Cisco ISE 管理者
Cisco ISE 管理者は管理者ポータルを使用して次の操作を行うことができます。
-
展開、ヘルプデスク操作、ネットワークデバイス、およびノードのモニタリングとトラブルシューティングの管理。
-
Cisco ISE のサービス、ポリシー、管理者アカウント、およびシステム設定と操作の管理。
-
管理者パスワードおよびユーザ パスワードを変更します。
管理者は、CLI または Web ベースのインターフェイスから Cisco ISE にアクセスできます。Cisco ISE のセットアップ中に設定したユーザ名とパスワードは、CLI への管理アクセスにのみ使用されます。このロールは、CLI 管理ユーザ(CLI 管理者)と見なされます。デフォルトでは、CLI 管理ユーザのユーザ名は admin、パスワードはセットアップで定義したパスワードです。デフォルトのパスワードはありません。この CLI 管理ユーザはデフォルトの admin ユーザであり、このユーザアカウントは削除できません。ただし、このアカウントのパスワードを有効化、無効化、または変更するオプションなど、他の管理者によって編集できます。
管理者を作成するか、または既存のユーザを管理者ロールに昇格できます。管理者は、対応する管理者権限を無効にすることで、単純なネットワーク ユーザ ステータスに降格することもできます。
管理者は、Cisco ISE システムを設定および操作するローカル権限を持つユーザと見なすことができます。
管理者は、1 つ以上の管理者グループに割り当てられます。利便性のため、これらの管理者グループはシステムで事前に定義されています。これについては、次の項で説明します。
管理者の CLI アクセスへの外部 ID ストアの使用の強制
CLI 管理者は、Cisco ISE アプリケーションの起動と停止、ソフトウェアのパッチとアップグレードの適用、Cisco ISE アプライアンスのリロードとシャットダウン、およびすべてのシステム ログとアプリケーション ログの表示を実行できます。CLI 管理者には特別な権限が付与されているため、CLI 管理者クレデンシャルを保護し、Cisco ISE 展開を設定および管理する Web ベースの管理者を作成することが推奨されます。
また、CLI に接続する管理者が外部 ID ソースを使用して認証するように強制することもできます。この方法はより安全であるため、外部 ID ストアで CLI 管理者の RBAC を設定できます。
前提条件
管理者ユーザを定義し、管理者グループに追加しておく必要があります。サポートされるのは SuperAdmin ユーザのみです。
外部 ID ソースを使用して管理者ユーザがアクセスできるように設定する
ISE CLI で identity-store コマンドを実行し、管理者ユーザを ID ストアに割り当てます。たとえば、管理者ユーザ admincliuser を adpool1 として ISE に定義された Active Directory にマッピングするには、identity-store active-directory domain-name adpool1 user admincliuser を実行します。
外部 ID ストアで、ID ストアにマッピングした管理者ユーザの属性を変更します。
-
uidNumber
に 60000 よりも大きな値を割り当てます。この値が一意であることを確認します。 -
gidNumber
に 110 または 111 を割り当てます。 -
gidNumber 110 は管理者ユーザを表し、111 は読み取り専用ユーザを示します。
-
割り当ての後に uidNumber を変更しないでください。
-
gidNumber を変更した場合は、SSH 接続を行う前に 5 分以上待機してください。
新しい Cisco ISE 管理者の作成
Cisco ISE 管理者は、特定の管理タスクを実行するために、特定のロールが割り当てられたアカウントが必要です。管理者アカウントを作成して、管理者が実行する必要がある管理タスクに基づいて 1 つ以上のロールを割り当てることができます。
[管理者ユーザ(Admin Users)] ウィンドウを使用して、Cisco ISE 管理者の属性の表示、作成、変更、削除、ステータスの変更、複製、または検索を実行できます。
(注) |
管理者ユーザのドメインが CLI と GUI の両方で同じである場合は、CLI で Active Directory アクセスを設定してから GUI で参加することをお勧めします。それ以外の場合は、そのドメインへの認証の失敗を回避するために、GUI からドメインに再参加する必要があります。 |
手順
ステップ 1 |
を選択します。 |
ステップ 2 |
ドロップダウンリストから、次のオプションのいずれかを選択します。
|
ステップ 3 |
フィールドに値を入力します。[名前(Name)] フィールドでサポートされる文字は次のとおりです:# $ ’ ( ) * + -。/ @ _。 |
ステップ 4 |
[送信(Submit)] をクリックして、新しい管理者を Cisco ISE 内部データベースに作成します。 |