは失われます。

  • ホスト認証は、MAC アドレスのみを使用して実行されます(MAB)。

ルールベースの認証ポリシー

ルールベースの認証ポリシーは、属性ベースの条件で構成されています。この条件により、要求の処理に使用される許可されるプロトコルおよび ID ソースまたは ID ソース順序が決定されます。単純な認証ポリシーでは、許可されるプロトコルおよび ID ソースを静的に定義できます。ルールベースのポリシーでは、条件を定義することによって、Cisco ISE は許可されるプロトコルおよび ID ソースを動的に選択できるようになります。複数の条件を、Cisco ISE ディクショナリ内の任意の属性を使用して定義できます。

Cisco ISE では、個別の再利用可能なポリシー要素として条件を作成でき、これらの条件は別のルールベースのポリシーから参照することが可能です。ポリシー作成ページ内で条件を作成することも可能です。条件には 2 種類あります。

  • 単純条件

  • 複合条件

ルールベースの認証ポリシー

ルールベースのポリシーでは、複数のルールを定義できます。ID データベースは、基準に一致する最初のルールに基づいて選択されます。

異なるデータベースで構成される ID ソース順序を定義することもできます。Cisco ISE がデータベースを検索する順序を定義できます。Cisco ISE は、認証が成功するまで指定された順序でこれらのデータベースにアクセスします。1 つの外部データベースに同一ユーザの複数のインスタンスが存在する場合、認証は失敗します。1 つの ID ソース内で、ユーザ レコードは重複できません。

ID ソース順序には、3 つのデータベース、または多くとも 4 つのデータベースを使用することを推奨します。

図 2. ルールベースの認証ポリシー

ルールベースの認証ポリシーのサポート ディクショナリ

Cisco ISE は次のディクショナリをサポートします。

  • システム定義されたディクショナリ

    • CERTIFICATE

    • DEVICE

    • RADIUS

  • RADIUS ベンダー ディクショナリ

    • Airespace

    • Cisco

    • Cisco-BBSM

    • Cisco-VPN3000

    • Microsoft

    • Network Access

ディクショナリによってサポートされる属性

表に、ディクショナリでサポートされる固定属性を示します。これらの属性をポリシー条件内で使用できます。作成する条件のタイプによっては、使用できない属性もあります。

たとえば、認証ポリシー内でアクセス サービスを選択する条件を作成する場合、使用できるネットワーク アクセス属性は、Device IP Address、ISE Host Name、Network Device Name、Protocol、および Use Case のみです。

次の表に示す属性をポリシー条件に使用できます。

ディクショナリ

属性(Attributes)

許可されるプロトコルのルールおよびプロキシ

ID ルール

Device

Device Type(定義済みのネットワーク デバイス グループ)

Device Location(定義済みのネットワーク デバイス グループ)

Other Custom Network Device Group

ソフトウェア バージョン(Software Version)

モデル名(Model Name)

RADIUS

すべての属性

Network Access

ISE Host Name

AuthenticationMethod

なし

AuthenticationStatus

[いいえ(No)]

[いいえ(No)]

CTSDeviceID

[いいえ(No)]

[いいえ(No)]

Device IP Address(デバイス IP アドレス)

EapAuthentication(マシンのユーザの認証時に使用される EAP 方式)

なし

EapTunnel(トンネルの確立に使用される EAP 方式)

なし

プロトコル

UseCase

UserName

なし

WasMachineAuthenticated

[いいえ(No)]

[いいえ(No)]

証明書

Common Name

なし

国(Country)

E-mail

LocationSubject

Organization

Organization Unit

シリアル番号(Serial Number)

都道府県(State or Province)

Subject

Subject Alternative Name

Subject Alternative Name - DNS

Subject Alternative Name - E-mail

Subject Alternative Name - Other Name

Subject Serial Number

発行元(Issuer)

Issuer - Common Name

Issuer - Organization

Issuer - Organization Unit

Issuer - Location

Issuer - Country

Issuer - Email

Issuer - Serial Number

Issuer - State or Province

Issuer - Street Address

Issuer - Domain Component

Issuer - User ID

認証のプロトコル設定

プロトコルを使用して認証要求を処理するには、初めに Cisco ISE でグローバル プロトコル設定を定義する必要があります。[プロトコル設定(Protocol Settings)] ページを使用して、ネットワーク内の他のデバイスと通信する Extensible Authentication Protocol-Flexible Authentication via Secure Tunneling(EAP-FAST)、Extensible Authentication Protocol-Transport Layer Security(EAP-TLS)、および Protected Extensible Authentication Protocol(PEAP)の各プロトコルのグローバル オプションを定義できます。

認証プロトコルとして EAP-FAST を使用するためのガイドライン

EAP-FAST を認証プロトコルとして使用する場合は、次のガイドラインに従ってください。

  • EAP-FAST 受信クライアント証明書が認証されたプロビジョニングで有効な場合は、EAP-TLS 内部方式を有効にすることを強く推奨します。認証されたプロビジョニングの EAP-FAST 受信クライアント証明書は別の認証方式ではなく、ユーザを認証するのと同じ証明書のクレデンシャルのタイプを使用した略式のクライアント証明書認証ですが、内部方式を実行する必要がありません。

  • PAC なしの完全なハンドシェイクおよび認定 PAC プロビジョニングとの認証プロビジョニング作業に対するクライアント証明書を受け入れます。PAC なしのセッション再開、匿名 PAC プロビジョニング、PAC ベース認証には動作しません。

  • EAP 属性は、認証の順序とは関係なく、ID ごとにモニタリング ツールの認証詳細に、まずユーザ順、次にマシン順に表示されます(したがって EAP チェーニングは 2 回表示されます)。

  • EAP-FAST 認可 PAC が使用される場合、ライブ ログに表示される EAP 認証方式は完全認証に使用される認証方式と同じ(PEAP でのように)であり、参照としてではありません。

  • EAP チェーン モードでは、トンネル PAC が期限切れになると、ISE がプロビジョニングにフォールバックし、AC 要求ユーザおよびマシン認可 PAC(マシン許可 PAC)はプロビジョニングできません。後続の PAC ベースの認証通信で AC が要求したときにプロビジョニングされます。

  • Cisco ISE がチェーンに、AC がシングル モードに設定されている場合は、AC は IdentityType TLV で ISE に応答しますただし、2 番目の ID 認証は失敗します。この通信から、クライアントのチェーニング実行は適切であるが、現在はシングル モードで構成されていることがわかります。

  • Cisco ISE は AD にのみチェーンしている EAP-FAST のマシンとユーザの両方の属性およびグループをサポートします。LDAP および内部 DB ISE に対しては、最新の ID 属性のみを使用します。

EAP-FAST の設定

はじめる前に

次のタスクを実行するには、スーパー管理者またはシステム管理者である必要があります。

    ステップ 1   [管理(Administration)] > [システム(System)] > [設定(Settings)] > [プロトコル(Protocols)] > [EAP-FAST] > [EAP-FASTの設定(EAP-FAST Settings)] を選択します。
    ステップ 2   EAP-FAST プロトコルの定義に必要な詳細を入力します。
    ステップ 3   以前に生成されたマスター キーおよび PAC をすべて取り消すには、[取消(Revoke)] をクリックします。
    ステップ 4   EAP-FAST 設定を保存するには、[保存(Save)] をクリックします。

    EAP-FAST の PAC の生成

    Cisco ISE の [PAC の生成(Generate PAC)] オプションを使用して、EAP-FAST プロトコルのトンネル PAC またはマシン PAC を生成できます。

    はじめる前に

    次のタスクを実行するには、スーパー管理者またはシステム管理者である必要があります。

      ステップ 1   [管理(Administration)] > [システム(System)] > [設定(Settings)] を選択します。
      ステップ 2   左側の [設定(Settings)] ナビゲーション ペインの [プロトコル(Protocols)] をクリックします。
      ステップ 3   [EAP-FAST] > [PACの生成(Generate PAC)] を選択します。
      ステップ 4   EAP-FAST プロトコルのマシン PAC を生成する場合に必要な詳細を入力します。
      ステップ 5   [PAC の生成(Generate PAC)] をクリックします。

      認証プロトコルとしての EAP-TTLS の使用

      EAP-TTLS は、EAP-TLS プロトコルの機能を拡張する 2 フェーズ プロトコルです。フェーズ 1 では、セキュアなトンネルを構築し、フェーズ 2 で使用するセッション キーを導出し、サーバとクライアント間で属性および内部方式データを安全にトンネリングします。フェーズ 2 中では、トンネリングされた属性を使用して、多数のさまざまなメカニズムを使用する追加認証を実行できます。

      Cisco ISE は、次のようなさまざまな TTLS サプリカントから認証を処理できます。

      • Windows 上の AnyConnect Network Access Manager(NAM)

      • Windows 8.1 ネイティブ サプリカント

      • セキュア W2(MultiOS で JoinNow とも呼ばれます)

      • MAC OS X ネイティブ サプリカント

      • IOS ネイティブ サプリカント

      • Android ベースのネイティブ サプリカント

      • Linux WPA サプリカント


      (注)  

      暗号化バインドが必要な場合は、内部方式として EAP-FAST を使用する必要があります。

      EAP-TLS の設定

      はじめる前に

      次のタスクを実行するには、スーパー管理者またはシステム管理者である必要があります。

        ステップ 1   [管理(Administration)] > [システム(System)] > [設定(Settings)] > [プロトコル(Protocols)] > [EAP-TTLS] を選択します。
        ステップ 2   [EAP-TTLS設定(EAP-TTLS Settings)] ページに必要な詳細を入力します。
        ステップ 3   [保存(Save)] をクリックします。

        EAP-TLS の設定

        はじめる前に

        次のタスクを実行するには、スーパー管理者またはシステム管理者である必要があります。

          ステップ 1   [管理(Administration)] > [システム(System)] > [設定(Settings)] > [プロトコル(Protocols)] > [EAP-TLS] を選択します。
          ステップ 2   EAP-TLS プロトコルの定義に必要な詳細を入力します。
          ステップ 3   EAP-TLS 設定を保存するには、[保存(Save)] をクリックします。

          PEAP の設定

          はじめる前に

          次のタスクを実行するには、スーパー管理者またはシステム管理者である必要があります。

            ステップ 1   [管理(Administration)] > [システム(System)] > [設定(Settings)] を選択します。
            ステップ 2   左側の [設定(Settings)] ナビゲーション ペインの [プロトコル(Protocols)] をクリックします。
            ステップ 3   [PEAP] を選択します。
            ステップ 4   PEAP プロトコルの定義に必要な詳細を入力します。
            ステップ 5   PEAP 設定を保存するには、[保存(Save)] をクリックします。

            RADIUS の設定

            認証に失敗、または認証成功のレポートの繰り返しの抑制に失敗したクライアントを検出するように RADIUS 設定を設定することができます。

              ステップ 1   [管理(Administration)] > [システム(System)] > [設定(Settings)] を選択します。
              ステップ 2   [設定(Settings)] ナビゲーション ペインで [プロトコル(Protocols)] をクリックします。
              ステップ 3   [RADIUS] を選択します。
              ステップ 4   RADIUS 設定の定義に必要な詳細を入力します。
              ステップ 5   [保存(Save)] をクリックして、設定を保存します。

              セキュリティ設定の構成

              Cisco ISE は、次の FIPS 対応暗号方式をサポートしています。TLS バージョン 1.0、 1.1 および 1.2 がサポートされます。

              • EAP-TLS、PEAP、EAP-FAST、EAP-TTLS の場合:

                • DHE_RSA_WITH_AES_256_SHA256

                • DHE_RSA_WITH_AES_128_SHA256

                • RSA_WITH_AES_256_SHA256

                • RSA_WITH_AES_128_SHA256

                • DHE_RSA_WITH_AES_256_SHA

                • DHE_RSA_WITH_AES_128_SHA

                • RSA_WITH_AES_256_SHA

                • RSA_WITH_AES_128_SHA

              • EAP-FAST 匿名プロビジョニングの場合:

                • ADH_WITH_AES_128_SHA

              Cisco ISE は 非 FIPS 準拠暗号方式をサポートしていません。次の暗号方式はサポートされません。

              • RSA_DES_192_CBC3_SHA

              • EDH_RSA_DES_192_CBC3_SHA

              • EDH_DSS_DES_192_CBC3_SHA

              • RSA_RC4_128_SHA

              • RSA_RC4_128_MD5

              • EDH_RSA_DES_64_CBC_SHA

              • EDH_DSS_DES_64_CBC_SHA

              • RSA_RC4_128_SHA


              (注)  

              これらの非推奨の暗号方式を使用するレガシー デバイスがある場合は、Cisco Technical Assistance Center に連絡してサポートを受けてください。

              セキュリティ設定を構成するには、次の手順を実行します。

                ステップ 1   [管理(Administration)] > [システム(System)] > [設定(Settings)] > [プロトコル(Protocols)] > [セキュリティ設定(Security Settings)] を選択します。
                ステップ 2   [セキュリティ設定(Security Settings)] ページで、次のオプションを選択します。

                • レガシー クライアントのみで TLS 1.0 を有効にする(Enable TLS 1.0 Only for Legacy Clients):レガシー クライアントのみで TLS 1.0 を有効にする場合は、このチェックボックスをオンにします。このオプションは、デフォルトで有効です。

                  次のワークフローはこのオプションの影響を受けます。

                  • Cisco ISE は、HTTPS またはセキュアな LDAP クライアントとして設定され、CRL をダウンロードします。

                  • Cisco ISE は、セキュアな syslog クライアントとして設定されます。

                  • Cisco ISE は、セキュアな LDAP クライアントとして設定されます。

                • レガシー クライアントのみで SHA-1 を有効にする(Enable SHA-1 Only for Legacy Clients):レガシー クライアントのみで SHA-1 暗号スイートを有効にする場合は、このチェックボックスをオンにします。このオプションは、デフォルトで有効です。

                  次のワークフローはこのオプションの影響を受けます。

                  • Cisco ISE は、HTTPS またはセキュアな LDAP クライアントとして設定され、CRL をダウンロードします。

                  • Cisco ISE は、セキュアな syslog クライアントとして設定されます。

                  • Cisco ISE は、セキュアな LDAP クライアントとして設定されます。

                  • ローカル証明書の作成中。

                  • 管理者証明書の検証中(管理者認証中)。

                ステップ 3   [保存(Save)] をクリックします。

                次のワークフローはセキュリティ設定の影響を受けません。

                • Cisco ISE は、クライアントを認証する EAP-TLS、EAP-TTLS、PEAP、または EAP-FAST サーバとして動作し、ネットワークへのアクセス権を提供します。

                ネットワーク アクセス サービス

                ネットワーク アクセス サービスには、要求に対する認証ポリシー条件が含まれています。たとえば有線 802.1X や有線 MAB など、さまざまな用途向けに個別のネットワーク アクセス サービスを作成することができます。

                ネットワーク アクセスの許可されるプロトコルの定義

                許可されるプロトコルは、ネットワーク リソースへのアクセスを要求するデバイスとの通信に Cisco ISE が使用できるプロトコルのセットを定義します。許可されるプロトコル アクセス サービスは、認証ポリシーを設定する前に作成する必要がある独立したエントリです。許可されるプロトコル アクセス サービスは、特定の使用例に対して選択されたプロトコルが含まれているオブジェクトです。

                [許可されるプロトコル サービス(Allowed Protocols Services)] ページには、作成した許可されるプロトコル サービスがすべて表示されます。Cisco ISE で事前に定義されたデフォルトのネットワーク アクセス サービスが存在します。

                はじめる前に

                この手順を開始する前に、認証に使用するプロトコル サービスの基本を理解している必要があります。

                • この章の「Cisco ISE 認証ポリシー」の項を参照して、さまざまなデータベースでサポートされる認証タイプおよびプロトコルについて理解します。

                • 「PAC オプション」を確認して、各プロトコル サービスの機能とオプションを理解し、使用しているネットワークに最適な選択ができるようにしてください。

                • 手順を進める前に、グローバル プロトコル設定を必ず定義してください。

                次のタスクを実行するには、スーパー管理者またはシステム管理者である必要があります。

                  ステップ 1   [ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [認証(Authentication)] > [許可されているプロトコル(Allowed Protocols)] を選択します。
                  ステップ 2   [追加(Add)] をクリックします。
                  ステップ 3   必要な情報を入力します。
                  ステップ 4   ネットワークに適切な認証プロトコルとオプションを選択します。
                  ステップ 5   PAC の使用を選択した場合、適切な選択を行います。

                  匿名 PAC プロビジョニングを有効にするには、内部方式として EAP-MSCHAPv2 と Extensible Authentication Protocol-Generic Token Card(EAP-GTC)の両方を選択する必要があります。また Cisco ISE では、マシン認証の外部 ID ソースとしては Active Directory だけがサポートされる点に注意してください。

                  ステップ 6   [送信(Submit)] をクリックして、許可されるプロトコル サービスを保存します。

                  許可されるプロトコル サービスは、単純な認証ポリシーおよびルールベースの認証ポリシーのページで独立したオブジェクトとして表示されます。このオブジェクトは異なるルールに使用できます。

                  これで、単純な認証ポリシーおよびルールベースの認証ポリシーを作成できるようになります。

                  内部方式として EAP-MSCHAP を無効にし、PEAP または EAP-FAST の EAP-GTC と EAP-TLS 内部方式を有効にすると、ISE は内部方式のネゴシエーション中に EAP-GTC 内部方式を開始します。最初の EAP-GTC メッセージがクライアントに送信される前に、ISE は ID 選択のポリシーを実行して、ID ストアから GTC パスワードを取得します。このポリシーの実行中、EAP 認証は EAP-GTC と同じです。EAP-GTC 内部方式がクライアントによって拒否され、EAP-TLS がネゴシエートされても、ID ストア ポリシーが再び実行されることはありません。ID ストア ポリシーが EAP 認証属性に基づいている場合、本当の EAP 認証は EAP-TLS でありながら ID ポリシー評価後に設定されたため、予期しない結果になることがあります。

                  シスコ以外のデバイスからの MAB の有効化

                  次の設定を順番に設定して、シスコ以外のデバイスから MAB を設定します。

                    ステップ 1   認証されたエンドポイントの MAC アドレスが、エンドポイント データベースで使用可能なことを確認します。プロファイラ サービスによって、これらのエンドポイントを追加したり、自動的にプロファイリングしたりできます。
                    ステップ 2   シスコ以外のデバイス(PAP、CHAP、EAP-MD5)で使用される MAC 認証のタイプに基づいて、ネットワーク デバイス プロファイルを作成します。
                    1. [管理(Administration)] > [ネットワーク リソース(Network Resources)] > [ネットワーク デバイス プロファイル(Network Device Profiles)] の順に選択します。
                    2. [追加(Add)] をクリックします。
                    3. ネットワーク デバイス プロファイルの名前と説明を入力します。
                    4. [ベンダー(Vendor)] ドロップダウン リストからベンダー名を選択します。
                    5. デバイスがサポートするプロトコルのチェックボックスをオンにします。デバイスが RADIUS をサポートする場合は、ネットワーク デバイスで使用する RADIUS ディクショナリを選択します。
                    6. [認証/許可(Authentication/Authorization)] セクションを展開し、フロー タイプ、属性エイリアシング、およびホスト ルックアップに関するデバイスのデフォルト設定を行います。
                    7. [ホスト ルックアップ(MAB)(Host Lookup (MAB))] セクションで、次を実行します。

                      • [ホスト ルックアップの処理(Process Host Lookup)]:ネットワーク デバイス プロファイルで使用されるホスト ルックアップ用のプロトコルを定義するには、このチェックボックスをオンにします。

                        さまざまなベンダーからのネットワーク デバイスは、MAB 認証を異なる方法で実行します。デバイス タイプに応じて、使用しているプロトコルの [パスワードを確認(Check Password)] チェック ボックスまたは [Calling-Station-Id が MAC アドレスと等しいかを確認(Checking Calling-Station-Id equals MAC Address)] チェック ボックス、またはその両方をオンにします。

                      • [PAP/ASCII 経由(Via PAP/ASCII)]:ホスト ルックアップ要求としてネットワーク デバイス プロファイルからの PAP 要求を検出するように Cisco ISE を設定するには、このチェックボックスをオンにします。

                      • [CHAP 経由(Via CHAP)]:ホスト ルックアップ要求としてネットワーク デバイスからのこのタイプの要求を検出するように Cisco ISE を設定するには、このチェックボックスをオンにします。

                      • [EAP-MD5 経由(Via EAP-MD5)]:ネットワーク デバイス プロファイルに EAP ベースの MD5 ハッシュ認証を有効にするには、このチェックボックスをオンにします。

                    8. [アクセス許可(Permissions)]、[認可変更(CoA)(Change of Authorization (CoA))]、[リダイレクト(Redirect)] のセクションで必要な詳細を入力して、[送信(Submit)] をクリックします。

                      カスタム NAD プロファイルを作成する方法については、『Network Access Device Profiles with Cisco Identity Services Engine』を参照してください。

                    ステップ 3   [管理(Administration)] > [ネットワーク リソース(Network Resources)] > [ネットワーク デバイス(Network Devices)] の順に選択します。
                    ステップ 4   MAB を有効にするデバイスを選択して、[編集(Edit)] をクリックします。
                    ステップ 5   [ネットワーク デバイス(Network Device)] ページの [デバイス プロファイル(Device Profile)] ドロップダウン リストから、手順 2 で作成したネットワーク デバイス プロファイルを選択します。
                    ステップ 6   [保存(Save)] をクリックします。


                    (注)  
                    Cisco NAD では、MAB および Web/ユーザ認証に使用する Service-Type 値は異なります。これにより、Cisco NAD を使用する場合に、ISE は MAB と Web 認証を区別できます。シスコ以外の一部の NAD では、MAB と Web/ユーザ認証に同じ値の Service-Type 属性を使用しています。この場合、アクセス ポリシーでセキュリティ上の問題につながる場合があります。シスコ以外のデバイスで MAB を使用する場合は、ネットワーク セキュリティが侵害されないように、追加の許可ポリシー ルールを設定することを推奨します。たとえば、プリンタで MAB を使用する場合は、ACL のプリンタ プロトコル ポートに制限する許可ポリシー ルールを設定できます。

                    シスコ デバイスからの MAB の有効化

                    次の設定を順番に設定して、シスコ デバイスから MAB を設定します。

                      ステップ 1   認証されたエンドポイントの MAC アドレスが、エンドポイント データベースで使用可能なことを確認します。プロファイラ サービスによって、これらのエンドポイントを追加したり、自動的にプロファイリングしたりできます。
                      ステップ 2   シスコ デバイス(PAP、CHAP、EAP-MD5)で使用される MAC 認証のタイプに基づいて、ネットワーク デバイス プロファイルを作成します。
                      1. [管理(Administration)] > [ネットワーク リソース(Network Resources)] > [ネットワーク デバイス プロファイル(Network Device Profiles)] の順に選択します。
                      2. [追加(Add)] をクリックします。
                      3. ネットワーク デバイス プロファイルの名前と説明を入力します。
                      4. デバイスがサポートするプロトコルのチェックボックスをオンにします。デバイスが RADIUS をサポートする場合は、ネットワーク デバイスで使用する RADIUS ディクショナリを選択します。
                      5. [認証/許可(Authentication/Authorization)] セクションを展開し、フロー タイプ、属性エイリアシング、およびホスト ルックアップに関するデバイスのデフォルト設定を行います。
                      6. [ホスト ルックアップ(MAB)(Host Lookup (MAB))] セクションで、次を実行します。

                        • [ホスト ルックアップの処理(Process Host Lookup)]:ネットワーク デバイス プロファイルで使用されるホスト ルックアップ用のプロトコルを定義するには、このチェックボックスをオンにします。

                          デバイス タイプに応じて、使用しているプロトコルの [パスワードを確認(Check Password)] チェックボックス、[Calling-Station-ID が MAC アドレスと等しいことを確認(Check Calling-Station-Id equals MAC address)] チェックボックス、またはその両方をオンにします。

                        • [PAP/ASCII 経由(Via PAP/ASCII)]:ホスト ルックアップ要求としてネットワーク デバイス プロファイルからの PAP 要求を検出するように Cisco ISE を設定するには、このチェックボックスをオンにします。

                        • [CHAP 経由(Via CHAP)]:ホスト ルックアップ要求としてネットワーク デバイスからのこのタイプの要求を検出するように Cisco ISE を設定するには、このチェックボックスをオンにします。

                        • [EAP-MD5 経由(Via EAP-MD5)]:ネットワーク デバイス プロファイルに EAP ベースの MD5 ハッシュ認証を有効にするには、このチェックボックスをオンにします。

                      7. [アクセス許可(Permissions)]、[認可変更(CoA)(Change of Authorization (CoA))]、[リダイレクト(Redirect)] のセクションで必要な詳細を入力して、[送信(Submit)] をクリックします。

                        カスタム NAD プロファイルを作成する方法については、『Network Access Device Profiles with Cisco Identity Services Engine』を参照してください。

                      ステップ 3   [管理(Administration)] > [ネットワーク リソース(Network Resources)] > [ネットワーク デバイス(Network Devices)] の順に選択します。
                      ステップ 4   MAB を有効にするデバイスを選択して、[編集(Edit)] をクリックします。
                      ステップ 5   [ネットワーク デバイス(Network Device)] ページの [デバイス プロファイル(Device Profile)] ドロップダウン リストから、手順 2 で作成したネットワーク デバイス プロファイルを選択します。
                      ステップ 6   [保存(Save)] をクリックします。

                      RADIUS プロキシ サーバとして機能する CIsco ISE

                      Cisco ISE は、RADIUS サーバおよび RADIUS プロキシ サーバとして機能できます。プロキシ サーバとして機能する場合、Cisco ISE はネットワーク アクセス サーバ(NAS)から認証要求およびアカウンティング要求を受信し、これらの要求を外部 RADIUS サーバに転送します。Cisco ISE は要求の結果を受け取り、NAS に返します。

                      Cisco ISE は、同時に複数の外部 RADIUS サーバへのプロキシ サーバとして動作できます。RADIUS サーバ順序で設定した外部 RADIUS サーバを使用できます。次に説明する [外部 RADIUS サーバ(External RADIUS Server)] ページには、Cisco ISE で定義した外部 RADIUS サーバがすべて表示されます。フィルタ オプションを使用して、名前または説明、またはその両方に基づいて特定の RADIUS サーバを検索することができます。単純な認証ポリシーとルールベースの認証ポリシーの両方で、RADIUS サーバ順序を使用して要求を RADIUS サーバにプロキシできます。

                      RADIUS サーバ順序は、RADIUS-Username 属性からドメイン名を抜き取り(ストリッピング)、RADIUS 認証に使用します。このドメイン ストリッピングは EAP 認証には使用できません。EAP 認証では EAP-Identity 属性が使用されます。RADIUS プロキシ サーバは RADIUS-Username 属性からユーザ名を取得し、RADIUS サーバ順序の設定時に指定した文字列からユーザ名を抜き取ります。EAP 認証の場合は、RADIUS プロキシ サーバはユーザ名を EAP-Identity 属性から取得します。RADIUS サーバ順序を使用する EAP 認証は、EAP-Identity 値と RADIUS-Username 値が同一である場合のみ成功します。

                      外部 RADIUS サーバの設定

                      Cisco ISE で外部 RADIUS サーバを設定して、要求を外部 RADIUS サーバに送信できるようにする必要があります。タイムアウト時間および接続試行回数を定義できます。

                      はじめる前に

                      • この項で作成した外部 RADIUS サーバは、それだけでは使用できません。RADIUS サーバ順序を作成して、この項で作成した RADIUS サーバを使用するように設定する必要があります。これにより、RADIUS サーバ順序を認証ポリシーで使用できるようになります。

                      • 次のタスクを実行するには、スーパー管理者またはシステム管理者である必要があります。

                        ステップ 1   [管理(Administration)] > [ネットワークリソース(Network Resources)] > [外部RADIUSサーバ(External RADIUS Servers)] を選択します。

                        [RADIUS サーバ(RADIUS Servers)] ページが表示され、Cisco ISE で定義された外部 RADIUS サーバのリストが示されます。

                        ステップ 2   外部 RADIUS サーバを追加するには、[追加(Add)] をクリックします。
                        ステップ 3   必要に応じて値を入力します。
                        ステップ 4   [送信(Submit)] をクリックして、外部 RADIUS サーバの設定を保存します。

                        RADIUS サーバ順序の定義

                        Cisco ISE の RADIUS サーバ順序を使用すると、NAD からの要求を外部 RADIUS サーバにプロキシできます。外部 RADIUS サーバは要求を処理して結果を Cisco ISE に返し、Cisco ISE はその応答を NAD に転送します。

                        [RADIUS サーバ順序(RADIUS Server Sequences)] ページに、Cisco ISE で定義したすべての RADIUS サーバの順序が表示されます。このページを使用して、RADIUS サーバの作成、編集、または複製が可能です。

                        はじめる前に

                        • この手順を開始する前に、プロキシ サービスの基本を理解し、関連リンクの最初のエントリのタスクを正常に完了している必要があります。

                        • 次のタスクを実行するには、スーパー管理者またはシステム管理者である必要があります。

                          ステップ 1   [管理(Administration)] > [ネットワークリソース(Network Resources)] > [RADIUSサーバ順序(RADIUS Server Sequences)] を選択します。
                          ステップ 2   [追加(Add)] をクリックします。
                          ステップ 3   必要に応じて値を入力します。
                          ステップ 4   [送信(Submit)] をクリックして、ポリシーに使用する RADIUS サーバ順序を保存します。

                          TACACS+ プロキシ クライアントとして機能する CIsco ISE

                          Cisco ISE は、外部 TACACS+ サーバへのプロキシ クライアントとして機能できます。プロキシ クライアントとして機能する場合、Cisco ISE はネットワーク アクセス サーバ(NAS)から認証要求、許可要求およびアカウンティング要求を受信し、これらの要求を外部 TACACS+ サーバに転送します。Cisco ISE は要求の結果を受け取り、NAS に返します。

                          [TACACS+外部サーバ(TACACS+ External Servers)] ページには、Cisco ISE で定義した外部 TACACS+ サーバがすべて表示されます。フィルタ オプションを使用して、名前または説明、またはその両方に基づいて特定の TACACS+ サーバを検索することができます。

                          Cisco ISE は、同時に複数の外部 TACACS+ サーバへのプロキシ クライアントとして動作できます。複数の外部サーバを設定するには、[TACACS+サーバの順序(TACACS+ server sequence)] ページを使用できます。詳細については、「TACACS+ サーバ順序の設定」ページを参照してください。

                          TACACS+ 外部サーバの設定

                          次の表では、[TACACS外部サーバ(TACACS External Servers)] ページのフィールドについて説明します。ナビゲーション パスは、[ワークセンター(Work Centers)] > [デバイス管理(Device Administration)] > [ネットワークリソース(Network Resources)] > [TACACS外部サーバ(TACACS External Servers)] ページです。

                          表 1 TACACS+ 外部サーバの設定

                          フィールド

                          使用上のガイドライン

                          [名前(Name)]

                          TACACS+ 外部サーバの名前を入力します。

                          説明

                          TACACS+ 外部サーバ設定の説明を入力します。

                          ホスト名/アドレス(Host IP)

                          リモート TACACS+ 外部サーバの IP アドレスを入力します。

                          接続ポート(Connection Port)

                          リモート TACACS+ 外部サーバのポート番号を入力します。ポート番号は 49 です。

                          Timeout

                          ISE が外部 TACACS+ サーバからの応答を待機する秒数を入力します。デフォルトは 5 秒です。有効な値は 1 ~ 120 です。

                          共有秘密鍵(Shared Secret)

                          TACACS+ 外部サーバとの接続を保護するのに使用するテキスト文字列。正しく設定されていない場合、接続は TACACS+ 外部サーバによって拒否されます。

                          シングル接続を使用(Use Single Connect)

                          TACACS プロトコルは、接続にセッションを関連付けるための 2 つのモード、シングル接続と非シングル接続をサポートしています。シングル接続モードは、クライアントが開始する可能性がある多数の TACACS+ セッションに対し、単一の TCP 接続を再使用します。非シングル接続では、クライアントが開始するすべての TACACS+ セッションに対し、新しい TCP 接続が開かれます。TCP 接続は、各セッションの後に閉じられます。

                          トラフィックが多い環境では、[シングル接続を使用(Use Single Connect)] チェックボックスをオンにし、トラフィックが少ない環境ではオフにできます。

                          外部 TACACS+ サーバの設定

                          Cisco ISE で外部 TACACS サーバを設定して、要求を外部 TACACS サーバに送信できるようにする必要があります。タイムアウト時間および接続試行回数を定義できます。

                          はじめる前に

                          • この項で作成した外部 TACACS サーバは、ポリシーに直接使用できません。TACACS サーバ順序を作成して、この項で作成した TACACS サーバを使用するように設定する必要があります。これにより、TACACS サーバ順序をポリシー セットで使用できるようになります。

                          • 次のタスクを実行するには、スーパー管理者またはシステム管理者である必要があります。

                            ステップ 1   [ワークセンター(Work Centers)] > [デバイス管理(Device Administration)] > [ネットワークリソース(Network Resources)] > [TACACS外部サーバ(TACACS External Servers)] の順に選択します。
                            [TACACS外部サーバ(TACACS External Servers)] ページが表示され、Cisco ISE で定義された外部 TACACS サーバのリストが示されます。
                            ステップ 2   外部 TACACS サーバを追加するには、[追加(Add)] をクリックします。
                            ステップ 3   必要に応じて値を入力します。
                            ステップ 4   [送信(Submit)] をクリックして、外部 TACACS サーバの設定を保存します。

                            TACACS+ サーバ順序の設定

                            次の表では、[TACACSサーバ順序(TACACS Server Sequence)] ページのフィールドについて説明します。ナビゲーション パスは、[ワークセンター(Work Centers)] > [デバイス管理(Device Administration)] > [ネットワークリソース(Network Resources)] > [TACACSサーバ順序(TACACS Server Sequence)] ページです。

                            表 2 TACACS+ サーバ順序の設定

                            フィールド

                            使用上のガイドライン

                            [名前(Name)]

                            TACACS プロキシ サーバ順序の名前を入力します。

                            説明

                            TACACS プロキシ サーバ順序の説明を入力します。

                            サーバ リスト(Server List)

                            [使用可能(Available)] リストから必要な TACACS プロキシ サーバを選択します。[使用可能(Available)] リストには、[TACACS外部サービス(TACACS External Services)] ページで設定されている TACACS プロキシ サーバのリストが含まれています。

                            ロギング制御(Logging Control)
                            ロギング制御を有効にするにはオンにします。

                            • ローカル アカウンティング:アカウンティング メッセージは、デバイスからの要求を処理するサーバによってログに記録されます。

                            • リモート アカウンティング:アカウンティング メッセージは、デバイスからの要求を処理するプロキシ サーバによってログに記録されます。

                            ユーザ名の除去(Username Stripping)
                            ユーザ名のプレフィックス/サフィックスの除去

                            • [プレフィックスの除去(Prefix Strip)]:プレフィックスからユーザ名を取り除く場合にオンにします。たとえば、サブジェクト名が acme\smith、区切り文字が \ の場合、ユーザ名は smith になります。デフォルトの区切り文字は \ です。

                            • [サフィックスの除去(Suffix Strip)]:サフィックスからユーザ名を取り除く場合にオンにします。たとえば、サブジェクト名が smith@acme.com、区切り文字が @ の場合、ユーザ名は smith になります。デフォルトの区切り文字は @ です。

                            TACACS+ サーバ順序の定義

                            Cisco ISE の TACACS+ サーバ順序を使用すると、NAD からの要求を外部 TACACS+ サーバにプロキシできます。外部 TACACS+ サーバは要求を処理して結果を Cisco ISE に返し、Cisco ISE はその応答を NAD に転送します。[TACACS+サーバ順序(TACACS+ Server Sequences)] ページに、Cisco ISE で定義したすべての TACACS+ サーバの順序が表示されます。このページを使用して、TACACS+ サーバ順序の作成、編集、または複製が可能です。

                            はじめる前に

                            • プロキシ サービス、Cisco ISE 管理者グループ、アクセス レベル、権限、および制限の基本を理解している必要があります。

                            • 次のタスクを実行するには、スーパー管理者またはシステム管理者である必要があります。

                            • TACACS+ サーバ順序で使用する外部 TACACS+ サーバがすでに定義されていることを確認します。

                              ステップ 1   [ワークセンター(Work Centers)] > [デバイス管理(Device Administration)] > [ネットワークリソース(Network Resources)] > [TACACS外部サーバ順序(TACACS External Server Sequence)] の順に選択します。
                              ステップ 2   [追加(Add)] をクリックします。
                              ステップ 3   必要な値を入力します。
                              ステップ 4   [送信(Submit)] をクリックして、ポリシーに使用する TACACS+ サーバ順序を保存します。

                              ロケーションに基づく認証

                              Cisco ISE は、Cisco モビリティ サービス エンジン(MSE)と統合し、物理ロケーション ベースの認証を導入します。Cisco ISE は、MSE からの情報を使用して、MSE によって報告されるユーザの実際の位置に基づいて差別化されたネットワーク アクセスを提供します。

                              この機能を使用すると、エンドポイントのロケーション情報を使用して、ユーザが適切なゾーンにいる場合にネットワーク アクセスを提供できます。また、エンドポイントのロケーションをポリシーの追加属性として追加して、デバイスのロケーションに基づいてより詳細なポリシー許可のセットを定義することもできます。次のように、ロケーション ベースの属性を使用する許可ルール内で条件を設定できます。

                              MSE.Location Equals LND_Campus1:Building1:Floor2:SecureZone

                              ロケーション階層(キャンパス/ビルディング/フロア構造)を定義して、Cisco Prime Infrastructure のアプリケーションを使用してセキュアおよび非セキュアのゾーンを設定できます。ロケーション階層を定義した後、ロケーション階層データを MSE サーバと同期する必要があります。Cisco Prime Infrastructure の詳細については、http:/​/​www.cisco.com/​c/​en/​us/​support/​cloud-systems-management/​prime-infrastructure/​products-user-guide-list.html を参照してください。

                              1 つまたは複数の MSE インスタンスを追加して、MSE ベースのロケーション データを許可プロセスに統合できます。これらの MSE からロケーション階層データを取得し、このデータを使用してロケーション ベースの許可ルールを設定できます。

                              エンドポイントの移動を追跡するには、許可プロファイルの作成時に [移動の追跡(Track Movement)] チェックボックスをオンにします。Cisco ISE は、5 分ごとにエンドポイント ロケーションの関連 MSE にクエリを行い、ロケーションが変更されたかどうかを確認します。


                              (注)  

                              複数のユーザを追跡すると、頻繁な更新によってパフォーマンスに影響します。[移動の追跡(Track Movement)] オプションは、上位のセキュリティ ロケーションに使用できます。

                              ロケーション ツリーは、MSE インスタンスから取得されたロケーション データを使用して作成されます。ロケーション ツリーを使用して、許可ポリシーに公開するロケーション エントリを選択できます。


                              (注)  

                              ロケーション サービスを使用するには、ISE Plus ライセンスが必要です。

                              MSE サーバの追加

                              はじめる前に

                              次のタスクを実行するには、スーパー管理者またはシステム管理者である必要があります。

                                ステップ 1   [管理(Administration)] > [ネットワークリソース(Network Resources)] > [ロケーションサービス(Location Services)] > [ロケーションサーバ(Location Servers)] を選択します。
                                ステップ 2   [追加(Add)] をクリックします。
                                ステップ 3   サーバ名、ホスト名/IP アドレス、パスワードなど、MSE サーバの詳細を入力します。
                                ステップ 4   指定したサーバの詳細を使用して MSE の接続性をテストするには、[テスト(Test)] をクリックします。
                                ステップ 5   (任意)エンドポイントがこの MSE に現在接続されているかどうかを確認するには、[ロケーション検索(Find Location)] フィールドにエンドポイントの MAC アドレスを入力し、[検索(Find)] をクリックします。 エンドポイントのロケーションが見つかった場合は、Campus:Building:Floor:Zone の形式で表示されます。ロケーションの階層およびゾーンの設定によっては、複数のエントリが表示される場合があります。たとえば、Campus1 という名前のキャンパス内のビルディング(building1)のすべてのフロアが非セキュア ゾーンとして定義され、最初のフロアのラボ エリアがセキュア ゾーンとして定義されている場合、エンドポイントがそのラボ エリアにある場合は、次のエントリが表示されます。

                                見つかった場所:

                                Campus1#building1#floor1#LabArea

                                Campus1#building1#floor1#NonSecureZone

                                ステップ 6   [送信(Submit)] をクリックします。 新しい MSE を追加したら、[ロケーションツリー(Location Tree)] ページに移動し、[更新の取得(Get Update)] をクリックして、ロケーション階層を取得し、それをロケーション ツリーに追加します。このツリーで定義されたフィルタがある場合、これらのフィルタは新しい MSE エントリにも適用されます。

                                ロケーション ツリー

                                ロケーション ツリーは、MSE インスタンスから取得されたロケーション データを使用して作成されます。ロケーション ツリーを表示するには、[管理(Administration)] > [ネットワークリソース(Network Resources)] > [ロケーションサービス(Location Services)] > [ロケーションツリー(Location Tree)] を選択します。

                                1 つのビルディングに複数の MSE がある場合、Cisco ISE はすべての MSE からロケーションの詳細を照合し、単一のツリーとして表示します。

                                ロケーション ツリーを使用して、許可ポリシーに公開するロケーション エントリを選択できます。また、要件に基づいて特定のロケーションを非表示にすることもできます。ロケーションを非表示にする前にロケーション ツリーを更新することを推奨します。非表示にされたロケーションは、ツリーが更新されても非表示のままになります。

                                許可ルールに関連するロケーション エントリが変更または削除された場合は、影響を受けるルールをディセーブルにし、これらのロケーションを [不明(Unknown)] として設定するか、または影響を受ける各ルールに代替ロケーションを選択する必要があります。変更を適用したり更新をキャンセルする前に新しいツリー構造を確認する必要があります。

                                すべての MSE から最新のロケーション階層構造を取得するには、[更新の取得(Get Update)] をクリックします。新しいツリー構造を確認したら、[保存(Save)] をクリックして変更を適用します。

                                ポリシー モード

                                Cisco ISE には、簡易モードとポリシー セット モードの 2 種類のポリシー モードがあります。2 種類のうちのどちらかのモードを選択して、認証ポリシーと許可ポリシーを設定します。ポリシー モードを変更すると、Cisco ISE インターフェイスに再度ログインするように促されます。ポリシー セット モードから簡易モードに切り替えた場合、すべてのポリシー セットのデータがデフォルト ポリシーを除いて削除されます。[ポリシー(Policy)] メニュー オプションはポリシー モードの選択に基づいて変化します。

                                • 簡易モード:簡易モードを選択した場合は、[ポリシー(Policy)] メニューで認証ポリシーと許可ポリシーを別々に定義できます。

                                  図 3. 簡易モードの [ポリシー(Policy)] メニュー

                                • ポリシー セット モード:ポリシー セット モードを選択した場合は、ポリシー セットを作成して、認証と許可を論理的に同一グループにグループ化できます。必要に応じて複数のグループを作成できます。

                                  図 4. ポリシー セット モードの [ポリシー(Policy)] メニュー

                                ポリシー モードの変更

                                ポリシー モード変更のためのガイドラインは、次のとおりです。

                                • Cisco ISE、リリース 1.1 から新たにインストールまたは更新すると、簡易モード ポリシー モデルがデフォルトで選択されます。

                                • 簡易モードからポリシー セット モードに切り替えると、認証および許可ポリシーはデフォルト ポリシー セットに移行されます。

                                • ポリシー セット モードから簡易モードに切り替えると、デフォルト ポリシー セットの認証および許可が認証および認可ポリシーに移行されます。その他のすべてのポリシー セット ポリシーは削除されます。

                                  ステップ 1   [管理(Administration)] > [システム(System)] > [設定(Settings)] > [ポリシーセット(Policy Sets)] を選択します。
                                  ステップ 2   ポリシー セット モードを有効または無効にします。
                                  ステップ 3   [保存(Save)] をクリックします。

                                  新しいポリシー モードを有効にするために、もう一度ログインするよう促されます。

                                  簡易認証ポリシーの設定

                                  単純な認証ポリシーの設定手順には、許可されるプロトコル サービスの定義および単純な認証ポリシーの設定が含まれます。

                                  はじめる前に

                                  • RADIUS サーバを使用して簡易認証ポリシーを設定するには、さまざまなデータベースがサポートする認証タイプとプロトコルの理解のために、Cisco ISE 認証ポリシーおよびプロキシ サービスの基本を理解している必要があります。

                                  • 許可されるプロトコル アクセス サービスや RADIUS サーバ順序を定義する必要があります。

                                  • 次のタスクを実行するには、スーパー管理者またはシステム管理者である必要があります。

                                  このプロセスにより、RADIUS サーバ順序を使用した簡易ポリシーの設定も可能です。

                                    ステップ 1   [ポリシー(Policy)] > [認証(Authentication)] を選択します。
                                    ステップ 2   メッセージが表示されたら、[OK] をクリックします。
                                    ステップ 3   必要に応じて値を入力します。
                                    ステップ 4   [保存(Save)] をクリックして、設定した単純な認証ポリシーを保存します。

                                    ルールベースの認証ポリシーの設定

                                    ルールベースのポリシーでは、条件を定義することによって、Cisco ISE は許可されるプロトコルおよび ID ソースを動的に選択できるようになります。複数の条件を、Cisco ISE ディクショナリ内の任意の属性を使用して定義できます。


                                    ヒント

                                    ルールベースの認証ポリシーを作成する前に、許可されるプロトコル アクセス サービス、条件、および ID ソース順序を作成することを推奨します。RADIUS サーバ順序を使用する場合、ポリシーを作成する前に RADIUS サーバ順序を定義できます。

                                    はじめる前に

                                    • ルールベースの認証ポリシー、ネットワーク アクセスに許可される定義済みのプロトコル、作成された ID ソース順序、および RADIUS サーバ順序(許可されるプロトコル アクセス サービスの代わりに RADIUS サーバ順序を使用する場合)の基本的な理解が必要です。

                                    • Cisco ISE では、有線 802.1X、無線 802.1X、および有線 MAB を使用する場合の標準的なルールベースの認証ポリシーが事前に用意されています。

                                    • 次のタスクを実行するには、スーパー管理者またはシステム管理者である必要があります。

                                    • ユーザが外部の ID ソースで定義されている場合、Cisco ISE でこれらの ID ソースが設定されていることを確認してください。


                                      (注)  

                                      単純なポリシーとルールベースのポリシーを切り替える場合、最初に設定したポリシーは失われます。たとえば、単純な認証ポリシーを設定した後でルールベースの認証ポリシーに移動すると、単純な認証ポリシーは失われます。また、ルールベースの認証ポリシーから簡易認証ポリシーに移動した場合は、ルールベースの認証ポリシーは失われます。

                                      ステップ 1   [ポリシー(Policy)] > [認証(Authentication)] を選択します。
                                      ステップ 2   [ルールベース(Rule-Based)] オプション ボタンをクリックします。
                                      ステップ 3   メッセージが表示されたら、[OK] をクリックします。
                                      ステップ 4   アクション アイコンをクリックして、新しいポリシーを表示するリスト上の位置に応じて [上に新しい行を挿入(Insert new row above)] または [下に新しい行を挿入(Insert new row above)] をクリックします。ポリシーは、順序に従って評価されます。

                                      このルールベースのポリシーのページ内の各行は、単純な認証ポリシーと同等です。各行には、許可されるプロトコルおよび ID ソースを決定する一連の条件が含まれています。

                                      ステップ 5   必要に応じて新しい認証ポリシーを作成するための値を入力します。
                                      ステップ 6   [保存(Save)] をクリックして、作成したルールベースの認証ポリシーを保存します。

                                      EAP-FAST クライアント証明書が外部の TLS ネゴシエーションで送信される場合の認証ポリシーを設定するときに、「Username」属性は指定できません。「CN」や「SAN」などの証明書フィールドを使用することをお勧めします。

                                      Active Directory のアカウントが logon hours、locked-out、workstations のいずれかの属性を使用してユーザまたはマシンを拒否するように設定されている場合、ISE は Active Directory に対してユーザまたはマシンの EAP-TLS 認証を制限しません。これらの属性を使用して、EAP-TLS 認証のユーザまたはマシンを制限しないでください。

                                      デフォルトの認証ポリシー

                                      認証ポリシー ページの最後の行は、どのルールも要求と一致しない場合に適用されるデフォルト ポリシーです。このデフォルトのポリシーの許可されるプロトコルおよび ID ソースを編集できます。

                                      他のいかなる作成済みポリシーにも要求が一致しない場合のデフォルトのポリシーで、ID ソースとして [アクセスを拒否(Deny Access)] を選択することを推奨します。

                                      ポリシー セット

                                      ポリシー セットでは、論理的に同じセット内の認証および許可ポリシーをグループ化することができます。ロケーション、アクセス タイプ、類似パラメータに基づくポリシー セットなどの領域に基づいて、複数のポリシー セットを作成できます。

                                      ポリシー セットは最初に一致したポリシーです。各ポリシーには簡易または複合条件のどちらかがあり、次のサポート ディクショナリがあります。

                                      • Airspace

                                      • Cisco

                                      • Cisco-BBSM

                                      • Cisco-VPN3000

                                      • Device、Microsoft

                                      • NetworkAccess

                                      • RADIUS

                                      ポリシー セットが一致し選択されたら、認証および許可ポリシーが評価されます。さらに、ポリシー セット モデルの一部として、グローバル許可例外ポリシーを利用できます。

                                      常時 1 つのポリシー セットが定義されています。それがデフォルト ポリシー セットです。

                                      ポリシー セットの評価フロー

                                      図 5. ポリシー セットの認証および許可の評価フロー

                                      ポリシー セットの順序および認証と許可の評価フローは、次のとおりです。

                                      1. ポリシー セットを評価します(ポリシー セットの条件を評価する)。その結果、ポリシー セットが 1 つ選択されます。

                                      2. 選択したポリシー セットの許可されたプロトコル ルールを評価します。

                                      3. 選択したポリシー セットの ID ストア ルールを評価します。

                                      4. 次のパラダイムに基づいて、選択したポリシー セットの許可ルールを評価します。

                                        ローカル例外ポリシーが定義されている場合は、これを評価する

                                        上記手順 1 で一致がない場合、定義されていればグローバル例外ポリシーを評価する

                                        上記手順 2 で一致がない場合、許可ルールを評価する

                                      どのポリシー セットにも一致しない場合は、デフォルトのポリシー セットが選択されます。

                                      ポリシー セット作成のガイドライン

                                      ポリシー セット作成のためのガイドラインは、次のとおりです。

                                      • ルールは、名前、条件、結果で指定する必要があります。すべての認証および許可のルールが定義されていない限り、ポリシー セットを保存できません。

                                      • 同じルール タイプ(認証または許可)と同じポリシー セットからのみであれば、ルールを複製できます。

                                      • 異なるポリシー セットはルールを共有できません。各ポリシー セットには独自のルールがあります。ただし、条件ライブラリを使用している場合は、条件を共有することができます。

                                      グローバル許可例外ポリシー

                                      グローバル許可例外ポリシーにより、すべてのポリシー セットに適用するルールを定義できます。グローバル許可例外ポリシーは、すべてのポリシー セットのすべての許可ポリシーに追加されます。グローバル許可例外ポリシーは、ポリシー セットのリストからグローバル例外オプションを選択することによって更新できます。

                                      各許可ポリシーには、ローカル例外規則、グローバル例外規則、通常ルールがあります。ローカル許可例外ルールを設定すると、(ある許可ポリシー用の)グローバル例外許可ルールが、ローカル許可例外ルールと並んで読み取り専用モードで表示されます。ローカル許可例外ルールは、グローバル例外ルールに優先します。許可ルールは、許可ポリシーのローカル例外規則、グローバル例外規則、通常ルールの順番で処理されます。

                                      ポリシー セットの設定

                                      このページを使用して、ポリシー セットを設定できます。

                                      はじめる前に

                                      ポリシー セットが設定できるように、ポリシー モードをポリシー セットとして選択しておくする必要があります。これを行うには、[管理(Administration)] > [システム(System)] > [設定(Settings)] > [ポリシー セット(Policy Sets)] に移動します。

                                        ステップ 1   [ポリシー(Policy)] > [ポリシーセット(Policy Sets)] を選択します。
                                        ステップ 2   [デフォルト(Default)] ポリシーをクリックします。デフォルト ポリシーが右側に表示されます。
                                        ステップ 3   上部のプラス(+)記号をクリックして、[上を作成(Create Above)] を選択します。
                                        ステップ 4   このグループ ポリシーの名前、説明、条件を入力します。
                                        ステップ 5   認証ポリシーを定義します。
                                        ステップ 6   許可ポリシーを定義します。
                                        ステップ 7   [送信(Submit)] をクリックします。ポリシー セットの設定後、Cisco ISE からログアウトされます。管理者ポータルにアクセスするために再度ログインする必要があります。

                                        認証ポリシーの組み込み設定

                                        Cisco ISE には、一部の一般的な用途に対応した、さまざまなデフォルト設定が含まれています。

                                        表 3 認証ポリシー設定のデフォルト

                                        [名前(Name)]

                                        ユーザ インターフェイスのパス

                                        説明

                                        その他の情報

                                        ネットワーク アクセスのデフォルトの許可されるプロトコル アクセス サービス

                                        [ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [設定(Configuration)] > [許可されるプロトコル(Allowed Protocols)]

                                        このデフォルトは、認証ポリシーに使用されるネットワーク アクセスの組み込みの許可されるプロトコル サービスです。

                                        このアクセス サービスは、有線および無線の 802.1X、および有線 MAB の認証ポリシーに使用できます。

                                        有線 802.1X 複合条件

                                        [ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [認証(Authentication)] > [ゲスト(Guest)] > [複合条件(Compound Conditions)] を選択します。

                                        この複合条件は次の属性と値をチェックします。

                                        • RADIUS:Service-Type equals Framed

                                        • RADIUS:NAS-Port-Type equals Ethernet

                                        この複合条件は、有線 802.1X 認証ポリシーに使用できます。このポリシーに指定された基準に一致するすべての要求は、有線 802.1X 認証ポリシーに基づいて評価されます。

                                        無線 802.1X 複合条件

                                        [ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [認証(Authentication)] > [ゲスト(Guest)] > [複合条件(Compound Conditions)] を選択します。

                                        この複合条件は次の属性と値をチェックします。

                                        • RADIUS:Service-Type equals Framed

                                        • RADIUS:NAS-Port-Type equals Wireless-IEEE802.11

                                        この複合条件は、無線 802.1X 認証ポリシーに使用できます。このポリシーに指定された基準に一致するすべての要求は、無線 802.1X 認証ポリシーに基づいて評価されます。

                                        有線 MAB 複合条件

                                        [ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [認証(Authentication)] > [ゲスト(Guest)] > [複合条件(Compound Conditions)] を選択します。

                                        この複合条件は次の属性と値をチェックします。

                                        • RADIUS:Service-Type は Call-Check

                                        • RADIUS:NAS-Port-Type equals Ethernet

                                        この複合条件は、有線 MAB 認証ポリシーに使用できます。このポリシーに指定された基準に一致するすべての要求は、有線 MAB 認証ポリシーに基づいて評価されます。

                                        Catalyst スイッチのローカル Web 認証複合条件

                                        [ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [認証(Authentication)] > [ゲスト(Guest)] > [複合条件(Compound Conditions)] を選択します。

                                        この複合条件は次の属性と値をチェックします。

                                        • RADIUS:Service-Type equals Outbound

                                        • RADIUS:NAS-Port-Type equals Ethernet

                                        この複合条件を使用するには、この条件を確認する認証ポリシーを作成する必要があります。また、要件に基づいてアクセス サービスを定義するか、このポリシーのデフォルト ネットワーク アクセス許可プロトコル サービスを利用できます。

                                        ワイヤレス LAN コントローラ(WLC)ローカル Web 認証複合条件(Wireless Lan Controller (WLC) Local Web Authentication Compound Condition)

                                        [ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [認証(Authentication)] > [ゲスト(Guest)] > [複合条件(Compound Conditions)] を選択します。

                                        この複合条件は次の属性と値をチェックします。

                                        • RADIUS:Service-Type equals Outbound

                                        • RADIUS:NAS-Port-Type equals Wireless-IEEE802.11

                                        この複合条件を使用するには、この条件を確認する認証ポリシーを作成する必要があります。また、要件に基づいてアクセス サービスを定義するか、このポリシーのデフォルト ネットワーク アクセス許可プロトコル サービスを利用できます。

                                        有線 802.1X 認証ポリシー

                                        [ポリシー(Policy)] > [認証(Authentication)] > [ルールベース(Rule-Based)]

                                        このポリシーは、有線 802.1X 複合条件およびデフォルトのネットワーク アクセスの許可されるプロトコル サービスを使用します。このポリシーは、有線 802.1X 複合条件で指定された基準に一致する要求を評価します。

                                        このデフォルト ポリシーは ID ソースとして内部エンドポイント データベースを使用します。このポリシーを編集して、あらゆる ID ソース順序やアイデンティティ ソースを必要に応じて設定できます。

                                        無線 802.1X 認証ポリシー

                                        [ポリシー(Policy)] > [認証(Authentication)] > [ルールベース(Rule-Based)]

                                        このポリシーは、無線 802.1X 複合条件およびデフォルトのネットワーク アクセスの許可されるプロトコル サービスを使用します。このポリシーは、無線 802.1X 複合条件で指定された基準に一致する要求を評価します。

                                        このデフォルト ポリシーは ID ソースとして内部エンドポイント データベースを使用します。このポリシーを編集して、あらゆる ID ソース順序やアイデンティティ ソースを必要に応じて設定できます。

                                        有線 MAB 認証ポリシー

                                        [ポリシー(Policy)] > [認証(Authentication)] > [ルールベース(Rule-Based)]

                                        このポリシーは、有線 MAB 複合条件およびデフォルトのネットワーク アクセスの許可されるプロトコル サービスを使用します。このポリシーは、有線 MAB 複合条件で指定された基準に一致する要求を評価します。

                                        このデフォルト ポリシーは ID ソースとして内部エンドポイント データベースを使用します。

                                        認証結果の表示

                                        Cisco ISE にはリアルタイムで認証の概要を表示するさまざまな方法があります。

                                        はじめる前に

                                        次のタスクを実行するには、スーパー管理者またはシステム管理者である必要があります。

                                          ステップ 1   [操作(Operations)] > [RADIUSライブログ(RADIUS Livelog)] を選択して、リアルタイムで認証の概要を表示します。
                                          ステップ 2   認証の概要を表示するには、次のような方法があります。

                                          • [ステータス(Status)] アイコンの上にマウス カーソルを移動すると、認証の結果と概要を表示できます。図に示すようなポップアップが表示されます。

                                          • 結果をフィルタリングするには、リストの最上部に表示される 1 つ以上の任意のテキスト ボックスに検索条件を入力して Enter を押します。

                                          • 詳細レポートを表示するには、[詳細(Details)] カラムにある虫眼鏡アイコンをクリックします。

                                            (注)     

                                            認証概要レポートまたはダッシュボードが失敗または成功した認証に対応する最新のデータを収集して表示するため、レポートの内容は数分の遅延の後に表示されます。

                                          認証ダッシュレット

                                          Cisco ISE のダッシュボードには、ネットワークで行われたすべての認証の概要が表示されます。これには、認証ダッシュレットにある認証および許可の失敗についての概要情報が表示されます。

                                          認証ダッシュレットには、Cisco ISE が処理した RADIUS 認証に関する次の統計情報が表示されます。

                                          • 認証成功、認証失敗、同一ユーザによる同時ログインなど、Cisco ISE が処理した RADIUS 認証要求の総数。

                                          • Cisco ISE が処理した、失敗した RADIUS 認証要求の総数。

                                          認証レポートおよびトラブルシューティング ツール

                                          認証の詳細の他に、Cisco ISE では、ネットワークの効率的な管理に使用できるさまざまなレポートおよびトラブルシューティング ツールが提供されます。

                                          ネットワーク内の認証の傾向およびトラフィックを把握するために実行できるさまざまなレポートがあります。現在のデータに加えて履歴のレポートを生成できます。認証レポートのリストは次のとおりです。

                                          • AAA の診断

                                          • RADIUS アカウンティング(RADIUS Accounting)

                                          • RADIUS 認証

                                          • 認証概要(Authentication Summary)

                                          このドキュメントは役に立ちましたか?

                                          フィードバック

                                          お問い合わせ