パスワード ベースの認証
認証とは、ユーザ情報を検証してユーザ ID を確認することです。従来の認証方式では、名前とある決まったパスワードが使用されていました。これは、最も一般的かつ単純で、低コストの認証方式です。この方式の欠点は、ユーザ名やパスワードの情報が簡単に第三者に伝えられたり、推測または不正に取得されたりする可能性がある点です。単純な暗号化されていないユーザ名とパスワードを使用する方法は、強力な認証方式とは考えられていませんが、インターネット アクセスなど、許可または特権レベルが低い場合は十分に要件を満たす可能性があります。
暗号化されたパスワードと暗号化技術を使用したセキュアな認証
ネットワーク上でパスワードが不正に取得される危険性を低減するには、暗号化を使用する必要があります。RADIUS などのクライアント/サーバ アクセス コントロール プロトコルでは、パスワードを暗号化することにより、ネットワーク内でパスワードが不正に取得される事態を防止します。ただし、RADIUS は認証、許可、およびアカウンティング(AAA)クライアントと Cisco ISE との間でだけ動作します。認証プロセスでは、このポイントの前で、許可されていないユーザが次のような例で暗号化されていないパスワードを入手する可能性があります。
-
電話回線を介してダイヤルアップ接続を行うエンドユーザ クライアントとの間の通信
-
ネットワーク アクセス サーバで終了する ISDN 回線
-
エンドユーザ クライアントとホスティング デバイスの間の Telnet セッションを介して行われる通信
さらに安全な方式では、チャレンジ ハンドシェイク認証プロトコル(CHAP)、ワンタイム パスワード(OTP)、および高度な EAP ベースのプロトコルの内部で使用されるような暗号化技術を使用します。Cisco ISE は、これらのさまざまな認証方式をサポートしています。
認証方式と許可特権
認証と許可には基本的な暗黙の関係があります。ユーザに与えられる許可特権が多くなればなるほど、それに応じて認証を強化する必要があります。Cisco ISE では、さまざまな認証方式を提供することにより、この関係がサポートされています。