Cisco ISE のユーザ認証ポリシーを使用すると、パスワード認証プロトコル(PAP)、チャレンジ ハンドシェイク認証プロトコル(CHAP)、保護拡張認証プロトコル(PEAP)、拡張認証プロトコル(EAP)などのさまざまな標準認証プロトコルを使用して、多くのユーザ
ログイン セッション タイプに対応した認証を提供できます。Cisco ISE では、ユーザが認証を試みるネットワーク デバイスで使用できるプロトコル、およびユーザ認証の検証元となる ID ソースが指定されます。
Cisco ISE では、許可ポリシーの範囲内で広範な可変要素が許可されるため、許可されたユーザのみが、ネットワークにアクセスしたときに目的のリソースにアクセスできます。Cisco ISE の最初のリリースでは、RADIUS によって管理された、内部ネットワークとそのリソースへのアクセスのみがサポートされます。
最も基本的なレベルにおいて、Cisco ISE では、802.1X、MAC 認証バイパス(MAB)、およびブラウザベースの Web 認証ログインが、有線ネットワークと無線ネットワークの両方を介した基本的なユーザ認証およびアクセスに対してサポートされます。認証要求を受信すると、認証ポリシーの「外側部分」を使用して、要求の処理に使用できる一連のプロトコルが選択されます。その後、認証ポリシーの「内側部分」を使用して、要求の認証に使用する
ID ソースが選択されます。ID ソースは、特定の ID ストア、またはユーザが最終的な許可応答を受信するまでアクセス可能な一連の ID を一覧表示する ID ストア順序で構成できます。
認証が成功すると、セッション フローは許可ポリシーに進みます。(認証が成功しなかった場合でも Cisco ISE に許可ポリシーの処理を許可するオプションも提供されます)。Cisco ISE を使用すると、「認証失敗」、「ユーザが見つからない」、および「プロセスの失敗」に対する動作を設定できます。また、要求を拒否またはドロップ(応答は発行されません)するか、許可ポリシーに進むかを判断することもできます。Cisco
ISE が許可の実行に進む場合、「NetworkAccess」ディクショナリの「AuthenicationStaus」属性を使用して、認証結果を許可ポリシーの一部として組み込むことができます。
許可ポリシーの結果として、Cisco ISE によって割り当てられる許可プロファイルには、ネットワーク ポリシー適用デバイス上のトラフィック管理を指定する、ダウンロード可能な ACL が含まれる場合があります。このダウンロード可能な ACL では、認証中に返される
RADIUS 属性が指定され、この属性により、Cisco ISE で認証されると付与されるユーザ アクセス権限が定義されます。
(注) |
Cisco ISE は、着信アカウンティング パケットの認証セッションを識別しながら、次の順序で属性を処理します。
-
シスコ デバイスの場合:
-
クラス/状態
-
audit-session-id
-
サード パーティ製のデバイスの場合:
-
クラス/状態
-
Calling-Station-ID
-
認証セッションを識別できない場合、Cisco ISE は Calling-Station-ID、NAS-Port、および NAS-IP-Address に基づいて新しいセッション ID を作成します。
|