Cisco Identity Services Engine 管理者ガイド リリース 2.0
- Updated:
- 2017年6月19日
章のタイトル: 許可ポリシーおよびプロファイルの管理
許可ポリシーおよびプロファイルの管理
Cisco ISE の許可ポリシー
許可ポリシーは、Cisco ISE ネットワーク許可サービスのコンポーネントです。このサービスを使用して、ネットワーク リソースにアクセスする特定のユーザおよびグループの許可ポリシーを定義し、許可プロファイルを設定することができます。
許可ポリシーには条件付きの要件を含めることができ、この要件では、1 つ以上の許可プロファイルを返すことができる許可チェックを含む複合条件を使用して、1 つ以上の ID グループを組み合わせます。また、特定の ID グループを使用しない条件付きの要件が存在する場合もあります(デフォルトの「Any」の使用など)。
許可ポリシーは、Cisco Identity Services Engine(Cisco ISE)で許可プロファイルを作成する場合に使用されます。許可ポリシーは許可ルールで構成されます。許可ルールには、名前、属性、および権限の 3 つの要素があります。権限要素は、許可プロファイルにマッピングする要素です。
Cisco ISE の許可プロファイル
ネットワーク許可ポリシーは、特定のユーザおよびグループの ID にルールを関連付け、対応するプロファイルを作成します。これらのルールが設定された属性と一致する場合は、常に、権限を付与する、対応する許可プロファイルがポリシーによって返され、ネットワーク アクセスがこれに応じて許可されます。
たとえば、許可プロファイルには、次のタイプに含まれるさまざまな権限を含めることができます。
プロファイルは、ディクショナリに保存されているリソース セットから選択された属性で構成され、特定の許可ポリシーの複合条件が一致したときに返されます。許可ポリシーには単一のネットワーク サービス ルールにマッピングする複合条件を含めることができるため、許可チェックのリストを含めることもできます。
単純なシナリオでは、すべての許可チェックがルール内で AND ブール演算子を使用して作成されます。高度なシナリオでは、任意のタイプの許可確認式を使用できますが、これらのすべての許可確認は、返される許可プロファイルに準拠する必要があります。許可確認は、通常、ライブラリに追加できるユーザ定義名を含む 1 つ以上の条件から構成され、他の許可ポリシーで再利用できます。
許可ポリシーの用語
Cisco ISE ネットワークやリソースにアクセスするユーザの、ネットワーク許可用の許可プロファイルおよびポリシーを定義できます。Cisco ISE は、ダウンロード可能 ACL(DACL)も使用します。
ネットワーク許可
許可は、いずれのユーザが Cisco ISE ネットワークおよびそのリソースにアクセスできるかを保証するための重要な要件です。ネットワーク許可は、ネットワークおよびそのリソースへのユーザ アクセスならびに各ユーザがシステム上でこれらのリソースに対して実行できることを制御します。Cisco ISE ネットワークは、読み取り、書き込み、および実行の権限を許可する権限セットを定義します。Cisco ISE では、ネットワークのニーズに合わせて、多数のさまざまな許可ポリシーを作成できます。このリリースでは、Cisco ISE ネットワークとリソースへの RADIUS アクセスだけをサポートします。
ポリシー要素
ポリシー要素は許可ポリシーを定義するコンポーネントであり、次のものがあります。
これらのポリシー要素は、ポリシー ルールを作成したときに参照され、条件および属性の選択によって、特定のタイプの許可プロファイルを作成できます。
許可プロファイル
許可プロファイルは、多数の特定の権限によって一連のネットワーク サービスへのアクセスが許可されるコンテナとして機能します。許可プロファイルには、ネットワーク アクセス要求に付与される権限セットを定義し、次のものを含めることができます。
許可ポリシー
許可ポリシーは、ユーザ定義の単一のルールまたはルールのセットで構成できます。これらのルールは、特定のポリシーを作成するために機能します。たとえば、標準ポリシーは、ID グループ用に入力した値と特定の条件または属性をリンクする If-Then 表記法を使用するルール名を含め、一意の許可プロファイルを作成する特定の権限セットを生成できます。設定できる許可ポリシー オプションは 2 つあります。
これら 2 つのオプションは、ユーザの権限セットと一致したときに、標準ポリシー テーブルにリストされている最初に一致したルール タイプの使用または複数の一致したルール タイプの使用のいずれかを Cisco ISE に指示します。設定できる許可ポリシーには、次の 2 つのタイプがあります。
標準:標準ポリシーは、長期間有効なままにし、ユーザ、デバイス、またはグループの大規模なグループに適用し、特定またはすべてのネットワーク エンドポイントへのアクセスを許可するために作成されるポリシーです。標準ポリシーは変更しないようにし、権限の共通セットを共有するユーザ、デバイス、グループの大規模なグループに適用します。
標準ポリシーは、特定の条件または権限を使用する特定の ID グループに使用するために変更したり、新しい事業部門、ユーザ グループ、デバイス、ネットワーク グループのニーズを満たすための別のタイプの標準ポリシーを作成したりするためのテンプレートとして使用できます。
例外:これとは対照的に、例外ポリシーは、標準ポリシーの例外として機能するタイプのポリシーであるため、適切な名前を付けられます。例外ポリシーは、短期間のポリシー期間、特定のタイプのネットワーク デバイス、ネットワーク エンドポイントまたはグループ、特別な条件や権限を満たすニーズ、あるいは即時要件などのさまざまな要因に基づく制限されたアクセスを許可することを目的としています。
例外ポリシーは、制限された数のユーザ、デバイス、またはグループにネットワーク リソースへのアクセスを許可するなどの、即時または短期間のニーズを満たすために作成します。例外ポリシーを使用すると、1 人のユーザまたはユーザのサブセットに合わせて調整された、ID グループ、条件、または権限に対する、カスタマイズされた値の特定のセットを作成できます。これにより、さまざまな、またはカスタマイズされたポリシーを作成し、企業、グループ、またはネットワークのニーズを満たすことができます。
アクセス コントロール リスト
Cisco ISE システムのアクセス コントロール リスト(ACL)は、特定のオブジェクトまたはネットワーク リソースに接続する権限のリストです。ACL は、いずれのユーザまたはグループがオブジェクトへのアクセス権を付与されるか、および指定されたオブジェクトまたはネットワーク リソースでどの操作が許可されるかを指定します。一般的な ACL の各エントリは、サブジェクトおよび操作を指定するか、または状態(許可または拒否など)を提供します。
許可ポリシーとサポートされているディクショナリ
簡易および複合両方の許可ポリシーのタイプで、確認は返される許可プロファイルに準拠する必要があります。
確認には、通常、ライブラリに追加して他のポリシーで再利用できるユーザ定義名を含む 1 つ以上の条件が含まれます。条件は、Cisco ISE ディクショナリからの属性を使用して条件を定義します。ディクショナリには、次のものがあります。
許可ポリシーおよびプロファイルの設定のガイドライン
許可ポリシーおよびプロファイルを管理または運用する場合、次のガイドラインに従ってください。
条件では、1 つ以上のポリシー値を設定することが許可されています。ただし、条件はオプションであり、許可ポリシーを作成する場合に必須ではありません。次に、条件を作成する 2 つの方法を示します。
権限は、ポリシーに使用する許可プロファイルを選択するときに重要です。権限は、特定のリソースへのアクセス権を付与したり、特定のタスクの実行を可能にしたりできます。たとえば、あるユーザが特定の ID グループ(デバイス管理者など)に属しており、そのユーザが定義済みの条件(サイトがボストンにあるなど)を満たしている場合、このユーザは、そのグループに関連付けられた権限(特定のネットワーク リソースのセットへのアクセス権、デバイスへの特定の操作を実行する権限など)を付与されます。
必ず [保存(Save)] をクリックして、新規または変更したポリシーやプロファイルを Cisco ISE データベースに保存します。
デフォルトの許可ポリシー、ルール、プロファイルの設定
Cisco ISE ソフトウェアには、共通設定を提供する多数のデフォルトの条件、ルール、プロファイルが事前インストールされているため、Cisco ISE の許可ポリシーおよびプロファイルで必要なルールおよびポリシーを容易に作成できます。
表に、Cisco ISE で指定された値が含まれている組み込み設定のデフォルトを示します。
デフォルトの許可ルール
Cisco ISE ソフトウェアには、より簡単に許可ポリシーおよびプロファイルを作成できるようにする多数の事前設定済み許可ルールが付属しています。これらのルールは、デフォルトでは無効になっています。要件に基づいて、これらのルールを有効にできます。
|
ルール名(Rule Name) |
説明 |
条件(Conditions) |
権限(Permissions) |
|---|---|---|---|
|
Basic_Authenticated_Access |
認証されたユーザへのアクセスを可能にします。 |
Network_Access_Authentication_Passed |
PermitAccess |
|
Wi-Fi_Redirect_to_Guest_Login |
ユーザを CWA ポータルにリダイレクトします。 |
Wireless_MAB |
Cisco_WebAuth |
|
Wi-Fi_Guest_Access |
ゲスト ユーザが WebAuth から認証された後にゲスト アクセスを許可します。 |
(GuestType_Daily(デフォルト)または GuestType_Weekly(デフォルト)または GuestType_Contractor (デフォルト))および(Wireless_MAB および Guest_Flow) |
Guest および PermitAccess |
|
Compliant_Devices_Access |
対応デバイスのアクセスをイネーブルにします。 |
Compliant_Devices |
PermitAccess |
|
Employee_Onboarding |
MSCHAPv2 を使用する無線 802.1X 認証がネイティブ サプリカント プロビジョニング プロセスにリダイレクトされます。 |
(Wireless_802.1X および EAP-MSCHAPv2) |
NSP_Onboard および BYOD |
 (注) | 事前設定済みの許可ルールは新規インストールでのみ利用可能です。これらのルールは、Cisco ISE の以前のバージョンからアップグレードした場合は使用できません。 |
許可ポリシーの設定
[許可ポリシー(Authorization Policy)] ページでは、許可ポリシーを表示、作成、複製/変更、削除できます。次の許可ポリシー プロファイルの各項には、標準許可ポリシーで指示されるアクションの例が示されています。同じプロセスに従って例外許可ポリシーを管理できます。
この手順を開始する前に、管理者ポータルで使用される管理およびルールベース条件、ID グループ、状態、権限の基本構成要素と利用方法の基本を理解している必要があります。
許可ポリシーの属性および条件
許可ポリシー条件を作成するときに、有効な属性を再利用するには、サポートされている属性を含むディクショナリから選択します。たとえば、Cisco ISE は、AuthenticationIdentityStore という属性を提供しています。これは NetworkAccess ディクショナリにあります。この属性は、ユーザの認証中にアクセスされた最後の ID ソースを識別します。
AuthenticationStatus 属性を AuthenticationIdentityStore 属性と組み合わせて使用し、ユーザが正常に認証された ID ソースを識別する条件を定義できます。たとえば、許可ポリシーで LDAP ディレクトリ(LDAP13)を使用してユーザが認証された条件をチェックするために、次の再利用可能な条件を定義できます。
If NetworkAccess.AuthenticationStatus EQUALS AuthenticationPassed AND NetworkAccess.AuthenticationIdentityStore EQUALS LDAP13
(注) | AuthenticationIdentityStore は、条件にデータを入力できるテキストフィールドを表します。このフィールドには、名前を必ず正しく入力またはコピーします。ID ソースの名前が変更された場合は、ID ソースの変更と一致するように、この条件を変更する必要があります。 |
以前認証されたエンドポイント ID グループに基づく許可条件を定義するために、Cisco ISE では、エンドポイント ID グループ 802.1X 認証ステータスの間に定義された許可をサポートしています。Cisco ISE では、802.1X 認証を実行するとき、RADIUS 要求の「Calling-Station-ID」フィールドから MAC アドレスを抽出し、この値を使用して、デバイスのエンドポイント ID グループ(endpointIDgroup 属性として定義)のセッション キャッシュを検索して読み込みます。
このプロセスによって、許可ポリシー条件の作成に endpointIDgroup 属性を使用できるようになり、ユーザ情報に加えてこの属性を使用して、エンドポイント ID グループ情報に基づく許可ポリシーを定義できます。
エンドポイント ID グループの条件は、[許可ポリシー設定(authorization policy configuration)] ページの [ID グループ(ID Groups)] カラムで定義できます。ユーザ関連情報に基づく条件は、許可ポリシーの [その他の条件(Other Conditions)] のセクションで定義する必要があります。ユーザ情報が内部ユーザ属性に基づいている場合は、内部ユーザ ディクショナリの ID グループ属性を使用します。たとえば、「User Identity Group:Employee:US」のような値を使用して、ID グループに完全な値のパスを入力できます。
時刻と日付の条件
[ポリシー要素条件(Policy Elements Conditions)] ページを使用して、時刻と日付のポリシー要素条件を表示、作成、変更、削除、複製、および検索します。ポリシー要素は、設定した特定の時刻と日付の属性設定に基づく条件を定義する共有オブジェクトです。
時刻と日付の条件を使用すると、Cisco ISE システム リソースにアクセスする権限を、作成した属性設定で指定された特定の時刻と日付に設定または制限できます。
許可ポリシーでの IPv6 属性の使用
Cisco ISE では、エンドポイントからの IPv6 トラフィックを検出、管理、保護できます。
IPv6 対応エンドポイントが Cisco ISE ネットワークに接続すると、IPv6 ネットワーク経由でネットワーク アクセス デバイス(NAD)と通信します。NAD は、アカウンティングおよびプロファイリングの情報をエンドポイント(IPv6 値を含む)から Cisco ISE に IPv4 ネットワークを介して伝達します。IPv6 属性を使用して、IPv6 対応エンドポイントからのそのような要求を処理し、エンドポイントが準拠していることを保証するための、許可プロファイルおよびポリシーを Cisco ISE で設定できます。
ワイルドカード文字は、IPv6 プレフィックスと IPv6 インターフェイスの値でサポートされています。たとえば、2001:db8:1234::/48 です。
サポートされている IPv6 アドレス形式は次のとおりです。
-
完全表記:コロンで区切られた 4 つの 16 進数桁の 8 つのグループ。たとえば、2001:0db8:85a3:0000:0000:8a2e:0370:7334 です。
-
短縮表記:1 つのグループ内にある先行ゼロは除きます。ゼロのグループを 2 つの連続するコロンに置き換えます。たとえば、2001:db8:85a3::8a2e:370:7334 です。
-
ドット区切りの 4 つの表記(IPv4 対応付けおよび IPv4 互換性 IPv6 アドレス):たとえば、::ffff:192.0.2.128 です。
サポートされている IPv6 属性は次のとおりです。
-
NAS-IPv6-Address
-
Framed-Interface-Id
-
Framed-IPv6-Prefix
-
Login-IPv6-Host
-
Framed-IPv6-Route
-
Framed-IPv6-Pool
-
Delegated-IPv6-Prefix
-
Framed-IPv6-Address
-
DNS-Server-IPv6-Address
-
Route-IPv6-Information
-
Delegated-IPv6-Prefix-Pool
-
Stateful-IPv6-Address-Pool
サポートされるシスコの属性と値のペアおよび対応する IETF 属性を次の表に示します。
|
シスコの属性と値のペア |
IETF 属性 |
|---|---|
|
ipv6:addrv6=<ipv6 address> |
Framed-ipv6-Address |
|
ipv6:stateful-ipv6-address-pool=<name> |
Stateful-IPv6-Address-Pool |
|
ipv6:delegated-ipv6-pool=<name> |
Delegated-IPv6-Prefix-Pool |
|
ipv6:ipv6-dns-servers-addr=<ipv6 address> |
DNS-Server-IPv6-Address |
[RADIUSライブログ(RADIUS Live Logs)] ページ、RADIUS 認証レポート、RADIUS アカウンティング レポート、現在アクティブなセッション レポート、RADIUS エラー レポート、設定が誤っている NAS レポート、EPS 監査レポート、および設定が誤っているサプリカント レポートは、IPv6 アドレスをサポートしています。[RADIUSライブログ(RADIUS Live Logs)] ページ、またはこれらのレポートのいずれかから、これらのセッションの詳細を表示できます。IPv4、IPv6、または MAC アドレスに基づいてレコードをフィルタリングできます。
(注) | IPv6 対応の DHCPv6 ネットワークに Android デバイスを接続すると、そのデバイスは DHCP サーバからリンクローカルの IPv6 アドレスのみを受信します。したがって、グローバル IPv6 アドレスはライブ ログと [エンドポイント(Endpoints)] ページ([管理(Administration)] > [IDの管理(Identity Management)] > [ID(Identities)] > [エンドポイント(Endpoints)])に表示されません。 |
次の手順は、許可ポリシーに IPv6 属性を設定する方法を説明します。
展開内の NAD が IPv6 による AAA をサポートしていることを確認します。NAD で IPv6 の AAA サポートをイネーブルにする方法については、『AAA Support for IPv6』を参照してください。
許可プロファイルの権限
許可プロファイルの権限設定を開始する前に、以下を確認します。
ネットワークでさまざまなタイプの許可プロファイルのポリシー要素権限を表示、作成、変更、削除、複製、または検索するプロセスの開始点として [結果(Results)] ナビゲーション ペインを使用します。[結果(Results)] ペインには、最初 [認証(Authentication)]、[許可(Authorization)]、[プロファイリング(Profiling)]、[ポスチャ(Posture)]、[クライアント プロビジョニング(Client Provisioning)]、および [TrustSec] のオプションが表示されています。
許可プロファイルでは、RADIUS 要求が受け入れられたときに返される属性を選択できます。Cisco ISE では、[共通タスク(Common Tasks)] 設定を設定して共通に使用される属性をサポートできるメカニズムが提供されます。Cisco ISE が基盤となる RADIUS 値に変換する [共通タスク(Common Tasks)] 属性の値を入力する必要があります。
新しい標準許可プロファイルの権限の設定
ダウンロード可能 ACL(Downloadable ACLs)
DACL を定義して、Access-Accept メッセージを返すことができます。ACL を使用して、ネットワークに不要なトラフィックが発生することを防止します。ACL では、RADIUS プロトコルを使用して、送信元 IP アドレスと宛先 IP アドレス、トランスポート プロトコルなどをフィルタリングできます。
名前付き権限オブジェクトとして作成した DACL は、許可プロファイルに追加できます。その後、これらの許可プロファイルを許可ポリシーの結果として指定できます。
既存の DACL と同じか、または類似する新しい DACL を作成する場合は、ダウンロード可能 ACL を複製できます。
複製の完了後、各 DACL(元の DACL および複製された DACL)に個別にアクセスして、編集または削除します。
(注) | DACL 作成中は、キーワード Any が DACL のすべての ACE のソースである必要があります。DACL がプッシュされると、ソースの Any がスイッチに接続されているクライアントの IP アドレスで置き換えられます。 |
ダウンロード可能 ACL に対する権限の設定
Active Directory ユーザ許可のためのマシン アクセス制限
Cisco ISE には、Microsoft Active Directory 認証ユーザの許可を制御する追加の方法を提供する、マシン アクセス制限(MAR)コンポーネントが含まれています。この形式の許可は、Cisco ISE ネットワークにアクセスするために使用されるコンピュータのマシン認証に基づきます。成功したマシン認証ごとに、Cisco ISE は、RADIUS Calling-Station-ID 属性(属性 31)で受信した値を、成功したマシン認証の証拠としてキャッシュします。
Cisco ISE は、[Active Directory の設定(Active Directory Settings)] ページの [存続可能時間(Time to Live)] パラメータで設定された時間が失効になるまで各 Calling-Station-ID 属性値をキャッシュに保持します。失効したパラメータは、Cisco ISE によってキャッシュから削除されます。
ユーザをエンドユーザ クライアントから認証する場合、Cisco ISE は、成功したマシン認証の Calling-Station-ID 値のキャッシュを検索して、ユーザ認証要求で受信した Calling-Station-ID 値を見つけようとします。Cisco ISE が一致するユーザ認証 Calling-Station-ID 値をキャッシュで見つけた場合、これは、次の方法で認証を要求するユーザに Cisco ISE が権限を割り当てる方法に影響します。
フィードバック