認証ポリシーは、Cisco ISE がネットワーク デバイスと通信するために使用するプロトコルを定義します。また、認証に使用するソースを特定します。ポリシーは、一連の条件と結果で構成されています。ポリシー条件は、オペランド(属性)、演算子(equal to、not equal to、greater than など)、および値で構成されています。複合条件は、1 つ以上の単純条件で構成され、それぞれの条件が AND または OR 演算子で結合されています。実行時に、Cisco ISE はポリシー条件を評価し、ポリシー評価が true または false 値のどちらを返すかに応じて、定義された結果を適用します。
インストール後に、認証に使用される Cisco ISE でデフォルトの ID 認証ポリシーが使用できます。認証ポリシーを更新すると、デフォルトの設定が上書きされます。
ポリシー条件の評価時に、Cisco ISE は属性と値を比較します。ポリシー条件で指定された属性に、要求内で割り当てられた値が含まれていない場合があります。このとき、比較に使用されている演算子が「not equal to」である場合、この条件は true と評価されます。その他の場合、この条件は false と評価されます。
たとえば、「Radius.Calling_Station_ID Not Equal to 1.1.1.1」という条件の場合に RADIUS 要求に Calling Station ID が存在しない場合、この条件は true と評価されます。この評価は RADIUS ディクショナリに特有なものではなく、「Not Equal to」演算子の使用に起因して発生します。
Microsoft Challenge Handshake Authentication Protocol version 2(MS-CHAPv2)
Extensible Authentication Protocol-Message Digest 5(EAP-MD5)
Extensible Authentication Protocol-Transport Layer Security(EAP-TLS)
Extensible Authentication Protocol-Flexible Authentication via Secure Tunneling(EAP-FAST)
Extensible Authentication Protocol-Tunneled Transport Layer Security(EAP-TTLS; 拡張認証プロトコル - トンネル方式トランスポート層セキュリティ)
Protected Extensible Authentication Protocol-Transport Layer Security(PEAP-TLS)
認証タイプは、選択されたプロトコルに基づきます。認証タイプはパスワード ベースです。認証は、要求内に存在するユーザ名とパスワードを使用してデータベースに対して実行されます。
識別方法としてアクセス拒否を選択した場合、要求への応答として拒否メッセージが送信されます。ID データベースまたは ID データベース順序を選択して、認証が成功した場合、認証ポリシーの処理が続行されます。一部の認証は失敗し、その場合次のように分類されます。
認証の失敗:クレデンシャルが正しくない、無効なユーザであることなどが原因で認証が失敗したことを示す明確な応答を受信します。アクションのデフォルト コースは拒否です。
ユーザが見つからない:どの ID データベースでもこのユーザが見つかりませんでした。アクションのデフォルト コースは拒否です。
Cisco ISE では、認証失敗に対して次のアクションのコースのいずれかを設定することができます。
[続行(Continue)] オプションを選択した場合でも、使用されているプロトコルの制限により Cisco ISE が要求の処理を実行できない場合があります。PEAP、LEAP、EAP-FAST、EAP-TLS、または RADIUS MSCHAP を使用した認証では、認証に失敗したり、ユーザが見つからなかったときには、要求の処理を続行することはできません。
認証に失敗した場合、PAP/ASCII または MAC 認証バイパス(MAB またはホスト ルックアップ)の許可ポリシーの処理を続行できます。その他のすべての認証プロトコルの場合、認証に失敗すると、次のいずれかの状態となります。
許可されるプロトコル:許可されるプロトコルは、ネットワーク リソースへのアクセスを要求するデバイスとの通信に Cisco ISE が使用できるプロトコルのセットを定義します。
アイデンティティ ソース:Cisco ISE データベースがユーザ情報に使用する ID ソースを定義します。データベースは内部データベースの場合や、Active Directory または LDAP などの外部 ID ソースの場合もあります。一連のデータベースを ID ソース順序に加えて、この順序をポリシー内で ID ソースとしてリストできます。Cisco ISE は、リストされている順序でデータベース内のクレデンシャルを検索します。
フェールオーバー オプション:認証に失敗した、ユーザが見つからない、または処理に失敗した場合に Cisco ISE が取るべきアクションのコースを指定できます。
簡易認証ポリシーでは、Cisco ISE が通信に使用する、許可されるプロトコルおよび ID ソースまたは ID ソース順序を静的に定義できます。単純なポリシーでは条件を定義できません。Cisco ISE ではすべての条件が満たされていると想定され、次の定義を使用して結果が決まります。
簡易認証ポリシーを設定するときは、次のガイドラインに従ってください。
ユーザが外部 ID ソースで定義されている場合、ポリシーを定義する前に Cisco ISE でこれらの ID ソースが設定されていることを確認してください。
ID ソース順序を使用してユーザを認証する場合、ポリシーを定義する前に、ID ソース順序が作成済みであることを確認してください。
単純なポリシーとルールベースのポリシーを切り替える場合、最初に設定したポリシーは失われます。たとえば、単純な認証ポリシーを設定した後でルールベースの認証ポリシーに移動すると、単純な認証ポリシーは失われます。また、ルールベースの認証ポリシーから簡易認証ポリシーに移動した場合は、ルールベースの認証ポリシーは失われます。
ルールベースの認証ポリシーは、属性ベースの条件で構成されています。この条件により、要求の処理に使用される許可されるプロトコルおよび ID ソースまたは ID ソース順序が決定されます。単純な認証ポリシーでは、許可されるプロトコルおよび ID ソースを静的に定義できます。ルールベースのポリシーでは、条件を定義することによって、Cisco ISE は許可されるプロトコルおよび ID ソースを動的に選択できるようになります。複数の条件を、Cisco ISE ディクショナリ内の任意の属性を使用して定義できます。
Cisco ISE では、個別の再利用可能なポリシー要素として条件を作成でき、これらの条件は別のルールベースのポリシーから参照することが可能です。ポリシー作成ページ内で条件を作成することも可能です。条件には 2 種類あります。
ルールベースのポリシーでは、複数のルールを定義できます。ID データベースは、基準に一致する最初のルールに基づいて選択されます。
異なるデータベースで構成される ID ソース順序を定義することもできます。Cisco ISE がデータベースを検索する順序を定義できます。Cisco ISE は、認証が成功するまで指定された順序でこれらのデータベースにアクセスします。1 つの外部データベースに同一ユーザの複数のインスタンスが存在する場合、認証は失敗します。1 つの ID ソース内で、ユーザ レコードは重複できません。
ID ソース順序には、3 つのデータベース、または多くとも 4 つのデータベースを使用することを推奨します。
表に、ディクショナリでサポートされる固定属性を示します。これらの属性をポリシー条件内で使用できます。作成する条件のタイプによっては、使用できない属性もあります。
たとえば、認証ポリシー内でアクセス サービスを選択する条件を作成する場合、使用できるネットワーク アクセス属性は、Device IP Address、ISE Host Name、Network Device Name、Protocol、および Use Case のみです。
プロトコルを使用して認証要求を処理するには、初めに Cisco ISE でグローバル プロトコル設定を定義する必要があります。[プロトコル設定(Protocol Settings)] ページを使用して、ネットワーク内の他のデバイスと通信する Extensible Authentication Protocol-Flexible Authentication via Secure Tunneling(EAP-FAST)、Extensible Authentication Protocol-Transport Layer Security(EAP-TLS)、および Protected Extensible Authentication Protocol(PEAP)の各プロトコルのグローバル オプションを定義できます。
EAP-FAST を認証プロトコルとして使用する場合は、次のガイドラインに従ってください。
EAP-FAST 受信クライアント証明書が認証されたプロビジョニングで有効な場合は、EAP-TLS 内部方式を有効にすることを強く推奨します。認証されたプロビジョニングの EAP-FAST 受信クライアント証明書は別の認証方式ではなく、ユーザを認証するのと同じ証明書のクレデンシャルのタイプを使用した略式のクライアント証明書認証ですが、内部方式を実行する必要がありません。
PAC なしの完全なハンドシェイクおよび認定 PAC プロビジョニングとの認証プロビジョニング作業に対するクライアント証明書を受け入れます。PAC なしのセッション再開、匿名 PAC プロビジョニング、PAC ベース認証には動作しません。
EAP 属性は、認証の順序とは関係なく、ID ごとにモニタリング ツールの認証詳細に、まずユーザ順、次にマシン順に表示されます(したがって EAP チェーニングは 2 回表示されます)。
EAP-FAST 認可 PAC が使用される場合、ライブ ログに表示される EAP 認証方式は完全認証に使用される認証方式と同じ(PEAP でのように)であり、参照としてではありません。
EAP チェーン モードでは、トンネル PAC が期限切れになると、ISE がプロビジョニングにフォールバックし、AC 要求ユーザおよびマシン認可 PAC(マシン許可 PAC)はプロビジョニングできません。後続の PAC ベースの認証通信で AC が要求したときにプロビジョニングされます。
Cisco ISE がチェーンに、AC がシングル モードに設定されている場合は、AC は IdentityType TLV で ISE に応答しますただし、2 番目の ID 認証は失敗します。この通信から、クライアントのチェーニング実行は適切であるが、現在はシングル モードで構成されていることがわかります。
Cisco ISE は AD にのみチェーンしている EAP-FAST のマシンとユーザの両方の属性およびグループをサポートします。LDAP および内部 DB ISE に対しては、最新の ID 属性のみを使用します。
Cisco ISE の [PAC の生成(Generate PAC)] オプションを使用して、EAP-FAST プロトコルのトンネル PAC またはマシン PAC を生成できます。
EAP-TTLS は、EAP-TLS プロトコルの機能を拡張する 2 フェーズ プロトコルです。フェーズ 1 では、セキュアなトンネルを構築し、フェーズ 2 で使用するセッション キーを導出し、サーバとクライアント間で属性および内部方式データを安全にトンネリングします。フェーズ 2 中では、トンネリングされた属性を使用して、多数のさまざまなメカニズムを使用する追加認証を実行できます。
Cisco ISE は、次のようなさまざまな TTLS サプリカントから認証を処理できます。
Windows 上の AnyConnect Network Access Manager(NAM)
Windows 8.1 ネイティブ サプリカント
セキュア W2(MultiOS で JoinNow とも呼ばれます)
MAC OS X ネイティブ サプリカント
IOS ネイティブ サプリカント
Android ベースのネイティブ サプリカント
Linux WPA サプリカント
![]() (注) | 暗号化バインドが必要な場合は、内部方式として EAP-FAST を使用する必要があります。 |
次のタスクを実行するには、スーパー管理者またはシステム管理者である必要があります。
認証に失敗、または認証成功のレポートの繰り返しの抑制に失敗したクライアントを検出するように RADIUS 設定を設定することができます。
Cisco ISE は、次の FIPS 対応暗号方式をサポートしています。TLS バージョン 1.0、 1.1 および 1.2 がサポートされます。
Cisco ISE は 非 FIPS 準拠暗号方式をサポートしていません。次の暗号方式はサポートされません。
RSA_DES_192_CBC3_SHA
EDH_RSA_DES_192_CBC3_SHA
EDH_DSS_DES_192_CBC3_SHA
RSA_RC4_128_SHA
RSA_RC4_128_MD5
EDH_RSA_DES_64_CBC_SHA
EDH_DSS_DES_64_CBC_SHA
RSA_RC4_128_SHA
![]() (注) | これらの非推奨の暗号方式を使用するレガシー デバイスがある場合は、Cisco Technical Assistance Center に連絡してサポートを受けてください。 |
セキュリティ設定を構成するには、次の手順を実行します。
次のワークフローはセキュリティ設定の影響を受けません。
ネットワーク アクセス サービスには、要求に対する認証ポリシー条件が含まれています。たとえば有線 802.1X や有線 MAB など、さまざまな用途向けに個別のネットワーク アクセス サービスを作成することができます。
許可されるプロトコルは、ネットワーク リソースへのアクセスを要求するデバイスとの通信に Cisco ISE が使用できるプロトコルのセットを定義します。許可されるプロトコル アクセス サービスは、認証ポリシーを設定する前に作成する必要がある独立したエントリです。許可されるプロトコル アクセス サービスは、特定の使用例に対して選択されたプロトコルが含まれているオブジェクトです。
[許可されるプロトコル サービス(Allowed Protocols Services)] ページには、作成した許可されるプロトコル サービスがすべて表示されます。Cisco ISE で事前に定義されたデフォルトのネットワーク アクセス サービスが存在します。
![]() (注) | Cisco NAD では、MAB および Web/ユーザ認証に使用する Service-Type 値は異なります。これにより、Cisco NAD を使用する場合に、ISE は MAB と Web 認証を区別できます。シスコ以外の一部の NAD では、MAB と Web/ユーザ認証に同じ値の Service-Type 属性を使用しています。この場合、アクセス ポリシーでセキュリティ上の問題につながる場合があります。シスコ以外のデバイスで MAB を使用する場合は、ネットワーク セキュリティが侵害されないように、追加の許可ポリシー ルールを設定することを推奨します。たとえば、プリンタで MAB を使用する場合は、ACL のプリンタ プロトコル ポートに制限する許可ポリシー ルールを設定できます。 |
次の設定を順番に設定して、シスコ デバイスから MAB を設定します。
Cisco ISE は、RADIUS サーバおよび RADIUS プロキシ サーバとして機能できます。プロキシ サーバとして機能する場合、Cisco ISE はネットワーク アクセス サーバ(NAS)から認証要求およびアカウンティング要求を受信し、これらの要求を外部 RADIUS サーバに転送します。Cisco ISE は要求の結果を受け取り、NAS に返します。
Cisco ISE は、同時に複数の外部 RADIUS サーバへのプロキシ サーバとして動作できます。RADIUS サーバ順序で設定した外部 RADIUS サーバを使用できます。次に説明する [外部 RADIUS サーバ(External RADIUS Server)] ページには、Cisco ISE で定義した外部 RADIUS サーバがすべて表示されます。フィルタ オプションを使用して、名前または説明、またはその両方に基づいて特定の RADIUS サーバを検索することができます。単純な認証ポリシーとルールベースの認証ポリシーの両方で、RADIUS サーバ順序を使用して要求を RADIUS サーバにプロキシできます。
RADIUS サーバ順序は、RADIUS-Username 属性からドメイン名を抜き取り(ストリッピング)、RADIUS 認証に使用します。このドメイン ストリッピングは EAP 認証には使用できません。EAP 認証では EAP-Identity 属性が使用されます。RADIUS プロキシ サーバは RADIUS-Username 属性からユーザ名を取得し、RADIUS サーバ順序の設定時に指定した文字列からユーザ名を抜き取ります。EAP 認証の場合は、RADIUS プロキシ サーバはユーザ名を EAP-Identity 属性から取得します。RADIUS サーバ順序を使用する EAP 認証は、EAP-Identity 値と RADIUS-Username 値が同一である場合のみ成功します。
Cisco ISE で外部 RADIUS サーバを設定して、要求を外部 RADIUS サーバに送信できるようにする必要があります。タイムアウト時間および接続試行回数を定義できます。
Cisco ISE の RADIUS サーバ順序を使用すると、NAD からの要求を外部 RADIUS サーバにプロキシできます。外部 RADIUS サーバは要求を処理して結果を Cisco ISE に返し、Cisco ISE はその応答を NAD に転送します。
[RADIUS サーバ順序(RADIUS Server Sequences)] ページに、Cisco ISE で定義したすべての RADIUS サーバの順序が表示されます。このページを使用して、RADIUS サーバの作成、編集、または複製が可能です。
Cisco ISE は、外部 TACACS+ サーバへのプロキシ クライアントとして機能できます。プロキシ クライアントとして機能する場合、Cisco ISE はネットワーク アクセス サーバ(NAS)から認証要求、許可要求およびアカウンティング要求を受信し、これらの要求を外部 TACACS+ サーバに転送します。Cisco ISE は要求の結果を受け取り、NAS に返します。
[TACACS+外部サーバ(TACACS+ External Servers)] ページには、Cisco ISE で定義した外部 TACACS+ サーバがすべて表示されます。フィルタ オプションを使用して、名前または説明、またはその両方に基づいて特定の TACACS+ サーバを検索することができます。
Cisco ISE は、同時に複数の外部 TACACS+ サーバへのプロキシ クライアントとして動作できます。複数の外部サーバを設定するには、[TACACS+サーバの順序(TACACS+ server sequence)] ページを使用できます。詳細については、「TACACS+ サーバ順序の設定」ページを参照してください。
次の表では、[TACACS外部サーバ(TACACS External Servers)] ページのフィールドについて説明します。ナビゲーション パスは、
ページです。
ホスト名/アドレス(Host IP) |
リモート TACACS+ 外部サーバの IP アドレスを入力します。 |
接続ポート(Connection Port) |
リモート TACACS+ 外部サーバのポート番号を入力します。ポート番号は 49 です。 |
Timeout |
ISE が外部 TACACS+ サーバからの応答を待機する秒数を入力します。デフォルトは 5 秒です。有効な値は 1 ~ 120 です。 |
共有秘密鍵(Shared Secret) |
TACACS+ 外部サーバとの接続を保護するのに使用するテキスト文字列。正しく設定されていない場合、接続は TACACS+ 外部サーバによって拒否されます。 |
シングル接続を使用(Use Single Connect) |
TACACS プロトコルは、接続にセッションを関連付けるための 2 つのモード、シングル接続と非シングル接続をサポートしています。シングル接続モードは、クライアントが開始する可能性がある多数の TACACS+ セッションに対し、単一の TCP 接続を再使用します。非シングル接続では、クライアントが開始するすべての TACACS+ セッションに対し、新しい TCP 接続が開かれます。TCP 接続は、各セッションの後に閉じられます。 トラフィックが多い環境では、[シングル接続を使用(Use Single Connect)] チェックボックスをオンにし、トラフィックが少ない環境ではオフにできます。 |
Cisco ISE で外部 TACACS サーバを設定して、要求を外部 TACACS サーバに送信できるようにする必要があります。タイムアウト時間および接続試行回数を定義できます。
次の表では、[TACACSサーバ順序(TACACS Server Sequence)] ページのフィールドについて説明します。ナビゲーション パスは、
ページです。
サーバ リスト(Server List) |
[使用可能(Available)] リストから必要な TACACS プロキシ サーバを選択します。[使用可能(Available)] リストには、[TACACS外部サービス(TACACS External Services)] ページで設定されている TACACS プロキシ サーバのリストが含まれています。 |
ロギング制御(Logging Control) |
|
ユーザ名の除去(Username Stripping) |
|
Cisco ISE の TACACS+ サーバ順序を使用すると、NAD からの要求を外部 TACACS+ サーバにプロキシできます。外部 TACACS+ サーバは要求を処理して結果を Cisco ISE に返し、Cisco ISE はその応答を NAD に転送します。[TACACS+サーバ順序(TACACS+ Server Sequences)] ページに、Cisco ISE で定義したすべての TACACS+ サーバの順序が表示されます。このページを使用して、TACACS+ サーバ順序の作成、編集、または複製が可能です。
Cisco ISE は、Cisco モビリティ サービス エンジン(MSE)と統合し、物理ロケーション ベースの認証を導入します。Cisco ISE は、MSE からの情報を使用して、MSE によって報告されるユーザの実際の位置に基づいて差別化されたネットワーク アクセスを提供します。
この機能を使用すると、エンドポイントのロケーション情報を使用して、ユーザが適切なゾーンにいる場合にネットワーク アクセスを提供できます。また、エンドポイントのロケーションをポリシーの追加属性として追加して、デバイスのロケーションに基づいてより詳細なポリシー許可のセットを定義することもできます。次のように、ロケーション ベースの属性を使用する許可ルール内で条件を設定できます。
MSE.Location Equals LND_Campus1:Building1:Floor2:SecureZone
ロケーション階層(キャンパス/ビルディング/フロア構造)を定義して、Cisco Prime Infrastructure のアプリケーションを使用してセキュアおよび非セキュアのゾーンを設定できます。ロケーション階層を定義した後、ロケーション階層データを MSE サーバと同期する必要があります。Cisco Prime Infrastructure の詳細については、http://www.cisco.com/c/en/us/support/cloud-systems-management/prime-infrastructure/products-user-guide-list.html を参照してください。
1 つまたは複数の MSE インスタンスを追加して、MSE ベースのロケーション データを許可プロセスに統合できます。これらの MSE からロケーション階層データを取得し、このデータを使用してロケーション ベースの許可ルールを設定できます。
エンドポイントの移動を追跡するには、許可プロファイルの作成時に [移動の追跡(Track Movement)] チェックボックスをオンにします。Cisco ISE は、5 分ごとにエンドポイント ロケーションの関連 MSE にクエリを行い、ロケーションが変更されたかどうかを確認します。
![]() (注) | 複数のユーザを追跡すると、頻繁な更新によってパフォーマンスに影響します。[移動の追跡(Track Movement)] オプションは、上位のセキュリティ ロケーションに使用できます。 |
ロケーション ツリーは、MSE インスタンスから取得されたロケーション データを使用して作成されます。ロケーション ツリーを使用して、許可ポリシーに公開するロケーション エントリを選択できます。
![]() (注) | ロケーション サービスを使用するには、ISE Plus ライセンスが必要です。 |
次のタスクを実行するには、スーパー管理者またはシステム管理者である必要があります。
ロケーション ツリーは、MSE インスタンスから取得されたロケーション データを使用して作成されます。ロケーション ツリーを表示するには、[管理(Administration)] > [ネットワークリソース(Network Resources)] > [ロケーションサービス(Location Services)] > [ロケーションツリー(Location Tree)] を選択します。
1 つのビルディングに複数の MSE がある場合、Cisco ISE はすべての MSE からロケーションの詳細を照合し、単一のツリーとして表示します。
ロケーション ツリーを使用して、許可ポリシーに公開するロケーション エントリを選択できます。また、要件に基づいて特定のロケーションを非表示にすることもできます。ロケーションを非表示にする前にロケーション ツリーを更新することを推奨します。非表示にされたロケーションは、ツリーが更新されても非表示のままになります。
許可ルールに関連するロケーション エントリが変更または削除された場合は、影響を受けるルールをディセーブルにし、これらのロケーションを [不明(Unknown)] として設定するか、または影響を受ける各ルールに代替ロケーションを選択する必要があります。変更を適用したり更新をキャンセルする前に新しいツリー構造を確認する必要があります。
すべての MSE から最新のロケーション階層構造を取得するには、[更新の取得(Get Update)] をクリックします。新しいツリー構造を確認したら、[保存(Save)] をクリックして変更を適用します。
Cisco ISE には、簡易モードとポリシー セット モードの 2 種類のポリシー モードがあります。2 種類のうちのどちらかのモードを選択して、認証ポリシーと許可ポリシーを設定します。ポリシー モードを変更すると、Cisco ISE インターフェイスに再度ログインするように促されます。ポリシー セット モードから簡易モードに切り替えた場合、すべてのポリシー セットのデータがデフォルト ポリシーを除いて削除されます。[ポリシー(Policy)] メニュー オプションはポリシー モードの選択に基づいて変化します。
ルールベースのポリシーでは、条件を定義することによって、Cisco ISE は許可されるプロトコルおよび ID ソースを動的に選択できるようになります。複数の条件を、Cisco ISE ディクショナリ内の任意の属性を使用して定義できます。
![]() ヒント | ルールベースの認証ポリシーを作成する前に、許可されるプロトコル アクセス サービス、条件、および ID ソース順序を作成することを推奨します。RADIUS サーバ順序を使用する場合、ポリシーを作成する前に RADIUS サーバ順序を定義できます。 |
ルールベースの認証ポリシー、ネットワーク アクセスに許可される定義済みのプロトコル、作成された ID ソース順序、および RADIUS サーバ順序(許可されるプロトコル アクセス サービスの代わりに RADIUS サーバ順序を使用する場合)の基本的な理解が必要です。
Cisco ISE では、有線 802.1X、無線 802.1X、および有線 MAB を使用する場合の標準的なルールベースの認証ポリシーが事前に用意されています。
ユーザが外部の ID ソースで定義されている場合、Cisco ISE でこれらの ID ソースが設定されていることを確認してください。
![]() (注) | 単純なポリシーとルールベースのポリシーを切り替える場合、最初に設定したポリシーは失われます。たとえば、単純な認証ポリシーを設定した後でルールベースの認証ポリシーに移動すると、単純な認証ポリシーは失われます。また、ルールベースの認証ポリシーから簡易認証ポリシーに移動した場合は、ルールベースの認証ポリシーは失われます。 |
認証ポリシー ページの最後の行は、どのルールも要求と一致しない場合に適用されるデフォルト ポリシーです。このデフォルトのポリシーの許可されるプロトコルおよび ID ソースを編集できます。
他のいかなる作成済みポリシーにも要求が一致しない場合のデフォルトのポリシーで、ID ソースとして [アクセスを拒否(Deny Access)] を選択することを推奨します。
ポリシー セットでは、論理的に同じセット内の認証および許可ポリシーをグループ化することができます。ロケーション、アクセス タイプ、類似パラメータに基づくポリシー セットなどの領域に基づいて、複数のポリシー セットを作成できます。
ポリシー セットは最初に一致したポリシーです。各ポリシーには簡易または複合条件のどちらかがあり、次のサポート ディクショナリがあります。
ポリシー セットが一致し選択されたら、認証および許可ポリシーが評価されます。さらに、ポリシー セット モデルの一部として、グローバル許可例外ポリシーを利用できます。
グローバル許可例外ポリシーにより、すべてのポリシー セットに適用するルールを定義できます。グローバル許可例外ポリシーは、すべてのポリシー セットのすべての許可ポリシーに追加されます。グローバル許可例外ポリシーは、ポリシー セットのリストからグローバル例外オプションを選択することによって更新できます。
各許可ポリシーには、ローカル例外規則、グローバル例外規則、通常ルールがあります。ローカル許可例外ルールを設定すると、(ある許可ポリシー用の)グローバル例外許可ルールが、ローカル許可例外ルールと並んで読み取り専用モードで表示されます。ローカル許可例外ルールは、グローバル例外ルールに優先します。許可ルールは、許可ポリシーのローカル例外規則、グローバル例外規則、通常ルールの順番で処理されます。
ポリシー セットが設定できるように、ポリシー モードをポリシー セットとして選択しておくする必要があります。これを行うには、 に移動します。
Cisco ISE には、一部の一般的な用途に対応した、さまざまなデフォルト設定が含まれています。
Cisco ISE のダッシュボードには、ネットワークで行われたすべての認証の概要が表示されます。これには、認証ダッシュレットにある認証および許可の失敗についての概要情報が表示されます。
認証の詳細の他に、Cisco ISE では、ネットワークの効率的な管理に使用できるさまざまなレポートおよびトラブルシューティング ツールが提供されます。
ネットワーク内の認証の傾向およびトラフィックを把握するために実行できるさまざまなレポートがあります。現在のデータに加えて履歴のレポートを生成できます。認証レポートのリストは次のとおりです。