この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
デバイス管理者は、ISE サーバと通信するためのデバイスの設定タスクを実行します。デバイス管理者がデバイスにログインすると、デバイスは ISE サーバにクエリを行い、次に内部または外部の ID ストアにクエリを行い、デバイス管理者の詳細を検証します。検証が ISE サーバによって行われると、デバイスは、アカウンティングと監査の目的で、各セッションまたはコマンド許可操作の最終結果を ISE サーバに通知します。
(注) | ページのデバイス管理サービスを有効にする必要があります。 |
(注) | Cisco ISE では、既存の基本またはモビリティ ライセンスに加えて TACACS+ サービスを使用するには、デバイス管理ライセンスが必要です。デバイス管理ライセンスは永久ライセンスです。以前のリリースから Cisco ISE リリース 2.0 以降にアップグレードして、TACACS+ サービスを有効にするには、個別のアドオン ライセンスとしてデバイス管理ライセンスを発注する必要があります。ISE 展開全体に対し、1 つのデバイス管理ライセンスが必要です。 |
デバイス管理属性については、「ISE Device Administration Attributes」を参照してください。 ワイヤレス LAN コントローラ、IOS ネットワーク デバイス、Cisco NX-OS ネットワーク デバイス、およびネットワーク デバイスの TACACS+ 設定については、「ISE Device Administration (TACACS+)」を参照してください。 |
イネーブル パスワードを変更するには、次の手順を実行します。
一部のコマンドは特権モードに割り当てられます。したがって、デバイスの管理者がこのモードに認証されているときしか実行できません。
そのデバイスの管理者が特権モードに入ろうとする際に、デバイスは特別なイネーブル認証タイプを送信します。Cisco ISE は、この特別なイネーブル認証タイプを検証するために別のイネーブル パスワードをサポートします。別のイネーブル パスワードはデバイスの管理者が内部 ID ストアに認証されているときに使用されます。外部 ID ストアとの認証では、同じパスワードが通常のログインに対して使用されます。
ステップ 1 | スイッチにログインします。 | ||
ステップ 2 | Enter を押して次のプロンプトを表示します。
Switch> | ||
ステップ 3 | 次のコマンドを実行して、イネーブル パスワードを設定します。
Switch> enable Password: (Press Enter to leave the password blank.) Enter Old Password: (Enter the old password.) Enter New Password: (Enter the new password.) Enter New Password Confirmation: (Confirm the new password.)
|
[ワークセンター(Work Center)] メニューには、すべてのデバイス管理ページが含まれており、ISE 管理者の単一の始点として機能します。ただし、ユーザ、ユーザ ID グループ、ネットワーク デバイス、デフォルト ネットワーク デバイス、ネットワーク デバイス グループ、認証および許可条件などのデバイス管理に固有ではないページは、[管理(Administration)] などの元のメニュー オプションから、アクセスすることができます。[ワークセンター(Work Centers)] オプションは、正しい TACACS+ ライセンスが取得され、インストールされている場合にのみ使用できます。
[デバイス管理(Device Administration)] メニューには、次のメニュー オプションが含まれています。[概要(Overview)]、[ID(Identities)]、[ユーザ ID グループ(User Identity Groups)]、[外部 ID ストア(Ext ID Stores)]、[ネットワーク リソース(Network Resources)]、[ネットワーク デバイス グループ(Network Device Groups)]、[ポリシー要素(Policy Elements)]、[デバイス管理ポリシーセット(Device Admin Policy Sets)]、[レポート(Reports)] および [設定(Settings)]。
移行ツールを使用して、ACS 5.5 以降からデータをインポートし、すべてのネットワーク デバイスにデフォルトの TACACS+ 秘密を設定できます。 に移動して、[準備(Prepare)] セクションで、[ソフトウェアのダウンロード Web ページ(Download Software Webpage)] をクリックして移行ツールをダウンロードします。ツールを PC に保存し、[migTool] フォルダから migration.bat ファイルを実行し、移行プロセスを開始します。移行に関する詳細については、『Cisco ISE Migration Guide』を参照してください。
[デバイス管理の展開(Device Administration Deployment)] ページ(
)では、ISE 管理者は [展開(deployment)] セクションで各ノードを参照する必要なく、デバイス管理システムを一元的に表示できます。[デバイス管理の展開(Device Administration Deployment)] ページには、展開内の PSN が一覧表示されます。これにより、展開内の各 PSN でデバイス管理サービスを個別に有効にする作業が簡単になります。次のオプションを選択することで、多くの PSN に対するデバイス管理サービスを集合的にイネーブルにできます。
オプション |
説明 |
---|---|
なし(None) |
デフォルトでは、デバイス管理サービスはすべてのノードで無効になっています。 |
すべてのポリシーサービスノード(All Policy Service Nodes) |
すべての PSN でデバイス管理サービスを有効にします。このオプションを使用すると、新しい PSN はデバイス管理のために追加されるときに自動的に有効になります。 |
特定のノード(Specific Nodes) |
展開内のすべての PSN をリストしている [ISEノード(ISE Nodes)] セクションが表示されます。デバイス管理サービスをイネーブルにする必要があるノードを選択できます。 |
(注) | 展開に TACACS+ のライセンスがない場合、上記のオプションはディセーブルになります。 |
[TACACSポート(TACACS Ports)] フィールドでは、最大 4 つの TCP ポートをカンマ区切りで入力できます。ポート値の範囲は 1 ~ 65535 です。Cisco ISE ノードおよびそのインターフェイスは指定されたポートで TACACS+ 要求をリッスンします。指定されたポートが他のサービスで使用されないようにする必要があります。デフォルトの TACACS+ ポート値は 49 です。
[保存(Save)] をクリックすると、変更が
ページで指定されたノードと同期されます。[デバイス管理ポリシーセット(Device Admin Policy Sets)] ページ([ワークセンター(Work Centers)] > [デバイス管理(Device Administration)] > [デバイス管理ポリシーセット(Device Admin Policy Sets)])には、ISE 管理者が TACACS+ デバイス管理者の認証と許可を制御するために管理するポリシー セットのリストが含まれています。各ポリシーでは、[通常(Regular)] および [プロキシシーケンス(Proxy Sequence)] の 2 つのモードのいずれかを使用できます。
通常のポリシー セットは認証ルール テーブルおよび許可ルール テーブルから成ります。認証ルール テーブルには、ネットワーク デバイスの認証に必要なアクションを選択する一連のルールが含まれています。
許可ルール テーブルは、承認ビジネス モデルを実装するために必要な特定の承認結果を選択するための一連のルールが含まれています。各許可ルールは、連動するようにルールに一致する必要がある 1 つ以上の条件と、許可プロセスを制御するために選択される一連のコマンド セット、および/またはシェル プロファイルで構成されます。各ルール テーブルには、特定の状況のルールを上書きするために使用できる例外ポリシーがあり、多くの場合、例外テーブルは一時的な状況に使用されます。
プロキシ シーケンス ポリシー セットには、単一の選択されたプロキシ シーケンスが含まれています。ポリシー セットがこのモードの場合、リモート プロキシ サーバが要求の処理に使用されます(しかし、ローカル アカウンティングがプロキシ シーケンスで設定されている場合があります)。
次の表では、ネットワーク デバイスの TACACS+ 認証を設定するために使用できる [ネットワークデバイス(Network Devices)] ページのフィールドについて説明します。ナビゲーション パスは次のとおりです。
(ネットワーク デバイスの場合)
。(デフォルトのデバイスの場合)デフォルトのネットワーク デバイス定義」の項を参照してください。
。詳細については、「(注) | [TACACS+認証設定(TACACS+ Authentication Settings)] オプションへは、 ページからアクセスすることもできます。 |
ISE 管理者は、TACACS+ コマンド セットおよび TACACS+ プロファイル(ポリシー結果)を使用して、デバイス管理者に付与される権限およびコマンドを制御することができます。ポリシーはネットワーク デバイスと連動して動作するので、行われる可能性がある偶発的または悪意のある設定変更が回避されます。そのような変更が発生した場合は、デバイス管理の監査レポートを使用して、特定のコマンドを実行したデバイス管理者を追跡することができます。
ポリシーの結果を作成するための Cisco ISE が提供する多数の許可された認証プロトコル サービスがあります。ただし、TACACS+ プロトコルに適用できる PAP/ASCII、CHAP および MS-CHAPv1 などの認証プロトコル サービスは、RADIUS の FIPS 対応 Cisco ISE アプライアンスでディセーブルになっています。その結果、FIPS 対応(
)Cisco ISE アプライアンスを使用している場合は、デバイスの管理のためにこれらのプロトコルを ページで有効にすることはできません。したがって、デバイス管理ポリシーの結果で PAP/ASCII、CHAP および MS-CHAPv1 プロトコルを設定するには、FIPS モードと非 FIPS モードのどちらの場合も、
ページに移動する必要があります。FIPS モードを有効にすると、デフォルト デバイス管理で許可されたプロトコル設定のみが使用できます。このオプションは、RADIUS では使用できません。コマンド セットは、デバイス管理者が実行できるコマンドの指定されたリストを適用します。デバイス管理者がネットワーク デバイスに対して操作コマンドを発行すると、その管理者がこれらのコマンドの発行を認可されているかどうかを判定する問い合わせが ISE に行われます。これは、コマンド認可とも呼ばれます。
コマンド ラインは、コマンドと 0 個以上の引数から成ります。Cisco ISE は、コマンド ライン(要求)を受信すると、次のさまざまな方法でコマンドおよび引数を処理します。
要求されたコマンド ラインをワイルドカードおよび正規表現を含むコマンド セットのリストに一致させるには、次の手順を実行します。
コマンド セットのリストを反復し、一致するコマンドを検出します。
大文字小文字の区別なし
コマンド セット内のコマンドの任意の文字を「?」にでき、要求されたコマンドに存在する必要がある個別の文字に一致させることができます。
コマンド セット内のコマンドの任意の文字を「*」にでき、要求されたコマンド内の 0 個以上の文字に一致させることができます。
次に、例を示します。
要求 |
コマンド セット |
一致 |
説明 |
---|---|---|---|
show |
show |
Y |
— |
show |
SHOW |
Y |
大文字小文字の区別なし |
show |
Sh?? |
Y |
任意の文字と一致します |
show |
Sho?? |
N |
2 つ目の「?」は存在しない文字と交差します |
show |
S* |
Y |
「*」は任意の文字と一致します |
show |
S*w |
Y |
「*」は文字「ho」と一致します |
show |
S*p |
N |
文字「p」は対応しません |
一致する各コマンドに対し、Cisco ISE は引数を検証します。
コマンド セットのリストには、各コマンドのスペースで区切られた一連の引数が含まれています。
例:Show interface[1-4] port[1-9]:tty.*
このコマンドには、2 つの引数があります。
1.引数 1:interface[1-4]
2.引数 2:port[1-9]:tty.*
要求内のコマンド引数は、パケットに表示される位置が重要な順序で実行されます。コマンド定義内のすべての引数が要求内の引数に一致すると、このコマンド/引数は一致していると見なされます。要求内の無関係な引数はすべて無視されることに注意してください。
(注) | 引数には標準の Unix 正規表現を使用します。 |
TACACS+ プロファイルは、デバイス管理者の最初のログイン セッションを制御します。セッションは、個々の認証、許可、またはアカウンティングの要求を参照します。ネットワーク デバイスへのセッション許可要求により、ISE 応答が発生します。この応答には、ネットワーク デバイスにより解釈されるトークンが含まれています。ネットワーク デバイスにより、セッション期間中に実行できるコマンドが制限されます。デバイス管理アクセス サービス用の許可ポリシーでは、単一のシェル プロファイルおよび複数のコマンド セットを含めることができます。TACACS+ プロファイル定義は、次の 2 つのコンポーネントに分けられています。
[TACACS+プロファイル(TACACS+ Profiles)] ページ([ワーク センター(Work Centers)] > [デバイス管理(Device Administration)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [TACACS プロファイル(TACACS Profiles)])には、[タスク属性(Task Attribute)] ビューと [未処理(Raw)] ビューの 2 つのビューがあります。共通タスクは [タスク属性(Task Attribute)] ビューを使用して入力でき、カスタム属性は [タスク属性(Task Attribute)] ビューおよび [未処理(Raw)] ビューで作成できます。
[カスタム属性(Custom Attributes)] セクションを使用すると、追加の属性を設定できます。[共通タスク(Common Tasks)] セクションで認識されていない属性のリストも提供されます。各定義は、属性名、属性が必須であるか任意であるかの指定、および属性の値で構成されています。[未処理(Raw)] ビューでは、属性名とその値の間に等号(=)を使用して必須属性を入力することができ、任意の属性は、属性名とその値の間にアスタリスク(*)を使用して入力できます。[未処理(Raw)] ビューで入力された属性は、[タスク属性(Task Attribute)] ビューの [カスタム属性(Custom Attributes)] セクションに反映され、その逆も同様です。[未処理(Raw)] ビューは、クリップボードから属性リスト(たとえば、別の製品の属性リスト)を ISE にコピー ペーストするためにも使用されます。カスタム属性は、非シェル サービスに対して定義できます。
共通タスクの設定ページを表示するには、
に移動します。一般的なタスク タイプは、Shell、WLC、Nexus および Generic です。次のオプションは、ISE の管理者がデバイスの管理者権限を設定するために使用できます。
オプション |
説明 |
---|---|
デフォルトの権限(Default Privilege) |
|
最大権限(Maximum Privilege) |
イネーブル認証の最大権限レベルを有効にします。0 ~ 15 の範囲の値を選択できます。 |
アクセス コントロール リスト(Access Control List) |
ASCII 文字列(1-251*)または必要な ID ストア属性を選択します。 |
自動コマンド(Auto Command) |
ASCII 文字列(1-248*)または必要な ID ストア属性を選択します。 |
エスケープなし(No Escape) |
|
Timeout |
0 ~ 9999 の範囲の値または必要な ID ストア属性を選択します。 |
アイドル時間(Idle Time) |
0 ~ 9999 の範囲の値または必要な ID ストア属性を選択します。 |
次のオプションは、ISE の管理者がデバイス管理者による WLC アプリケーションのタブへのアクセスを制御するために使用できます。WLC アプリケーションには次のタブが含まれます:[WLAN]、[コントローラ(Controller)]、[ワイヤレス(Wireless)]、[セキュリティ(Security)]、[管理(Management)] および [コマンド(Commands)]。
オプション |
説明 |
---|---|
すべて(All) |
デバイスの管理者はすべての WLC アプリケーションのタブにアクセスできます。 |
モニタ(Monitor) |
デバイス管理者は WLC アプリケーションのタブへの読み取り専用アクセス権を持ちます。 |
ロビー(Lobby) |
デバイス管理者は限定された設定の権限のみを持ちます。 |
オン |
デバイス管理者は次のチェックボックスから ISE 管理者がチェックしたタブにアクセスできます:[WLAN]、[コントローラ(Controller)]、[ワイヤレス(Wireless)]、[セキュリティ(Security)]、[管理(Management)] および [コマンド(Commands)]。 |
次のオプションは、ISE の管理者がデバイス管理者による Cisco Nexus スイッチへのアクセスを制御するために使用できます。
オプション |
説明 |
---|---|
属性の設定 |
ISE の管理者は、任意または必須として一般的なタスクによって生成された Nexus 属性を指定できます。 |
[ネットワーク ロール(Network Role)] |
|
仮想デバイス コンテキスト(VDC) |
なし(None):権限はありません。 オペレータ(Operator)(読み取り専用):VDC への限定された読み取りアクセス 管理者(Administrator)(読み取り/書き込み):VDC への限定された読み取り/書き込みアクセス |
ISE 管理者は、一般的なタスクでは使用できないカスタム属性を指定するオプションを使用します。
TACACS+ コマンド セットのポリシー結果を使用してポリシー セットを作成するには、次の手順を実行します。
ステップ 1 | [ワーク センター(Work Centers)] > [デバイス管理(Device Administration)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [TACACS コマンド セット(TACACS Command Sets)] の順に選択します。
許可ポリシーの設定」の項を参照してください。 ページで TACACS コマンド セットを設定することもできます。詳細については、「 | ||
ステップ 2 | [追加(Add)] をクリックします。 | ||
ステップ 3 | 名前と説明を入力します。 | ||
ステップ 4 | [追加(Add)] をクリックして、権限の付与、コマンドおよび引数を指定します。 | ||
ステップ 5 | [付与(Grant)] ドロップダウンで、以下のいずれかを選択できます。
| ||
ステップ 6 | [下にリストされていないコマンドを許可(Permit any command that is not listed below)] チェックボックスをオンにして、[付与(Grant)] 列で [許可(Permit)]、[拒否(Deny)] または [常に拒否(Deny Always)] として指定されていないコマンドおよび引数を許可します。 |
TACACS+ プロファイルを作成するには、次の手順を実行します。
ステップ 1 | [ワーク センター(Work Centers)] > [デバイス管理(Device Administration)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [TACACS プロファイル(TACACS Profiles)] の順に選択します。
許可ポリシーの設定」の項を参照してください。 ページで TACACS コマンド セットを設定することもできます。詳細については、「 |
ステップ 2 | [追加(Add)] をクリックします。 |
ステップ 3 | [TACACSプロファイル(TACACS Profile)] セクションで、名前と説明を入力します。 |
ステップ 4 | [タスク属性ビュー(Task Attribute View)] タブで、必要な共通タスクを確認します。共通タスク設定 ページを参照してください。 |
ステップ 5 | [タスク属性ビュー(Task Attribute View)] タブの [カスタム属性(Custom Attributes)] セクションで、[追加(Add)] をクリックして必須属性を入力します。 |
デバイス管理ポリシー セットを作成するには、次の手順を実行します。
[ワーク センター(Work Centers)] > [デバイス管理(Device Administration)] > [概要(Overview)] > [展開(Deployment)] ページで、デバイス管理が TACACS+ 操作に対し有効になっていることを確認します。
ポリシーに必要なユーザ ID グループ(たとえば、System_Admin、Helpdesk)が作成されていることを確認します。([ワーク センター(Work Centers)] > [デバイス管理(Device Administration)] > [ユーザ ID グループ(User Identity Groups)] > ページ)。メンバー ユーザ(たとえば、ABC、XYZ)が対応するグループに割り当てられていることを確認します。([ワーク センター(Work Centers)] > [デバイス管理(Device Administration)] > [ID(Identities)] > [ユーザ(Users)] ページ)。
管理が必要なデバイスで TACACS 設定を行います。(デバイスが ISE にクエリを行いやすいようにするために、[ワークセンター(Work Centers)] > [デバイス管理(Device Administration)] > [ネットワークリソース(Network Resources)] > [ネットワークデバイス(Network Devices)] > [追加(Add)] > [TACACS認証設定(TACACS Authentication Settings)] チェックボックスがイネーブルで、TACACS およびデバイスの共有秘密が同一になっています)
デバイス タイプとロケーションに基づいたネットワーク デバイス グループが作成されていることを確認します。([ワークセンター(Work Centers)] > [デバイス管理(Device Administration)] > [ネットワークデバイスグループ(Network Device Groups)] ページ)
ステップ 1 |
の順に選択します。 [ポリシー セット(policy sets)] ページの要素の詳細については、[ポリシー セット(Policy Sets)] 領域の操作 を参照してください。 | ||||
ステップ 2 | いずれかの行の [アクション(Actions)] 列から、歯車アイコンをクリックし、ドロップダウン メニューから、必要に応じて、挿入オプションまたは複製オプションのいずれかを選択して新しいポリシー セットを挿入します。 [ポリシー セット(Policy Sets)] テーブルに新しい行が表示されます。 | ||||
ステップ 3 | ポリシー セットの名前と説明を入力します。 | ||||
ステップ 4 | 必要に応じて、[許可されているプロトコル/サーバ順序(Allowed Protocols/Server Sequence)] 列から、(+)記号をクリックし、次のいずれかを選択します。
| ||||
ステップ 5 | [条件(Conditions)] 列から、(+)記号をクリックします。 | ||||
ステップ 6 | [条件スタジオ(Conditions Studio)] ページで必要な条件を作成します。[エディタ(Editor)] セクションで、[クリックして属性を追加する(Click To Add an Attribute)] テキスト ボックスをクリックし、必要なディクショナリと属性(たとえば、Device-Location Equals Europe)を選択します。
[ポリシー セット(policy sets)] ページの要素の詳細については、[条件スタジオ(Conditions Studio)] の操作 を参照してください。 ライブラリ条件を [クリックして属性を追加する(Click To Add An Attribute)] テキスト ボックスにドラッグ アンド ドロップできます。 | ||||
ステップ 7 | [使用(Use)] をクリックします。 | ||||
ステップ 8 | [表示(View)] 列から、 をクリックしてすべてのポリシー セットの詳細にアクセスし、認証および許可ポリシーとポリシー例外を作成します。 | ||||
ステップ 9 | 必要な認証ポリシーを作成します(たとえば、Rule Name: ATN_Internal_Users、Conditions: DEVICE:Location EQUALS Location #All Locations#Europe:このポリシーは、ヨーロッパ内にあるデバイスにのみ一致します)。 | ||||
ステップ 10 | [保存(Save)] をクリックします。 | ||||
ステップ 11 | 必要な許可ポリシーを作成します。
例 1:ルール名:Sys_Admin_rule、条件:if SysAdmin and TACACS User Equals ABC then cmd_Sys_Admin AND Profile_priv_8。この例で、ポリシーはユーザ名 ABC のシステム管理者を照合し、指定されたコマンドの実行を許可し、特権レベル 8 を割り当てます。 例 2:ルール名:HelpDesk AND TACACS User EQUALS XYZ then cmd_HDesk_show AND cmd_HDesk_ping AND Profile_priv_1。この例で、ポリシーはユーザ名 XYZ のシステム管理者を照合し、指定されたコマンドの実行を許可し、特権レベル 1 を割り当てます。 上記の例で、
| ||||
ステップ 12 | [保存(Save)] をクリックします。 |
Cisco ISE では、TACACS+ で設定されたデバイスのアカウンティング、認証、許可、およびコマンド アカウンティングに関する情報を参照できる、さまざまなレポートおよびログが提供されます。オン デマンドまたはスケジュール ベースでこれらのレポートを実行できます。
TACACS+ のグローバル設定を行うには、次の手順を実行します。