デバイス管理

TACACS+ デバイス管理

Cisco ISE は、ネットワークデバイスの設定を制御および監査するための Terminal Access Controller Access-Control System(TACACS+)のセキュリティプロトコル を使用したデバイス管理をサポートしています。ネットワークデバイスは、デバイス管理者の操作の認証 および認可のために ISE にクエリを行うために設定され、ISE のアカウンティングメッセージを送信して操作をログに記録します。この機能により、どのネットワークデバイスに誰がアクセスして関連するネットワーク設定を変更できるかについて、きめ細かく制御すること が容易になります。ISE 管理者は、 コマンドセットやシェルプロファイルなどの TACACS 結果をデバイス管理アクセスサービスの許可ポリシールールで選択できるようにする ポリシーセットを作成できます。ISE モニタリング ノードでは、デバイス管理に関する高度なレポートが提供されます。 [ワークセンター(Work Center)] メニューには、すべてのデバイス管理ページが含まれており、ISE 管理者の単一の始点として機能します。

ISE には、TACACS+ を使用するためのデバイス管理ライセンスが必要です。

デバイス管理については 2 つのタイプの管理者がいます。

  • デバイス管理者

  • ISE 管理者

デバイス管理者は、管理対象デバイスの設定と保守を実行するために、(通常は SSH を介して)スイッチ、ワイヤレスアクセスポイント、ルータ、 ゲートウェイなどのネットワークデバイスにログインするユーザです。ISE 管理者は、デバイス管理者がログインするデバイスの設定と調整のために ISE にログインします。

ISE にログインしてデバイス管理者の操作を制御する設定を行う ISE 管理者が このドキュメントの対象読者です。ISE 管理者は、デバイス管理機能([ワークセンター(Work centers)] > [デバイス管理(Device Administration)])を使用して、ネットワークデバイスの設定を制御および監査します。デバイスは、Terminal Access Controller Access-Control System(TACACS) のセキュリティプロトコルを使用して ISE サーバにクエリを行うように設定できます。ISE モニタリングノードでは、 デバイス管理に関する高度なレポートが提供されます。ISE 管理者は、次のタスクを実行できます。

  • TACACS+ の詳細(共有秘密)によるネットワーク デバイスの設定。

  • 内部ユーザとしてのデバイス管理者の追加、および必要に応じてイネーブル パスワードの設定。

  • コマンドセットやシェルプロファイルなどの TACACS 結果をデバイス管理アクセスサービスの許可ポリシー ルールで選択できるようにするポリシーセットの作成。

  • デバイス管理者がポリシー セットに基づいてデバイスにアクセスできるようにするための ISE での TACACS サーバの設定。

デバイス管理者は、ISE サーバと通信するためのデバイスの設定タスクを実行します。デバイス管理者 がデバイスにログインすると、デバイスは ISE サーバにクエリを行い、次に内部または外部の ID ストアにクエリを行い、 デバイス管理者の詳細を検証します。検証が ISE サーバによって行われると、デバイスは、アカウンティングと監査の目的で、 各セッションまたはコマンド許可操作の最終結果を ISE サーバに通知します。

ISE 管理者は、TACACS および Cisco ISE 2.0 以降のリリースを使用してデバイスを管理できます。デバイス管理に関連する設定 は、Cisco Secure Access Control System(ACS)サーバのバージョン 5.5、5.6、5.7 および 5.8 から移行することもできます。これ以前のバージョンの場合は、移行の前に 5.5 または 5.6 にアップグレードする必要があります。


TACACS+ の操作をイネーブルにするには、[管理(Administration)] > [システム(System)] > [展開(Deployment)] > [全般設定(General Settings)] ページの [デバイス管理サービスの有効化(Enable Device Admin Service)] チェックボックスをオンにする必要があります。このオプションは展開内の各 PSN で必ず有効にしてください。

TACACS+ プロトコルの既知の制限により、スイッチまたはルータと ISE 間のセキュアな接続を確立するため、 IPsec プロトコルが二者間に展開されていることを確認してください。


Cisco ISE では、既存の基本またはモビリティ ライセンスに加えて TACACS+ サービスを使用するには、デバイス管理ライセンスが必要です。 デバイス管理ライセンスは永久ライセンスです。以前のリリースから Cisco ISE リリース 2.0 以降にアップグレードして、TACACS+ サービスを有効にするには、個別のアドオンライセンスとしてデバイス管理ライセンスを発注する必要 があります。 Device Administration ライセンスの数は、展開内のデバイス管理ノード数と同じである必要があります。

ISE Community Resource

デバイス管理属性については、「ISE Device Administration Attributes」を参照してください。

ワイヤレス LAN コントローラ、IOS ネットワークデバイス、Cisco NX-OS ネットワークデバイス、 およびネットワークデバイスの TACACS+ 設定については、「ISE Device Administration (TACACS+)」を参照してください。

デバイス 管理ワークセンター

[ワークセンター(Work Center)] メニュー には、すべてのデバイス管理ページが含まれており、 ISE 管理者の単一の始点として機能します。ただし、ユーザ、ユーザ ID グループ、 ネットワークデバイス、デフォルト ネットワーク デバイス、 ネットワーク デバイス グループ、認証および許可条件などのデバイス管理に 固有ではないページは、[管理(Administration)] などの元のメニューオプションから、 アクセスすることができます。[ワークセンター(Work Centers)] オプションは、正しい TACACS+ ライセンスが取得され、インストールされている場合にのみ使用できます。

[デバイス管理(Device Administration)] メニューには、次のメニュー オプションが含まれています。[概要(Overview)]、[ID(Identities)]、[ユーザ ID グループ(User Identity Groups)]、[外部 ID ストア(Ext ID Stores)]、[ネットワークリソース(Network Resources)]、[ネットワーク デバイス グループ(Network Device Groups)]、[ポリシー要素(Policy Elements)]、[デバイス管理ポリシーセット(Device Admin Policy Sets)]、[レポート( Reports)] および [設定(Settings)]。

デバイス 管理の展開設定

[デバイス管理の展開(Device Administration Deployment)] ページ([ワークセンター(Work Centers)] > [デバイス管理(Device Administration)] > [概要(Overview)] > [展開(Deployment)])では、ISE 管理者 は [展開(deployment)] セクションで各 ノードを参照する必要なく、デバイス管理システムを一元的に表示できます。

[デバイス管理の展開(Device Administration Deployment)] ページには、展開内の PSN が一覧表示されます。これ により、展開内の各 PSN でデバイス管理サービスを個別に有効にする作業が 簡単になります。次のオプションを選択することで、多くの PSN に 対するデバイス管理サービスを集合的にイネーブルにできます。

オプション

説明

なし(None)

デフォルト では、デバイス管理サービスはすべてのノードで無効になっています。

すべてのポリシーサービスノード(All Policy Service Nodes )

すべての PSN でデバイス管理サービスを有効にします。このオプションを使用すると、新しい PSN は デバイス管理のために追加されるときに自動的に有効になります。

特定のノード(Specific Nodes )

展開内 のすべての PSN をリストしている [ISEノード(ISE Nodes)] セクションが表示されます。デバイス 管理サービスをイネーブルにする必要があるノードを選択 できます。


展開に TACACS+ のライセンスがない場合、上記のオプションはディセーブルになります。

[TACACS ポート(TACACS Ports )] フィールドでは、最大 4 つの TCP ポートをカンマ 区切りで入力できます。ポート値の範囲は 1 ~ 65535 です。Cisco ISE ノードおよびその インターフェイスは指定されたポートで TACACS+ 要求をリッスンします。 指定されたポートが他のサービスで使用されないようにする必要があります。デフォルト の TACACS+ ポート値は 49 です。

[保存(Save)] をクリックすると、 変更が [管理(Administration)] > [システム(System)] > [展開のリスト(Deployment Listing)] ページで指定されたノードと同期されます。

デバイス管理ポリシー セット

[デバイス管理ポリシーセット(Device Admin Policy Sets)] ページ([ワークセンター(Work Centers)] > [デバイス管理(Device Administration)] > [デバイス管理ポリシーセット(Device Admin Policy Sets)])には、ISE 管理者 が TACACS+ デバイス管理者の認証と許可を制御するために管理するポリシーセットのリストが 含まれています。各ポリシーでは、[通常(Regular)] および [プロキシシーケンス(Proxy Sequence)] の 2 つのモードのいずれかを使用できます。

通常のポリシー セットは認証ルール テーブルおよび許可ルール テーブルから成ります。認証ルールテーブル には、ネットワークデバイスの認証に必要なアクションを選択する一連のルールが含まれています。

許可ルールテーブルは、承認ビジネスモデルを実装するために必要な特定の承認結果を選択するための一連のルール が含まれています。各許可ルールは、連動するようにルールに一致する必要がある 1 つ以上の条件と、 許可プロセスを制御するために選択される一連のコマンドセット、および/またはシェルプロファイルで構成されます。 各ルールテーブルには、特定の状況のルールを上書きするために使用できる例外ポリシーがあり、多くの場合、例外 テーブルは一時的な状況に使用されます。

プロキシ シーケンス ポリシー セットには、単一の選択されたプロキシシーケンスが含まれています。ポリシーセットが このモードの場合、リモートプロキシサーバが要求の処理に使用されます (しかし、ローカルアカウンティングがプロキシシーケンスで設定されている場合があります)。

デバイス 管理ポリシーセットの作成

デバイス管理ポリシー セットを作成するには、次の手順を実行します。

はじめる前に

  • [ワークセンター(Work Centers)] > [デバイス管理(Device Administration)] > [概要(Overview)] > [展開(Deployment)] ページで、デバイス管理が TACACS+ 操作に対し有効になっていることを確認します。

  • ポリシーに必要なユーザ ID グループ(たとえば、System_Admin、Helpdesk)が作成されていることを確認します。([ワークセンター(Work Centers)] > [デバイス管理(Device Administration)] > [ユーザ ID グループ(User Identity Groups)] > ページ)。メンバー ユーザ(たとえば、ABC、XYZ)が対応するグループに割り当てられていることを確認します。([ワークセンター(Work Centers)] > [デバイス管理(Device Administration)] > [ID(Identities)] > [ユーザ(Users)] ページ)。

  • 管理 が必要なデバイスで TACACS 設定を行います。(デバイスが ISE にクエリを行いやすいようにするために、[ワークセンター(Work Centers)] > [デバイス管理(Device Administration)] > [ネットワークリソース(Network Resources)] > [ネットワークデバイス(Network Devices)] > [追加(Add)] > [TACACS 認証設定(TACACS Authentication Settings)] チェックボックスがイネーブルで、 TACACS およびデバイスの共有秘密が 同一になっています)

  • デバイスタイプと ロケーションに基づいたネットワーク デバイス グループが作成されていることを確認します。 ([ワークセンター(Work Centers)] > [デバイス管理(Device Administration)] > [ネットワーク デバイス グループ(Network Device Groups)] ページ)

手順

ステップ 1

[ワークセンター(Work Centers)] > [デバイス管理(Device Administration)] > [デバイス管理ポリシーセット(Device Admin Policy Sets)] の順に選択します。

ステップ 2

いずれかの行の [アクション(Actions)] 列から、歯車アイコンをクリックし、 ドロップダウンメニューから、必要に応じて、 挿入オプションまたは複製オプションのいずれかを選択して新しいポリシーセットを挿入します。

[ポリシーセット(Policy Sets)] テーブルに新しい行が表示されます。
ステップ 3

ポリシーセット の名前と説明を入力します。

ステップ 4

必要に応じて、 [許可されているプロトコル/サーバ順序(Allowed Protocols/Server Sequence)] 列から、(+)記号をクリックし、 次のいずれかを選択します。

  1. 新しい許可されているプロトコルを作成(Create a New Allowed Protocol )

  2. TACACS サーバ順序を作成(Create a TACACS Server Sequence )

ステップ 5

[条件(Conditions)] 列から、(+)記号をクリックします。

ステップ 6

[条件スタジオ(Conditions Studio)] ページで必要な条件を作成します。[エディタ(Editor)] セクションで、[クリックして属性を追加する(Click To Add an Attribute)] テキストボックスをクリックし、必要なディクショナリ と属性(たとえば、Device-Location Equals Europe)を選択します。

ライブラリ条件 を [クリックして属性を追加する(Click To Add An Attribute)] テキストボックスにドラッグアンドドロップできます。

ステップ 7

[使用(Use)] をクリックします。

ステップ 8

[表示(View )] 列から、 をクリックしてすべてのポリシーセットの詳細にアクセスし、 認証および許可ポリシーとポリシー例外を作成します。

ステップ 9

必要な 認証ポリシーを作成します(たとえば、Rule Name: ATN_Internal_Users、 Conditions: DEVICE:Location EQUALS Location #All Locations#Europe:このポリシー は、ヨーロッパ内にあるデバイスにのみ一致します)。

ステップ 10

[保存(Save)] をクリックします。

ステップ 11

必要な 許可ポリシーを作成します。

例 1: ルール名:Sys_Admin_rule、条件:if SysAdmin and TACACS User Equals ABC then cmd_Sys_Admin AND Profile_priv_8。この例で、ポリシーはユーザ名 ABC のシステム管理者 を照合し、指定されたコマンドの実行を許可し、 特権レベル 8 を割り当てます。

例 2: ルール名:HelpDesk AND TACACS User EQUALS XYZ then cmd_HDesk_show AND cmd_HDesk_ping AND Profile_priv_1。この例で、ポリシーはユーザ名 XYZ のシステム管理者 を照合し、指定されたコマンドの実行を許可し、 特権レベル 1 を割り当てます。

上記 の例で、

  • コマンドセット cmd_Sys_Admin および cmd_HDesk は、 [ワークセンター(Work Centers)] > [デバイス管理(Device Administration)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [TACACS コマンドセット(TACACS Command Sets)] > [追加(Add)] ページで作成されます。

  • TACACS プロファイル Profile_Priv_1 および Profile_priv_8 は、 [ワークセンター(Work Centers)] > [デバイス管理(Device Administration)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [TACACS プロファイル(TACACS Profiles)] > [追加(Add)] ページで作成されます。

 
認証および 許可ポリシーで使用される条件で、デバイス IP アドレス属性に IPv4 または IPv6 の単一アドレスを追加できます。
ステップ 12

[保存(Save)] をクリックします。

TACACS+ 認証設定と共有秘密

次の表では、 ネットワークデバイスの TACACS+ 認証を設定するために使用できる [ネットワークデバイス(Network Devices)] ページのフィールドについて説明します。ナビゲーション パスは次のとおりです。

  • (ネットワーク デバイスの場合)[ワークセンター(Work Centers)] > [デバイス管理(Device Administration)] > [ネットワークリソース(Network Resources)] > [ネットワークデバイス(Network Devices)] > [追加(Add)] > [TACACS認証設定(TACACS Authentication Settings)]。

  • (デフォルトのデバイスの場合)[ワークセンター(Work Centers)] > [デバイス管理(Device Administration)] > [ネットワークリソース(Network Resources)] > [デフォルトのデバイス(Default Devices)] > [TACACS 認証設定(TACACS Authentication Settings)]。詳細については、「デフォルトのネットワークデバイス定義」の項を参照してください。

フィールド

使用上のガイドライン

共有秘密鍵(Shared Secret )

TACACS+ プロトコルがイネーブルのときにネットワークデバイスに割り当てられたテキストの文字列。ユーザ は、ネットワークデバイスによってユーザ名およびパスワードが認証される前にテキストを入力する必要が あります。ユーザが共有秘密情報を提示するまで、接続は拒否されます。 これは必須フィールドではありません。

廃止された共有秘密がアクティブです(Retired Shared Secret is Active )

リタイアメント期間 がアクティブな場合に表示されます。

廃止(Retire)

既存 の共有秘密を終了する代わりに廃止します。[廃止(Retire)] をクリックすると、 メッセージボックスが表示されます。[はい(Yes)] または [いいえ(No)] をクリックできます。

残りの廃止期間(Remaining Retired Period )

(上のメッセージボックスで [はい(Yes)] を選択した場合にのみ利用可能)次の ナビゲーションパスで指定されたデフォルト値が表示されます。[ワークセンター(Work Centers)] > [デバイス管理(Device Administration)] > [設定(Settings)] > [接続設定(Connection Settings)] > [デフォルトの共有秘密リタイアメント期間(Default Shared Secret Retirement Period)]。デフォルト値は変更することができます。

これ により、新しい共有秘密を入力でき、古い共有秘密は指定された日数にわたって アクティブなままになります。

終了(End)

(上のメッセージボックスで [はい(Yes)] を選択した場合にのみ利用可能)リタイアメント期間が終了し、古い 共有秘密が終了します。

シングル接続モードを有効にする(Enable Single Connect Mode )

ネットワークデバイスとのすべての TACACS+ 通信に単一の TCP 接続を使用する場合にオンにします。次のいずれか を実行します。

  • [レガシーシスコデバイス(Legacy Cisco Devices)]

  • または、[TACACS+ ドラフト コンプライアンス シングル接続のサポート(TACACS+ Draft Compliance Single Connect Support)]。シングル接続モードをディセーブルにすると、ISE はすべての TACACS+ 要求 に対して新しい TCP 接続を使用します。

サマリーでは、次の操作を実行できます。

  • 廃止期間 を日数として指定することで(範囲は 1 ~ 99 です)、古い共有秘密を廃止し、 同時に新しい共有秘密を設定することができます。

  • 廃止期間中は 新旧の共有秘密を使用できます。

  • 期限切れになる 前に廃止期間を延長できます。

  • 廃止期間の 終了までは、古い共有秘密のみを使用できます。

  • 期限切れになる 前に廃止期間を終了できます([終了(End)] をクリックしてから [送信(Submit)] をクリックします)。


[TACACS+ 認証設定(TACACS+ Authentication Settings)] オプションへは、[管理(Administration)] > [ネットワークリソース(Network Resources)] > [ネットワークデバイス(Network Devices)] > [追加(Add)] ページからアクセスすることもできます。

デバイス 管理:許可ポリシーの結果

ISE 管理者 は、TACACS+ コマンドセットおよび TACACS+ プロファイル(ポリシー結果)を使用して、 デバイス管理者に付与される権限およびコマンドを制御することが できます。ポリシーはネットワークデバイスと連動して動作するので、 行われる可能性がある偶発的または悪意のある設定変更が回避 されます。そのような変更が発生した場合は、デバイス管理の監査レポートを使用して、 特定のコマンドを実行したデバイス管理者を追跡することが できます。

TACACS+ デバイス 管理を許可された FIPS および非 FIPS モードのプロトコル

ポリシーの結果 を作成するための Cisco ISE が提供する多数の許可された認証プロトコル サービスがあります。ただし、TACACS+ プロトコルに適用できる PAP/ASCII、 CHAP および MS-CHAPv1 などの認証プロトコルサービスは、RADIUS の FIPS 対応 Cisco ISE アプライアンス でディセーブルになっています。その結果、 FIPS 対応([管理(Administration)] > [システム設定(System Settings)] > [FIPS モード(FIPS Mode)])Cisco ISE アプライアンスを使用している場合は、 デバイスの管理のためにこれらのプロトコルを [ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [許可されているプロトコル(Allowed Protocols)] ページで有効にすることはできません。

したがって、 デバイス管理ポリシーの結果で PAP/ASCII、CHAP および MS-CHAPv1 プロトコルを 設定するには、FIPS モードと非 FIPS モードのどちらの場合も、 [ワークセンター(Work Centers)] > [デバイス管理(Device Administration)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [許可されているプロトコル(Allowed Protocols)] ページに移動する必要があります。FIPS モード を有効にすると、デフォルトデバイス管理で許可されたプロトコル設定のみが使用 できます。このオプションは、RADIUS では使用できません。

TACACS+ コマンド セット

コマンドセット は、デバイス管理者が実行できるコマンドの指定されたリストを 適用します。デバイス管理者がネットワークデバイスに対して操作コマンドを発行すると、 その管理者がこれらのコマンドの発行を認可されているかどうかを 判定する問い合わせが ISE に行われます。これは、コマンド認可とも 呼ばれます。

コマンド セットのワイルドカードと正規表現

コマンドラインは、 コマンドと 0 個以上の引数から成ります。Cisco ISE は、コマンドライン (要求)を受信すると、次のさまざまな方法でコマンドおよび引数を処理します。

  • ワイルドカード照合パラダイムを使用して、 要求内のコマンドをコマンドセットのリストに指定されたコマンド と照合します。

    例:Sh?? または S*

  • 正規表現(regex)照合パラダイムを使用して、 要求内の引数をコマンドセットのリストに指定された引数 と照合します。

    例:Show interface[1-4] port[1-9]:tty*

コマンドラインおよび コマンドセットのリストの一致

要求された コマンドラインをワイルドカードおよび正規表現を含むコマンドセットのリストに一致させるには、次の手順を実行します。

  1. コマンドセット のリストを反復し、一致するコマンドを検出します。

    ワイルドカード 照合では以下が許可されています。

    • 大文字 小文字の区別なし

    • コマンド セット内のコマンドの任意の文字を「?」にでき、 要求されたコマンドに存在する必要がある個別の文字に一致させることができます。

    • コマンド セット内のコマンドの任意の文字を「*」にでき、 要求されたコマンド内の 0 個以上の文字に一致させることができます。

      次に、例を示します。

      要求

      コマンド セット

      一致

      説明

      show

      show

      Y

      show

      SHOW

      Y

      大文字小文字の区別なし

      show

      Sh??

      Y

      任意の文字と一致します

      show

      Sho??

      N

      2 つ目の「?」は存在しない文字と交差します

      show

      S*

      Y

      「*」は任意の文字と一致します

      show

      S*w

      Y

      「*」は文字「ho」と一致します

      show

      S*p

      N

      文字「p」は対応しません

  2. 一致する 各コマンドに対し、Cisco ISE は引数を検証します。

    コマンドセット のリストには、各コマンドのスペースで区切られた一連の引数が含まれています。

    例:Show interface[1-4] port[1-9]:tty.*

    このコマンドには、 2 つの引数があります。

    1. 引数 1: interface[1-4]

    2. 引数 2: port[1-9]:tty.*

    要求内の コマンド引数は、パケットに表示される位置が重要な順序で 実行されます。コマンド定義内のすべての引数が要求内の引数に一致すると、 このコマンド/引数は一致していると見なされます。 要求内の無関係な引数はすべて無視されることに注意してください。


    引数 には標準の Unix 正規表現を使用します。

複数のコマンドセット を持つルールの処理

  1. コマンド セットにコマンドとその引数との一致が含まれる場合、その一致が Deny Always であると、ISE によってそのコマンドセットは Commandset-DenyAlways として指定されます。

  2. コマンドセット 内のコマンドの一致に Deny Always がない場合は、最初の一致が見つかるまで、 コマンドセット内のすべてのコマンドが順番にチェックされます。

    1. 最初の 一致が Permit である場合、そのコマンドセットは Commandset-Permit として指定されます。

    2. 最初の 一致が Deny である場合、そのコマンドセットは Commandset-Deny として指定されます。

  3. ISE は、 すべてのコマンドセットを分析したあと、コマンドを次のように認可します。

    1. コマンド セットが Commandset-DenyAlways として指定された場合、ISE によってそのコマンドは拒否されます。

    2. Commandset-DenyAlways が ない場合、コマンドセットが Commandset-Permit である場合はそのコマンドが許可されます。 そうでない場合、そのコマンドは拒否されます。唯一の例外は 、[不一致(Unmatched)] チェックボックスがオンになっている場合です。

TACACS+ コマンドセットの作成

TACACS+ コマンドセット のポリシー結果を使用してポリシーセットを作成するには、次の手順を実行します。

手順

ステップ 1

[ワークセンター(Work Centers)] > [デバイス管理(Device Administration)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [TACACS コマンドセット(TACACS Command Sets)] の順に選択します。

[ワークセンター(Work Centers)] > [デバイス管理(Device Administration)] > [デバイス管理ポリシーセット(Device Admin Policy Sets)] ページで TACACS コマンドセットを設定することもできます。

ステップ 2

[追加(Add)] をクリックします。

ステップ 3

名前と説明 を入力します。

ステップ 4

[追加(Add)] をクリックして、権限の付与、コマンドおよび 引数を指定します。

ステップ 5

[付与(Grant)] ドロップダウンで、以下のいずれかを 選択できます。

  • [許可(Permit)]:指定した コマンドを許可する場合(たとえば、permit show、permit con* Argument terminal など)。

  • [拒否(Deny)]:指定した コマンドを拒否する場合(たとえば、deny mtrace)。

  • [常に拒否(Deny Always)]:他の コマンドセットで許可されているコマンドをオーバーライドする場合(たとえば、 clear auditlogs)。

 

[付与(Grant)] 、[コマンド(Command)] および [引数(Argument)] フィールドの列幅を増やしたり減らしたりするには、アクションアイコンを クリックします。

ステップ 6

[下にリストされていないコマンドを許可(Permit any command that is not listed below)] チェックボックスをオンにして、[付与(Grant)] 列で [許可(Permit )]、[拒否(Deny)] または [常に拒否(Deny Always)] として指定されていないコマンドおよび引数を許可します。

TACACS+ プロファイル

TACACS+ プロファイル は、デバイス管理者の最初のログインセッションを制御します。セッションは、 個々の認証、許可、またはアカウンティングの要求を参照します。ネット ワークデバイスへのセッション許可要求により、ISE 応答が発生します。この 応答には、ネットワークデバイスにより解釈されるトークンが含まれています。 ネットワークデバイスにより、セッション期間中に実行できるコマンドが制限されます。デバイス 管理アクセスサービス用の許可ポリシーでは、単一のシェルプロファイルおよび 複数のコマンドセットを含めることができます。TACACS+ プロファイル定義は、 次の 2 つのコンポーネントに分けられています。

  • 共通タスク

  • カスタム 属性

[TACACS+ プロファイル(TACACS+ Profiles)] ページ([ワークセンター(Work Centers )] > [デバイス管理(Device Administration)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [TACACS プロファイル(TACACS Profiles)])には、[タスク属性(Task Attribute)] ビューと [未処理(Raw)] ビューの 2 つのビューがあります。共通タスクは [タスク属性(Task Attribute)] ビューを 使用して入力でき、カスタム属性は [タスク属性(Task Attribute)] ビュー および [未処理(Raw)] ビューで作成できます。

[共通タスク(Common Tasks)] セクションを使用すると、 頻繁に使用されるプロファイル属性を選択および設定できます。ここに含まれる属性は、 TACACS+ プロトコルドラフト仕様で定義された属性です。ただし、 これらの値は、他のサービスからの要求の許可に使用される場合があります。[タスク属性(Task Attribute)] ビューでは、ISE 管理者はデバイス管理者に割り当てられる 権限を設定できます。一般的なタスクのタイプは次のとおりです。

  • Shell

  • WLC

  • Nexus

  • 汎用(Generic)

[カスタム属性(Custom Attributes)] セクションを使用すると、追加の属性を設定できます。[共通タスク(Common Tasks)] セクションで 認識されていない属性のリストも提供されます。各定義は、 属性名、属性が必須であるか任意であるかの指定、 および属性の値で構成されています。[未処理(Raw)] ビューでは、属性名とその値の間に等号(=)を使用して必須属性を入力することができ、 任意の属性は、属性名とその値の間に アスタリスク(*)を使用して入力できます。[未処理(Raw)] ビューで入力された 属性は、[タスク属性(Task Attribute)] ビューの [カスタム属性(Custom Attributes)] セクションに反映され、 その逆も同様です。[未処理(Raw)] ビューは、クリップボードから 属性リスト(たとえば、別の製品の属性リスト)を ISE にコピーペースト するためにも使用されます。カスタム属性は、非シェル サービスに対して定義できます。

TACACS+ プロファイルの作成

TACACS+ プロファイルを作成するには、 次の手順を実行します。

手順
ステップ 1

[ワークセンター(Work Centers)] > [デバイス管理(Device Administration)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [TACACS プロファイル(TACACS Profiles)] の順に選択します。

[ワークセンター(Work Centers)] > [デバイス管理(Device Administration)] > [デバイス管理ポリシーセット(Device Admin Policy Sets)] ページで TACACS コマンドセットを設定することもできます。

ステップ 2

[追加(Add)] をクリックします。

ステップ 3

[TACACS プロファイル(TACACS Profile)] セクションで、名前と説明を入力します。

ステップ 4

[タスク属性ビュー(Task Attribute View)] タブで、必要な 共通タスクを確認します。「 共通タスク設定 」のページを参照してください。

ステップ 5

[タスク属性ビュー(Task Attribute View)] タブの [カスタム属性(Custom Attributes)] セクションで、[追加(Add)] をクリックして必須属性を入力します。

共通タスク 設定

共通タスクの設定ページを表示するには、[ワークセンター(Work Centers)] > [デバイス管理(Device Administration)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [TACACS プロファイル(TACACS Profiles)] > [追加(Add)] に移動します。一般的なタスクタイプは、Shell、WLC、 Nexus および Generic です。

Shell

次の オプションは、ISE の管理者がデバイスの管理者権限を設定するために 使用できます。

オプション

説明

デフォルトの権限(Default Privilege )

シェル認可の デバイス管理者のデフォルトの(最初の)権限レベルをイネーブル にします。次のオプションのいずれかを選択します。

  • 0 ~ 15 の 範囲の値を選択します。

  • 必要な ID ストア 属性を選択します。

最大権限(Maximum Privilege )

イネーブル 認証の最大権限レベルを有効にします。0 ~ 15 の 範囲の値を選択できます。

アクセスコントロールリスト(Access Control List )

ASCII 文字列 (1-251*)または必要な ID ストア属性を選択します。

自動コマンド(Auto Command )

ASCII 文字列 (1-248*)または必要な ID ストア属性を選択します。

エスケープなし(No Escape)

エスケープ文字 に、次のいずれかのオプションを選択します。

  • [True]:エスケープ防止をイネーブルにすることを指定します。

  • [False]:エスケープ防止をイネーブルにしないことを指定します。

  • 必要な ID ストア属性を選択します。

Timeout

0 ~ 9999 の 範囲の値または必要な ID ストア属性を選択します。

アイドル時間(Idle Time)

0 ~ 9999 の 範囲の値または必要な ID ストア属性を選択します。

WLC

次の オプションは、ISE の管理者がデバイス管理者による WLC アプリケーションのタブへのアクセス を制御するために使用できます。WLC アプリケーション には次のタブが含まれます:[WLAN]、[コントローラ(Controller)]、[ワイヤレス(Wireless)]、[セキュリティ(Security)]、[管理(Management)] および [コマンド(Commands)]。

オプション

説明

すべて(All)

デバイス 管理者はすべての WLC アプリケーションのタブにアクセスできます。

モニタ(Monitor)

デバイス 管理者は WLC アプリケーションのタブへの読み取り専用アクセス権を持ちます。

ロビー(Lobby)

デバイス 管理者は限定された設定の権限のみを持ちます。

オン

デバイス 管理者は次のチェックボックスから ISE 管理者がチェックしたタブにアクセスできます :[WLAN]、[コントローラ(Controller)]、[ワイヤレス(Wireless)]、[セキュリティ(Security)]、[管理(Management)] および [コマンド(Commands)]。

Nexus

次の オプションは、ISE の管理者がデバイス管理者による Cisco Nexus スイッチへの アクセスを制御するために使用できます。

オプション

説明

属性 の設定

ISE の管理者は、任意または必須として一般的なタスクによって生成された Nexus 属性を 指定できます。

ネットワーク ロール

Nexus が ISE を使用して認証するように設定されると、デバイス管理者は、デフォルト では、読み取り専用アクセス権を持ちます。デバイス管理者は、これらのロールのいずれかに割り当てることが できます。各ロールは許可された操作を定義します。

  • なし(None):権限はありません。

  • オペレータ(Operator)(読み取り専用):全 NX-OS デバイスへの完全な読み取りアクセス権を 持ちます。

  • 管理者(Administrator)(読み取り/書き込み):全 NX-OS デバイスへの完全な読み取り/書き込みアクセス権を 持ちます。

仮想 デバイスコンテキスト(VDC)

なし(None): 権限はありません。

オペレータ(Operator)(読み取り専用):VDC への限定された読み取りアクセス

管理者(Administrator)(読み取り/書き込み):VDC への限定された読み取り/書き込みアクセス

[汎用(Generic)]

ISE 管理者は、一般的なタスクでは使用できないカスタム属性を 指定するオプションを使用します。

イネーブルパスワードを変更するための コマンドライン インターフェイスへのアクセス

イネーブル パスワードを変更するには、次の手順を実行します。

はじめる前に

一部のコマンドは 特権モードに割り当てられます。したがって、デバイスの管理者がこのモードに 認証されているときしか実行できません。

そのデバイスの 管理者が特権モードに入ろうとする際に、デバイスは特別なイネーブル 認証タイプを送信します。Cisco ISE は、この特別なイネーブル認証タイプを検証するために 別のイネーブルパスワードをサポートします。別のイネーブルパスワード はデバイスの管理者が内部 ID ストアに認証されているときに 使用されます。外部 ID ストアとの認証では、同じパスワードが通常のログインに対して 使用されます。

手順

ステップ 1

スイッチにログイン します。

ステップ 2

Enter を押して 次のプロンプトを表示します。 

Switch>
ステップ 3

次のコマンド を実行して、イネーブルパスワードを設定します。 

Switch> enable
Password: (Press Enter to leave the password blank.)
Enter Old Password: (Enter the old password.)
Enter New Password: (Enter the new password.)
Enter New Password Confirmation: (Confirm the new password.)
 

パスワードの有効期間がログインパスワードおよび イネーブルパスワードに設定されている場合、パスワードが指定された時間期間内に変更されないと、 ユーザアカウントは無効になります。Cisco ISE が TACACS+ サーバとして構成され、ネットワークデバイスで [バイパスを有効にする(Enable Bypass)] オプションが設定されている場合、 CLI から(telnet 経由で)イネーブルパスワードを変更できません。内部ユーザのイネーブルパスワードを変更するには、[管理(Administration)] > [IDの管理(Identity Management)] > [アイデンティティ(Identities)] > [ユーザ(Users)] を選択 します。

TACACS+ のグローバル設定

TACACS+ のグローバル設定を行うには、次の手順を実行します。

手順

ステップ 1

[ワークセンター(Work Centers)] > [デバイス管理(Device Administration)] > [設定(Settings)] の順に選択します。

[接続設定(Connection Settings)] タブで、必須フィールドのデフォルト値を変更できます。

  • [認証キャッシュタイムアウト(Authorization cache timeout)] フィールドで、内部ユーザの特定の属性を最初の認証要求時にキャッシュ化するために存続可能時間(TTL)の値を 設定できます。キャッシュ化された属性には、ユーザ名と、UserGroup などのユーザ固有の属性が含まれます。このような属性 は、[システム管理(System Administration)] > [設定(Configuration)] > [ディクショナリ(Dictionaries)] > [ID(Identity)] > [内部ユーザ(Internal Users)] で作成します。デフォルト値は 0 です。つまり、認証キャッシュが無効になっています。

  • 単一接続のサポート(Single Connect Support):シングル接続モードを無効にすると、ISE はすべての TACACS+ 要求に対して新しい TCP 接続を使用します。

ステップ 2

[パスワード変更制御(Password Change Control)] タブで、パスワードの更新を TACACS+ を介して許可するかどうかを 制御するのに必要なフィールドを定義します。

[Telnetパスワード変更を有効 にする(Enable Telnet Change Password)] セクションのプロンプトは、この オプションが選択されている場合にのみ有効です。選択されていない場合は、[Telnetパスワード変更を無効にする(Disable Telnet Change Password)] のプロンプトが有効になります。パスワード プロンプトはすべてカスタマイズ可能で、必要に応じて変更できます。

[パスワードポリシー違反メッセージ(Password Policy Violation Message)] フィールドに、新しいパスワードが指定された条件と一致しない場合に、内部ユーザが設定したパスワードに適したエラーメッセージ を表示できます。

ステップ 3

[セッションキーの割り当て(Session Key Assignment)] タブで、セッションに TACACS+ 要求をリンクするために 必要なフィールドを選択します。

セッションキー は、クライアントからの AAA 要求をリンクするためにモニタリングノードによって使用されます。デフォルト 設定では、[NASアドレス(NAS-Address)]、[ポート(Port)]、[リモートアドレス(Remote-Address)]、および [ユーザ(User)] フィールドが 有効になっています。

ステップ 4

[保存(Save)] をクリックします。

Cisco Secure ACS から Cisco ISE へのデータ移行

移行ツールを使用して、ACS 5.5 以降からデータをインポートし、すべてのネットワークデバイスにデフォルトの TACACS+ 秘密を設定できます。[ワークセンター(Work Centers)] > [デバイス管理(Device Administration)] > [概要(Overview)] に移動して、[準備(Prepare)] セクションで、[ソフトウェアのダウンロード Web ページ(Download Software Webpage)] をクリックして移行ツールをダウンロードします。ツールを PC に保存し、[migTool] フォルダから migration.bat ファイルを実行し、移行プロセスを開始します。移行に関する詳細 については、お使いのバージョンの ISE の『Migration Guide』を参照してください。

デバイス管理 アクティビティのモニタ

Cisco ISE では、 TACACS+ で設定されたデバイスのアカウンティング、認証、許可、および コマンドアカウンティングに関する情報を参照できる、さまざまなレポートおよび ログが提供されます。オンデマンドまたはスケジュールベースでこれらのレポートを 実行できます。

手順

ステップ 1

[ワークセンター(Work Centers)] > [デバイス管理(Device Administration)] > [レポート(Reports)] > [ISEレポート(ISE Reports)] の順に選択します。

また、 [操作(Operations)] > [レポート(Reports)] > [ISEレポート(ISE Reports)] ページでレポートを表示することもできます。

ステップ 2

[レポートセレクタ(Report Selector)] で、[デバイス管理(Device Administration)] を展開し、[認証概要(Authentication Summary)]、[TACACS アカウンティング(TACACS Accounting)]、[TACACS 認証(TACACS Authentication)]、[TACACS 許可(TACACS Authorization)] および、[TACACS コマンドアカウンティング(TACACS Command Accounting)]、[失敗の理由別上位 N の認証(Top N Authentication by Failure Reason)]、[ネットワークデバイス別上位 N の認証(Top N Authentication by Network Device)]、[ユーザ別上位 N の認証(Top N Authentication by User)] レポートを表示します。

ステップ 3

レポートを 選択し、[フィルタ(Filters)] ドロップダウンリストを使用して、検索するデータを選択します。

ステップ 4

データを表示する [時間範囲(Time Range)] を選択します。

ステップ 5

[実行(Run)] をクリックします。

TACACS ライブ ログ

次の表では、TACACS+ AAA の詳細を表示する [TACACS ライブ ログ(TACACS Live Logs)] ページのフィールドについて説明します。このページへのナビゲーション パスは、[操作(Operations)] > [TACACS ライブログ(TACACS Live Logs)] です。TACACS ライブ ログはプライマリ PAN だけで表示されます。

表 1.TACACS ライブ ログ

フィールド

使用上のガイドライン

生成日時(Generated Time)

特定のイベントが トリガーされた時点に基づいて、syslog の生成日時を示します。

ログに記録された時刻(Logged Time)

syslog が モニタリングノードによって処理され、保存された時刻を示します。この カラムは必須です。選択解除することはできません。

ステータス

認証が 成功したか失敗したかを示します。このカラムは必須です。選択解除することはできません。 緑色は認証が成功したことを示します。赤色は認証が 失敗したことを示します。

詳細(Details)

虫眼鏡アイコンをクリックすると、 選択した認証シナリオをドリルダウンし、 詳細情報を確認できるレポートが表示されます。このカラムは 必須です。選択解除することはできません。

セッションキー(Session Key)

ISE によって ネットワークデバイスに返される(EAP の成功メッセージまたはEAP の失敗メッセージにある) セッションキーを示します。

[ユーザ名(Username)]

デバイス 管理者のユーザ名を示します。このカラムは必須です。選択解除することは できません。

タイプ(Type)

[認証(Authentication)] および [承認(Authorization)] の 2 つのタイプで構成されます。認証、承認、またはその両方を 通過または失敗したユーザ名を示します。このカラムは必須です。 選択解除することはできません。

認証ポリシー(Authentication policy)

特定の認証に 選択されているポリシーの名前を表示します。

許可ポリシー

特定の許可に 選択されているポリシーの名前を表示します。

ISEノード(ISE Node)

アクセス 要求が処理される ISE ノードの名前を示します。

ネットワークデバイス名(Network Device Name )

ネットワーク デバイスの名前を示します。

ネットワークデバイス IP(Network Device IP )

アクセス要求 を処理するネットワークデバイスの IP アドレスを示します。

ネットワーク デバイス グループ(Network Device Groups )

ネットワーク デバイスが属する対応するネットワーク デバイス グループの名前を 示します。

デバイスタイプ(Device Type)

異なる ネットワークデバイスからのアクセス要求の処理に使用されるデバイスタイプポリシーを 示します。

参照先

ネットワーク デバイスからのアクセス要求の処理に使用されるロケーションベースのポリシーを示します。

デバイス ポート(Device Port)

アクセス 要求が行われるデバイスのポート番号を示します。

失敗の理由(Failure Reason )

ネットワーク デバイスによって行われたアクセス要求を拒否した理由を示します。

リモートアドレス(Remote Address )

エンドステーション を一意に識別する IP アドレス、MAC アドレス、またはその他の任意の文字列を 示します。

一致したコマンドセット(Matched Command Set )

MatchedCommandSet 属性値が存在する場合はその値を示し、MatchedCommandSet 属性値が空の場合、 または属性自体が syslog に存在しない場合は空の値を 示します。

シェルプロファイル(Shell Profile )

ネットワーク デバイスでコマンドを実行するためのデバイス管理者に付与された権限を 示します。

[TACACS ライブログ(TACACS Live Logs)] ページで、次を実行できます。

  • データを csv または pdf ファイル形式でエクスポートします。

  • 要件に基づいて 列を表示または非表示にします。

  • 簡易または カスタムフィルタを使用してデータをフィルタリングします。後で使用するためにフィルタを保存することも できます。

  • 列の順序を変更したり、 列の幅を調整します。

  • 列の 値をソートします。


すべてのユーザのカスタマイズは、ユーザ設定として保存されます。