アカウントをお持ちの場合

  •   パーソナライズされたコンテンツ
  •   製品とサポート

アカウントをお持ちでない場合

アカウントを作成

Cisco Identity Services Engine 管理者ガイド リリース 2.0

マニュアルのコンテンツ
このマニュアル内で検索
ご利用いただける言語
Download Options

Book Title

Cisco Identity Services Engine 管理者ガイド リリース 2.0

Chapter Title

許可ポリシーおよびプロファイルの管理

検索結果

Updated:
2017年6月19日

章のタイトル: 許可ポリシーおよびプロファイルの管理

許可ポリシーおよびプロファイルの管理

Cisco ISE の許可ポリシー

許可ポリシーは、Cisco ISE ネットワーク許可サービスのコンポーネントです。このサービスを使用して、ネットワーク リソースにアクセスする特定のユーザおよびグループの許可ポリシーを定義し、許可プロファイルを設定することができます。

許可ポリシーには条件付きの要件を含めることができ、この要件では、1 つ以上の許可プロファイルを返すことができる許可チェックを含む複合条件を使用して、1 つ以上の ID グループを組み合わせます。また、特定の ID グループを使用しない条件付きの要件が存在する場合もあります(デフォルトの「Any」の使用など)。

許可ポリシーは、Cisco Identity Services Engine(Cisco ISE)で許可プロファイルを作成する場合に使用されます。許可ポリシーは許可ルールで構成されます。許可ルールには、名前、属性、および権限の 3 つの要素があります。権限要素は、許可プロファイルにマッピングする要素です。

Cisco ISE の許可プロファイル

ネットワーク許可ポリシーは、特定のユーザおよびグループの ID にルールを関連付け、対応するプロファイルを作成します。これらのルールが設定された属性と一致する場合は、常に、権限を付与する、対応する許可プロファイルがポリシーによって返され、ネットワーク アクセスがこれに応じて許可されます。

たとえば、許可プロファイルには、次のタイプに含まれるさまざまな権限を含めることができます。

  • 標準プロファイル

  • 例外プロファイル

  • デバイスベースのプロファイル

プロファイルは、ディクショナリに保存されているリソース セットから選択された属性で構成され、特定の許可ポリシーの複合条件が一致したときに返されます。許可ポリシーには単一のネットワーク サービス ルールにマッピングする複合条件を含めることができるため、許可チェックのリストを含めることもできます。

単純なシナリオでは、すべての許可チェックがルール内で AND ブール演算子を使用して作成されます。高度なシナリオでは、任意のタイプの許可確認式を使用できますが、これらのすべての許可確認は、返される許可プロファイルに準拠する必要があります。許可確認は、通常、ライブラリに追加できるユーザ定義名を含む 1 つ以上の条件から構成され、他の許可ポリシーで再利用できます。

許可ポリシーの用語

Cisco ISE ネットワークやリソースにアクセスするユーザの、ネットワーク許可用の許可プロファイルおよびポリシーを定義できます。Cisco ISE は、ダウンロード可能 ACL(DACL)も使用します。

ネットワーク許可

許可は、いずれのユーザが Cisco ISE ネットワークおよびそのリソースにアクセスできるかを保証するための重要な要件です。ネットワーク許可は、ネットワークおよびそのリソースへのユーザ アクセスならびに各ユーザがシステム上でこれらのリソースに対して実行できることを制御します。Cisco ISE ネットワークは、読み取り、書き込み、および実行の権限を許可する権限セットを定義します。Cisco ISE では、ネットワークのニーズに合わせて、多数のさまざまな許可ポリシーを作成できます。このリリースでは、Cisco ISE ネットワークとリソースへの RADIUS アクセスだけをサポートします。

ポリシー要素

ポリシー要素は許可ポリシーを定義するコンポーネントであり、次のものがあります。

  • ルール名

  • ID グループ

  • 条件(Conditions)

  • 権限(Permissions)

これらのポリシー要素は、ポリシー ルールを作成したときに参照され、条件および属性の選択によって、特定のタイプの許可プロファイルを作成できます。

許可プロファイル

許可プロファイルは、多数の特定の権限によって一連のネットワーク サービスへのアクセスが許可されるコンテナとして機能します。許可プロファイルには、ネットワーク アクセス要求に付与される権限セットを定義し、次のものを含めることができます。

  • プロファイル名

  • プロファイルの説明

  • 関連 DACL

  • 関連 VLAN

  • 関連 SGACL

  • 任意の数の他のディクショナリベースの属性

許可ポリシー

許可ポリシーは、ユーザ定義の単一のルールまたはルールのセットで構成できます。これらのルールは、特定のポリシーを作成するために機能します。たとえば、標準ポリシーは、ID グループ用に入力した値と特定の条件または属性をリンクする If-Then 表記法を使用するルール名を含め、一意の許可プロファイルを作成する特定の権限セットを生成できます。設定できる許可ポリシー オプションは 2 つあります。

  • 最初に一致したルールの適用(First Matched Rules Apply)

  • 複数の一致するルールの適用(Multiple Matched Rule Applies)

これら 2 つのオプションは、ユーザの権限セットと一致したときに、標準ポリシー テーブルにリストされている最初に一致したルール タイプの使用または複数の一致したルール タイプの使用のいずれかを Cisco ISE に指示します。設定できる許可ポリシーには、次の 2 つのタイプがあります。

  • 標準:標準ポリシーは、長期間有効なままにし、ユーザ、デバイス、またはグループの大規模なグループに適用し、特定またはすべてのネットワーク エンドポイントへのアクセスを許可するために作成されるポリシーです。標準ポリシーは変更しないようにし、権限の共通セットを共有するユーザ、デバイス、グループの大規模なグループに適用します。

    標準ポリシーは、特定の条件または権限を使用する特定の ID グループに使用するために変更したり、新しい事業部門、ユーザ グループ、デバイス、ネットワーク グループのニーズを満たすための別のタイプの標準ポリシーを作成したりするためのテンプレートとして使用できます。

  • 例外:これとは対照的に、例外ポリシーは、標準ポリシーの例外として機能するタイプのポリシーであるため、適切な名前を付けられます。例外ポリシーは、短期間のポリシー期間、特定のタイプのネットワーク デバイス、ネットワーク エンドポイントまたはグループ、特別な条件や権限を満たすニーズ、あるいは即時要件などのさまざまな要因に基づく制限されたアクセスを許可することを目的としています。

    例外ポリシーは、制限された数のユーザ、デバイス、またはグループにネットワーク リソースへのアクセスを許可するなどの、即時または短期間のニーズを満たすために作成します。例外ポリシーを使用すると、1 人のユーザまたはユーザのサブセットに合わせて調整された、ID グループ、条件、または権限に対する、カスタマイズされた値の特定のセットを作成できます。これにより、さまざまな、またはカスタマイズされたポリシーを作成し、企業、グループ、またはネットワークのニーズを満たすことができます。

アクセス コントロール リスト

Cisco ISE システムのアクセス コントロール リスト(ACL)は、特定のオブジェクトまたはネットワーク リソースに接続する権限のリストです。ACL は、いずれのユーザまたはグループがオブジェクトへのアクセス権を付与されるか、および指定されたオブジェクトまたはネットワーク リソースでどの操作が許可されるかを指定します。一般的な ACL の各エントリは、サブジェクトおよび操作を指定するか、または状態(許可または拒否など)を提供します。

許可ポリシーとサポートされているディクショナリ

簡易および複合両方の許可ポリシーのタイプで、確認は返される許可プロファイルに準拠する必要があります。

確認には、通常、ライブラリに追加して他のポリシーで再利用できるユーザ定義名を含む 1 つ以上の条件が含まれます。条件は、Cisco ISE ディクショナリからの属性を使用して条件を定義します。ディクショナリには、次のものがあります。

  • システム定義されたディクショナリ:

    • RADIUS

  • RADIUS ベンダー ディクショナリ

    • Airespace

    • Cisco

    • Cisco-BBSM

    • Cisco-VPN3000

    • Microsoft

許可ポリシーおよびプロファイルの設定のガイドライン

許可ポリシーおよびプロファイルを管理または運用する場合、次のガイドラインに従ってください。

  • 作成するルール名は、サポートされている次の文字のみを使用する必要があります。

    • 記号:プラス(+)、ハイフン(-)、アンダースコア(_)、ピリオド(.)、およびスペース( )。

    • アルファベット文字:A ~ Z、a ~ z。

    • 数字:0 ~ 9。

  • ID グループのデフォルトは「Any」です(このグローバル デフォルトを使用してすべてのユーザに適用できます)。

  • 条件では、1 つ以上のポリシー値を設定することが許可されています。ただし、条件はオプションであり、許可ポリシーを作成する場合に必須ではありません。次に、条件を作成する 2 つの方法を示します。

    • 選択肢の対応するディクショナリから既存の条件または属性を選択します。

    • 推奨値を選択またはテキスト ボックスを使用してカスタム値を入力できるカスタム条件を作成します。

  • 作成する条件名は、サポートされている次の文字のみを使用する必要があります。

    • 記号:ハイフン(-)、アンダースコア(_)、およびピリオド(.)。

    • アルファベット文字:A ~ Z、a ~ z。

    • 数字:0 ~ 9。

  • 権限は、ポリシーに使用する許可プロファイルを選択するときに重要です。権限は、特定のリソースへのアクセス権を付与したり、特定のタスクの実行を可能にしたりできます。たとえば、あるユーザが特定の ID グループ(デバイス管理者など)に属しており、そのユーザが定義済みの条件(サイトがボストンにあるなど)を満たしている場合、このユーザは、そのグループに関連付けられた権限(特定のネットワーク リソースのセットへのアクセス権、デバイスへの特定の操作を実行する権限など)を付与されます。

  • 必ず [保存(Save)] をクリックして、新規または変更したポリシーやプロファイルを Cisco ISE データベースに保存します。

デフォルトの許可ポリシー、ルール、プロファイルの設定

Cisco ISE ソフトウェアには、共通設定を提供する多数のデフォルトの条件、ルール、プロファイルが事前インストールされているため、Cisco ISE の許可ポリシーおよびプロファイルで必要なルールおよびポリシーを容易に作成できます。

表に、Cisco ISE で指定された値が含まれている組み込み設定のデフォルトを示します。

表 1 許可ポリシー、プロファイル、およびルールの設定のデフォルト

[名前(Name)]

ユーザ インターフェイスのパス

説明

その他の情報

許可ポリシーのデフォルト

許可ポリシーのデフォルトの複合条件

[ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [条件(Conditions)] > [許可(Authorization)]

これらは、許可ポリシーで使用される条件、ルール、およびプロファイルの事前インストールされた設定のデフォルトです。

許可ポリシーを作成するために、次の関連属性を使用できます。

  • 有線 802.1x

  • 有線 MAB

  • 無線 802.1x

  • Catalyst スイッチ ローカル Web 認証

  • WLC Web 認証

有線 MAB 複合条件

[ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [条件(Conditions)] > [許可(Authorization)] > [複合条件(Compound Conditions)]

この複合条件は次の属性と値をチェックします。

  • RADIUS:Service-Type = Call-Check

  • RADIUS:NAS-Port-Type = Ethernet

この複合条件は、有線 MAB 許可ポリシーで使用されます。

このポリシーで指定された基準に一致する要求は、有線 MAB 許可ポリシーに基づいて評価されます。

無線 802.1X 複合条件

[ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [条件(Conditions)] > [許可(Authorization)] > [複合条件(Compound Conditions)]

この複合条件は次の属性と値をチェックします。

  • RADIUS:Service-Type = Framed

  • RADIUS:NAS-Port-Type = Wireless-IEEE802.11

この複合条件は、無線 802.1X 許可ポリシーで使用されます。

このポリシーで指定された基準に一致する要求は、無線 802.1X 許可ポリシーに基づいて評価されます。

許可プロファイル設定のデフォルト

Blacklist_Access

[ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [許可プロファイル(Authorization Profiles)] > [Blacklist_Access]

この許可プロファイルは、ブラックリストに登録されているデバイスへのアクセスを拒否します。ブラックリストに登録されているデバイスはすべて、次の URL にリダイレクトされます。https://ip:port/blacklistportal/gateway?portal=PortalID

このデフォルトの許可プロファイルは、デバイス ポータルで「失われた」として宣言されているすべてのエンドポイントに適用されます。

Cisco_IP_Phones

[ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [許可プロファイル(Authorization Profiles)] > [Cisco_IP_Phones]

この許可プロファイルでは、次の値の設定デフォルト プロファイルを使用します。

  • [名前(Name)]:[Cisco IP Phone]

  • [DACL]:[PERMIT_ALL_TRAFFIC]

  • [VSA]:[cisco:av-pair:device-traffic-class=voice]

このプロファイルは、このプロファイルで指定された基準に一致する要求を評価します。

このデフォルトの許可プロファイルは、DACL およびベンダー固有属性(VSA)を使用して、すべての「音声」トラフィックを許可します(PERMIT_ALL_TRAFFIC)。

許可ポリシーのデフォルト

有線 802.1X 複合条件

[ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [条件(Conditions)] > [許可(Authorization)] > [複合条件(Compound Conditions)]

この複合条件は次の属性と値をチェックします。

  • RADIUS:Service-Type = Framed

  • RADIUS:NAS-Port-Type = Ethernet

この複合条件は、有線 802.1X 許可ポリシーで使用されます。

このポリシーで指定された基準に一致する要求は、有線 802.1X 許可ポリシーに基づいて評価されます。

Catalyst スイッチのローカル Web 認証複合条件

[ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [条件(Conditions)] > [許可(Authorization)] > [複合条件(Compound Conditions)]

この複合条件は次の属性と値をチェックします。

  • RADIUS:Service-Type = Outbound

  • RADIUS:NAS-Port-Type = Ethernet

この複合条件を使用するには、この条件を確認する許可ポリシーを作成する必要があります。

ワイヤレス LAN コントローラ(WLC)ローカル Web 認証複合条件(Wireless Lan Controller (WLC) Local Web Authentication Compound Condition)

[ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [条件(Conditions)] > [許可(Authorization)] > [複合条件(Compound Conditions)]

この複合条件は次の属性と値をチェックします。

  • RADIUS:Service-Type = Outbound

  • RADIUS:NAS-Port-Type = Wireless-IEEE802.11

この複合条件を使用するには、この条件を確認する許可ポリシーを作成する必要があります。

ブラックリストのデフォルトの許可ルール

[ポリシー(Policy)] > [許可ポリシー(Authorization Policy)]

この許可ポリシーでは、次の値の設定デフォルト ルールを使用します。

  • [ルール名(Rule Name)]:[ブラックリストのデフォルト(Black List Default)]

  • [エンドポイント ID グループ(Endpoint Identity Group)]:[ブラックリスト(Blacklist)]

  • 条件:すべて

  • 権限/許可プロファイル:Blacklist_Access

このデフォルト ルールは、「失われた」ユーザ デバイスがシステムから削除されるか、または「復元される」まで、このようなデバイスを適切にプロビジョニングするように設計されています。

プロファイリングされた Cisco IP Phone 許可ルール

[ポリシー(Policy)] > [許可ポリシー(Authorization Policy)]

この許可ポリシーでは、次の値の設定デフォルト ルールを使用します。

  • [ルール名(Rule Name)]:[プロファイリングされた Cisco IP Phone(Profiled Cisco IP Phones)]

  • [エンドポイント ID グループ(Endpoint Identity Group)]:[Cisco-IP-Phones]

  • 条件:すべて

  • [権限/許可プロファイル(Permissions/Authorization Profile)]:[Cisco_IP_Phones]

このデフォルト ルールは、デフォルトのエンドポイント ID グループとして Cisco IP Phone を使用し、このテーブルにリストされている値を使用します。

許可ルール設定のデフォルト

デフォルトの許可ルール

[ポリシー(Policy)] > [許可ポリシー(Authorization Policy)]

この許可ポリシーでは、次の値の設定デフォルト ルールを使用します。

  • [ルール名(Rule Name)]:[デフォルト(Default)]

  • [エンドポイント ID グループ(Endpoint Identity Group)]:[任意(Any)]

  • 条件:すべて

  • [許可プロファイル(Authorization Profile)]:[PermitAccess]

このデフォルト ルールは、デフォルトのエンドポイント ID グループとして [任意(Any)] を使用し、このテーブルにリストされている値を使用します。

デフォルトの許可ルール

Cisco ISE ソフトウェアには、より簡単に許可ポリシーおよびプロファイルを作成できるようにする多数の事前設定済み許可ルールが付属しています。これらのルールは、デフォルトでは無効になっています。要件に基づいて、これらのルールを有効にできます。

表 2 事前設定済み許可ルール

ルール名(Rule Name)

説明

条件(Conditions)

権限(Permissions)

Basic_Authenticated_Access

認証されたユーザへのアクセスを可能にします。

Network_Access_Authentication_Passed

PermitAccess

Wi-Fi_Redirect_to_Guest_Login

ユーザを CWA ポータルにリダイレクトします。

Wireless_MAB

Cisco_WebAuth

Wi-Fi_Guest_Access

ゲスト ユーザが WebAuth から認証された後にゲスト アクセスを許可します。

(GuestType_Daily(デフォルト)または GuestType_Weekly(デフォルト)または GuestType_Contractor (デフォルト))および(Wireless_MAB および Guest_Flow)

Guest および PermitAccess

Compliant_Devices_Access

対応デバイスのアクセスをイネーブルにします。

Compliant_Devices

PermitAccess

Employee_Onboarding

MSCHAPv2 を使用する無線 802.1X 認証がネイティブ サプリカント プロビジョニング プロセスにリダイレクトされます。

(Wireless_802.1X および EAP-MSCHAPv2)

NSP_Onboard および BYOD

(注)  
事前設定済みの許可ルールは新規インストールでのみ利用可能です。これらのルールは、Cisco ISE の以前のバージョンからアップグレードした場合は使用できません。

許可ポリシーの設定

[許可ポリシー(Authorization Policy)] ページでは、許可ポリシーを表示、作成、複製/変更、削除できます。次の許可ポリシー プロファイルの各項には、標準許可ポリシーで指示されるアクションの例が示されています。同じプロセスに従って例外許可ポリシーを管理できます。

はじめる前に

この手順を開始する前に、管理者ポータルで使用される管理およびルールベース条件、ID グループ、状態、権限の基本構成要素と利用方法の基本を理解している必要があります。

    ステップ 1   [ポリシー(Policy)] > [許可(Authorization)] > [標準(Standard)] を選択します。
    ステップ 2   右端にある下矢印をクリックし、[新規ルールを上に挿入(Insert New Rule Above)] または [新規ルールを下に挿入(Insert New Rule Below)] のどちらかを選択します。
    ステップ 3   ルール名を入力し、許可ポリシーの ID グループ、条件、属性、および権限を選択します。

    選択するすべての属性に「Equals」、「Not Equals」、「Matches」、「Starts With」、「Not Starts With」の演算子オプションが含まれているわけではありません。

    「Matches」演算子は、ワイルドカードなしの正規表現(REGEX)をサポートし、使用します。

    ステップ 4   [完了(Done)] をクリックします。
    ステップ 5   [保存(Save)] をクリックして、変更を Cisco ISE システム データベースに保存し、この新しい許可ポリシーを作成します。

    許可ポリシーの属性および条件

    許可ポリシー条件を作成するときに、有効な属性を再利用するには、サポートされている属性を含むディクショナリから選択します。たとえば、Cisco ISE は、AuthenticationIdentityStore という属性を提供しています。これは NetworkAccess ディクショナリにあります。この属性は、ユーザの認証中にアクセスされた最後の ID ソースを識別します。

    • 認証中に単一の ID ソースが使用されると、この属性には認証が成功した ID ストアの名前が含まれます。

    • 認証中に ID ソース順序を使用する場合、この属性にはアクセスされた最後の ID ソースの名前が含まれます。

    AuthenticationStatus 属性を AuthenticationIdentityStore 属性と組み合わせて使用し、ユーザが正常に認証された ID ソースを識別する条件を定義できます。たとえば、許可ポリシーで LDAP ディレクトリ(LDAP13)を使用してユーザが認証された条件をチェックするために、次の再利用可能な条件を定義できます。

    
If NetworkAccess.AuthenticationStatus EQUALS AuthenticationPassed AND NetworkAccess.AuthenticationIdentityStore EQUALS LDAP13

    (注)  

    AuthenticationIdentityStore は、条件にデータを入力できるテキストフィールドを表します。このフィールドには、名前を必ず正しく入力またはコピーします。ID ソースの名前が変更された場合は、ID ソースの変更と一致するように、この条件を変更する必要があります。

    以前認証されたエンドポイント ID グループに基づく許可条件を定義するために、Cisco ISE では、エンドポイント ID グループ 802.1X 認証ステータスの間に定義された許可をサポートしています。Cisco ISE では、802.1X 認証を実行するとき、RADIUS 要求の「Calling-Station-ID」フィールドから MAC アドレスを抽出し、この値を使用して、デバイスのエンドポイント ID グループ(endpointIDgroup 属性として定義)のセッション キャッシュを検索して読み込みます。

    このプロセスによって、許可ポリシー条件の作成に endpointIDgroup 属性を使用できるようになり、ユーザ情報に加えてこの属性を使用して、エンドポイント ID グループ情報に基づく許可ポリシーを定義できます。

    エンドポイント ID グループの条件は、[許可ポリシー設定(authorization policy configuration)] ページの [ID グループ(ID Groups)] カラムで定義できます。ユーザ関連情報に基づく条件は、許可ポリシーの [その他の条件(Other Conditions)] のセクションで定義する必要があります。ユーザ情報が内部ユーザ属性に基づいている場合は、内部ユーザ ディクショナリの ID グループ属性を使用します。たとえば、「User Identity Group:Employee:US」のような値を使用して、ID グループに完全な値のパスを入力できます。

    時刻と日付の条件

    [ポリシー要素条件(Policy Elements Conditions)] ページを使用して、時刻と日付のポリシー要素条件を表示、作成、変更、削除、複製、および検索します。ポリシー要素は、設定した特定の時刻と日付の属性設定に基づく条件を定義する共有オブジェクトです。

    時刻と日付の条件を使用すると、Cisco ISE システム リソースにアクセスする権限を、作成した属性設定で指定された特定の時刻と日付に設定または制限できます。

    許可ポリシーでの IPv6 属性の使用

    Cisco ISE では、エンドポイントからの IPv6 トラフィックを検出、管理、保護できます。

    IPv6 対応エンドポイントが Cisco ISE ネットワークに接続すると、IPv6 ネットワーク経由でネットワーク アクセス デバイス(NAD)と通信します。NAD は、アカウンティングおよびプロファイリングの情報をエンドポイント(IPv6 値を含む)から Cisco ISE に IPv4 ネットワークを介して伝達します。IPv6 属性を使用して、IPv6 対応エンドポイントからのそのような要求を処理し、エンドポイントが準拠していることを保証するための、許可プロファイルおよびポリシーを Cisco ISE で設定できます。

    ワイルドカード文字は、IPv6 プレフィックスと IPv6 インターフェイスの値でサポートされています。たとえば、2001:db8:1234::/48 です。

    サポートされている IPv6 アドレス形式は次のとおりです。

    • 完全表記:コロンで区切られた 4 つの 16 進数桁の 8 つのグループ。たとえば、2001:0db8:85a3:0000:0000:8a2e:0370:7334 です。

    • 短縮表記:1 つのグループ内にある先行ゼロは除きます。ゼロのグループを 2 つの連続するコロンに置き換えます。たとえば、2001:db8:85a3::8a2e:370:7334 です。

    • ドット区切りの 4 つの表記(IPv4 対応付けおよび IPv4 互換性 IPv6 アドレス):たとえば、::ffff:192.0.2.128 です。

    サポートされている IPv6 属性は次のとおりです。

    • NAS-IPv6-Address

    • Framed-Interface-Id

    • Framed-IPv6-Prefix

    • Login-IPv6-Host

    • Framed-IPv6-Route

    • Framed-IPv6-Pool

    • Delegated-IPv6-Prefix

    • Framed-IPv6-Address

    • DNS-Server-IPv6-Address

    • Route-IPv6-Information

    • Delegated-IPv6-Prefix-Pool

    • Stateful-IPv6-Address-Pool

    サポートされるシスコの属性と値のペアおよび対応する IETF 属性を次の表に示します。

    シスコの属性と値のペア

    IETF 属性

    ipv6:addrv6=<ipv6 address>

    Framed-ipv6-Address

    ipv6:stateful-ipv6-address-pool=<name>

    Stateful-IPv6-Address-Pool

    ipv6:delegated-ipv6-pool=<name>

    Delegated-IPv6-Prefix-Pool

    ipv6:ipv6-dns-servers-addr=<ipv6 address>

    DNS-Server-IPv6-Address

    [RADIUSライブログ(RADIUS Live Logs)] ページ、RADIUS 認証レポート、RADIUS アカウンティング レポート、現在アクティブなセッション レポート、RADIUS エラー レポート、設定が誤っている NAS レポート、EPS 監査レポート、および設定が誤っているサプリカント レポートは、IPv6 アドレスをサポートしています。[RADIUSライブログ(RADIUS Live Logs)] ページ、またはこれらのレポートのいずれかから、これらのセッションの詳細を表示できます。IPv4、IPv6、または MAC アドレスに基づいてレコードをフィルタリングできます。


    (注)  

    IPv6 対応の DHCPv6 ネットワークに Android デバイスを接続すると、そのデバイスは DHCP サーバからリンクローカルの IPv6 アドレスのみを受信します。したがって、グローバル IPv6 アドレスはライブ ログと [エンドポイント(Endpoints)] ページ([管理(Administration)] > [IDの管理(Identity Management)] > [ID(Identities)] > [エンドポイント(Endpoints)])に表示されません。

    次の手順は、許可ポリシーに IPv6 属性を設定する方法を説明します。

    はじめる前に

    展開内の NAD が IPv6 による AAA をサポートしていることを確認します。NAD で IPv6 の AAA サポートをイネーブルにする方法については、『AAA Support for IPv6』を参照してください。

      ステップ 1   [ポリシー(Policy)] > [許可(Authorization)] > [標準(Standard)] を選択します。
      ステップ 2   右端にある下矢印をクリックし、[新規ルールを上に挿入(Insert New Rule Above)] または [新規ルールを下に挿入(Insert New Rule Below)] のどちらかを選択します。
      ステップ 3   ルール名を入力し、条件を指定します。

      RADIUS ディクショナリから、RADIUS IPv6 属性、演算子、および値を選択します。

      ステップ 4   [完了(Done)] をクリックします。

      許可プロファイルの権限

      許可プロファイルの権限設定を開始する前に、以下を確認します。

      • 許可ポリシーおよび許可プロファイル間の関係を理解している

      • [許可プロファイル(Authorization Profile)] ページをよく理解している

      • ポリシーおよびプロファイルを設定する場合に必要な基本ガイドラインを知っている

      • 許可プロファイルの権限の構成を理解している

      • 関連リンクに示される設定のデフォルト値を認識している

      ネットワークでさまざまなタイプの許可プロファイルのポリシー要素権限を表示、作成、変更、削除、複製、または検索するプロセスの開始点として [結果(Results)] ナビゲーション ペインを使用します。[結果(Results)] ペインには、最初 [認証(Authentication)]、[許可(Authorization)]、[プロファイリング(Profiling)]、[ポスチャ(Posture)]、[クライアント プロビジョニング(Client Provisioning)]、および [TrustSec] のオプションが表示されています。

      許可プロファイルでは、RADIUS 要求が受け入れられたときに返される属性を選択できます。Cisco ISE では、[共通タスク(Common Tasks)] 設定を設定して共通に使用される属性をサポートできるメカニズムが提供されます。Cisco ISE が基盤となる RADIUS 値に変換する [共通タスク(Common Tasks)] 属性の値を入力する必要があります。

      新しい標準許可プロファイルの権限の設定

        ステップ 1   [ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [許可(Authorization)] > [許可プロファイル(Authorization Profiles)] を選択します。
        ステップ 2   [追加(Add)] をクリックします。
        ステップ 3   必要に応じて値を入力して、新しい許可プロファイルを設定します。[名前(name)] フィールドでサポートされる文字は次のとおりです:スペース、! # $ % & ‘ ( ) * + , - ./ ; = ? @ _ {。
        ステップ 4   [送信(Submit)] をクリックして変更を Cisco ISE システム データベースに保存し、許可プロファイルを作成します。

        ダウンロード可能 ACL(Downloadable ACLs)

        DACL を定義して、Access-Accept メッセージを返すことができます。ACL を使用して、ネットワークに不要なトラフィックが発生することを防止します。ACL では、RADIUS プロトコルを使用して、送信元 IP アドレスと宛先 IP アドレス、トランスポート プロトコルなどをフィルタリングできます。

        名前付き権限オブジェクトとして作成した DACL は、許可プロファイルに追加できます。その後、これらの許可プロファイルを許可ポリシーの結果として指定できます。

        既存の DACL と同じか、または類似する新しい DACL を作成する場合は、ダウンロード可能 ACL を複製できます。

        複製の完了後、各 DACL(元の DACL および複製された DACL)に個別にアクセスして、編集または削除します。


        (注)  

        DACL 作成中は、キーワード Any が DACL のすべての ACE のソースである必要があります。DACL がプッシュされると、ソースの Any がスイッチに接続されているクライアントの IP アドレスで置き換えられます。

        ダウンロード可能 ACL に対する権限の設定

          ステップ 1   [ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [許可(Authorization)] > [ダウンロード可能 ACL(Downloadable ACLs)] を選択します。
          ステップ 2   [操作(Action)] アイコンをクリックし、[DACL の作成(Create DACL)] を選択するか、[DACL 管理ページ(DACL Management)] ページにある [追加(Add)] をクリックします。
          ステップ 3   DACL に値を入力します。[名前(name)] フィールドでサポートされる文字は次のとおりです:スペース、! # $ % & ‘ ( ) * + , - ./ ; = ? @ _ {。
          ステップ 4   [送信(Submit)] をクリックします。

          Active Directory ユーザ許可のためのマシン アクセス制限

          Cisco ISE には、Microsoft Active Directory 認証ユーザの許可を制御する追加の方法を提供する、マシン アクセス制限(MAR)コンポーネントが含まれています。この形式の許可は、Cisco ISE ネットワークにアクセスするために使用されるコンピュータのマシン認証に基づきます。成功したマシン認証ごとに、Cisco ISE は、RADIUS Calling-Station-ID 属性(属性 31)で受信した値を、成功したマシン認証の証拠としてキャッシュします。

          Cisco ISE は、[Active Directory の設定(Active Directory Settings)] ページの [存続可能時間(Time to Live)] パラメータで設定された時間が失効になるまで各 Calling-Station-ID 属性値をキャッシュに保持します。失効したパラメータは、Cisco ISE によってキャッシュから削除されます。

          ユーザをエンドユーザ クライアントから認証する場合、Cisco ISE は、成功したマシン認証の Calling-Station-ID 値のキャッシュを検索して、ユーザ認証要求で受信した Calling-Station-ID 値を見つけようとします。Cisco ISE が一致するユーザ認証 Calling-Station-ID 値をキャッシュで見つけた場合、これは、次の方法で認証を要求するユーザに Cisco ISE が権限を割り当てる方法に影響します。

          • Calling-Station-ID 値が Cisco ISE キャッシュで見つかった値と一致する場合、成功した許可の許可プロファイルを割り当てます。

          • Calling-Station-ID 値が Cisco ISE キャッシュの値と一致しないことがわかった場合、マシン認証のない成功したユーザ認証の許可プロファイルを割り当てます。

          このドキュメントは役に立ちましたか?

          Feedbackフィードバック

          シスコに問い合わせ

          関連するシスコ コミュニティ ディスカッション

          シスコをフォロー
          News Roomイベントブログコミュニティ
          シスコについて
          お問い合わせ
          採用情報