脅威の封じ込め

脅威中心型 NAC サービス

脅威中心型ネットワーク アクセス コントロール(TC-NAC)機能により、脅威および脆弱性のアダプタから受信する脅威と脆弱性の属性に基づいて、許可ポリシーを作成できます。 脅威の重大度レベルと脆弱性評価の結果は、エンドポイントまたはユーザのアクセスレベルを動的に制御するために使用できます。

忠実度の高い侵害の兆候(IoC)、脅威検出イベント、および CVSS スコアを Cisco ISE に送信するように脆弱性および脅威のアダプタを設定できます。これにより、エンドポイントの権限とコンテキストを適宜変更するための脅威中心型アクセスポリシーを作成できます。

Cisco ISE では次のアダプタがサポートされています。

  • SourceFire FireAMP

  • Cognitive Threat Analytics(CTA)アダプタ

  • Qualys



    TC-NAC フローで現在サポートされているのは Qualys Enterprise Edition のみです。


  • Rapid7 Nexpose

  • Tenable Security Center

エンドポイントの脅威イベントが検出されたら、[侵害されたエンドポイント(Compromised Endpoints)] ページでエンドポイントの MAC アドレスを選択して ANC ポリシー(Quarantine など)を適用できます。 Cisco ISE は、そのエンドポイントに対して CoA をトリガーし、対応する ANC ポリシーを適用します。 ANC ポリシーが使用可能ではない場合、Cisco ISE はそのエンドポイントに対して CoA をトリガーし、元の許可ポリシーを適用します。 [侵害されたエンドポイント(Compromised Endpoints)] ページの [脅威と脆弱性のクリア(Clear Threat and Vulnerabilities)] オプションを使用して、(Cisco ISE システムデータベースから)エンドポイントに関連付けられている脅威と脆弱性をクリアできます。

脅威ディクショナリには次の属性がリストされます。

  • CTA-Course_Of_Action(値は Internal Blocking、Eradication、または Monitoring です。)

  • Qualys-CVSS_Base_Score

  • Qualys-CVSS_Temporal_Score

  • Rapid7 Nexpose-CVSS_Base_Score

  • Tenable Security Center-CVSS_Base_Score

  • Tenable Security Center-CVSS_Temporal_Score

Base Score 属性と Temporal Score 属性の有効な範囲は 0 ~ 10 です。

脆弱性イベントがエンドポイントに受信されると、Cisco ISE はそのエンドポイントの CoA をトリガーします。 ただし、脅威イベントの受信時には CoA はトリガーされません。

脆弱性属性を使用して、属性の値に基づいて脆弱なエンドポイントを自動的に隔離する許可ポリシーを作成できます。 次に例を示します。

Any Identity Group & Threat:Qualys-CVSS_Base_Score > 7.0 -> Quarantine

脅威中心型 NAC サービスを有効にする際には、次の点に注意してください。

  • 脅威中心型 NAC サービスを使用するには、Apex ライセンスが必要です。

  • 脅威中心型 NAC サービスは、展開において 1 つのノードでのみ有効にできます。

  • 脆弱性アセスメントサービスでは、ベンダーあたり 1 つのアダプタインスタンスだけを追加できます。 ただし、FireAMP アダプタ インスタンスは複数追加できます。

  • 設定を失わずにアダプタを停止、再開できます。 アダプタの設定後は、任意の時点でアダプタを停止できます。 ISE サービスの再起動時でもアダプタはこの状態のままになります。 アダプタを再起動するには、アダプタを選択して [再起動(Restart)] をクリックします。



    アダプタが [停止(Stopped)] 状態の場合、アダプタインスタンスの名前だけを編集できます。アダプタ設定や詳細設定は編集できません。


[脅威中心型 NAC ライブログ(Threat Centric NAC Live Logs)] ページ([操作(Operations)] > [TC NAC ライブログ(TC NAC Live Log)])には、脅威イベントと脆弱性イベントがすべて表示されます。 エンドポイントのインシデントタイプ、アダプタ名、一致する許可ルール、許可プロファイル(新しいプロファイルと古いプロファイル)が表示されます。 また、イベントの詳細情報も確認できます。

エンドポイントの脅威情報は次に示すページで確認できます。

  • [ホーム(Home)] ページ > [脅威(Threat)] ダッシュボード

  • [コンテキストの可視性(Context Visibility)] > [エンドポイント(Endpoints)] > [侵害されたエンドポイント(Compromised Endpoints)]

脅威中心型 NAC サービスによりトリガーされるアラームを次に示します。

  • Adapter not reachable(syslog ID:91002):アダプタに到達できないことを示します。

  • Adapter Connection Failed(syslog ID:91018):アダプタに到達できるが、アダプタとソースサーバの間の接続がダウンしていることを示します。

  • Adapter Stopped Due to Error(syslog ID:91006):このアラームは、アダプタが必要な状態になっていない場合にトリガーされます。 このアラームが表示されたら、アダプタ設定とサーバ接続を調べてください。 詳細については、アダプタログを参照してください。

  • Adapter Error(syslog ID:91009):Qualys アダプタが Qualys サイトとの接続を確立できないか、またはこのサイトから情報をダウンロードできないことを示します。

脅威中心型 NAC サービスで使用できるレポートを次に示します。

  • アダプタのステータス:アダプタのステータスレポートには、脅威と脆弱性のアダプタのステータスが表示されます。

  • COA イベント:エンドポイントの脆弱性イベントを受信すると、Cisco ISE はそのエンドポイントについて CoA をトリガーします。 CoA イベント レポートには、これらの CoA イベントのステータスが表示されます。また、これらのエンドポイントの新旧の認証ルールとプロファイルの詳細が表示されます。

  • 脅威イベント:脅威イベントレポートには、設定したさまざまなアダプタから Cisco ISE が受信した脅威イベントがすべて表示されます。 脆弱性アセスメントのイベントは、このレポートには含まれません。

  • 脆弱性アセスメント:脆弱性アセスメントレポートには、エンドポイントで実行中のアセスメントに関する情報が示されます。 このレポートを表示して、設定されたポリシーに基づいてアセスメントが行われているかどうかを確認することができます。

[操作(Operations)] > [レポート(Reports)] > [診断(Diagnostics)] > [ISE カウンタ(ISE Counters)] > [しきい値カウンタのトレンド(Threshold Counter Trends)] で、次の情報を確認できます。
  • 受信したイベントの総数

  • 脅威イベントの総数

  • 脆弱性イベントの総数

  • (PSN に対して)発行された CoA の総数

これらの属性の値は 5 分おきに収集されるため、この値は直近 5 分間の数を表します。

[脅威(Threat)] ダッシュボードには次のダッシュレットが表示されます。

  • [侵害されたエンドポイントの総数(Total Compromised Endpoints)] ダッシュレットには、ネットワーク上で現在影響を受けているエンドポイント(接続エンドポイントと切断エンドポイントの両方)の総数が表示されます。

  • [特定期間における侵害されたエンドポイント(Compromised Endpoints Over Time)] ダッシュレットには、指定された期間におけるエンドポイントへの影響の履歴ビューが表示されます。

  • [上位の脅威(Top Threats)] ダッシュレットには、影響を受けるエンドポイントの数と脅威の重大度に基づく上位の脅威が表示されます。

  • [脅威ウォッチリスト(Threats Watchlist)] ダッシュレットを使用して、選択したイベントのトレンドを分析できます。

[上位の脅威(Top Threats)] ダッシュレットでは、バブルのサイズが影響を受けるエンドポイントの数を示し、薄い影が付いているエリアが切断されているエンドポイントの数を示します。 色と縦方向の目盛りで脅威の重大度を示します。 脅威には、インディケータとインシデントという 2 つのカテゴリがあります。 インディケータの重大度属性は「Likely_Impact」、インシデントの重大度属性は「Impact_Qualification」です。

[侵害されたエンドポイント(Compromised Endpoint)] ページには、影響を受けるエンドポイントのマトリックスビューと、各脅威カテゴリの影響の重大度が示されます。 エンドポイントの詳細な脅威情報を表示するには、デバイスリンクをクリックします。

[実行されたアクション(Course Of Action)] チャートには、CTA アダプタから受信した CTA-Course_Of_Action 属性に基づき、脅威インシデントに対して実行されたアクション([内部ブロック(Internal Blocking)]、[撲滅(Eradication)]、または [モニタリング(Monitoring)])が表示されます。

[ホーム(Home)] ページの [脆弱性(Vulnerability)] ダッシュボードには、次のダッシュレットが表示されます。

  • [脆弱なエンドポイントの総数(Total Vulnerable Endpoints)] ダッシュレットには、指定された値よりも大きい CVSS スコアを持つエンドポイントの総数が表示されます。 また、CVSS スコアが指定された値よりも大きい接続エンドポイントと切断エンドポイントの総数も表示されます。

  • [上位の脆弱性(Top Vulnerability)] ダッシュレットには、影響を受けるエンドポイントの数または脆弱性の重大度に基づく上位の脅威が表示されます。 [上位の脆弱性(Top Vulnerability)] ダッシュレットでは、バブルのサイズが影響を受けるエンドポイントの数を示し、薄い影が付いているエリアが切断されているエンドポイントの数を示します。 色と縦方向の目盛りで脆弱性の重大度を示します。

  • [脆弱性ウォッチリスト(Vulnerability Watchlist)] ダッシュレットを使用して、一定期間にわたる選択した脆弱性のトレンドを分析できます。 ダッシュレットで検索アイコンをクリックし、ベンダー固有の ID(Qualys の ID 番号の場合は「qid」)を入力して、その ID 番号の傾向を選択して表示します。

  • [特定期間における脆弱なエンドポイント(Vulnerable Endpoints Over Time)] ダッシュレットには、一定期間におけるエンドポイントへの影響の履歴ビューが表示されます。

[脆弱なエンドポイント(Vulnerable Endpoints)] ページの [CVSS 別エンドポイント数(Endpoint Count By CVSS)] グラフには、影響を受けるエンドポイントの数とその CVSS スコアが表示されます。 [脆弱なエンドポイント(Vulnerable Endpoints)] ページでは、影響を受けるエンドポイントのリストも表示されます。 各エンドポイントの詳細な脆弱性情報を表示するには、デバイスリンクをクリックします。

脅威中心型 NAC サービスログはサポートバンドルに含まれています(『Cisco ISE 管理者ガイド:トラブルシューティング』の「Cisco ISE ログファイルのダウンロード 」のセクションを参照してください)。脅威中心型 NAC サービス ログは support/logs/TC-NAC/ にあります。

脅威中心型 NAC サービスの有効化

脆弱性と脅威のアダプタを設定するには、まず脅威中心型 NAC サービスを有効にする必要があります。 このサービスは、導入内の 1 つのポリシーサービスノードでのみ有効にできます。

手順


ステップ 1

[管理(Administration)] > [システム(System)] > [展開(Deployment)] を選択します。

ステップ 2

脅威中心型 NAC サービスを有効にする PSN の隣にあるチェックボックスをオンにして、[編集(Edit)] をクリックします。

ステップ 3

[脅威中心型 NAC サービスの有効化(Enable Threat Centric NAC Service)] チェックボックスをオンにします。

ステップ 4

[保存(Save)] をクリックします。


SourceFire FireAMP アダプタの追加

はじめる前に

  • SourceFire FireAMP のアカウントが必要です。

  • すべてのエンドポイントの FireAMP クライアントを導入する必要があります。

  • 脅威中心型 NAC サービスを展開ノードで有効にする必要があります(「 脅威中心型 NAC サービスの有効化」を参照)。

  • FireAMP アダプタは REST API コール(AMP クラウドへ)、およびイベントを受信する AMQP に SSL を使用します。 また、プロキシの使用をサポートしています。FireAMP アダプタは通信にポート 443 を使用します。

手順


ステップ 1

[管理(Administration)] > [脅威中心型 NAC(Threat Centric NAC)] > [サードパーティベンダー(Third Party Vendors)] の順に選択します。

ステップ 2

[追加(Add)] をクリックします。

ステップ 3

[ベンダー(Vendor)] ドロップダウンリストから [AMP:脅威(AMP:Threat)] を選択します。

ステップ 4

アダプタインスタンスの名前を入力します。

ステップ 5

[保存(Save)] をクリックします。

ステップ 6

ベンダーインスタンスのリストページを更新します。 ベンダーインスタンスのリストページでアダプタのステータスが [設定準備完了(Ready to Configure)] に変更された後でのみ、アダプタを設定できます。

ステップ 7

[設定準備完了(Ready to Configure)] リンクをクリックします。

ステップ 8

(オプション)すべてのトラフィックをルーティングするように SOCKS プロキシサーバを設定した場合、プロキシサーバのホスト名とポート番号を入力します。

ステップ 9

接続するクラウドを選択します。 US クラウドまたは EU クラウドを選択できます。

ステップ 10

サブスクライブするイベントソースを選択します。 次のオプションを使用できます。

  • [AMP イベントのみ(AMP events only)]

  • [CTA イベントのみ(CTA events only)]

  • [CTA と AMP のイベント(CTA and AMP events)]

ステップ 11

FireAMP リンクをクリックし、admin として FireAMP にログインします。 [アプリケーション(Applications)] ペインの [許可(Allow)] をクリックして、ストリーミング イベント エクスポート要求を許可します。

Cisco ISE にリダイレクトします。
ステップ 12

監視するイベントを選択します(たとえば、不審なダウンロード、疑わしいドメインへの接続、実行されたマルウェア、Java 侵害)。

詳細設定の変更またはアダプタの再設定時に、AMP クラウドに新しいイベントが追加されている場合、これらのイベントも [イベントリスト(Events Listing)] ページに表示されます。

アダプタ用のログ レベルを選択できます。選択可能なオプションは、[エラー(Error)]、[情報(Info)]、[デバッグ(Debug)] です。

アダプタインスタンスの設定の要約が [設定サマリー(Configuration Summary)] ページに表示されます。


Configure Cognitive Threat アダプタの追加

はじめる前に

  • 脅威中心型 NAC サービスを展開ノードで有効にする必要があります(「 脅威中心型 NAC サービスの有効化」を参照)。

  • http://cognitive.cisco.com/login から Cisco Cognitive Threat Analytics(CTA)ポータルにログインし、CTA STIX/TAXII サービスを要求します。 詳細については、『 Cisco ScanCenter Administrator Guide』を参照してください。

  • Cognitive Threat Analytics(CTA)アダプタは、SSL とともに TAXII プロトコルを使用して、CTA クラウドをポーリングし、検出された脅威を確認します。また、プロキシの使用をサポートしています。

  • 信頼できる証明書ストアにアダプタ証明書をインポートします。 [管理(Administration)] > [システム(System)] > [証明書(Certificates)] > [信頼できる証明書(Trusted Certificates)] > [インポート(Import)] の順に選択し、証明書をインポートします。

手順


ステップ 1

[管理(Administration)] > [脅威中心型 NAC(Threat Centric NAC)] > [サードパーティベンダー(Third Party Vendors)] の順に選択します。

ステップ 2

[追加(Add)] をクリックします。

ステップ 3

[ベンダー(Vendor)] ドロップダウンリストから [AMP:脅威(CTA:Threat)] を選択します。

ステップ 4

アダプタインスタンスの名前を入力します。

ステップ 5

[保存(Save)] をクリックします。

ステップ 6

ベンダーインスタンスのリストページを更新します。 ベンダーインスタンスのリストページでアダプタのステータスが [設定準備完了(Ready to Configure)] に変更された後でのみ、アダプタを設定できます。

ステップ 7

[設定準備完了(Ready to Configure)] リンクをクリックします。

ステップ 8

次の詳細を入力します。

  • [CTA STIX/TAXII サービスの URL(CTA STIX/TAXII service URL)]:CTA クラウドサービスの URL。 デフォルトでは URL https://taxii.cloudsec.sco.cisco.com/skym-taxii-ws/PollService/ が使用されます。

  • [CTA フィード名(CTA feed name)]:CTA クラウドサービスのフィード名を入力します。

  • [CTA ユーザ名とパスワード(CTA username and password)]:CTA クラウド サービスのユーザ名とパスワードを入力します。

  • [プロキシホストとポート(Proxy host and port)](オプション)すべてのトラフィックをルーティングするようにプロキシサーバを設定した場合、プロキシサーバのホスト名とポート番号を入力します。

  • [ポーリング間隔(Polling interval)]:各ポーリング間の間隔です。 デフォルト値は 30 分です。

  • [最初のポーリング期間(時間数)(First Poll Duration in hours)]:最初のポーリングで取得されるデータの経過時間。 デフォルト値は 2 時間です。 最大値は 12 時間です。

  • [インシデントタイプ(Incident Type)]:次のオプションを使用できます。

    • [CTA イベントのみ(CTA events only)]

    • [AMP イベントのみ(AMP events only)]

    • [CTA と AMP のイベント

ステップ 9

[次へ(Next)] をクリックします。

ステップ 10

次のオプションを設定するには、[詳細設定(Advanced Settings)] をクリックします。

  • [影響の指定(Impact Qualification)]:ポーリングするインシデントの重大度レベルを選択します。 次のオプションを使用できます。

    • [1 - 影響なし(1 - Insignificant)]

    • [2 - 妨害(2 - Distracting)]

    • [3 - 困難(3 - Painful)]

    • [4 - 損害発生(4 - Damaging)]

    • [5 - 壊滅的(5 - Catastrophic)]

    [3 - 困難(3 - Painful)] を選択した場合、重大度レベルが [3 - 困難(3 - Painful)] またはそれ以上(この場合 [4 - 損害発生(4 - Damaging)] と [5 - 壊滅的(5 - Catastrophic)])のインシデントがポーリングされます。

  • [ロギングレベル(Logging Level)]:アダプタのログレベルを選択します。 選択可能なオプションは、[エラー(Error)]、[情報(Info)]、[デバッグ(Debug)] です。

ステップ 11

[終了(Finish)] をクリックします。




CTA は Web プロキシログに IP アドレスまたはユーザ名としてリストされているユーザ ID を処理します。 具体的には、IP アドレスの場合、プロキシログで使用可能なデバイスの IP アドレスが、内部ネットワークの別のデバイスの IP アドレスと競合する可能性があります。 たとえば AnyConnect 経由で接続するローミングユーザと、インターネットに直接接続するスプリットトンネルが獲得するローカル IP 範囲アドレス(例:10.0.0.X)が、内部ネットワークで使用されている重複するプライベート IP 範囲のアドレスと競合することがあります。 不一致のデバイスに隔離アクションが適用されることを防ぐポリシーを定義するときには、論理ネットワークアーキテクチャを考慮することが推奨されます。


CTA アダプタ の許可プロファイルの設定

脅威イベントごとに、CTA アダプタは Course of Action 属性の値「Internal Blocking」、「Monitoring」、または「Eradication」のいずれかを返します。 これらの値に基づいて許可プロファイルを作成できます。

手順


ステップ 1

[ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [認証(Authorization)] > [許可プロファイル(Authorization Profiles)] を選択します。

ステップ 2

[追加(Add)] をクリックします。

ステップ 3

許可プロファイルの名前および説明を入力します。

ステップ 4

アクセス タイプを選択します。

ステップ 5

必要な詳細を入力し、[送信(Submit)] をクリックします。


Course of Action 属性を使用した許可ポリシーの設定

脅威イベントが報告されたエンドポイントに対して許可ポリシーを設定するには、CTA-Course_Of_Action 属性を使用できます。 この属性は [脅威(Threat)] ディレクトリで使用できます。

また、CTA-Course_Of_Action 属性に基づいて例外ルールを作成することもできます。

手順


ステップ 1

[ポリシー(Policy)] > [ポリシーセット(Policy Sets)] を選択します。

脅威イベントが発生したエンドポイントについて、既存のポリシールールを編集するか、または新しい例外ルールを作成することができます。
ステップ 2

CTA-Course_Of_Action 属性値を検査するための条件を作成し、適切な許可プロファイルを割り当てます。 次に例を示します。

Network_Access_Authentication_Passed AND ThreatCTA-Course_Of_Action CONTAINS Internal Blocking then blocking (authorization profile)

 

「Internal Blocking」はエンドポイントの隔離に使用することが推奨される Course of Action 属性です。

ステップ 3

[保存(Save)] をクリックします。


エンドポイントの脅威イベントを受信すると、Cisco ISE は、そのエンドポイントに一致する許可ポリシーがあるかどうかを調べ、エンドポイントがアクティブな場合にのみ CoA をトリガーします。 エンドポイントがオフラインの場合、脅威イベントの詳細が脅威イベントレポートに追加されます([操作(Operations)] > [レポート(Reports)] > [脅威中心型 NAC(Threat Centric NAC ] > [脅威イベント(Threat Events)])。


CTA が 1 つのインシデントで複数のリスクとそれらに関連付けられている Course of Action 属性を送信することがあります。 たとえば 1 つのインシデントで「Internal Blocking」と「Monitoring」(Course of Action 属性)を送信することがあります。 この場合、「equals」演算子を使用してエンドポイントを隔離する許可ポリシーが設定されていると、エンドポイントは隔離されません。 次に例を示します。

CTA-Course_Of_Action EQUALS Internal Blocking then Quarantine_Systems (authorization profile)

この場合、エンドポイントを隔離するには許可ポリシーで「contains」演算子を使用する必要があります。 次に例を示します。

CTA-Course_Of_Action CONTAINS Internal Blocking then Quarantine_Systems


Cisco ISE での 脆弱性アセスメントのサポート

Cisco Identity Services Engine は次の脆弱性アセスメント(VA)エコシステムパートナーと連携し、Cisco ISE ネットワークに接続するエンドポイントの脆弱性アセスメント結果を取得します。

  • Qualys:Qualysは、ネットワークに導入されているスキャナアプライアンスを使用するクラウドベースの評価システムです。 Cisco ISE では、Qualys と通信して VA 結果を取得するアダプタを設定できます。 管理者ポータルからアダプタを設定できます。アダプタを設定するには、スーパー管理者権限を持つ Cisco ISE 管理者アカウントが必要です。 Qualys アダプタは、Qualys クラウドサービスとの通信に REST API を使用します。 REST API にアクセスするには、Qualys でマネージャ権限が付与されたユーザアカウントが必要です。 Cisco ISE は次の Qualys REST API を使用します。

    • Host Detection List API:エンドポイントの最新スキャン結果を確認します。

    • Scan API:エンドポイントのオンデマンドスキャンをトリガーします。

    Qualys により、サブスクライブユーザが実行できる API コールの数に制限が適用されます。 デフォルトのレート制限カウントは、24 時間あたり 300 です。Cisco ISE は Qualys API バージョン 2.0 を使用して Qualys に接続します。 これらの API 機能の詳細については、『Qualys API V2 User Guide』を参照してください。
  • Rapid7 Nexpose:Cisco ISE は脆弱性管理ソリューションである Rapid 7 Nexpose と連携して、脆弱性の検出を促進します。これにより、このような脅威に迅速に対応できるようになります。 Cisco ISE は Nexpose から脆弱性データを受信し、ISE で設定したポリシーに基づいて、影響を受けるエンドポイントを隔離します。 Cisco ISE ダッシュボードから、影響を受けるエンドポイントを確認し、適切なアクションを実行できます。

    Cisco ISE は Nexpose リリース 6.4.1 でテスト済みです。

  • Tenable Security Center(Nessus スキャナ):Cisco ISE は Tenable SecurityCenter と連携し、(Tenable SecurityCenter により管理される)Tenable Nessus スキャナから脆弱性データを受信します。また、ISE で設定したポリシーに基づいて、影響を受けるエンドポイントを隔離します。 Cisco ISE ダッシュボードから、影響を受けるエンドポイントを確認し、適切なアクションを実行できます。

    Cisco ISE はTenable SecurityCenter 5.3.2 でテスト済みです。

エコシステムパートナーからの結果は Structured Threat Information Expression(STIX)表現に変換され、この値に基づき、必要に応じて認可変更(CoA)がトリガーされ、適切なアクセスレベルがエンドポイントに付与されます。

エンドポイントの脆弱性に関する評価にかかる時間は、さまざまな要因に基づいて異なるため、VA をリアルタイムで実行することはできません。 エンドポイントの脆弱性に関する評価にかかる時間に影響する要因を次に示します。

  • 脆弱性アセスメントエコシステム

  • スキャン対象の脆弱性のタイプ

  • 有効なスキャンのタイプ

  • エコシステムによりスキャナアプライアンスに割り当てられるネットワークリソースとシステムリソース

このリリースの Cisco ISE では、IPv4 アドレスを持つエンドポイントのみが脆弱性を評価できます。

脆弱性アセスメント サービスの有効化と設定

Cisco ISE で脆弱性アセスメントサービスを有効にして設定するには、次の作業を行います。

手順


ステップ 1

脅威中心型 NAC サービスの有効化.

ステップ 2

次の設定を行います。

ステップ 3

認証プロファイルの設定を行います。

ステップ 4

脆弱なエンドポイントを隔離する例外ルールの設定を行います。


脅威中心型 NAC サービスの有効化

脆弱性と脅威のアダプタを設定するには、まず脅威中心型 NAC サービスを有効にする必要があります。 このサービスは、導入内の 1 つのポリシーサービスノードでのみ有効にできます。

手順

ステップ 1

[管理(Administration)] > [システム(System)] > [展開(Deployment)] を選択します。

ステップ 2

脅威中心型 NAC サービスを有効にする PSN の隣にあるチェックボックスをオンにして、[編集(Edit)] をクリックします。

ステップ 3

[脅威中心型 NAC サービスの有効化(Enable Threat Centric NAC Service)] チェックボックスをオンにします。

ステップ 4

[保存(Save)] をクリックします。


Qualys アダプタ の設定

Cisco ISE は、Qualys 脆弱性アセスメントエコシステムをサポートしています。 Cisco ISE 用の Qualys アダプタを作成して、Qualys と通信し、VA 結果を取得する必要があります。

はじめる前に
  • 次のユーザアカウントを準備する必要があります。

    • ベンダーアダプタを設定できる、スーパー管理者権限を持つ Cisco ISE の管理者ユーザアカウント。

    • 管理者権限を持つ Qualys のユーザアカウントです。

  • 適切な Qualys ライセンスサブスクリプションがあることを確認します。 Qualys レポートセンター、ナレッジベース(KBX)、API にアクセスする必要があります。 詳細については、Qualys アカウントマネージャにお問い合わせください。

  • Cisco ISE の信頼できる証明書ストアに Qualys サーバ証明書をインポートします([管理(Administration)] > [証明書(Certificates)] > [証明書の管理(Certificate Management)] > [信頼できる証明書(Trusted Certificates)] > [インポート(Import)])。 適切なルートと中間証明書が、Cisco ISE の信頼できる証明書ストアにインポートされている(または存在する)ことを確認します。

  • Qualys API ガイドの次の設定を参照してください。

    • Qualys で CVSS スコアが有効になっていることを確認します([レポート(Reports)] > [設定(Setup)] > [CVSS スコア(CVSS Scoring)] > [CVSS スコアの有効化(Enable CVSS Scoring)])。

    • Qualys にエンドポイントの IP アドレスとサブネットマスクが追加されていることを確認します([アセット(Assets)] > [ホストアセット(Host Assets)])。

    • Qualys オプションプロファイルの名前があることを確認します。 オプションプロファイルは、Qualys がスキャンのために使用するスキャナテンプレートです。 認証されたスキャンを含むオプションプロファイルを使用することを推奨します(このオプションは、エンドポイントの MAC アドレスも確認します)。

  • HTTPS/SSL(ポート 443)を介して Qualys と通信する Cisco ISE。

手順

ステップ 1

[管理(Administration)] > [脅威中心型 NAC(Threat Centric NAC)] > [サードパーティベンダー(Third Party Vendors)] の順に選択します。

ステップ 2

[追加(Add)] をクリックします。

ステップ 3

[ベンダー(Vendor)] ドロップダウンリストから、[Qualys:VA] を選択します。

ステップ 4

アダプタインスタンスの名前を入力します。 たとえば、Qualys_Instance などです。

設定されているアダプタインスタンスのリストを含むリストページが表示されます。

ステップ 5

ベンダーインスタンスのリストページを更新します。 新しく追加された Qualys_Instance アダプタのステータスが、[設定準備完了(Ready to Configure)] に変化します。

ステップ 6

[設定準備完了(Ready to Configure)] リンクをクリックします。

ステップ 7

Qualys の設定画面で次の値を入力し、[次へ(Next)] をクリックします。

フィールド

説明

REST API ホスト(REST API Host)

Qualys クラウドをホストするサーバのホスト名です。 この情報については、Qualys の担当者にお問い合わせください。

REST API ポート(REST API Port)

443

[ユーザ名(Username)]

管理者権限を持つ Qualys のユーザアカウントです。

[パスワード(Password)]

Qualys ユーザ アカウントのパスワードです。

HTTP プロキシホスト(HTTP Proxy Host)

すべてのインターネットトラフィックをルーティングするように設定されたプロキシサーバがある場合は、プロキシサーバのホスト名を入力します。

HTTP プロキシポート(HTTP Proxy Port)

プロキシサーバが使用するポート番号を入力します。

Qualys サーバへの接続が確立されると、Qualys スキャナのリストを含む [スキャナマッピング(Scanner Mappings)] ページが表示されます。 ネットワークからの Qualys スキャナがこのページに表示されます。

ステップ 8

Cisco ISE がオンデマンドスキャンに使用するデフォルトのスキャナを選択します。

ステップ 9

[スキャナマッピングに対する PSN(PSN to Scanner Mapping)] エリアで、PSN ノードに対して 1 つ以上の Qualys スキャナアプライアンスを選択し、[次へ(Next)] をクリックします。

[詳細設定(Advanced Settings)] ページが表示されます。

ステップ 10

[詳細設定(Advanced Settings)] ページに次の値を入力します。 このページの設定は、オンデマンドスキャンがトリガーされるかどうかや、最後のスキャン結果が VA に使用されるかどうかを決定します。

フィールド

説明

オプションプロファイル(Option Profile)

Qualys がエンドポイントのスキャンのために使用するオプションプロファイルを選択します。 デフォルト オプション プロファイルである、[初期オプション(Initial Options)] を選択できます。

最後のスキャン結果 - チェック 設定

分単位の最後のスキャン結果のチェック間隔(Last scan results check interval in minutes)

(ホスト検出リスト API のアクセスレートに影響します)経過後に最後のスキャン結果を再度チェックする必要がある、分単位の時間間隔です。 有効な範囲は 1 ~ 2880 です。

最後のスキャン結果がチェックされる前の最大結果数(Maximum results before last scan results are checked)

(ホスト検出リスト API のアクセスレートに影響します)キューに登録されたスキャン要求の数がここで指定された最大数を超えた場合、[分単位の最後のスキャン結果のチェック間隔(Last scan results check interval in minutes)] フィールドで指定された時間間隔の前に最後のスキャン結果がチェックされます。 有効な範囲は 1 ~ 1000 です。

MAC アドレスの確認(Verify MAC address)

[はい(True)] または [いいえ(False)] です。[はい(True)] に設定した場合、Qualys からの最後のスキャン結果はエンドポイントの MAC アドレスを含む場合にのみ使用されます。

スキャンの設定

分単位のスキャントリガー間隔(Scan trigger interval in minutes)

(スキャン API のアクセスレートに影響します)経過後にオンデマンドスキャンがトリガーされる、分単位の時間間隔です。 有効な範囲は 1 ~ 2880 です。

スキャンがトリガーされる前の最大要求数(Maximum requests before scan is triggered)

(スキャン API のアクセスレートに影響します)キューに登録されたスキャン要求の数がここで指定された最大数を超えた場合、[分単位のスキャントリガー間隔(Scan trigger interval in minutes)] フィールドで指定された時間間隔の前にオンデマンドスキャンがトリガーされます。 有効な範囲は 1 ~ 1000 です。

分単位のスキャンステータスのチェック間隔(Scan status check interval in minutes)

経過後に Cisco ISE が Qualys と通信してスキャンのステータスをチェックする、分単位の時間間隔です。 有効な範囲は 1 ~ 60 です。

同時にトリガーできるスキャン数(Number of scans that can be triggered concurrently)

(このオプションは、[スキャナマッピング(Scanner Mappings)] 画面で各 PSN にマッピングされているスキャナの数に依存しています)各スキャナは同時に 1 つの要求のみを処理できます。 PSN に複数のスキャナをマッピングしている場合は、選択したスキャナの数に基づいてこの値を増やすことができます。 有効な範囲は 1 ~ 200 です。

分単位のスキャンタイムアウト(Scan timeout in minutes)

経過後にスキャン要求がタイムアウトする、分単位の時間です。スキャン要求がタイムアウトすると、アラームが生成されます。 有効な範囲は 20 ~ 1440 です。

スキャナごとの送信される IP アドレスの最大数(Maximum number of IP addresses to be submitted per scanner)

処理のために Qualys に送信される単一の要求にキュー登録できる要求の数を示します。 有効な範囲は 1 ~ 1000 です。

アダプタ ログ ファイル用のログ レベルの選択(Choose the log level for adapter log files)

アダプタ用のログ レベルを選択します。使用できるオプションは、[エラー(ERROR)]、[情報(INFO)]、[デバッグ(DEBUG)]、[トレース(TRACE)] です。

ステップ 11

[次へ(Next)] をクリックして、構成設定を確認します。

ステップ 12

[終了(Finish)] をクリックします。


Nexpose アダプタ の設定

Cisco ISE 用の Nexpose アダプタを作成して、Nexpose と通信し、VA 結果を取得する必要があります。

はじめる前に
  • Cisco ISE で脅威中心型 NAC サービスを有効にしていることを確認します。

  • Nexpose Security Console にログインし、ユーザアカウントを作成して次の権限をこのアカウントに付与します。
    • サイトの管理

    • レポートの作成

  • Cisco ISE の信頼できる証明書ストアに Nexpose サーバ証明書をインポートします([管理(Administration)] > [証明書(Certificates)] > [証明書の管理(Certificate Management)] > [信頼できる証明書(Trusted Certificates)] > [インポート(Import)])。 適切なルートと中間証明書が、Cisco ISE の信頼できる証明書ストアにインポートされている(または存在する)ことを確認します。

  • HTTPS/SSL(ポート 3780)を介して Nexpose と通信する Cisco ISE。

手順

ステップ 1

[管理(Administration)] > [脅威中心型 NAC(Threat Centric NAC)] > [サードパーティベンダー(Third Party Vendors)] の順に選択します。

ステップ 2

[追加(Add)] をクリックします。

ステップ 3

[ベンダー(Vendor)] ドロップダウンリストから [Rapid7 Nexpose:VA] を選択します。

ステップ 4

アダプタインスタンスの名前を入力します。 たとえば Nexpose と入力します。

設定されているアダプタインスタンスのリストを含むリストページが表示されます。

ステップ 5

ベンダーインスタンスのリストページを更新します。 新しく追加された Nexpose アダプタのステータスが、[設定準備完了(Ready to Configure)] に変化します。

ステップ 6

[設定準備完了(Ready to Configure)] リンクをクリックします。

ステップ 7

Nexpose の設定画面で次の値を入力し、[次へ(Next)] をクリックします。

フィールド

説明

[Nexpose ホスト(Nexpose Host)]

Nexpose サーバのホスト名。

[Nexpose ポート(Nexpose Port)]

3780。

[ユーザ名(Username)]

Nexpose 管理者ユーザ アカウント。

[パスワード(Password)]

Nexpose 管理者ユーザ アカウントのパスワード。

HTTP プロキシホスト(HTTP Proxy Host)

すべてのインターネットトラフィックをルーティングするように設定されたプロキシサーバがある場合は、プロキシサーバのホスト名を入力します。

HTTP プロキシポート(HTTP Proxy Port)

プロキシサーバが使用するポート番号を入力します。

ステップ 8

[次へ(Next)] をクリックして拡張設定を設定します。

ステップ 9

[詳細設定(Advanced Settings)] ページに次の値を入力します。 このページの設定は、オンデマンドスキャンがトリガーされるかどうかや、最後のスキャン結果が VA に使用されるかどうかを決定します。

フィールド

説明

最新スキャン結果のチェックの設定

[最新スキャン結果をチェックする間隔(分単位)(Interval between checking the latest scan results in minutes)]

最新スキャン結果を再度確認するまでの時間間隔(分単位)。 有効な範囲は 1 ~ 2880 です。

[最新スキャン結果を確認するトリガーとなる保留要求数(Number of pending requests that can trigger checking the latest scan results)]

[最新スキャン結果をチェックする間隔(分単位)(Interval between checking the latest scan results in minutes)] フィールドに指定した期間が経過していない場合でも、キューに登録されたスキャン要求の数がここで指定する最大数を超えると、最新スキャン結果が確認されます。 有効な範囲は 1 ~ 1000 です。

MAC アドレスの確認(Verify MAC address)

[はい(True)] または [いいえ(False)] です。[はい(True)] に設定した場合、Nexpose からの最後のスキャン結果はエンドポイントの MAC アドレスを含む場合にのみ使用されます。

スキャンの設定

[各サイトのスキャントリガー間隔(分単位)(Scan trigger interval for each site in minutes)]

スキャンがトリガーされるまでの時間間隔(分単位)。有効な範囲は 1 ~ 2880 です。

[各サイトのスキャンのトリガーとなる保留要求の数(Number of pending requests before a scan is triggered for each site)]

キューに登録されたスキャン要求の数がここで指定された最大数を超えた場合、[スキャントリガー間隔(分単位)(Scan trigger interval in minutes)] フィールドで指定された時間間隔が経過する前にスキャンがトリガーされます。 有効な範囲は 1 ~ 1000 です。

分単位のスキャンタイムアウト(Scan timeout in minutes)

経過後にスキャン要求がタイムアウトする、分単位の時間です。スキャン要求がタイムアウトすると、アラームが生成されます。 有効な範囲は 20 ~ 1440 です。

[スキャンを同時にトリガーできるサイトの数(Number of sites for which scans could be triggered concurrently)]

スキャンを同時に実行できるサイトの数。 有効な範囲は 1 ~ 200 です。

タイムゾーン(Timezone)

Nexpose サーバで設定されているタイムゾーンに基づいてタイムゾーンを選択します。

[HTTP タイムアウト(秒単位)(Http timeout in seconds)]

Cisco ISE が Nexpose からの応答を待機する時間間隔。 有効な範囲は 5 ~ 1200 です。

アダプタ ログ ファイル用のログ レベルの選択(Choose the log level for adapter log files)

アダプタ用のログ レベルを選択します。使用できるオプションは、[エラー(ERROR)]、[情報(INFO)]、[デバッグ(DEBUG)]、[トレース(TRACE)] です。

ステップ 10

[次へ(Next)] をクリックして、構成設定を確認します。

ステップ 11

[終了(Finish)] をクリックします。


Tenable アダプタ の設定

Cisco ISE が Tenable SecurityCenter(Nessus スキャナ)と通信し、VA 結果を取得するためには、Tenable アダプタを作成する必要があります。

はじめる前に


Cisco ISE で Tenable Adapter を設定する前に、Tenable SecurityCenter で次の項目を設定する必要があります。 これらの設定については、Tenable SecurityCenter のマニュアルを参照してください。


  • Tenable Security Center と Tenable Nessus Vulnerability Scanner がインストールされている必要があります。 Tenable Nessus スキャナの登録時に、[登録(Registration)] フィールドで [SecurityCenter で管理(Managed by SecurityCenter)] を必ず選択します。

  • Tenable SecurityCenter で Security Manager 権限を持つユーザアカウントを作成します。

  • SecurityCenter でリポジトリを作成します(管理者ログイン情報を使用して Tenable SecurityCenter にログインし、[リポジトリ(Repository)] > [追加(Add)] を選択します)。

  • リポジトリにスキャン対象のエンドポント IP 範囲を追加します。

  • Nessus スキャナを追加します。

  • スキャンゾーンを作成し、作成したスキャンゾーンと、これらのスキャンゾーンにマッピングされているスキャナに、IP アドレスを割り当てます。

  • ISE のスキャンポリシーを作成します。

  • アクティブなスキャンを追加し、ISE スキャンポリシーに関連付けます。 設定項目、ターゲット(IP/DNS 名)を設定します。

  • システム証明書とルート証明書を Tenable SecurityCenter からエクスポートし、Cisco ISE の信頼できる証明書ストアにインポートします([管理(Administration)] > [証明書(Certificates)] > [証明書の管理(Certificate Management)] > [信頼できる証明書(Trusted Certificates)] > [インポート(Import)])。 適切なルートと中間証明書が、Cisco ISE の信頼できる証明書ストアにインポートされている(または存在する)ことを確認します。

  • HTTPS/SSL(ポート 443)を介して Tenable SecurityCenter と通信する Cisco ISE。

手順

ステップ 1

[管理(Administration)] > [脅威中心型 NAC(Threat Centric NAC)] > [サードパーティベンダー(Third Party Vendors)] の順に選択します。

ステップ 2

[追加(Add)] をクリックします。

ステップ 3

[ベンダー(Vendor)] ドロップダウンリストから、[Tenable Security Center:VA] を選択します。

ステップ 4

アダプタインスタンスの名前を入力します。 たとえば、Tenable。

設定されているアダプタインスタンスのリストを含むリストページが表示されます。

ステップ 5

ベンダーインスタンスのリストページを更新します。 新しく追加された Tenable アダプタのステータスが、[設定準備完了(Ready to Configure)] に変化します。

ステップ 6

[設定準備完了(Ready to Configure)] リンクをクリックします。

ステップ 7

Tenable SecurityCenter の設定画面で次の値を入力し、[次へ(Next)] をクリックします。

フィールド

説明

[Tenable SecurityCenter ホスト(Tenable SecurityCenter Host)]

Tenable SecurityCenter のホスト名。

[Tenable SecurityCenter ポート(Tenable SecurityCenter Port)]

443

[ユーザ名(Username)]

Tenable SecurityCenter でセキュリティマネージャ権限を持つユーザアカウントのユーザ名。

[パスワード(Password)]

Tenable SecurityCenter でセキュリティマネージャ権限を持つユーザアカウントのパスワード。

HTTP プロキシホスト(HTTP Proxy Host)

すべてのインターネットトラフィックをルーティングするように設定されたプロキシサーバがある場合は、プロキシサーバのホスト名を入力します。

HTTP プロキシポート(HTTP Proxy Port)

プロキシサーバが使用するポート番号を入力します。

ステップ 8

[次へ(Next)] をクリックします。

ステップ 9

[詳細設定(Advanced Settings)] ページに次の値を入力します。 このページの設定は、オンデマンドスキャンがトリガーされるかどうかや、最後のスキャン結果が VA に使用されるかどうかを決定します。

フィールド

説明

リポジトリ(Repository)

Tenable SecurityCenter で作成したリポジトリを選択します。

[スキャンポリシー(Scan Policy)]

Tenable SecurityCenter で、ISE 用に作成したスキャンポリシーを選択します。

最新スキャン結果の チェックの設定

[最新スキャン結果をチェックする間隔(分単位)(Interval between checking the latest scan results in minutes)]

最新スキャン結果を再度確認するまでの時間間隔(分単位)。 有効な範囲は 1 ~ 2880 です。

[最新スキャン結果を確認するトリガーとなる保留要求数(Number of pending requests that can trigger checking the latest scan results)]

[最新スキャン結果をチェックする間隔(分単位)(Interval between checking the latest scan results in minutes)] フィールドに指定した期間が経過していない場合でも、キューに登録されたスキャン要求の数がここで指定された最大数を超えた場合、最新スキャン結果が確認されます。 有効な範囲は 1 ~ 1000 です。デフォルトは 10 です。

MAC アドレスの確認(Verify MAC address)

[はい(True)] または [いいえ(False)] です。[はい(True)] に設定した場合、Tenable SecurityCenter からの最新スキャン結果は、エンドポイントの MAC アドレスを含む場合にのみ使用されます。

スキャンの設定

[各サイトのスキャントリガー間隔(分単位)(Scan trigger interval for each site in minutes)]

オンデマンドスキャンがトリガーされるまでの時間間隔(分単位)。 有効な範囲は 1 ~ 2880 です。

[スキャンのトリガーとなる保留要求の数(Number of pending requests before a scan is triggered)]

キューに登録されたスキャン要求の数がここで指定された最大数を超えた場合、[スキャントリガー間隔(分単位)(Scan trigger interval in minutes)] フィールドで指定された時間間隔が経過する前にオンデマンドスキャンがトリガーされます。 有効な範囲は 1 ~ 1000 です。

分単位のスキャンタイムアウト(Scan timeout in minutes)

経過後にスキャン要求がタイムアウトする期間(分単位)です。 スキャン要求がタイムアウトすると、アラームが生成されます。 有効な範囲は 20 ~ 1440 です。

[並列実行可能なスキャンの数(Number of scans that could run in parallel)]

同時に実行できるスキャンの数。 有効な範囲は 1 ~ 200 です。

[HTTP タイムアウト(秒単位)(Http timeout in seconds)]

Cisco ISE が Tenable SecurityCenter からの応答を待機する時間間隔。 有効な範囲は 5 ~ 1200 です。

アダプタ ログ ファイル用のログ レベルの選択(Choose the log level for adapter log files)

アダプタ用のログ レベルを選択します。使用できるオプションは、[エラー(ERROR)]、[情報(INFO)]、[デバッグ(DEBUG)]、[トレース(TRACE)] です。

ステップ 10

[次へ(Next)] をクリックして、構成設定を確認します。

ステップ 11

[終了(Finish)] をクリックします。


認証 プロファイルの設定

Cisco ISE の許可プロファイルに、脆弱性がないかエンドポイントをスキャンするオプションが含まれるようになりました。 スキャンの定期的な実行を選択できます。また、これらのスキャンの時間間隔を指定することもできます。 許可プロファイルを定義した後、既存の認可ポリシールールに適用するか、または新しい認可ポリシールールを作成できます。

はじめる前に

脅威中心型 NAC サービスを有効にし、ベンダーアダプタを設定する必要があります。

手順

ステップ 1

[ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [認証(Authorization)] > [許可プロファイル(Authorization Profiles)] を選択します。

ステップ 2

新規の許可プロファイルを作成するか、既存のプロファイルを編集します。

ステップ 3

[共通タスク(Common Tasks)] 領域で、[脆弱性を評価する(Assess Vulnerabilities)] チェックボックスをオンにします。

ステップ 4

[アダプタインスタンス(Adapter Instance)] ドロップダウンリストから、設定したベンダーアダプタを選択します。 たとえば、Qualys_Instance などです。

ステップ 5

最後のスキャンからの時間がテキストボックスよりも大きい場合は、トリガースキャンのスキャン間隔を時間単位で入力します。 有効な範囲は 1 ~ 9999 です。

ステップ 6

[上の間隔を使用して定期的に評価する(Assess periodically using above interval)] チェックボックスをオンにします。

ステップ 7

[送信(Submit)] をクリックします。


脆弱なエンドポイント を隔離する例外ルールの設定

例外ルールを設定し、脆弱なエンドポイントへのアクセスを制限するには、次の脆弱性アセスメント属性を使用できます。

  • Threat:Qualys-CVSS_Base_Score

  • Threat:Qualys-CVSS_Temporal_Score

  • Rapid7 Nexpose-CVSS_Base_Score

  • Tenable Security Center-CVSS_Base_Score

  • Tenable Security Center-CVSS_Temporal_Score

これらの属性は [脅威(Threat)] ディレクトリで使用できます。 有効な値の範囲は 0 ~ 10 です。

エンドポイントの隔離、アクセスの制限(別のポータルへのリダイレクト)、または要求の拒否のいずれかを選択できます。

手順

ステップ 1

[ポリシー(Policy)] > [ポリシーセット(Policy Sets)] を選択します。

既存のポリシールールを編集するか、または VA 属性のチェックについて新しい例外ルールを作成します。
ステップ 2

Qualys スコアを確認して適切な許可プロファイルを割り当てるための条件を作成します。 次に例を示します。

Any Identity Group & Threat:Qualys-CVSS_Base_Score > 5 -> Quarantine (authorization profile)

ステップ 3

[保存(Save)] をクリックします。


脆弱性 アセスメントログ

Cisco ISE で出力される次のログは、VA サービスのトラブルシューティングに役立ちます。

  • vaservice.log:VA コア情報が含まれており、TC-NAC サービスを実行しているノードで使用可能です。

  • varuntime.log:エンドポイントと VA フローに関する情報が含まれており、モニタリングノードと、TC-NAC サービスを実行しているノードで使用可能です。

  • vaaggregation.log:1 時間ごとに収集されるエンドポイントの脆弱性に関する情報が含まれており、プライマリ管理ノードで使用可能です。

展開とノードの設定

[展開ノード(Deployment Nodes)] ページを使用すると、Cisco ISE(管理、ポリシーサービス、およびモニタリング)ノードとインラインポスチャノードを設定し、展開を設定することができます。

展開ノードリストウィンドウ

次の表に、展開内の Cisco ISE を設定するために使用できる [展開のノードリスト(Deployment Nodes List)] ページのフィールドを示します。このページへのナビゲーションパスは、[管理(Administration)] > [システム(System)] > [展開(Deployment)] です。

フィールド名

使用上のガイドライン

ホストネーム

ノードのホスト名を表示します。

ノード タイプ(Node Type)

ノード タイプを表示します。次のいずれかを設定できます。

  • Cisco ISE(管理、ポリシーサービス、およびモニタリング)ノード

ペルソナ(Personas)

(ノードタイプが Cisco ISE の場合にのみ表示)Cisco ISE ノードが担当してきたペルソナがリストされます。 [管理(Administration)]、[ポリシーサービス(Policy Service)] などがあります。

[役割(Role)]

このノードで管理ペルソナまたはモニタリングペルソナが有効になっている場合、これらのペルソナが担当しているロール(プライマリ、セカンダリ、またはスタンドアロン)が示されます。 ロールは、次のうちの 1 つまたは複数にできます。

  • [PRI(A)]:プライマリ PAN を意味します

  • [SEC(A)]:セカンダリ PAN を意味します

  • [PRI(M)]:プライマリ モニタリング ノードを意味します

  • [SEC(M)]:セカンダリ モニタリング ノードを意味します

サービス

(ポリシーサービスペルソナが有効な場合にのみ表示)この Cisco ISE ノードで実行されているサービスがリストされます。 サービスは次のいずれか 1 つとなります。

  • セッション(Session)

  • プロファイリング

  • すべて(All)

ノード ステータス(Node Status)

データレプリケーション用の展開内の各 ISE ノードのステータスを示します。

  • [緑(接続)(Green(Connected))]:すでに展開に登録されている ISE ノードがプライマリ PAN と同期していることを示します。

  • [赤(切断)(Red(Disconnected))]:ISE ノードに到達できないか、ISE ノードがダウンしているか、またはデータレプリケーションが行われていないことを示します。

  • [オレンジ(進行中)(Orange (In Progress))]:ISE ノードがプライマリ PAN に新規に登録されているか、手動同期操作を実行したか、または ISE ノードがプライマリ PAN と同期していないことを示します。

詳細については、[ノードステータス(Node Status)] カラムで各 ISE ノードのクイックビューアイコンをクリックします。

ノードの一般設定

次の表で、Cisco ISE ノードの [全般設定 (General Settings)] ウィンドウのフィールドについて説明します。このウィンドウでは、ペルソナをノードに割り当て、そのサービスを実行するように設定できます。 このタブのナビゲーションパスは、[管理(Administration)] > [システム(System)] > [展開(Deployment)] > [展開ノード(Deployment Node)] > [編集(Edit)] > [全般設定(General Settings)] です。
表 1.ノードの一般設定
フィールド名 使用上のガイドライン
ホストネーム Cisco ISE ノードのホスト名を表示します。
[FQDN] Cisco ISE ノードの完全修飾ドメイン名を表示します。たとえば、ise1.cisco.com などです。
IP アドレス Cisco ISE ノードの IP アドレスを表示します。
ノード タイプ(Node Type) ノード タイプを表示します。
ペルソナ(Personas)
管理(Administration)

Cisco ISE ノードに管理ペルソナを担当させる場合は、このチェックボックスをオンにします。管理ペルソナは、管理サービスを提供するようライセンスされているノードでのみ有効にできます。

ロール(Role):管理ペルソナが展開で担当しているロールを表示します。[スタンドアロン(Standalone)]、[プライマリ(Primary)]、[セカンダリ(Secondary)] のいずれかの値になります。

プライマリにする(Make Primary):ノードをプライマリ Cisco ISE ノードにする場合にこのボタンをクリックします。展開では 1 つのプライマリ Cisco ISE ノードのみを使用できます。 このページのその他のオプションは、ノードをプライマリにした後にのみアクティブになります。展開では 2 つの管理ノードのみを使用できます。 ノードにスタンドアロンロールが割り当てられている場合、[プライマリにする(Make Primary)] ボタンがノードの横に表示されます。ノードにセカンダリロールが割り当てられている場合、[プライマリに昇格(Promote to Primary)] ボタンがノードの横に表示されます。ノードにプライマリロールがあり、そのノードを使用して登録されている他のノードがない場合は、ノードの横に [スタンドアロンにする(Make Standalone)] ボタンが表示されます。 このボタンをクリックすると、プライマリノードをスタンドアロンノードにできます。

モニタリング(Monitoring)

Cisco ISE ノードにモニタリング ペルソナを担当させ、ログ コレクタとして機能させる場合は、このチェックボックスをオンにします。分散展開内にモニタリングノードが少なくとも 1 つ存在する必要があります。 プライマリ PAN の設定時に、モニタリングペルソナを有効にする必要があります。 展開内のセカンダリ モニタリング ノードを登録した後、必要に応じてプライマリ PAN を編集したり、モニタリングペルソナを無効にしたりできます。 VMware プラットフォームで Cisco ISE ノードをログコレクタとして設定するには、次のガイドラインに従って最低限必要なディスク領域を決定します。1 日あたりネットワーク内のエンドポイント 1 つにつき 180 KB、1 日あたりネットワーク内の Cisco ISE ノード 1 つにつき 2.5 MB となります。

モニタリングノードに何ヵ月分のデータを格納するかに応じて、必要な最大ディスク領域を計算します。 展開にモニタリング ノードが 1 つしかない場合は、スタンドアロン ロールを担当します。展開に 2 つのモニタリングノードがある場合は、Cisco ISE に、プライマリ-セカンダリロールを設定する他のモニタリングノードの名前が表示されます。 これらのロールを設定するには、次のいずれかを選択します。

  • プライマリ(Primary):現在のノードをプライマリ モニタリング ノードにする場合。

  • セカンダリ(Secondary):現在のノードをセカンダリ モニタリング ノードにする場合。

  • なし(None):モニタリングノードにプライマリ/セカンダリ ロールを担当させない場合。

モニタリングノードの 1 つをプライマリまたはセカンダリとして設定すると、もう一方のモニタリングノードが自動的にそれぞれセカンダリノードまたはプライマリノードになります。 プライマリ モニタリング ノードおよびセカンダリ モニタリング ノードは、管理ログおよびポリシーサービスログを受信します。 1 つのモニタリングノードのロールを [なし(None)] に変更した場合、他方のモニタリングノードのロールも同様に [なし(None)] になり、それによって高可用性ペアがキャンセルされます。モニタリングノードとしてノードを指定すると、そのノードが [管理(Administration)] > [システム(System)] > [ロギング(Logging)] > [リモートロギングターゲット(Remote Logging Targets)] ウィンドウで syslog ターゲットとして表示されます。

ポリシー サービス(Policy Service) 次のサービスの 1 つまたはすべてを有効にするには、このチェックボックスをオンにします。
  • [セッションサービスの有効化(Enable Session Services)]:ネットワーク アクセス サービス、ポスチャサービス、ゲストサービス、およびクライアント プロビジョニング サービスを有効にするには、このチェックボックスをオンにします。このポリシーサービスノードが属するグループを、[ノードをノードグループに含める(Include Node in Node Group)] ドロップダウンリストから選択します。 CA サービスと EST サービスは、セッションサービスが有効になっているポリシーサービスノードでのみ実行できることに注意してください。

    [ノードをノードグループに含める(Include Node in Node Group)] については、このポリシーサービスモードをどのグループにも含めない場合は [なし(None)] を選択します。

    同じノードグループ内のすべてのノードが、ネットワーク アクセス デバイス(NAD)で RADIUS クライアントとして設定され、CoA の許可を得る必要があります。これは、それらすべてのノードで、ノードグループ内の任意のノードを介して確立されたセッションに関する CoA 要求を発行できるためです。 ロードバランサを使用していない場合、ノードグループ内のノードは、NAD で設定されている RADIUS サーバおよびクライアントと同じであるか、またはこれらのサブセットである必要があります。 これらのノードは RADIUS サーバとしても設定できます。

    多数の ISE ノード(RADIUS サーバおよび動的許可クライアントとして)を持つ単一の NAD を設定できますが、すべてのノードが同じノードグループに属している必要はありません。

    ノード グループのメンバーは、ギガビット イーサネットなどの高速 LAN 接続を使用して相互に接続する必要があります。ノードグループのメンバーは L2 隣接関係である必要はありませんが、十分な帯域幅と到達可能性を確保するには L2 隣接関係が強く推奨されます。 詳細については、『Cisco ISE 管理者ガイド:展開 』の「ポリシー サービス ノード グループの作成」のセクションを参照してください。

  • プロファイリングサービスの有効化(Enable Profiling Service):プロファイラサービスを有効にするには、このチェックボックスをオンにします。プロファイリングサービスを有効にする場合は、[Profiling Configuration(プロファイリング設定)] タブをクリックし、必要に応じて詳細を入力する必要があります。 ポリシーサービスノードで実行されるサービスを有効または無効にしたり、このノードを変更したりする場合は、そのサービスが実行されるアプリケーション サーバ プロセスを再起動します。 これらのサービスが再起動されるまで遅延が発生します。ノードでアプリケーションサーバがいつ再起動したかを確認するには、CLI で show application status ise コマンドを使用します。

  • 脅威中心型NACサービスの有効化(Enable Threat Centric NAC Service):脅威中心型ネットワーク アクセス コントロール(TC-NAC)機能を有効にするには、このチェックボックスをオンにします。この機能では、脅威と脆弱性のアダプタから受信した脅威と脆弱性の属性に基づいて認証ポリシーを作成することができます。 脅威の重大度レベルと脆弱性評価の結果は、エンドポイントまたはユーザのアクセスレベルを動的に制御するために使用できます。

  • SXPサービスの有効化(Enable SXP Service):ノードで SXP サービスを有効にするには、このチェックボックスをオンにします。また、SXP サービスに使用するインターフェイスを指定する必要があります。

    NIC ボンディングまたはチーミングを設定している場合は、ボンディングされたインターフェイスも物理インターフェイスとともに [使用インターフェイス(Use Interface)] ドロップダウンリストに表示されます。

  • デバイス管理サービスの有効化(Enable Device Admin Service):TACACS ポリシーセット、ポリシー結果などを作成し、ネットワークデバイスの設定を制御および監査するには、このチェックボックスをオンにします。

  • パッシブIDサービスの有効化(Enable Passive Identity Service):ID マッピング機能を有効にするには、このチェックボックスをオンにします。この機能を使用すると、Cisco ISE ではなくドメインコントローラ(DC)で認証されるユーザをモニタできます。 Cisco ISE がユーザのネットワークアクセスをアクティブには認証しないネットワークでは、ID マッピング機能を使用して、Active Directory(AD)ドメインコントローラからユーザ認証情報を収集できます。

pxGrid pxGrid ペルソナを有効にするには、このチェック ボックスをオンにします。Cisco pxGrid は、Cisco ISE セッションディレクトリから Cisco Adaptive Security Appliance(ASA)などの他のポリシー ネットワーク システムへコンテキスト依存情報を共有するために使用されます。 pxGrid フレームワークは、ポリシーデータや設定データをノード間で交換するためにも使用できます(たとえば、ISE とサードパーティベンダー間でのタグやポリシーオブジェクトの共有)。また、脅威情報など、非 ISE 関連情報の交換用にも使用できます。

プロファイリング ノードの設定

次の表では、プロファイラサービスのプローブの設定に使用できる [プロファイリング設定(Profiling Configuration)] ページのフィールドについて説明します。 このページへのナビゲーションパスは、[管理(Administration)] > [システム(System)] > [展開(Deployment)] > [ISE ノード(ISE Node)] > [編集(Edit)] > [プロファイリング設定(Profiling Configuration)] です。
表 2.プロファイリングノードの 設定
フィールド名 使用上のガイドライン

NetFlow

ルータから送信された NetFlow パケットを受信および解析するために、ポリシーサービスペルソナを担当した Cisco ISE ノードごとに NetFlow を有効にする場合は、このチェックボックスをオンにします。次のオプションを選択します。

  • [インターフェイス(Interface)]:ISE ノード上のインターフェイスを選択します。

  • [ポート(Port)]:NetFlow エクスポートがルータから受信した NetFlow リスナーポート番号を入力します。デフォルト ポートは 9996 です。

DHCP

IP ヘルパーから DHCP パケットをリッスンするために、ポリシーサービスペルソナを担当した Cisco ISE ノードごとに DHCP を有効にする場合は、このチェックボックスをオンにします。次のオプションを選択します。

  • [ポート(Port)]:DHCP サーバの UDP ポート番号を入力します。デフォルト ポートは 67 です。

  • [インターフェイス(Interface)]:ISE ノード上のインターフェイスを選択します。

  • [ポート(Port)]:DHCP サーバの UDP ポート番号を入力します。デフォルト ポートは 67 です。

DHCP SPAN

DHCP パケットを収集するために、ポリシーサービスペルソナを担当した Cisco ISE ノードごとに DHCP SPAN を有効にする場合は、このチェックボックスをオンにします。

  • [インターフェイス(Interface)]:ISE ノード上のインターフェイスを選択します。

[HTTP]

HTTP パケットを受信および解析するために、ポリシーサービスペルソナを担当した Cisco ISE ノードごとに HTTP を有効にする場合は、このチェックボックスをオンにします。

  • [インターフェイス(Interface)]:ISE ノード上のインターフェイスを選択します。

RADIUS

IOS センサー対応デバイスから RADIUS セッション属性、さらに CDP 属性と LLDP 属性を収集するために、ポリシーサービスペルソナを担当した ISE ノードごとに RADIUS を有効にする場合は、このチェックボックスをオンにします。

ネットワーク スキャン(NMAP)(Network Scan (NMAP))

NMAP プローブをイネーブルにするには、このチェックボックスをオンにします。

DNS

FQDN の DNS ルックアップを実行するために、ポリシーサービスペルソナを担当した ISE ノードごとに DNS を有効にする場合は、このチェックボックスをオンにします。秒単位でタイムアウト時間を入力します。

 
DNS プローブを分散展開内の特定の Cisco ISE ノードで動作させるには、DHCP、DHCP SPAN、HTTP、RADIUS、SNMP のいずれかのプローブを有効にする必要があります。 DNS ルックアップの場合、上記のいずれかのプローブを DNS プローブとともに起動する必要があります。

SNMP クエリ(SNMP Query)

指定した間隔でネットワークデバイスをポーリングするために、ポリシーサービスペルソナを担当した ISE ノードごとに SNMP クエリを有効にする場合は、このチェックボックスをオンにします。[再試行(Retries)]、[タイムアウト(Timeout)]、[イベントタイムアウト(Event Timeout)]、任意の [説明(Description)] の各フィールドに値を入力します。

 
SNMP クエリプローブの設定に加えて、[管理(Administration)] > [ネットワークリソース(Network Resources)] > [ネットワークデバイス(Network Devices)] の場所にある他の SNMP 設定も行う必要があります。 ネットワークデバイスで SNMP 設定を行う場合は、ネットワークデバイスでシスコデバイスプロトコル(CDP)および Link Layer Discovery Protocol(LLDP)をグローバルに有効にしていることを確認します。

SNMP トラップ(SNMP Trap)

ネットワークデバイスから linkUp、linkDown、MAC 通知トラップを受信するために、ポリシーサービスペルソナを担当した ISE ノードごとに SNMP トラッププローブを有効にする場合は、このチェックボックスをオンにします。次のいずれかを選択します。
  • [リンクトラップクエリ(Link Trap Query)]:SNMP トラップを介して受信する linkup 通知と linkdown 通知を受信して解釈するには、このチェックボックスをオンにします。

  • [MAC トラップクエリ(MAC Trap Query)]:SNMP トラップを介して受信する MAC 通知を受信して解釈するには、このチェックボックスをオンにします。

  • [インターフェイス(Interface)]:ISE ノード上のインターフェイスを選択します。

  • [ポート(Port)]:使用するホストの UDP ポートを入力します。デフォルト ポートは 162 です。

Active Directory

定義された Active Directory サーバをスキャンして、Windows ユーザに関する情報を探します。

pxGrid

ISE で pxGrid を介してエンドポイント属性を収集(プロファイリング)できるようになります。

証明書ストアの設定

[証明書ストア(Certificate Store)] ページでは、認証に使用できる証明書を Cisco ISE で設定することができます。

自己署名証明書 の設定

次の表では、[自己署名証明書の生成(Generate Self Signed Certificate)] ページのフィールドについて説明します。このページでは、ノード間通信、EAP-TLS 認証、Cisco ISE Web ポータル、および pxGrid コントローラとの通信用のシステム証明書を作成できます。 このページのナビゲーションパスは、[管理(Administration)] > [システム(System)] > [証明書(Certificates)] > [システム証明書(System Certificates)] > [自己署名証明書の生成(Generate Self Signed Certificate)] です。

表 3.自己署名証明書の設定
フィールド名 使用上のガイドライン

ノードの選択(Select Node)

(必須)システム証明書を生成するノード。

一般名(Common Name)(CN)

(SAN を指定しない場合に必須)デフォルトでは、一般名は自己署名証明書を生成する ISE ノードの完全修飾ドメイン名です。

組織

組織ユニット名。Engineering など。

組織(Organization)(O)

組織名。Cisco など。

都市(City)(L)

(省略不可)都市名。 San Jose など。

州(State)(ST)

(省略不可)州名。 California など。

国(Country)(C)

国名。 2 文字の ISO 国番号を入力する必要があります。US など。

サブジェクト代替名(Subject Alternative Name)(SAN)

証明書に関連付けられた IP アドレスまたは DNS 名 IP アドレス、DNS 名、または Uniform Resource Identifier(URI)。

キー タイプ

RSA または ECDSA の公開キーの作成に使用するアルゴリズムを指定します。

キーの長さ(Key Length)

公開キーのビット サイズを指定します。RSA には、次のオプションを使用できます。
  • 512

  • 1024

  • 2048

  • 4096

ECDSA には、次のオプションを使用できます。
  • 256

  • 384

 

RSA および ECDSA の公開キーは、同じセキュリティ レベルで異なるキー長を持つことがあります。

パブリック CA 署名付き証明書を取得する場合、または FIPS 準拠ポリシー管理システムとして Cisco ISE を展開する場合は、2048 を選択します。

署名するダイジェスト(Digest to Sign With)

ハッシュアルゴリズム SHA-1 または SHA-256 を選択します。

証明書ポリシー(Certificate Policies)

証明書が従うべき証明書ポリシーの OID または OID のリストを入力します。 OID を区切るには、カンマまたはスペースを使用します。

TTL 有効期限(Expiration TTL)

証明書が失効するまでの日数を指定します。

フレンドリ名(Friendly Name)

証明書のフレンドリ名を入力します。 名前を指定しない場合は、Cisco ISE により <common name> # <issuer> # <nnnnn> の形式で自動的に名前が作成されます。<nnnnn> には一意の 5 桁の数値が入ります。

ワイルドカード証明書の許可(Allow Wildcard Certificates)

自己署名したワイルドカード証明書(サブジェクトの任意の一般名またはサブジェクト代替名の DNS 名、またはその両方にアスタリスク(*)が含まれている証明書)を生成する場合は、このチェックボックスをオンにします。 たとえば、SAN に割り当てられている DNS 名が *.amer.cisco.com の場合です。

使用方法

このシステム証明書を使用する必要があるサービスを選択します。

  • [管理者(Admin)]:管理者ポータルとの通信および展開内の ISE ノード間の通信の保護に使用されるサーバ証明書

  • [EAP 認証(EAP Authentication)]:SSL/TLS トンネリングの EAP プロトコルを使用する認証に使用されるサーバ証明書

  • [RADIUS DTLS]:RADIUS DTLS 認証に使用するサーバ証明書

  • [pxGrid]:pxGrid クライアントとサーバの間の通信を保護するクライアントおよびサーバ証明書

  • [SAML]:SAML ID プロバイダー(IdP)とのセキュア通信に使用するサーバ証明書。SAML 用の使用を目的とした証明書は、管理者認証や EAP 認証などのその他のサービスのために使用することはできません。

  • [ポータル(Portal)]:すべての Cisco ISE Web ポータルとの通信を保護するために使用されるサーバ証明書

証明書署名要求の設定

Cisco ISE では、1 つの要求で、管理者ポータルから展開内の すべての ノードの CSR を生成することができます。 また、展開内の単一ノードまたは 複数 両方の ノードのどちらの CSR を生成するのか選択することもできます。単一ノードの CSR を生成する場合、ISE は証明書サブジェクトの [CN=] フィールドの特定ノードの完全修飾ドメイン名(FQDN)を自動的に置き換えます。 証明書の [サブジェクト代替名(Subject Alternative Name (SAN))] フィールドにエントリを含めることを選択した場合、他の SAN 属性に加えて ISE ノードの FQDN を入力する必要があります。 展開内のすべてのノードの CSR を生成することを選択した場合は、[ワイルドカード証明書の許可(Allow Wildcard Certificates)] チェックボックスをオンにして、[SAN] フィールド(DNS 名)にワイルドカード表記で FQDN を入力します(*.amer.example.com など)。 EAP 認証に証明書を使用する場合は、[CN=] フィールドにワイルドカード値を入力しないでください。

ワイルドカード証明書を使用することにより、各 Cisco ISE ノードに固有の証明書を生成する必要がなくなります。 また、証明書の警告を防ぐために、SAN フィールドに複数の FQDN 値を入力する必要もありません。 SAN フィールドでアスタリスク(*)を使用すると、展開内の複数の両方のノードで単一の証明書を共有できるようになり、証明書名の不一致による警告を防止することができます。 ただし、ワイルドカード証明書は、各 Cisco ISE ノードに固有のサーバ証明書を割り当てる場合よりも安全性が低いと見なされます。

次の表に、認証局(CA)が署名可能な証明書署名要求(CSR)の生成に使用できる [証明書署名要求(Certificate Signing Request)] ページのフィールドを示します。 このページへのナビゲーション パスは、[管理(Administration)] > [システム(System)] > [証明書(Certificates)] > [証明書管理(Certificate Management)] > [証明書署名要求(Certificate Signing Request)] です。

表 4.証明書署名要求の設定
フィールド 使用上のガイドライン

証明書の用途(Certificate(s) will be used for)

証明書を使用するサービスを選択します。

Cisco ISE ID 証明書

  • [複数使用(Multi-Use)]:複数のサービス(管理者、EAP-TLS 認証、pxGrid、およびポータル)に使用されます。複数使用の証明書は、クライアントとサーバ両方のキーの用途を使用します。署名 CA の証明書テンプレートは、コンピュータまたはマシン証明書テンプレートと呼ばれます。 このテンプレートには、次のプロパティがあります。

    • [キーの用途(Key Usage)]:デジタル署名(署名)

    • [キーの拡張用途(Extended Key Usage)]:TLS Web サーバ認証(1.3.6.1.5.5.7.3.1)および TLS Web クライアント認証(1.3.6.1.5.5.7.3.2)

  • [管理者(Admin)]:サーバ認証に使用されます(管理者ポータルとの通信および展開内の ISE ノード間の通信を保護するため)。署名 CA の証明書テンプレートは、Web サーバ証明書テンプレートと呼ばれます。このテンプレートには、次のプロパティがあります。

    • [キーの用途(Key Usage)]:デジタル署名(署名)

    • [キーの拡張用途(Extended Key Usage)]:TLS Web サーバ認証(1.3.6.1.5.5.7.3.1)

  • [EAP 認証(EAP Authentication)]:サーバ認証に使用されます。署名 CA の証明書テンプレートは、コンピュータまたはマシン証明書テンプレートと呼ばれます。 このテンプレートには、次のプロパティがあります。

    • [キーの用途(Key Usage)]:デジタル署名(署名)

    • [キーの拡張用途(Extended Key Usage)]:TLS Web サーバ認証(1.3.6.1.5.5.7.3.1)

     

    EAP-TLS クライアント証明書にデジタル署名キー使用法を使用する必要があります。

  • [RADIUS DTLS]:RADIUS DTLS サーバの認証に使用されます。このテンプレートには、次のプロパティがあります。

    • [キーの用途(Key Usage)]:デジタル署名(署名)

    • [キーの拡張用途(Extended Key Usage)]:TLS Web サーバ認証(1.3.6.1.5.5.7.3.1)

  • [ポータル(Portal)]:サーバ認証に使用されます(すべての ISE Web ポータルとの通信を保護するため)。署名 CA の証明書テンプレートは、コンピュータまたはマシン証明書テンプレートと呼ばれます。 このテンプレートには、次のプロパティがあります。

    • [キーの用途(Key Usage)]:デジタル署名(署名)

    • [キーの拡張用途(Extended Key Usage)]:TLS Web サーバ認証(1.3.6.1.5.5.7.3.1)

  • [pxGrid]:クライアント認証とサーバ認証の両方に使用されます(pxGrid クライアントとサーバ間の通信を保護するため)。署名 CA の証明書テンプレートは、コンピュータまたはマシン証明書テンプレートと呼ばれます。 このテンプレートには、次のプロパティがあります。

    • [キーの用途(Key Usage)]:デジタル署名(署名)

    • [キーの拡張用途(Extended Key Usage)]:TLS Web サーバ認証(1.3.6.1.5.5.7.3.1)および TLS Web クライアント認証(1.3.6.1.5.5.7.3.2)

  • [SAML]:SAML ID プロバイダー(IdP)とのセキュア通信に使用するサーバ証明書。SAML 用の使用を目的とした証明書は、管理者認証や EAP 認証などのその他のサービスのために使用することはできません。

    • [キーの用途(Key Usage)]:デジタル署名(署名)

    • [キーの拡張用途(Extended Key Usage)]:TLS Web サーバ認証(1.3.6.1.5.5.7.3.1)

 
拡張キーの使用状況属性に任意の目的のオブジェクト識別子のための 2.5.29.37.0 の値が含まれている証明書を使用しないことをお勧めします。 拡張キーの使用状況属性に任意の目的のオブジェクト識別子のための 2.5.29.37.0 の値が含まれている証明書を使用する場合、証明書は無効と見なされ、次のエラーメッセージが表示されます。
source=local ; type=fatal ; message="unsupported certificate"

Cisco ISE 認証局 証明書

  • [ISE ルート CA(ISE Root CA)]:(内部 CA サービスにのみ適用可能)プライマリ PAN のルート CA および PSN の下位 CA を含む内部 CA 証明書チェーン全体を再生成するために使用されます。

  • [ISE 中間 CA(ISE Intermediate)]:(ISE が外部 PKI の中間 CA として機能する場合に内部 CA サービスにのみ適用可能)プライマリ PAN の中間 CA 証明書および PSN の下位 CA 証明書の生成に使用されます。 署名 CA の証明書テンプレートは、下位認証局と呼ばれます。 このテンプレートには、次のプロパティがあります。

    • [基本制約(Basic Constraints)]:重要、認証局

    • [キーの用途(Key Usage)]:証明書の署名、デジタル署名

    • [キーの拡張用途(Extended Key Usage)]:OCSP 署名(1.3.6.1.5.5.7.3.9)

  • [ISE OCSP 応答側証明書の更新(Renew ISE OCSP Responder Certificates)]:(内部 CA サービスにのみ適用可能)展開全体の ISE OCSP 応答側証明書の更新に使用されます(証明書署名要求ではありません)。セキュリティ上の理由から、ISE OCSP 応答側証明書を 6 ヵ月ごとに更新することを推奨します。

ワイルドカード証明書の許可(Allow Wildcard Certificates)

証明書の [SAN] フィールドの CN/DNS 名にワイルドカード文字(*)を使用するには、このチェックボックスをオンにします。 このチェックボックスをオンにすると、展開内のすべてのノードが自動的に選択されます。 左端のラベルの位置にアスタリスク(*)ワイルドカード文字を使用する必要があります。 ワイルドカード証明書を使用する場合は、セキュリティを強化するためにドメイン領域を分割することを推奨します。 たとえば、*.example.com の代わりに *.amer.example.com を使用して領域を分割することができます。 ドメインを分割しないと、セキュリティ問題が発生する可能性があります。

これらのノードの CSR の生成(Generate CSRs for these Nodes)

証明書を生成するノードの隣のチェックボックスをオンにします。 展開内の選択されたノードの CSR を生成するには、[ワイルドカード証明書の許可(Allow Wildcard Certificates)] オプションをオフにします。

一般名(Common Name)(CN)

デフォルトでは、一般名は CSR を生成する ISE ノードの FQDN です。 $FQDN$ は ISE ノードの FQDN を意味します。展開内の複数ノードの CSR を生成すると、CSR の [一般名(Common Name)] フィールドは各 ISE ノードの FQDN に置き換えられます。

組織

組織ユニット名。Engineering など。

組織(Organization)(O)

組織名。Cisco など。

都市(City)(L)

(省略不可)都市名。 San Jose など。

州(State)(ST)

(省略不可)州名。 California など。

国(Country)(C)

国名。 2 文字の ISO 国番号を入力する必要があります。US など。

サブジェクト代替名(Subject Alternative Name)(SAN)

証明書に関連付けられている IP アドレス、DNS 名、Uniform Resource Identifier(URI)、またはディレクトリ名。

  • [DNS 名(DNS Name)]:DNS 名を選択した場合は、ISE ノードの完全修飾ドメイン名を入力します。[ワイルドカード証明書の許可(Allow Wildcard Certificates)] オプションをオンにした場合は、ワイルドカード表記(ドメイン名の前にアスタリスクとピリオドを入力)を指定します。 *.amer.example.com など。

  • [IP アドレス(IP Address)]:証明書に関連付けられる ISE ノードの IP アドレス。

  • [Uniform Resource Identifier]:証明書に関連付ける URI。

  • [ディレクトリ名(Directory Name)]:RFC 2253 に従って定義される識別名(DN)の文字列表現。DN 間はカンマ(,)で区切ります。「dnQualifier」RDN の場合は、カンマをエスケープし、区切り文字としてバックスラッシュカンマ「\,」を使用します。 たとえば、CN=AAA,dnQualifier=O=Example\,DC=COM,C=IL などです。

キー タイプ

RSA または ECDSA の公開キーの作成に使用するアルゴリズムを指定します。

キーの長さ(Key Length)

公開キーのビット サイズを指定します。

RSA には、次のオプションを使用できます。

  • 512

  • 1024

  • 2048

  • 4096

ECDSA には、次のオプションを使用できます。

  • 256

  • 384

 

RSA および ECDSA の公開キーは、同じセキュリティレベルで異なるキー長を持つことがあります。

パブリック CA の署名付き証明書を取得するか、FIPS 準拠ポリシー管理システムとして Cisco ISE を展開する場合は 2048 以上を選択します。

署名するダイジェスト(Digest to Sign With)

ハッシュアルゴリズム SHA-1 または SHA-256 を選択します。

証明書ポリシー(Certificate Policies)

証明書が従うべき証明書ポリシーの OID または OID のリストを入力します。 OID を区切るには、カンマまたはスペースを使用します。

発行された証明書と失効した証明書

次の表で、[発行および失効した証明書の概要(Overview of Issued and Revoked Certificates)] ページのフィールドについて説明します。展開内の PSN ノードがエンドポイントに証明書を発行します。このページでは、展開内の各 PSN ノードが発行するエンドポイント証明書に関する情報を示します。 このページへのナビゲーションパスは、[管理(Administration)] > [システム(System)] > [証明書(Certificates)] > [概要(Overview)] です。

表 5.発行された証明書と失効した証明書
フィールド 使用上のガイドライン

ノード名

証明書を発行したポリシー サービス ノード(PSN)の名前。

[発行された証明書(Certificates Issued)]

PSN ノードが発行したエンドポイント証明書の数。

[取り消された証明書(Certificates Revoked)]

失効したエンドポイント証明書(PSN ノードが発行した証明書)の数。

[証明書要求(Certificates Requests)]

PSN ノードが処理した証明書ベースの認証要求の数。

[失敗した証明書(Certificates Failed)]

PSN ノードが処理する失敗した認証要求の数。

証明書のステータス(OCSP または CRL)の確認

Cisco ISE は、証明書失効リスト(CRL)を定期的にチェックします。このページを使用して、自動的にダウンロードされた CRL に対して進行中のセッションをチェックするように Cisco ISE を設定できます。 OCSP または CRL のチェックを毎日開始する時刻と、OCSP サーバまたは CRL を再度チェックする前に Cisco ISE が待機する時間間隔を時間単位で指定できます。

次の表では、[証明書定期チェックの設定(Certificate Periodic Check Settings)] ページのフィールドについて説明します。このページを使用して、証明書(OCSP または CRL)のステータスをチェックする時間間隔を指定できます。 このページへのナビゲーションパスは、[管理(Administration)] > [システム(System)] > [証明書(Certificates)] > [証明書管理(Certificate Management)] > [証明書定期チェックの設定(Certificate Periodic Check Settings)] です。

表 6.証明書定期チェックの設定
フィールド名 使用上のガイドライン

証明書チェックの設定

自動的に取得されたCRLに対する進行中のセッションのチェック(Check ongoing sessions against automatically retrieved CRL)

Cisco ISE が自動的にダウンロードされた CRL に対する進行中のセッションをチェックするようにするには、このチェックボックスをオンにします。

CRL/OCSP の定期的な証明書チェック

最初のチェック時刻(First check at)

CRL または OCSP のチェックを毎日開始する時刻を指定します。 00:00 ~ 23:59 の時間範囲の値を入力します。

チェック間隔(Check every)

CRL または OCSP サーバを再度チェックする前に Cisco ISE が待機する時間間隔を時間単位で指定します。

システム証明書 のインポート設定

次の表では、サーバ証明書をインポートするために使用できる [システム証明書のインポート(Import System Certificate)] ページのフィールドについて説明します。 このページへのナビゲーション パスは、[管理(Administration)] > [システム(System)] > [証明書(Certificates)] > [システム証明書(System Certificates)] > [インポート(Import)] です。

表 7.システム証明書のインポート設定
フィールド名 説明

ノードの選択(Select Node)

(必須) システム証明書をインポートする Cisco ISE ノードを選択します。

証明書ファイル(Certificate file)

(必須)[参照(Browse)] をクリックして、ローカルシステムから証明書ファイルを選択します。

秘密キー ファイル(Private key file)

(必須)[参照(Browse)] をクリックして、秘密キーファイルを選択します。

[パスワード(Password)]

(必須)秘密キーファイルを復号化するためのパスワードを入力します。

フレンドリ名(Friendly Name)

証明書のフレンドリ名を入力します。 名前を指定しない場合は、Cisco ISE により <common name> # <issuer> # <nnnnn> の形式で自動的に名前が作成されます。<nnnnn> には一意の 5 桁の数値が入ります。

ワイルドカード証明書の許可(Allow Wildcard Certificates)

ワイルドカード証明書(サブジェクトの任意の一般名またはサブジェクト代替名の DNS 名、またはその両方にアスタリスク(*)が含まれている証明書)をインポートする場合は、このチェックボックスをオンにします。 たとえば、SAN に割り当てられている DNS 名が *.amer.cisco.com の場合です。 このチェックボックスをオンにすると、Cisco ISE は展開内の他のすべてのノードにこの証明書をインポートします。

証明書の拡張の検証(Validate Certificate Extensions)

Cisco ISE に証明書の拡張の検証を許可する場合は、このチェックボックスをオンにします。 このチェックボックスをオンにし、かつインポートする証明書に CA フラグが true に設定された基本制約拡張が含まれている場合は、キー使用拡張が存在すること、および keyEncipherment ビットと keyAgreement ビットのいずれかまたは両方が設定されていることを確認します。

使用方法

このシステム証明書を使用する必要があるサービスを選択します。

  • [管理者(Admin)]:管理者ポータルとの通信および展開内の ISE ノード間の通信の保護に使用されるサーバ証明書

  • [EAP 認証(EAP Authentication)]:SSL/TLS トンネリングの EAP プロトコルを使用する認証に使用されるサーバ証明書

  • [RADIUS DTLS]:RADIUS DTLS 認証に使用するサーバ証明書

  • [pxGrid]:pxGrid クライアントとサーバの間の通信を保護するクライアントおよびサーバ証明書

  • [SAML]:SAML ID プロバイダー(IdP)とのセキュア通信に使用するサーバ証明書。SAML 用の使用を目的とした証明書は、管理者認証や EAP 認証などのその他のサービスのために使用することはできません。

  • [ポータル(Portal)]:すべての Cisco ISE Web ポータルとの通信を保護するために使用されるサーバ証明書

[信頼できる証明書ストア(Trusted Certificate Store)] ページ

次の表では、管理ノードに追加された証明書を表示するために使用できる [信頼できる証明書ストア(Trusted Certificates Store)] ページのフィールドについて説明します。 このページへのナビゲーションパスは、[管理(Administration)] > [システム(System)] > [証明書(Certificates)] > [信頼できる証明書(Trusted Certificates)] です。

表 8.信頼できる証明書 ページ

フィールド名

使用上のガイドライン

フレンドリ名(Friendly Name)

証明書の名前を表示します。

ステータス(Status)

有効または無効にします。[無効(Disabled)] の場合、ISE は信頼を確立するために証明書を使用しません。

信頼対象(Trusted for)

証明書を使用するサービスを表示します。

発行先(Issued To)

証明書のサブジェクトの一般名(CN)。

発行元(Issued By)

証明書の発行元の一般名(CN)。

有効期限の開始(Valid From)

「Not Before」証明書属性。

期限日(Expiration Date)

「Not After」証明書属性。

有効期限ステータス(Expiration Status)

証明書の有効期限のステータスに関する情報です。 このコラムに表示される情報メッセージには 5 つのアイコンとカテゴリがあります。

  • 緑色:期限切れまで 91 日以上

  • 青色:期限切れまで 90 日以内

  • 黄色:期限切れまで 60 日以内

  • オレンジ色:期限切れまで 30 日以内

  • 赤色: 期限切れ

証明書設定の編集

次の表では、認証局(CA)証明書属性を編集するために使用できる [証明書ストアの証明書編集(Certificate Store Edit Certificate)] ページのフィールドについて説明します。 このページへのナビゲーションパスは、[管理(Administration)] > [システム(System)] > [証明書(Certificates)] > [信頼できる証明書(Trusted Certificates)] > [証明書(Certificate)] > [編集(Edit)] です。

表 9.証明書ストア編集 設定

フィールド名

使用上のガイドライン

証明書発行元(Certificate Issuer)

フレンドリ名(Friendly Name)

証明書のフレンドリ名を入力します。

ステータス(Status)

[有効(Enabled)] または [無効(Disabled)] を選択します。 [無効(Disabled)] の場合、ISE は信頼を確立するために証明書を使用しません。

説明

任意で説明を入力します。

使用方法

ISE 内の認証用に信頼する(Trust for authentication within ISE)

この証明書で(他の ISE ノードまたは LDAP サーバから)サーバ証明書を検証する場合は、このチェックボックスをオンにします。

クライアント認証および syslog 用に信頼する(Trust for client authentication and Syslog)

([ISE 内の認証用に信頼する(Trust for authentication within ISE)] チェックボックスをオンにした場合に限り適用可能)この証明書を使用して次を行う場合は、このチェックボックスをオンにします。

  • EAP プロトコルを使用した ISE に接続するエンドポイントの認証

  • syslog サーバの信頼

シスコ サービスの認証用に信頼する(Trust for authentication of Cisco Services)

フィードサービスなどの外部シスコサービスを信頼するためにこの証明書を使用する場合は、このチェックボックスをオンにします。

証明書ステータスの検証(Certificate Status Validation)

ISE は、特定の CA が発行するクライアントまたはサーバ証明書の失効ステータスをチェックする 2 とおりの方法をサポートしています。 1 つは、Online Certificate Status Protocol(OCSP)を使用して証明書を検証することです(OCSP は、CA によって保持される OCSP サービスに要求を行います)。 もう 1 つは、ISE に CA からダウンロードした証明書失効リスト(CRL)に対して証明書を検証することです。 両方の方法は、OCSP を最初に使用し、ステータスを判断できないときに限り CRL を使用する場合に使用できます。

OCSP サービスに対して検証する(Validate Against OCSP Service)

OCSP サービスに対して証明書を検証するには、このチェックボックスをオンにします。 このボックスをオンにするには、まず OCSP サービスを作成する必要があります。

OCSP が不明なステータスを返した場合は要求を拒否する(Reject the request if OCSP returns UNKNOWN status)

認証ステータスが OCSP によって判別されなかった場合に要求を拒否するには、このチェックボックスをオンにします。 このチェックボックスをオンにした場合、OCSP サービスによって不明のステータス値が返されると、ISE は現在評価されているクライアントまたはサーバ証明書を拒否します。

OCSP応答側が到達不能な場合は要求を拒否する(Reject the request if OCSP Responder is unreachable)

OCSP 応答側が到達不能な場合に ISE が要求を拒否するには、このチェックボックスをオンにします。

CRL のダウンロード(Download CRL)

Cisco ISE で CRL をダウンロードするには、このチェックボックスをオンにします。

CRL 配信 URL(CRL Distribution URL)

CA から CRL をダウンロードするための URL を入力します。 認証局証明書で指定されている場合、このフィールドは自動的に読み込まれます。 URL は「http」、「https」、または「ldap」で始まる必要があります。

CRL の取得(Retrieve CRL)

CRL は、自動的または定期的にダウンロードできます。 ダウンロードの時間間隔を設定します。

ダウンロードが失敗した場合は待機する(If download failed, wait)

Cisco ISE が CRL を再度ダウンロードするまでに待機する時間間隔を設定します。

CRL を受信しない場合 CRL 検証をバイパスする(Bypass CRL Verification if CRL is not Received)

このチェックボックスをオンにした場合、クライアント要求は CRL が受信される前に受け入れられます。 このチェックボックスをオフにした場合、選択した CA によって署名された証明書を使用するすべてのクライアント要求は、Cisco ISE によって CRL ファイルが受信されるまで拒否されます。

CRL がまだ有効でないか、または期限切れの場合は無視する(Ignore that CRL is not yet valid or expired)

Cisco ISE で開始日と期限日を無視し、まだアクティブでないかまたは期限切れの CRL を引き続き使用し、CRL の内容に基づいて EAP-TLS 認証を許可または拒否する場合は、このチェックボックスをオンにします。

Cisco ISE で [有効日(Effective Date)] フィールドの開始日と [次の更新(Next Update)] フィールドの期限日を CRL ファイルでチェックする場合は、このチェックボックスをオフにします。 CRL がまだアクティブではないか、または期限切れの場合、その CA によって署名された証明書を使用するすべての認証は拒否されます。

信頼できる証明書のインポート設定

次の表では、認証局(CA)証明書を Cisco ISE に追加するために使用できる [信頼できる証明書のインポート(Trusted Certificate Import)] ページのフィールドについて説明します。 このページへのナビゲーションパスは、[管理(Administration)] > [システム(System)] > [証明書(Certificates)] > [信頼できる証明書(Trusted Certificates)] > [インポート(Import)] です。

表 10.信頼できる証明書のインポート 設定

フィールド

説明

証明書ファイル(Certificate file)

[参照(Browse)] をクリックして、ブラウザを実行しているコンピュータから証明書ファイルを選択します。

フレンドリ名(Friendly Name)

証明書のフレンドリ名を入力します。名前を指定しない場合は、Cisco ISE により <common name># <issuer># <nnnnn> の形式で自動的に名前が作成されます。<nnnnn> には一意の 5 桁の数値が入ります。

ISE 内の認証用に信頼する(Trust for authentication within ISE)

この証明書を(他の ISE ノードまたは LDAP サーバから)サーバ証明書の検証に使用する場合は、このチェックボックスをオンにします。

クライアント認証および syslog 用に信頼する(Trust for client authentication and Syslog)

([ISE 内の認証用に信頼する(Trust for authentication within ISE)] チェックボックスをオンにした場合に限り適用可能)この証明書を使用して次を行う場合は、このチェックボックスをオンにします。

  • EAP プロトコルを使用した ISE に接続するエンドポイントの認証

  • syslog サーバの信頼

シスコ サービスの認証用に信頼する(Trust for authentication of Cisco Services)

フィードサービスなどの外部シスコサービスを信頼するためにこの証明書を使用する場合は、このチェックボックスをオンにします。

証明書の拡張の検証(Validate Certificate Extensions)

([クライアント認証用に信頼する(Trust for client authentication)] オプションと [証明書拡張の検証を有効にする(Enable Validation of Certificate Extensions)] オプションの両方をオンにした場合のみ)「keyUsage」拡張が存在し、「keyCertSign」ビットが設定されていることと、CA フラグが true に設定された基本制約拡張が存在することを確認します。

説明

任意で説明を入力します。

OCSPクライアントプロファイル 設定

次の表では、OCSP クライアントプロファイル設定を行うために使用できる [OCSP クライアントプロファイル(OCSP Client Profile)] ページのフィールドについて説明します。 このページへのナビゲーションパスは、[管理(Administration)] > [証明書(Certificates)] > [証明書管理(Certificate Management)] > [OCSP プロファイル(OCSP Profile)] です。

表 11.OCSP クライアント プロファイル設定
フィールド名 使用上のガイドライン

名前(Name)

OCSP クライアントプロファイル名。

説明

任意で説明を入力します。

OCSP 応答側の設定

セカンダリ サーバの有効化(Enable Secondary Server)

ハイアベイラビリティのセカンダリ OCSP サーバを有効にするには、このチェックボックスをオンにします。

常にプライマリ サーバに最初にアクセスする(Always Access Primary Server First)

このオプションは、セカンダリサーバへの移動を試行する前にプライマリサーバをチェックする場合に使用します。 プライマリが以前にチェックされ、応答しないことがわかっている場合にも、Cisco ISE はセカンダリサーバに移動する前にプライマリサーバへの要求の送信を試行します。

[n 分経過後にプライマリサーバにフォールバック(Fallback to Primary Server After Interval n Minutes)]

このオプションは、Cisco ISE がセカンダリサーバに移動してから、再度プライマリサーバにフォールバックする場合に使用します。 この場合、その他の要求はすべてスキップされ、テキストボックスで設定した時間セカンダリサーバが使用されます。 許可される時間の範囲は 1 ~ 999 分です。

プライマリサーバとセカンダリサーバ(Primary and Secondary Servers)

URL

プライマリおよびセカンダリ OCSP サーバの URL を入力します。

ナンス拡張サポートの有効化(Enable Nonce Extension Support)

ナンスが OCSP 要求の一部として送信されるように設定できます。 ナンスには、OCSP 要求の疑似乱数が含まれます。 応答で受信される数値は要求に含まれる数値と同じであることが検証されています。 このオプションにより、リプレイアタックで古い通信を再利用できないことが保証されます。

応答の署名の検証(Validate Response Signature)

OCSP レスポンダは、次のいずれかの証明書を使用して応答に署名します。

  • CA 証明書

  • CA 証明書とは別の証明書

    Cisco ISE が応答の署名を検証するためには、OCSP 応答側が応答を証明書とともに送信する必要があります。そうでない場合、応答の検証は失敗し、証明書のステータスは利用できません。 RFC に従い、OCSP は異なる証明書を使用して応答に署名できます。 このことは、OCSP が Cisco ISE による検証用に応答に署名した証明書を送信する限り当てはまります。 OCSP が Cisco ISE で設定されているものとは異なる証明書を使用して応答に署名した場合、応答の検証は失敗します。

Authority Information Access(AIA)に指定されたOCSP URLを使用する(Use OCSP URLs specified in Authority Information Access (AIA))

Authority Information Access の拡張で指定されている OCSP URL を使用するには、オプションボタンをクリックします。

応答キャッシュ(Response Cache)

[キャッシュ エントリの存続可能時間 n 分(Cache Entry Time To Live n Minutes)]

キャッシュ エントリが期限切れになる時間を分単位で入力します。OCSP サーバからの各応答には nextUpdate 値が含まれています。 この値は、証明書のステータスがサーバで次にいつ更新されるかを示します。OCSP 応答がキャッシュされるとき、2 つの値(1 つは設定から、もう 1 つは応答から)が比較され、この 2 つの最小値の時間だけ応答がキャッシュされます。 nextUpdate 値が 0 の場合、応答はまったくキャッシュされません。Cisco ISE は設定された時間 OCSP 応答をキャッシュします。 キャッシュは複製されず、永続的でもないため、Cisco ISE が再起動するとキャッシュはクリアされます。 次の理由により、OCSP キャッシュは OCSP 応答を保持するために使用されます。
  • 既知の証明書に関する OCSP サーバからのネットワーク トラフィックと負荷を低減するため

  • 既知の証明書のステータスをキャッシュすることによって Cisco ISE のパフォーマンスを向上させるため

デフォルトでは、キャッシュは内部 CA OCSP クライアント プロファイルに対し 2 分に設定されています。エンドポイントが最初の認証から 2 分以内にもう一度認証すると、OCSP のキャッシュが使用され、OCSP レスポンダには問い合わせされません。 エンドポイントの証明書がキャッシュ期間内に失効した場合、以前の OCSP のステータス [良好(Good)] が使用され、認証は成功します。 キャッシュを 0 分に設定すると、応答はキャッシュされません。このオプションでは、セキュリティは向上しますが、認証のパフォーマンスは低下します。

キャッシュのクリア(Clear Cache)

OCSP サービスに接続されているすべての認証局のエントリをクリアするには、[キャッシュのクリア(Clear Cache)] をクリックします。

展開内で、[キャッシュのクリア(Clear Cache)] はすべてのノードと相互作用して、処理を実行します。このメカニズムでは、展開内のすべてのノードが更新されます。

内部 CA の設定

次の表では、内部 CA の設定ページのフィールドについて説明します。内部 CA の設定を表示し、このページから内部 CA サービスを無効にできます。 このページへのナビゲーションパスは、[管理(Administration)] > [システム(System)] > [証明書(Certificates)] > [内部 CA の設定(Internal CA Settings)] です。

表 12.内部 CA の設定
フィールド名 使用上のガイドライン

認証局の無効化(Disable Certificate Authority)

内部 CA サービスを無効にするには、このボタンをクリックします。

ホスト名(Host Name)

CA サービスを実行している Cisco ISE ノードのホスト名。

ペルソナ(Personas)

CA サービスを実行しているノードで有効な Cisco ISE ノードのペルソナ。 たとえば、管理、ポリシーサービスなどです。

ロール(Role(s))

CA サービスを実行する Cisco ISE ノードが担当するロール。 たとえば、スタンドアロンまたはプライマリまたはセカンダリです。

CA、EST、および OCSP 応答側のステータス(CA, EST & OCSP Responder Status)

[有効(Enabled)]または [無効(Disabled)] です。

OCSP 応答側 URL(OCSP Responder URL)

OCSP サーバにアクセスするための Cisco ISE ノードの URL。

SCEP URL

SCEP サーバにアクセスするための Cisco ISE ノードの URL。

証明書テンプレート の設定

次の表に、クライアント プロビジョニング ポリシーで使用される SCEP RA プロファイルの定義に使用できる [CA 証明書テンプレート(CA Certificate Template)] ページのフィールドを示します。 このページへのナビゲーションパスは、[管理(Administration)] > [システム(System)] > [証明書(Certificates)] > [証明書テンプレート(Certificate Templates)] > [追加(Add)] です。



証明書テンプレート フィールド([組織ユニット(Organizational Unit)]、[組織(Organization)]、[都市(City)]、[州(State)]、および [国(Country)])の UTF-8 文字はサポートしていません。 UTF-8 文字を証明書テンプレートで使用すると、証明書プロビジョニングが失敗します。


表 13.証明書テンプレートの設定
フィールド名 使用上のガイドライン

名前(Name)

(必須)証明書テンプレートの名前を入力します。たとえば、Internal_CA_Template とします。

説明

(任意)説明を入力します。

一般名(Common Name)(CN)

(表示のみ)一般名にはユーザ名が自動入力されます。

組織

組織ユニット名。Engineering など。

組織(Organization)(O)

組織名。Cisco など。

都市(City)(L)

(省略不可)都市名。San Jose など。

州(State)(ST)

(省略不可)州名。California など。

国(Country)(C)

国名。2 文字の ISO 国番号を入力する必要があります。 US など。

サブジェクト代替名(Subject Alternative Name)(SAN)

(表示のみ)エンドポイントの MAC アドレス。

キー タイプ

RSA または ECC

キー サイズ

(RSA を選択した場合にのみ適用可能)1024 以上のキーサイズを指定します。

曲線タイプ(Curve Type)

(ECC を選択した場合にのみ適用可能)曲線のタイプを指定します(デフォルトは P-384 です)。

SCEP RA プロファイル(SCEP RA Profile)

ISE 内部 CA または作成した外部 SCEP RA プロファイルを選択します。

有効期限(Valid Period)

証明書の期限が切れるまでの日数を入力します。

拡張キーの使用状況

クライアント認証

クライアント認証にこの証明書を使用する場合は、このチェックボックスをオンにします。

サーバ認証(Server Authentication)

サーバ認証にこの証明書を使用する場合は、このチェックボックスをオンにします。

ロギングの設定

次の各ページでは、デバッグログの重大度の設定、外部ログターゲットの作成が可能です。また、Cisco ISE がこれらの外部ログターゲットに ログメッセージを送信できるようにできます。

リモート ロギング ターゲットの設定

次の表で、外部の場所(syslog サーバ)を作成してロギングメッセージを保存するために使用できる [リモートロギングターゲット(Remote Logging Targets)] ページのフィールドについて説明します。 このページへのナビゲーション パスは、[管理(Administration)] > [システム(System)] > [ロギング(Logging)] > [リモートロギングターゲット(Remote Logging Targets)] です。

表 14.リモート ロギング ターゲット の設定

フィールド

使用上のガイドライン

名前(Name)

新しい ターゲットの名前を入力します。

ターゲット タイプ(Target Type)

ターゲット タイプを選択します。 デフォルトでは、[UDP Syslog] に設定されます。

説明(Description)

新しいターゲットの簡単な説明を入力します。

[IPアドレス(IP Address)]

ログを格納する宛先マシンの IP アドレスまたはホスト名を入力します。ISE は、ロギング用に IPv4 と IPv6 形式をサポートします。

[ポート(Port)]

宛先マシンのポート番号を入力します。

ファシリティ コード(Facility Code)

ロギングに使用する syslog ファシリティ コードを選択します。有効なオプションは、Local0 ~ Local7 です。

最大長(Maximum Length)

リモート ログ ターゲット メッセージの最大長を入力します。有効なオプションは 200 ~ 1024 バイトです。

サーバダウン時のバッファメッセージ(Buffer Message When Server Down)

TCP syslog ターゲットおよびセキュア syslog ターゲットが使用できないときに Cisco ISE に syslog メッセージをバッファさせるには、このチェックボックスをオンにします。 ISE は、接続が再開されるとターゲットへのメッセージの送信を再試行します。 接続が再開された後、メッセージは古いものから順に送信され、バッファ内のメッセージは常に新しいメッセージの前に送信されます。 バッファがいっぱいになると、古いメッセージが廃棄されます。

バッファ サイズ(MB)(Buffer Size (MB))

各 ターゲットのバッファサイズを設定します。デフォルトでは、100 MB に設定されます。バッファサイズを変更すると バッファがクリアされ、特定のターゲットのバッファリングされた既存のすべてのメッセージが失われます。

再接続タイムアウト(秒)(Reconnect Timeout (Sec))

サーバがダウンしている場合に TCP およびセキュア syslog を廃棄する前に保持する期間を秒単位で指定します。

CA 証明書の選択(Select CA Certificate)

クライアント証明書を選択します。

サーバ証明書有効性を無視(Ignore Server Certificate validation)

ISE でサーバ証明書認証が無視されるようにして、syslog サーバを許可するには、このチェックボックスをオンにします。 デフォルトでは、このオプションが無効になっているときにシステムが FIPS モードでない限り、このオプションはオフに設定 されます。

ロギング カテゴリの設定

次の表では、[ロギングカテゴリ(Logging Categories)] ページのフィールドについて説明します。これらのフィールドを使用して、ログの重大度レベル を設定し、選択したカテゴリのログが保存されるロギングターゲットを選択できます。このページへのナビゲーションパスは、[管理(Administration)] > [システム(System)] > [ロギング(Logging)] > [ロギングカテゴリ(Logging Categories)] です。

表 15.ロギング カテゴリの設定

フィールド

使用上のガイドライン

名前(Name)

ロギング カテゴリの名前を表示します。

ログの重大度レベル(Log Severity Level)

次のオプションから、診断ロギング カテゴリの重大度レベルを選択できます。

  • [重大(FATAL)]:緊急事態。 このオプションは、Cisco ISE が使用できないため、緊急措置が必要であることを意味します

  • [エラー(ERROR)]:このオプションは深刻な状態またはエラー状態を示します。

  • [警告(WARN)]:このオプションは、通常の状態ではあるが重大な状態を示します。 これがデフォルトの条件です。

  • [情報(INFO)]:このオプションは、情報メッセージを示します。

  • [デバッグ(DEBUG)]:このオプションは、診断バグ メッセージを示します。

ローカル ロギング(Local Logging)

ローカル ノードで上のこのカテゴリのロギング イベントを有効にするには、このチェックボックスをオンにします。

ターゲット(Target)

左アイコンと右アイコンを使用して [使用可能(Available)] と [選択済み(Selected)] のボックス間でターゲットを移動することによって、カテゴリのターゲットを変更できます。[使用可能(Available)] ボックスには、論理(事前定義済み)と外部(ユーザ定義)という両方の既存のロギング ターゲットが含まれています。 最初は空の [選択済み(Selected)] ボックスには、特定のカテゴリの選択済みターゲットが含まれます。

メンテナンスの設定

これらのページでは、バックアップ、復元、およびデータ消去機能を使用してデータを管理できます。

リポジトリの設定

次の表では、リポジトリを作成して バックアップファイルを保存するために使用できる [リポジトリ リスト(Repository List)] ページのフィールドについて説明します。このページへのナビゲーションパスは、[管理(Administration)] > [システム(System)] > [メンテナンス(Maintenance)] > [リポジトリ(Repository)] です。

表 16.リポジトリの設定

フィールド

使用上のガイドライン

リポジトリ(Repository)

リポジトリの名前を入力します。最大 80 文字の英数字を使用できます。

プロトコル

使用する使用可能なプロトコルの 1 つを選択します。

サーバ名(Server Name)

(TFTP、HTTP、HTTPS、FTP、SFTP、および NFS で必須)リポジトリの 作成先サーバのホスト名または IP アドレス(IPv4 または IPv6)を入力します。

 

IPv6 アドレスを使用してリポジトリを追加する場合は、IPv6 アドレスを使用して ISE eth0 インターフェイスが設定されていることを確認します。

パス

リポジトリへのパスを入力します。このパスは、リポジトリの作成時に有効であり、存在している必要があります。

この値は、サーバのルート ディレクトリを示す 2 つのスラッシュ(//)または単一のスラッシュ(/)で開始できます。 ただし、FTP プロトコルの場合は、単一のスラッシュ(/)はルート ディレクトリではなく FTP ユーザのホーム ディレクトリを示します。

PKI 認証を有効にします。

(オプション:SFTP リポジトリにのみ適用) SFTP リポジトリで RSA 公開キー認証を有効にするには、このチェックボックスをオンにします。

ユーザ名(User Name)

(FTP、SFTP、および NFS で必須)指定されたサーバに対する書き込み権限を持つユーザ名を入力します。使用できる文字は英数字のみです。

[パスワード(Password)]

(FTP、SFTP、および NFS で必須)指定されたサーバへのアクセスに使用するパスワードを入力します。パスワードに使用できる文字は、 0 ~ 9、a ~ z、A ~ Z、-、.、|、@、#、$、%、^、&、*、,、+、および = です。

オンデマンド バックアップの設定

次の表では、バックアップを任意の 時点で取得するために使用できる [オンデマンドバックアップ(On-Demand Backup)] ページのフィールドについて説明します。このページへのナビゲーションパスは、[管理(Administration)] > [システム(System)] > [バックアップ/復元(Backup & Restore)] です。
表 17.オンデマンド バックアップの設定
フィールド 使用上のガイドライン

バックアップ名(Backup Name)

バックアップ ファイルの名前を入力します。

リポジトリ名(Repository Name)

バックアップ ファイルを保存するリポジトリ。ここにリポジトリ名を入力することはできません。ドロップダウンリストから利用可能な リポジトリのみを選択できます。バックアップの実行前にリポジトリを作成していることを確認してください。

暗号化キー(Encryption Key)

このキーは、バックアップ ファイルの暗号化および解読に使用されます。

スケジュール バックアップの設定

次の表では、フルバックアップまたは差分 バックアップの復元に使用できる [スケジュールバックアップ(Scheduled Backup)] ページのフィールドについて説明します。このページへのナビゲーションパスは、[管理(Administration)] > [システム(System)] > [バックアップ/復元(Backup and Restore)] です。
表 18.スケジュール バックアップの設定
フィールド 使用上のガイドライン

名前(Name)

バックアップ ファイルの名前を入力します。任意の説明的な名前を入力できます。Cisco ISE は、 バックアップファイル名にタイムスタンプを追加して、ファイルをリポジトリに格納します。一連のバックアップを設定しても、バックアップファイル名は一意になります。 [スケジュールバックアップ(Scheduled Backup)] リストページでは、ファイルが kron occurrence ジョブ であることを示すために、バックアップファイル名に「backup_occur」が付加されます。

.

説明

バックアップの説明を入力します。

リポジトリ名(Repository Name)

バックアップ ファイルを保存するリポジトリを選択します。ここにリポジトリ名を入力することはできません。ドロップダウンリストから 利用可能なリポジトリのみを選択できます。バックアップの実行前にリポジトリを作成していることを確認してください。

暗号化キー(Encryption Key)

バックアップ ファイルを暗号化および復号化するためのキーを入力します。

スケジューリング オプション(Schedule Options)

スケジュール バックアップの頻度を選択し、適宜他のオプションに入力します。

ポリシーのエクスポート設定のスケジュール

次の表では、[ポリシーのエクスポートのスケジュール(Schedule Policy Export)] ページのフィールドについて説明します。このページへのナビゲーションパスは、[管理(Administration)] > [システム(System)] > [バックアップ/復元(Backup and Restore)] > [ポリシーのエクスポート(Policy Export)] です。
表 19.ポリシーのエクスポート設定のスケジュール
フィールド 使用上のガイドライン

暗号化(Encryption)

暗号化キー(Encryption Key)

エクスポート データを暗号化および復号化するためのキーを入力します。このフィールドは、[暗号キーを使用したエクスポート(Export with Encryption Key)] オプションを選択した場合にのみ有効になります。

[接続先(Destination)]

ローカル コンピュータにファイルをダウンロード(Download file to local computer)

ポリシー エクスポート ファイルをローカル システムにダウンロードできます。

[ファイルをメールで送信(Email file to)]

複数の電子メール アドレスをカンマで区切って入力します。

リポジトリ(Repository)

エクスポート データを保存するリポジトリを選択します。ここにリポジトリ名を入力することはできません。ドロップダウンリストから 利用可能なリポジトリのみを選択できます。ポリシーのエクスポートのスケジュールを設定する前に、リポジトリを作成してください。

今すぐエクスポート(Export Now)

指定したリポジトリにデータをすぐにエクスポートするには、このオプションをクリックします。

スケジュール

スケジューリング オプション(Schedule Options)

エクスポートのスケジュールの頻度を選択し、それに応じてその他の詳細を入力します。

管理者アクセスの設定

これらのページにより、管理者のアクセス設定を行うことができます。

管理者パスワード ポリシーの設定

次の表に、管理者パスワードが満たす必要のある基準 を定義するために使用できる [管理者パスワードポリシー(Administrator Password Policy)] ページのフィールドを示します。このページへのナビゲーションパスは、[管理(Administration)] > [システム(System)] > [管理者アクセス(Admin Access)] > [認証(Authentication)] > [パスワード ポリシー(Password Policy)] です。

表 20.管理者パスワード ポリシーの設定

フィールド

使用上のガイドライン

最小長(Minimum Length)

パスワードの最小長(文字数)を設定します。デフォルトは 6 文字です。

パスワードに使用できない文字(Password may not contain)

[管理者名またはその順序を逆にした文字列(Admin name or its characters in reverse order)]:このチェックボックスをオンにして、管理者ユーザ名またはその文字の逆順での使用を制限します。

[「cisco」またはその順序を逆にした文字列("cisco" or its characters in reverse order)]:このチェックボックスをオンにして、単語「cisco」またはその文字の逆順での使用を制限します。

[次の単語またはその順序を逆にした文字列(This word or its characters in reverse order)]:このチェックボックスをオンにして、定義したすべての単語またはその文字の逆順での使用を制限します。

[4回以上連続して繰り返された文字列(Repeated characters four or more times consecutively)]:このチェックボックスをオンにして、4 回以上連続する繰り返し文字の使用を制限します。

[辞書に載っている単語とその順序を逆にした文字列、またはその文字を他の文字に置き換えた文字列(Dictionary words, their characters in reverse order or their letters replaced with other characters)]:辞書の単語、単語の文字の逆順での使用、単語の文字の置き換えでの使用を制限します。

「s」を「$」、「a」を「@」、「o」を「0」、「l」を「1」、「i」を「!」、「e」を「3」に置き換えることはできません。たとえば、 Pa$$w0rd のような文字列は使用できません。

  • [デフォルトの辞書(Default Dictionary)]:Cisco ISE でデフォルトの Linux 辞書を使用するには、このオプションを選択します。デフォルトの辞書には約 480,000 件の英単語が含まれています。

    デフォルトでは、このオプションが選択されています。

  • [カスタム辞書(Custom Dictionary]:カスタマイズした辞書を使用するには、このオプションを選択します。[ファイルの選択(Choose File)] をクリックして、カスタム辞書ファイルを選択します。このテキストファイルでは、単語が改行文字で区切られ、拡張子は .dic、サイズは 20 MB 以下である必要があります。

必須の文字(Required Characters)

管理者パスワードに、次の 選択肢 から選択したタイプの文字が少なくとも 1 つ含まれている必要があることを指定します。

  • 小文字の英文字

  • 大文字の英文字

  • 数字(Numeric characters)

  • 英数字以外の文字(Non-alphanumeric characters)

パスワード履歴(Password History)

同じパスワードが繰り返し使用されるのを防ぐために、新しいパスワードと異なっている必要がある以前のパスワードの数を指定します。

また、以前のパスワードと異なる必要がある文字数を指定します。

ユーザがパスワードを再使用できない日数を入力します。

パスワード ライフタイム(Password Lifetime)

次のオプションを指定して、指定した期間後にパスワードを変更するようユーザに強制します。

  • パスワードが変更されなかった場合に管理者アカウントを無効にするまでの時間(日数)(Time (in days) before the administrator account is disabled if the password is not changed.)(使用可能な範囲は 0 ~ 2,147,483,647 日です)。

  • 管理者アカウントが無効になるまでのリマインダ(日数)。(Reminder (in days) before the administrator account is disabled.)

ネットワーク デバイスの機密データの表示

管理者パスワードが必要(Require Admin Password)

共有秘密やパスワードなどのネットワークデバイスの機密データを表示するために管理者ユーザがログインパスワードを入力するようにする場合には、このチェックボックスをオンにします。

パスワードのキャッシュ期間(Password cached for)

管理者ユーザによって入力されたパスワードは、この期間キャッシュされます。管理者ユーザはこの間、ネットワークデバイスの機密データを表示するために パスワードの再入力を求められることはありません。有効な範囲は 1 ~ 60 分です。

セッション タイムアウトおよびセッション情報の設定

次の表では、セッションタイムアウトを定義し、 アクティブな管理セッションを終了するために使用できる [セッション(Session)] ページのフィールドについて説明します。このページへのナビゲーションパスは、[管理(Administration)] > [システム(System)] > [管理者アクセス(Admin Access)] > [設定(Settings)] > [セッション(Session)] です。

表 21.セッション タイムアウトおよびセッション情報の設定

フィールド

使用上のガイドライン

セッションのタイムアウト(Session Timeout)

セッション アイドル タイムアウト(Session Idle Timeout)

アクティビティがない場合に管理者をログアウトするまでに Cisco ISE が待機する時間(分)を入力します。 デフォルト値は 60 分です。有効な範囲は 6 ~ 100 分です。

セッション情報(Session Info)

無効化(Invalidate)

終了するセッション ID の隣にあるチェックボックスをオンにし、[無効化(Invalidate)] をクリックします。

設定

これらのページでは、さまざまなサービスの全般設定を行うことができます。

ポスチャの全般設定

次の表では、修復時間およびポスチャステータスなどの 一般的なポスチャ設定を行うために使用できる [ポスチャの全般設定(Posture General Settings)] ページの フィールドについて説明します。このページへの ナビゲーションパスは、[管理(Administration)] > [システム(System)] > [設定(Settings)] > [ポスチャ(Posture)] > [全般設定(General Settings)] です。

表 22.ポスチャの全般 設定

フィールド

使用上のガイドライン

修復タイマー(Remediation Timer)

分単位で時間値を入力します。デフォルト値は 4 分です。有効な範囲は 1 ~ 300 分です。

ネットワーク遷移遅延(Network Transition Delay)

秒単位で時間値を入力します。デフォルト値は 3 秒です。有効な値の範囲は 2 ~ 30 秒です。

デフォルトのポスチャ ステータス(Default Posture Status)

[準拠(Compliant)] または [非準拠(Non-compliant)] を選択します。Linux のような非エージェントデバイスは、ネットワークに 接続している間、このステータスを想定します。

一定時間(秒)経過後 にログイン 成功画面を自動的に閉じる(Automatically Close Login Success Screen After)

このチェックボックスをオンにすると、指定された時間後に、 ログイン成功画面が自動的に閉じます。

チェックボックスの隣のフィールドに、時間値を 秒単位で入力します。

0 ~ 300 秒にログイン画面が自動的に 閉じるようにタイマーを設定できます。時間 をゼロに設定すると、NAC Agent および Web Agent にログイン 成功画面が表示されなくなります。

連続モニタリング間隔(Continuous Monitoring Interval)

AnyConnect がモニタリング データの送信を開始するまでの時間間隔を指定します。アプリケーション条件の場合 アプリケーションおよびハードウェア条件の場合、デフォルト値は 5 分です。

ステルス モードでの利用規約(Acceptable Use Policy in Stealth Mode)

会社のネットワーク使用条件が満たされていない 場合、ステルスモードで [ブロック(Block)] を選択して、クライアントを非準拠ポスチャステータスに移行します。

ポスチャのリース

ユーザが ネットワーク に接続するたびにポスチャ評価を行う(Perform posture assessment every time a user connects to the network)

ユーザがネットワーク に接続するたびに ポスチャ評価を開始するには、このオプションを選択します。

n 日おきにポスチャ評価を行う(Perform posture assessment every n days)

クライアントがすでにポスチャ準拠であるものの、 指定された日数が経過したら、ポスチャ評価を開始する場合は、このオプションを選択します。

最後の既知の良い状態をキャッシュする(Cache Last Known Good State)

ポスチャ評価の結果をキャッシュするには、Cisco ISE のこのチェックボックスをオンにします。デフォルトでは、このフィールドは無効です。

最後の既知の良い状態(Last Known Good State)

[最後の既知の良い状態をキャッシュする(Cache Last Known Good State)] チェックボックスをオンにしている場合のみ該当します。Cisco ISE は、このフィールドに指定した期間にわたり、ポスチャ評価の結果をキャッシュします。有効な値は 、1 ~ 30 日、1 ~ 720 時間、または 1 ~ 43200 分です。

ポスチャ再評価の構成設定

次の表では、ポスチャ 再評価の設定に使用できる [ポスチャ再評価設定(Posture Reassessment Configurations)] ページのフィールドについて説明します。このページへのナビゲーションパスは、[管理(Administration)] > [システム(System)] > [設定(Settings)] > [ポスチャ(Posture)] > [再評価(Reassessments)] です。

表 23.ポスチャ再評価の構成設定

フィールド

使用上のガイドライン

構成名

PRA 設定の名前を入力します。

設定の説明(Configuration Description)

PRA 設定の説明を入力します。

再評価適用を使用?(Use Reassessment Enforcement?)

ユーザ ID グループの PRA 設定を適用するには、チェックボックスをオンにします。

適用タイプ(Enforcement Type)

適用する次のアクションを選択します。

  • [続行(Continue)]:ユーザはポスチャ要件に関係なくクライアントを修復できるようにユーザ介入なしの特権アクセスが引き続き提供されます。

  • [ログオフ(Logoff)]:クライアントが非準拠の場合、ユーザを強制的にネットワークからログオフします。 クライアントが再度ログインしたときのコンプライアンスステータスは不明です。

  • [修復(Remediate)]:クライアントが非準拠の場合、エージェントは修復のために指定の期間待機します。 クライアントが 修復された後、エージェントはポリシーサービスノードに PRA レポートを送信します。修復がクライアントで無視された場合、 エージェントはクライアントにネットワークからログオフすることを強制するために、ポリシーサービスノードにログオフ要求を送信します。

    ポスチャ要件が [必須(mandatory)] に設定されている場合、RADIUS セッションは PRA 障害アクション の結果としてクリアされ、クライアントを再びポスチャするには新しい RADIUS セッションを開始する必要があります。

    ポスチャ要件が [オプション(optional)] に設定されている場合、NAC Agent ではユーザがエージェントから [続行(continue)] オプションをクリックできます。 ユーザは、制限なしで現在のネットワークにとどまることができます。

インターバル(Interval

最初のログイン成功後にクライアントで PRA を開始する間隔を分単位で入力します。

デフォルト値は 240 分です。最小値は 60 分、最大値は 1440 分です。

猶予時間(Grace time)

クライアントが修復を完了することのできる時間間隔を分単位で入力します。猶予時間をゼロにすることはできません。また、 PRA 間隔より大きくする必要があります。デフォルトの最小間隔(5 分)から最小 PRA 間隔までの範囲にすることができます。

最小値は 5 分、最大値は 60 分です。

 

猶予時間は、クライアントがポスチャの再評価に失敗した後、適用タイプが修復アクションに設定されている場合にだけ有効です。

ユーザ ID グループの選択(Select User Identity Groups)

PRA 設定に対して一意のグループまたはグループの一意の組み合わせを選択します。

PRA の設定(PRA configurations)

既存の PRA 設定と PRA 設定に関連付けられたユーザ ID グループを表示します。

ポスチャの利用規定の構成設定

次の表では、ポスチャのアクセプタブル ユース ポリシーを 設定するために使用できるポスチャの [利用規定設定(Acceptable Use Policy Configurations)] ページの フィールドについて説明します。このページへのナビゲーションパス は、[管理(Administration)] > [システム(System)] > [設定(Settings)] > [ポスチャ(Posture)] > [利用規定(Acceptable Use Policy)] です。

表 24.ポスチャ AUP の 設定

フィールド

使用上のガイドライン

構成名

ユーザが作成する AUP 設定の名前を入力します。

設定の説明(Configuration Description)

ユーザが作成する AUP 設定の説明を入力します。

エージェントユーザへの AUP の表示(Show AUP to Agent users)(Windows の NAC Agent および Web Agent のみ)

[エージェントユーザへの AUP の表示(Show AUP to Agent users)] チェックボックスをオンにすると、ネットワークの利用規約へのリンクがユーザ(Windows の NAC Agent と Web Agent のみ)に対して表示されます。ユーザが認証およびポスチャアセスメントに成功した際にそのリンクをクリック すると、AUP が表示されます。

AUP メッセージの URL を使用(Use URL for AUP message)オプション ボタン

このボタンを選択した場合、クライアントが認証およびポスチャアセスメントに成功した後に アクセスする必要がある AUP メッセージの URL を [AUP URL] に入力します。

AUP メッセージのファイルを使用(Use file for AUP message) オプションボタン

このボタンを選択した場合、アップロード先を 参照して、トップレベルの index.html を含む zip 形式の AUP ファイル をアップロードします。

.zip ファイルには、index.html ファイル以外のファイルやサブディレクトリを 含めることもできます。これらのファイル は、HTML タグを使用して相互に参照できます。

AUP URL

クライアントが認証およびポスチャ アセスメントに成功した際にアクセスする AUP の URL を入力します。

AUP ファイル(AUP File)

[AUP ファイル(AUP File)] で ファイルを参照し、Cisco ISE サーバにアップロードします。これは トップレベルに index.html ファイルを含む zip 形式のファイルにする必要があります。

ユーザ ID グループの選択(Select User Identity Groups)

[ユーザ ID グループの選択(Select User Identity Groups)] ドロップダウンリストで、AUP 設定の一意のユーザ ID グループまたはユーザ ID グループの一意 の組み合わせを選択します。

AUP 設定 を作成する場合は 、次の点に注意してください。

  • ポスチャ AUP は、 ゲストフロー には適用できません。

  • 各設定には、 一意のユーザ ID グループ、またはユーザ ID グループ の一意の組み合わせが必要です。

  • 2 つの設定が 共通のユーザ ID グループ を持つことはできません。

  • ユーザ ID グループ「Any」で AUP 設定を作成する場合は、まず他のすべての AUP 設定を削除します。

  • ユーザ ID グループ「Any」を使用して AUP 設定を作成した場合、一意のユーザ ID グループ、または複数のユーザ ID グループを使用して他の AUP 設定を作成することはできません。 Any 以外のユーザ ID グループを使用して AUP 設定を作成するには、 最初にユーザ ID グループ「Any」 を使用した既存の AUP 設定を削除するか、ユーザ ID グループ「Any」 を使用した既存の AUP 設定を一意のユーザ ID グループまたは複数のユーザの ID グループを使用して更新します。

利用規定設定 - 設定リスト(Acceptable use policy configurations—Configurations list)

既存の AUP 設定と AUP 設定に関連付けられたエンドユーザ ID グループを一覧表示します。

EAP-FAST 設定

次の表に、EAP-FAST、EAP-TLS、および PEAP プロトコルを設定するために使用できる [プロトコル設定(Protocol Settings)] ページのフィールドを示します。このページへのナビゲーションパスは、[管理(Administration)] > [システム(System)] > [設定(Settings)] > [プロトコル(Protocols)] > [EAP-FAST] > [EAP-FAST 設定(EAP-FAST Settings)] です。

表 25.EAP-FAST の 設定

フィールド

使用上のガイドライン

機関識別情報の説明(Authority Identity Info Description)

ログイン情報をクライアントに送信する Cisco ISE ノードを説明したわかりやすい文字列 を入力します。 クライアントは、この文字列をタイプ、長さ、および値(TLV)の Protected Access Credentials(PAC) 情報で認識できます。デフォルト値は、Identity Services Engine です。

マスター キー生成期間(Master Key Generation Period)

マスターキー 生成期間を、秒、分、時間、日、または週単位で指定します。値は、1 ~ 2147040000 秒の 正の整数である必要があります。デフォルトは 604800 秒で、これは 1 週間と同等です。

すべてのマスター キーおよび PAC の失効(Revoke all master keys and PACs)

すべてのマスターキーと PAC を失効させるには、[失効(Revoke)] をクリックします。

PAC なしセッション再開の有効化(Enable PAC-less Session Resume)

PAC ファイルなしで EAP-FAST を使用する場合は、このチェックボックスをオンにします。

PAC なしセッションのタイムアウト(PAC-less Session Timeout)

PAC なしセッション の再開がタイムアウトするまでの時間を秒単位で指定します。デフォルトは 7200 秒です。

PAC の設定

次の表では、[PAC の生成(Generate PAC)] ページ上の フィールドについて説明します。これらのフィールドを使用して、EAP-FAST 認証用の Protected Access Credentials を設定します。この ページのナビゲーションパスは、[管理(Administration)] > [システム(System)] > [設定(Settings)] > [プロトコル(Protocols)] > [EAP-FAST] > [PAC の生成(Generate PAC)] です。
表 26.EAP-FAST の PAC の生成の 設定
フィールド 使用上のガイドライン

トンネル PAC(Tunnel PAC)

トンネル PAC を生成するには、この オプションボタンをクリックします。

マシン PAC(Machine PAC)

マシン PAC を生成するには、この オプションボタンをクリックします。

TrustSec PAC

TrustSec PAC を生成するには、この オプションボタンをクリックします。

ID(Identity)

( トンネル PAC およびマシン PAC の ID フィールド用)EAP-FAST プロトコルによって「内部ユーザ名」として示されるユーザ名またはマシン名 を指定します。 ID 文字列がそのユーザ名と一致しない場合、認証は失敗します。これは、適応型セキュリティアプライアンス(ASA)で定義されている ホスト名です。ID 文字列は、ASA ホスト名に一致する必要があります。一致しない場合、ASA は生成された PAC ファイ ルをインポートできません。TrustSec PAC を生成する場合、[ID(Identity)] フィールド により TrustSec ネットワークデバイスのデバイス ID が指定され、EAP-FAST プロトコルにより イニシエータ ID とともに提供されます。ここに入力した ID 文字列がそのデバイス ID に 一致しない場合、認証は失敗します。

PAC 存続可能時間(PAC Time To Live)

( トンネル PAC およびマシン PAC 用)PAC の有効 期限を指定する値を秒単位で入力します。デフォルトは 604800 秒で、これは 1 週間と同等です。この値は、1 ~ 157680000 秒の正の整数である必要があります。 TrustSec PAC に対しては、日、週、月、または年単位で値を入力します。 デフォルト値は 1 年です。最小値は 1 日、最大値は 10 年です。

暗号化キー(Encryption Key)

暗号キーを入力します。キーの長さは 8 ~ 256 文字にする必要があります。 キーは アルファベットの大文字または小文字、数字、または英数字の組み合わせを含むことができます。

期限日(Expiration Date)

( TrustSec PAC のみ)有効期限は、PAC 存続可能 時間に基づいて計算されます。

EAP-TTLS 設定

次の表 では、[EAP-TTLS設定(EAP-TTLS Settings)] ページのフィールドについて説明します。 このページへのナビゲーションパスは、[管理(Administration)] > [システム(System)] > [設定(Settings)] > [プロトコル(Protocols)] > [EAP-TTLS] です。

表 27.EAP-TTLS 設定

フィールド

使用上のガイドライン

EAP-TTLSセッションの再開を有効にする(Enable EAP-TTLS Session Resume)

このチェックボックス をオンにすると、Cisco ISE はユーザが EAP-TTLS 認証のフェーズ 2 で正常に 認証された場合に限り、EAP-TTLS 認証のフェーズ 1 で 作成された TLS セッションをキャッシュします。ユーザが再接続しようとする場合、 元の EAP-TTLS セッションがタイムアウトしていなければ、Cisco ISE はキャッシュされた TLS セッションを使用します。このため、EAP-TTLS のパフォーマンスが向上し、AAA サーバの 負荷が軽減されます。

 

EAP-TTLS セッションが再開されると、内部方式は スキップされます。

EAP-TTLS セッションタイムアウト(EAP-TTLS Session Timeout)

EAP-TTLS セッションがタイムアウトするまでの 時間を秒単位で指定します。デフォルト 値は 7200 秒です。

EAP-TLS 設定

次の表に、 EAP-TLS プロトコル設定を行うために使用できる [EAP-TLS 設定(EAP-TLS Settings)] ページの フィールドを示します。このページへのナビゲーションパスは、[管理(Administration)] > [システム(System)] > [設定(Settings)] > [プロトコル(Protocols)] > [EAP-TLS] です。
表 28.EAP-TLS 設定
フィールド 使用上のガイドライン

EAP-TLS セッションの再開を有効にする(Enable EAP-TLS Session Resume)

完全な EAP-TLS 認証に成功したユーザの簡略化された再認証をサポートする場合に オンにします。この機能により、 Secure Sockets Layer(SSL)ハンドシェイクのみでユーザの再認証が可能となり、 証明書の適用が不要になります。EAP-TLS セッションは、 タイムアウトしていない限り動作を再開します。

EAP-TLS セッションタイムアウト(EAP-TLS Session Timeout)

EAP-TLS セッションがタイムアウトするまでの 時間を秒単位で指定します。デフォルト 値は 7200 秒です。

[ステートレスセッション再開(Stateless Session Resume)]

マスターキー生成期間(Master Key Generation Period)

マスターキー再生成までの 時間を入力します。この値により、マスターキーがアクティブである 期間が決定します。この値は秒、 分、時、日数、または週数で入力できます。

[取り消し(Revoke)]

これまでに生成されたすべてのマスターキーとチケットをキャンセルするには、[取り消し(Revoke)] をクリック します。このオプション は、セカンダリノードでは無効です。

PEAP 設定

次の表では、PEAP プロトコル設定を行うために使用できる [PEAP 設定(PEAP Settings)] ページの フィールドについて説明します。このページへのナビゲーションパスは、[管理(Administration)] > [システム(System)] > [設定(Settings)] > [プロトコル(Protocols)] > [PEAP] です。
表 29.PEAP 設定
フィールド 使用上のガイドライン

PEAP セッションの再開を有効にする(Enable PEAP Session Resume)

この チェックボックスをオンにすると、Cisco ISE はユーザが PEAP 認証 のフェーズ 2 で正常に認証された場合に限り、PEAP 認証の フェーズ 1 で作成された TLS セッションをキャッシュします。ユーザが再接続しようとする場合、元の PEAP セッションがタイムアウトしていなければ、Cisco ISE はキャッシュされた TLS セッションを使用します。このため、 PEAP のパフォーマンスが向上し、AAA サーバの負荷が軽減されます。PEAP セッション再開機能を動作させるには、 PEAP セッションタイムアウト値を指定する必要があります。

PEAP セッションタイムアウト(PEAP Session Timeout)

PEAP セッションがタイムアウトするまでの 時間を秒単位で指定します。デフォルト値 は 7200 秒です。

高速再接続を有効にする(Enable Fast Reconnect)

この チェックボックスをオンにすると、セッション再開機能が有効な場合に、 ユーザのログイン情報を確認しないで PEAP セッションが Cisco ISE で再開することが許可されます。

RADIUS 設定

次の表に、[RADIUS 設定(RADIUS Settings)] ページにある 各フィールドの説明を示します。このページ へのナビゲーションパスは、[管理(Administration)] > [システム(System)] > [設定(Settings)] > [プロトコル(Protocols)] > [RADIUS] です。

[繰り返し失敗する クライアントの抑制(Suppress Repeated Failed Clients)] オプションを有効にすると、認証が繰り返し失敗するクライアントは監査 ログに出力されず、 指定された期間にわたってこれらのクライアントからの要求が自動的に拒否されます。また、認証失敗回数 を指定できます。失敗回数がこの回数を超えると、これらのクライアントからの要求は拒否されます。 たとえばこの値を 5 に設定すると、クライアント認証が 5 回失敗した場合、 指定された期間にわたってそのクライアントから受信する要求はすべて拒否されます。



認証失敗の原因が誤ったパスワードの入力である場合、クライアントは抑制されません。


表 30.RADIUS 設定

フィールド

使用上のガイドライン

[繰り返し失敗するクライアントの抑制(Suppress Repeated Failed Clients)]

[繰り返し失敗するクライアントの抑制(Suppress Repeated Failed Clients)]

同じ理由で繰り返し認証に失敗するクライアントを抑止するには、この チェックボックスをオンにします。これらのクライアントは監査ログに出力されず、また [繰り返し失敗したクライアントからの RADIUS 要求を拒否する(Reject RADIUS Requests from Clients with Repeated Failures)] オプションが有効な場合には、指定された期間にわたってこれらのクライアントからの 要求が拒否されます。

[2 回の失敗を検出する期間(Detect Two Failures Within)]

分単位で 時間間隔を入力します。クライアントがこの期間内に同じ 理由で 2 回認証に失敗すると、監査ログに出力されず、また [繰り返し失敗したクライアントからの RADIUS 要求を拒否する(Reject RADIUS Requests from Clients with Repeated Failures)] オプションが有効な場合には、指定された期間にわたってこのクライアントからの 要求が拒否されます。

[失敗を報告する間隔(Report Failures Once Every)]

報告対象の認証失敗の 時間間隔を分単位で入力します。 たとえば、この値を 15 分に設定すると、繰り返し 認証に失敗するクライアントが 15 分に 1 回だけ監査ログに報告されるため、 報告の重複が防止されます。

[繰り返し失敗したクライアントからの RADIUS 要求を拒否する(Reject RADIUS Requests from Clients with Repeated Failures)]

認証が繰り返し失敗するクライアントからの RADIUS 要求を自動的に拒否するには、この チェックボックスをオンにします。Cisco ISE による 不要な処理を防ぎ、Denial of Service(DoS)攻撃 から防御するには、このオプションを有効にします。

[自動拒否前の失敗回数(Failures Prior to Automatic Rejection)]

認証失敗回数を入力します。認証失敗回数がこの値を超えると、繰り返し 失敗するクライアントからの要求は自動的に拒否されます。設定されている期間([要求を拒否する期間(Continue Rejecting Requests for)] で指定)にわたり、これらの クライアントから受信する要求はすべて自動的に拒否されます。 この 期間が経過した後では、これらのクライアントからの認証要求が処理されます。

[要求を拒否する期間(Continue Rejecting Requests for)]

繰り返し 失敗するクライアントからの要求を拒否する 時間間隔を分単位で入力します。

[繰り返し発生するアカウンティング更新を無視する期間(Ignore Repeated Accounting Updates Within)]

この期間内に繰り返し発生する アカウンティング更新は無視されます。

[成功レポートの抑制(Suppress Successful Reports)]

繰り返される認証成功の抑制(Suppress Repeated Successful Authentications)

直近の 24 時間で、ID、ネットワークデバイス、および 許可のコンテキストに変更がない認証要求成功が繰り返し報告 されないようにするには、このチェックボックスをオンにします。

[認証の詳細(Authentications Details)]

[次よりも長いステップを強調表示(Highlight Steps Longer Than)]

ミリ秒単位で 時間間隔を入力します。1 つのステップの実行が 指定のしきい値を超えると、認証 詳細ページでそのステップがクロックアイコンでマークされます。

無効なユーザ名を開示する(Disclose Invalid Usernames)

このチェック ボックスをオンにすると、RADIUS ライブ ログに「USERNAME」または「INVALID」とラベル付けされたユーザ名が開示されます。認証概要レポートのように、RADIUS ライブログにも ログイン済みのユーザ名を表示できます。このオプションは、30 分後に自動的に無効 になります。

[高レートなRADIUS要求を検出する(Detect High Rate of RADIUS Requests)]

[定常的に高レートなRADIUS要求を検出する(Detect Steady High Rate of Radius Requests)]

[RADIUS要求の期間(Duration of RADIUS requests)] および [RADIUS要求の合計数(Total number of RADIUS requests)] フィールドで指定した上限を超える場合に、高レートな RADIUS 要求負荷のアラームを発生させる場合は、このチェックボックスをオンにします。

[RADIUS要求の期間(Duration of RADIUS Requests)]

RADIUS のレートを計算するために使用する期間(秒単位)を入力します。デフォルトは 60 秒です。有効な 範囲は 20 ~ 86400 秒です。

[RADIUS要求の合計数(Total Number of RADIUS Requests)]

RADIUS のレートを計算するために使用される要求の上限を入力します。デフォルトの要求数は 72000 です。要求数の有効な範囲は 24000 ~ 103680000 です。

RADIUS UDP ポート

認証ポート(Authentication Port)

RADIUS UDP の認証フローに使用する ポートを指定します。 最大 4 つのポート番号(カンマ区切り)を指定できます。デフォルトでは、ポート 1812 と ポート 1645 が使用されます。値の範囲は 1024 ~ 65535 です。

アカウンティングポート(Accounting Port)

RADIUS UDP のアカウンティングフローに使用する ポートを指定します。最大 4 つのポート番号(カンマ区切り)を指定できます。デフォルトでは、ポート 1813 とポート 1646 が使用されます。値の範囲は 1024 ~ 65535 です。

 

これらのポートが他のサービスにより使用されていないことを 確認します。

RADIUS DTLS

認証およびアカウンティング ポート(Authentication and Accounting Port)

RADIUS DTLS の認証およびアカウンティングフローに使用する ポートを指定します。 デフォルトでは、ポート 2083 が使用されます。値の範囲は 1024 ~ 65535 です。

 

このポートが他のサービスにより使用されていないことを 確認します。

アイドルタイムアウト(Idle timeout)

パケットがネットワークデバイスから届かなかったら、TLS セッションを終了する前に、Cisco ISE を待機する 時間を秒単位で入力します。デフォルト値は 120 秒です。有効な範囲は 60 ~ 600 秒です。

RADIUS/DTLS クライアント ID 検証の有効化(Enable RADIUS/DTLS Client Identity Verification)

Cisco ISE が DTLS ハンドシェイク中に RADIUS/DTLS クライアントの ID を確認するようにする場合は、この チェックボックスをオンにします。クライアント ID が有効でない場合、Cisco ISE はハンドシェイクに失敗します。デフォルトのネットワーク デバイスが設定されている場合、ID チェックはスキップされます。ID チェックは次の順序で実行されます。

  1. クライアント証明書にサブジェクト代替名(SAN)属性が含まれている場合:

    • SAN に DNS 名が含まれている場合、証明書に指定されている DNS 名が Cisco ISE のネットワークデバイスに設定されている DNS 名と比較されます。

    • SAN に IP アドレスが含まれていて(DNS 名が含まれていない場合)、証明書で指定された IP アドレスが Cisco ISE で設定されている すべてのデバイス IP アドレスと比較されます。

  2. 証明書に SAN が含まれていない場合、サブジェクト CN は Cisco ISE のネットワークデバイスに設定されている DNS 名 と比較されます。不一致の場合、Cisco ISE は ハンドシェイクに失敗します。

TrustSec の全般設定

Cisco ISE が TrustSec サーバとして機能したり、TrustSec サービスを提供したりするには、グローバル TrustSec 設定を定義します。次の表に、[TrustSec 設定(TrustSec Settings)] ウィンドウのフィールドの説明を示します([ワークセンター(Work Centers)] > [TrustSec] > [設定(Settings)] > [TrustSecの全般設定(General TrustSec Settings)])。

TrustSec 展開の確認

このオプションを選択すると、すべてのネットワークデバイスに最新の TrustSec ポリシーが展開されているかどうかを確認できます。Cisco ISE で設定されたポリシーとネットワークデバイスの間に相違がある場合は [アラーム(Alarms)] ダッシュレット([ワークセンター(Work Centers)] > [TrustSec] > [ダッシュボード(Dashboard)] および [ホーム(Home)] > [サマリ(Summary)])にアラームが表示されます。 TrustSec ダッシュボード に、以下のアラーム が表示されます。

  • 検証プロセスが開始または完了するたびに、[情報(Info)] アイコンとともにアラームが表示されます。

  • 新しい展開要求により検証プロセスがキャンセルされた場合は、[情報(Info)] アイコンとともにアラームが表示されます。

  • 検証プロセスがエラーで失敗した場合は、[警告(Warning)] アイコンとともにアラームが表示されます。たとえば、ネットワークデバイス との SSH 接続を開けない場合やネットワークデバイスが使用できない場合、あるいは Cisco ISE で設定されたポリシーと ネットワークデバイスの間に相違がある場合などです。

[展開の検証(Verify Deployment)] オプションは、次のウィンドウでも使用できます。

  • [ワーク センター(Work Centers)] > [TrustSec] > [コンポーネント(Components)] > [セキュリティ グループ(Security Groups)]

  • [ワークセンター(Work Centers)] > [TrustSec] > [コンポーネント(Components)] > [セキュリティグループ ACL(Security Group ACLs)]

  • [ワークセンター(Work Centers)] > [TrustSec] > [TrustSecポリシー(TrustSec Policy)] > [出力ポリシー(Egress Policy)] > [マトリックス(Matrix)]

  • [ワークセンター(Work Centers)] > [TrustSec] > [TrustSecポリシー(TrustSec Policy)] > [出力ポリシー(Egress Policy)] > [送信元ツリー(Source Tree)]

  • [ワーク センター(Work Centers)] > [TrustSec] > [TrustSec ポリシー(TrustSec Policy)] > [出力ポリシー(Egress Policy)] > [マトリックス(Matrix)] > [宛先ツリー(Destination Tree)]

[すべての展開後に自動検証(Automatic Verification After Every Deploy)]:それぞれの展開後に、Cisco ISE ですべてのネットワークデバイス上の更新を検証するには、このチェックボックスをオンにします。 展開プロセスが完了したら、[展開プロセス後の時間(Time after Deploy Process)] フィールドに指定した時間が経過した後に、検証プロセスが開始されます。

[展開プロセス後の時間(Time after Deploy Process)]:展開プロセスが完了した後、 検証プロセスを開始する前に Cisco ISE に待機させる時間を指定します。有効な範囲は、10 ~ 60 分です。

待機期間中に新しい展開が要求された場合や別の 検証が進行中の場合は、現在の検証プロセスはキャンセルされます。

[今すぐ検証(Verify Now)]:検証プロセスをすぐに開始するには、このオプションをクリックします。

Protected Access Credential(PAC)

  • [トンネル PAC の存続可能時間(Tunnel PAC Time to Live)]:

    PAC の有効期限を指定します。トンネル PAC は EAP-FAST プロトコル用のトンネルを生成します。時間 を秒、分、時、日数、または週数で指定できます。デフォルト値は 90 日です。有効な範囲は次のとおりです。

    • 1 ~ 157680000 秒

    • 1 ~ 2628000 分

    • 1 ~ 43800 時間

    • 1 ~ 1825 日

    • 1 ~ 260 週間

  • [プロアクティブ PAC 更新を次の後に実行する(Proactive PAC Update Will Occur After)]:Cisco ISE は、認証に成功した後、設定したパーセンテージの トンネル PAC TTL が残っているときに、新しい PAC をクライアントに予防的に提供します。PAC の期限が切れる前に最初の認証が正常に行われると、サーバはトンネル PAC の更新を開始します。このメカニズムにより、有効な PAC でクライアントが更新されます。デフォルト値は 10% です。

セキュリティグループタグ番号の割り当て

  • [システムで SGT 番号を割り当てる(System will Assign SGT Numbers)]:Cisco ISE に SGT 番号を自動生成させる場合は、このオプションを選択します。

  • [範囲内の番号を除外する(Except Numbers In range)]:手動設定用に SGT 番号の範囲を予約する場合は、このオプションを選択します。Cisco ISE は、SGT の生成時にこの 範囲の数値を使用しません。

  • [ユーザが手動で SGT 番号を入力する(User Must Enter SGT Numbers Manually)]:SGT 番号を手動で定義する場合は、このオプションを選択します。

APIC EPGのセキュリティグループタグのナンバリング(Security Group Tag Numbering for APIC EPGs)

[APIC EPG 用のセキュリティグループタグの番号付け(Security Group Tag Numbering for APIC EPGs)]:APIC から学習した EPG に基づいて SGT を作成する場合は、このチェックボックスをオンにし、使用する番号の範囲を指定します。

セキュリティグループの自動作成

[認証ルールを作成するときにセキュリティグループを自動作成する(Auto Create Security Groups When Creating Authorization Rules)]:認可ポリシーのルールを作成する際 に SGT を自動的に作成する場合は、このチェックボックスをオンにします。

このオプションを選択した場合は、[認可ポリシー(Authorization Policy)] ウィンドウの上部に、「 自動セキュリティグループの作成がオンです(Auto Security Group Creation is On)」というメッセージが表示されます。

自動作成された SGT は、ルール属性に基づいて命名されます。



自動作成された SGT は、それに対応する認可ポリシールールを削除しても削除されません。


デフォルトでは、新規インストールまたはアップグレードの後でこのオプションが無効になります。

  • [自動命名オプション(Automatic Naming Options)]:自動作成される SGT の命名規則を定義するには、このオプションを使用します。

    (必須)[名前に次が含まれます(Name Will Include)]:次のオプションのいずれかを選択します。

    • ルール名

    • SGT番号(SGT number)

    • ルール名およびSGT番号(Rule name and SGT number)

    デフォルトでは、[ルール名(Rule name)] オプションが選択されます。

    オプションで、SGT 名に以下の情報を追加できます。

    • ポリシーセット名(Policy Set Name)(このオプションは [ポリシーセット(Policy Sets)] が有効な場合にのみ使用可能です)

    • プレフィックス(Prefix)(8 文字まで)

    • サフィックス(Suffix)(8 文字まで)

    Cisco ISE は、選択内容に応じて [サンプル名(Example Name)] フィールドにサンプル SGT 名を表示します。

    同じ名前の SGT が存在している場合、ISE は SGT 名に「x」を付け加えます。x は(現在の名前に 1 が使用されていない場合は)1 から始まる最初の値です。新しい名前が 32 文字より長い場合、 Cisco ISE によって最初の 32 文字に切り捨てられます。

ホスト名の IP SGT 静的マッピング

[ホスト名の IP SGT 静的マッピング(IP SGT Static Mapping of Hostnames)]:FQDN とホスト名が使用される場合、Cisco ISE はマッピングを展開して展開状態を検査する際に、PAN および PSN ノード内の対応する IP アドレスを検索します。 DNS クエリによって返される IP アドレス用に作成されるマッピングの数を指定する場合は、このオプションを使用します。次のいずれかのオプションを選択できます。

  • DNS クエリによって返されるすべての IP アドレスに対してマッピングを作成する(Create mappings for all IP addresses returned by a DNS query)

  • DNSクエリによって返される最初のIPv4アドレスおよび最初のIPv6アドレスに対してのみマッピングを作成する(Create mappings only for the first IPv4 address and the first IPv6 address that is returned by a DNS query)

ネットワークデバイス用 TrustSec REST APIサービス

  • [サービスを有効化(Enable Service)]:HTTPを使用して、ポート 9063 経由で TrustSec データをネットワークデバイスに転送します。

  • [要求ペイロード本文を含める(Include request payload body)]:監査ログに TrustSec HTTP 応答ペイロード本文全体を表示する場合は、このオプションを有効にします。 このオプションを選択すると、パフォーマンスが大幅に 低下する可能性があります。オフにすると、HTTP ヘッダー、ステータス、および認証情報のみがログに記録されます。

TrustSec マトリックス の設定

次の表 に、[TrustSecマトリックスの設定(TrustSec Matrix Settings)] ページにある各フィールドの説明を示します。このページへのナビゲーションパスは、[ワークセンター(Work Centers)] > [TrustSec] > [設定(Settings)] > [TrustSec マトリックスの設定(TrustSec Matrix Settings)] です。

表 31. TrustSec マトリックスの設定

フィールド

使用上のガイドライン

複数の SGACL を許可(Allow Multiple SGACLs)

セル内で複数の SGACL を許可するには、この チェックボックスをオンにします。このオプションが 選択されていない場合、Cisco ISE はセル 1 つあたり 1 つの SGACL のみを許可します。

デフォルトでは、新たにインストールすると、 このオプションはディセーブルになります。

アップグレード後、Cisco ISE は出力セルをスキャンし、複数の SGACL が割り当てられたセルを少なくとも 1 つ 特定した場合、管理者に複数の SGACL をセルに追加することを許可します。それ以外の場合は、セル 1 つあたり 1 つの SGACL のみを許可します。

 
複数の SGACL を 無効にする前に、複数の SGACL を含むセルを 1 つの SGACL のみを含めるように編集する必要があります。

モニタリングの許可(Allow Monitoring)

マトリクス内のすべてのセルのモニタリングをイネーブルにする場合は、この チェックボックスをオンにします。モニタリング がディセーブルの場合、 [セルの編集(Edit Cell)] ダイアログで、[すべてをモニタ(Monitor All)] アイコンはグレー表示され、[モニタ(Monitor)] オプションはディセーブルになります。

デフォルトでは、新たにインストールすると、 モニタリングはディセーブルになります。

 
マトリクスレベルでモニタリングを ディセーブルにする前に、現在モニタされているセル のモニタリングをディセーブルにする必要があります。

SGT 番号の表示(Show SGT Numbers)

マトリクスセルの SGT 値(10 進数および 16 進数の両方)を表示または非表示にするには、この オプションを使用します。

デフォルトでは、SGT 値はセルに表示されます。

アピアランス設定(Appearance Settings)

次のオプションを使用できます。

  • [カスタム設定(Custom settings)]:デフォルトのテーマ(パターンなしの色)が最初に表示されます。 独自の色とパターンを設定できます。

  • [デフォルト設定(Default settings)]:パターンなしの色の定義済みリスト(編集不可)。

  • [アクセシビリティ設定(Accessibility settings)]:パターンありの色の定義済みリスト(編集不可)。

色/パターン(Color/Pattern)

マトリックスを読み取りやすくするために、セルの内容に基づいて、マトリックスセル に色とパターンを適用できます。

使用可能な表示タイプは、 次のとおりです。

  • [IP を許可/IP ログを許可(Permit IP/Permit IP Log)]:セル内に設定されます

  • [IP を拒否/IP ログを拒否(Deny IP/Deny IP Log)]:セル内に設定されます

  • [SGACL(SGACLs)]:セル内に設定されている SGACL 用

  • [IP を許可/IP ログを許可(継承)(Permit IP/Permit IP Log (Inherited))]:デフォルトポリシーから取得されます(設定されていないセル用)

  • [IP を拒否/IP ログを拒否(継承)(Deny IP/Deny IP Log (Inherited))]:デフォルトポリシーから取得されます(設定されていないセル用)

  • [SGACL(継承)(SGACLs (Inherited))]:デフォルトポリシーから取得されます(設定されていないセル用)

SMS ゲートウェイ の設定

電子メール サーバ経由でゲストとスポンサーに SMS メッセージを送信するように設定するには、次の設定を使用します。

表 32.SMS 電子メール ゲートウェイの SMS ゲートウェイ設定
フィールド 使用上のガイドライン

SMS ゲートウェイ プロバイダー ドメイン(SMS Gateway Provider Domain)

プロバイダードメインと、ゲストアカウントの携帯電話の番号を入力します。 プロバイダーの SMS/MMS ゲートウェイにメッセージを送信するとき、前者が電子メールアドレスのホスト部 として使用され、後者はユーザ部分として使用されます。

プロバイダー アカウント アドレス(Provider account address)

(オプション)

アカウントアドレスを入力します。これは、電子メールの送信元アドレス (通常、アカウントアドレス)として使用され、[ゲストアクセス(Guest Access)] > [設定(Settings)] の [デフォルトの電子メールアドレス(Default Email Address)] グローバル設定を上書きします。

SMTP API 宛先アドレス(SMTP API destination address)

(オプション)

Clickatell SMTP API などの、特定のアカウント受信者アドレスを必要とする SMTP SMS API を使用する場合は、SMTP API 宛先アドレスを入力します。

これは、電子メールの送信先アドレスとして使用され、メッセージ本文のテンプレートはゲスト アカウントの携帯電話の番号に置き換えられます。

SMTP API 本文テンプレート(SMTP API body template)

(オプション)

Clicketell SMTP API など、SMS の送信に特定の電子メール本文テンプレートを必要とする SMTP SMS API を使用する場合は、SMTP API 本文テンプレートを入力します。

サポートされる動的置換は $mobilenumber$、(形式 $YYYYMMDDHHHMISSmimi$ の)$timestamp$、および $message$ です。 URL に固有識別子が必要な SMS ゲートウェイには $timestamp$$mobilenumber$ を使用できます。

これらの設定へのナビゲーションパスは、[ゲストアクセス(Guest Access)] > [設定(Settings)] > [SMS ゲートウェイ(SMS Gateway)] です。

HTTP API(GET 方式または POST 方式)でゲストと スポンサーに SMS メッセージを送信するように設定するには、次の設定を使用します。

表 33.SMS HTTP API 用の SMS ゲートウェイ設定(SMS Gateway Settings for SMS HTTP API)
フィールド 使用上のガイドライン

URL

API の URL を入力します。

このフィールドは、符号化された URL ではありません。ゲストアカウントの携帯電話 の番号は、URL に置き換えられます。サポートされる動的置換は $mobilenumber$ および $message$ です。

HTTP API で HTTPS を使用した場合、HTTPS を URL 文字列に含め、Cisco ISE にプロバイダーの信頼できる証明書をアップロードします。 [管理(Administration)] > [システム(System)] >[ 証明書(Certificates)] > [信頼できる証明書(Trusted Certificates)] を選択します。

データ(URL エンコード部分)(Data (Url encoded portion))

GET 要求または POST 要求のデータ(URL エンコード部分)を入力します。

このフィールドは、符号化された URL です。デフォルトの GET 方式を使用している場合、 データが上で指定した URL に付加されます。

データ部分に HTTP POST 方式を使用(Use HTTP POST method for data portion)

POST 方式を使用する場合は、このオプションをオンにします。

上で指定したデータは、POST 要求の内容として使用されます。

HTTP POST データ コンテンツ タイプ(HTTP POST data content type)

POST 方式を使用する場合は、「plain/text」や 「application/xml」などのコンテンツタイプを指定します。

HTTPS ユーザ名(HTTPS Username)

HTTPS パスワード(HTTPS Password)

HTTPS ホスト名(HTTPS Host name)

HTTPS ポート番号(HTTPS Port number)

この情報を入力します。

DHCP および DNS サービス

これらの設定のためのナビゲーションパスは、[管理(Administration)] > [システム(System)] > [設定(Settings)] > [DHCP および DNS サービス(DHCP & DNS Services)] です。

認証 VLAN URL リダイレクトのシミュレーションを有効にするために、これらの設定 を使用して、DHCP、およびオプションの DNS を設定します。 さまざまな ISE ノードに適用するために、複数のスコープを作成できます。1 つの ISE ノードに複数のスコープを適用する場合、同じネットワーク インターフェイスで 設定する必要があります。



プロファイリングのために、DHCP プローブを必要とすることがあります。ISE DHCP プローブは認証 VLAN DHCP サービスと同じ UDP ポート 67 を使用します。そのため、 DHCP プローブは、異なるインターフェイスで設定される必要があるか、またはこの ISE ノードで無効にすることができます。 DHCP プローブの詳細については、『Cisco ISE 管理者ガイド:エンドポイント プロファイリング 』の「DHCP プローブ」のセクションを参照してください。


表 34. 認証 VLAN URL リダイレクトのシミュレーション用DHCP と DNS サービスの設定
フィールド 使用上のガイドライン

スコープ名

このスコープの目的を容易に記憶できる名前 を入力します。

ステータス

[有効(Enabled)] または [無効(Disabled)] を選択します。 有効の場合、スコープは ISE ノード にのみ使用できます。

ISE ノード(ISE Node)

DHCP/DNS サーバとして機能するように ISE ノードを適用します。ドロップダウンリストから、このスコープを使用する ISE ノード を選択します。認証 VLAN は ISE ノード/ネットワーク インターフェイスごとに設定され、2 つのインターフェイスまたは 2 つのノードが同じ VLAN を共有することはできません。

ネットワークインターフェイス(Network Interface)

選択した ISE ノードで利用可能なネットワーク インターフェイスは、選択した ISE ノードに基づいて動的にこのドロップダウン リストに表示されます。認証 VLAN は ISE ノード/ネットワークインターフェイスごとに設定され、2 つのインターフェイスまたは 2 つのノードが 同じ VLAN を共有することはできません。DHCP/DNS サーバが リスニングするインターフェイスを選択します。 NAD の VLAN IP ヘルパーを設定することによって、複数の VLAN が 1 つのネットワークインターフェイス カードに接続される可能性があります。 IP ヘルパーの設定の詳細については、デバイス用のアドミニストレーションガイドの 指示を参照してください。

ドメイン名(Domain Name)

このスコープで使用する DHCP サーバの ドメイン名を入力します。

DHCP アドレス範囲(DHCP Address range)

ネットワーク定義に基づいて、このスコープに 使用可能な DHCP アドレスの範囲を選択します。

サブネットマスク(Subnet mask)

ネットワーク定義に基づいて、このスコープに使用するネットワークマスクを選択します。

ネットワーク ID(Network ID)

入力した DHCP の属性に基づいて、Cisco ISE により自動的に決定されます。

除外アドレス範囲(Exclusion address range)

ネットワーク定義に基づいて、このスコープに 使用すべきでない DHCP アドレスの範囲を選択します。

デフォルトゲートウェイ(Default gateway)

デフォルトゲートウェイの IP アドレスを入力します。

DHCP リース期間(DHCP lease time)

DHCP リース期間を定義します。

DHCP オプション(DHCP options)

これは オプションのフィールドです。

DHCP オプションは、DHCP サーバが DHCP クライアントに渡すことができる追加の設定パラメータです。DHCP オプションにより、ネットワークに アクセスするため、または最終認証前にデバイスをブートストラップする手段として、オプション値に指定されている情報を必要とする デバイス(カメラ、アクセスポイント、電話)がサポートされます。DHCP サーバは、 DHCP 要求メッセージをクライアントから受信すると、(通常)DHCP ACK パケットをクライアントに送信することで応答します。この 時点で、サーバは DHCP ACK パケットで設定されているすべてのオプションを転送します。

詳細については、次の表の後に続く「DHCP オプション」の項を参照してください。

外部 DNS サーバ(External DNS servers)

すべての企業ネットワークにアクセスするための認証を受ける前に、ユーザが認証 VLAN 外の外部ドメインにアクセスできるようにする場合、 外部 DNS 名を解決するために DNS サーバの IP アドレスを入力します。

外部ドメイン(External Domains)

すべての企業ネットワークにアクセスするための 認証を受ける前に、ユーザが特定のサイトにアクセスできるようにする場合、これらのフィールドに それらのサイトのドメイン名を入力します。

親ドメインとは別に、ユーザがアクセスする必要があるすべての子ドメインの名前を入力します。

DHCP オプション

ISE で DHCP サービスを設定すると、Auth VLAN に接続するクライアントに特定の DHCP オプションを割り当てることができます。 定義する各範囲に複数の DHCP オプションを追加できます。

ドロップダウン リストで選択できるオプションは、RFC 2132 のものです。また、( RFC 2132 から)カスタマイズしたオプションを追加するには、ドロップダウンリストから [カスタム(Custom)] を選択し、オプションコードを入力します。

一般に、最もよく使用される DHCP オプションがいくつかあります。

一般的なオプションとしては、次のようなものがあります。

  • オプション 12(ホスト名):ノードの完全修飾ドメイン名の「ホスト名」部分を渡すために使用されます。たとえば mail.ise.com の「mail」です。

  • オプション 42(NTP サーバ):ネットワークで使用される NTP サーバを渡します。

  • オプション 66(TFTP サーバ):IP アドレスまたはホスト名を渡すために使用されます。このオプションは、ドロップダウンリストから選択できます。

  • オプション 82(DHCP リレー エージェント):サーバ側 DHCP リレー サーバ情報のその他のサブオプションを渡すために使用されます。

オプション値を定義するには、ドロップダウン リストからオプションを選択します。 事前定義のオプションを選択すると、コードとタイプが自動的に取り込まれます。

[カスタム(Custom)] を選択してコードを入力すると、[タイプ(Type)] が自動的に更新されます。オプションの値を入力します。
図 1DHCP オプション

次に例を示します。

  • ホスト名の設定:[オプション(Option)] から [カスタム(Custom)] を選択します。[コード(Code)] に 15 と入力します。[タイプ(Type)] が自動的に [テキスト(Text)] に更新されます。[値(Value)] にホスト名(mail.ise.com の「mail」など)を入力します。

  • TFTP サーバ名の設定:[オプション(Option)] から [TFTP サーバ名(TFTP Server Name)] を選択します。[コード(Code)] と [タイプ(Type)] がそれぞれ自動的に更新されます。[値(Value)] に TFTP サーバのホスト名を入力します。



一部の DHCP オプションは、ISE に対して自動的に定義されているため、手動で入力できません。たとえばオプション 15 (ドメイン名)はカスタムオプションとして定義できません。これは、DHCP ドメイン名は、この画面で 必須フィールドとして定義されており、上書きできないためです。


複数のオプションを入力するには、[アクション(Actions)] の下のプラス記号をクリックします。

ID の管理

これらのページは、Cisco ISE の ID を設定し、管理することができます。

エンドポイント

これらのページでは、ネットワークに接続するエンドポイントを設定および管理することができます。

エンドポイント設定

次の表に、エンドポイントを作成し、エンドポイントにポリシーを 割り当てるために使用できる [エンドポイント(Endpoints)] ページの フィールドを示します。このページへのナビゲーションパスは、[ワークセンター(Work Centers)] > [ネットワークアクセス(Network Access)] > [ID(Identities)] > [エンドポイント(Endpoints)] です。

表 35.エンドポイント設定

フィールド

使用上のガイドライン

MAC アドレス(MAC Address)

エンドポイントを静的に作成するには、MAC アドレスを 16 進数形式で入力します。

MAC アドレスは、Cisco ISE 対応のネットワーク に接続するインターフェイスのデバイス ID です。

スタティック割り当て(Static Assignment)

[エンドポイント(Endpoints)] ページでエンドポイントを静的に作成する場合このチェックボックスをオンにすると、 静的割り当てのステータスが static に設定されます。

エンドポイントの スタティック割り当てのステータスを静的から動的に、または動的から 静的に切り替えできます。

ポリシー割り当て

(スタティック割り当てが選択されていない限り、デフォルトで無効) [ポリシー割り当て(Policy Assignment)] ドロップダウンリストから一致するエンドポイントポリシーを選択します。

次のいずれかを実行できます。

  • 一致するエンドポイントポリシーを選択しないで、デフォルトのエンドポイントポリシーである不明を使用する場合、 スタティック割り当てステータスはエンドポイントに対して動的に設定され、それにより、エンドポイントの動的 プロファイリングが可能になります。

  • 不明ではなく、一致する エンドポイントポリシーを選択する場合、スタティック割り当てステータスはそのエンドポイントに対して 静的に設定され、[スタティック割り当て(Static Assignment)] チェックボックスが自動的に オンにされます。

スタティック グループ割り当て(Static Group Assignment)

( [スタティックグループ割り当て(Static Group Assignment)] が選択されていない限り、デフォルトで無効) エンドポイントを ID グループに静的に割り当てる場合、このチェックボックスをオンにします。

このチェックボックス をオンにした場合、プロファイリングサービスは、 前に他のエンドポイント ID グループに動的に割り当てられたエンドポイントの次の エンドポイントポリシーの評価時に、そのエンドポイント ID グループを変更しません。

このチェック ボックスをオフにした場合、エンドポイント ID グループは、ポリシー設定に基づいて ISE プロファイラにより割り当てられたダイナミックグループです。[スタティックグループ割り当て(Static Group Assignment)] オプションを選択しない場合、エンドポイントは、エンドポイントポリシーの次回評価時に一致する ID グループに自動的に割り当てられます。

ID グループ割り当て

エンドポイントを割り当てるエンドポイント ID グループを選択します。

エンドポイントを静的に作成する場合、またはエンドポイントの エンドポイントポリシーの評価時に [一致する ID グループの作成(Create Matching Identity Group)] オプションを使用しない場合は、エンドポイントを ID グループに割り当てることができます。

Cisco ISE には、 次のシステムによって作成された次のエンドポイント ID グループがあります。

  • ブラックリスト

  • GuestEndpoints

  • プロファイル済み

    • Cisco IP-Phone

    • ワークステーション

  • RegisteredDevices

  • 不明

エンドポイントの LDAP からのインポートの設定

次の表では、LDAP サーバからのエンドポイント のインポートに使用できる [LDAP からのインポート(Import from LDAP)] ページの フィールドについて説明します。このページへのナビゲーションパスは、[ワークセンター(Work Centers)] > [ネットワークアクセス(Network Access)] > [ID(Identities)] > [エンドポイント(Endpoints)] です。

表 36.エンドポイントの LDAP からのインポートの 設定

フィールド

使用上のガイドライン

接続の設定

ホスト

LDAP サーバのホスト名または IP アドレスを入力します。

[ポート(Port)]

LDAP サーバのポート番号を入力します。デフォルトポート 389 を使用して LDAP サーバからインポートするか、 デフォルトポート 636 を使用して SSL を介して LDAP サーバからインポートできます。

 

Cisco ISE では、任意の 設定済みポート番号をサポートします。設定済みの値は、LDAP サーバ 接続詳細に一致する必要があります。

セキュア接続を有効にする(Enable Secure Connection)

SSL を介して LDAP サーバからインポートするには、[セキュア接続を有効にする(Enable Secure Connection)] チェックボックスをオンにします。

ルート CA 証明書名

ドロップダウン矢印をクリックして、 信頼できる CA 証明書を表示します。

ルート CA 証明書名は 、LDAP サーバに接続する場合に必要となる信頼できる CA 証明書を指します。Cisco ISE 内の CA 証明書 は、追加(インポート)、編集、削除、およびエクスポートが可能です。

匿名バインド(Anonymous Bind)

匿名バインドを有効にするには、[匿名バインド(Anonymous Bind)] チェックボックスをオンにします。

[匿名バインド(Anonymous Bind)] チェックボックスをオンにするか、または slapd.conf コンフィギュレーションファイルの LDAP 管理者のログイン情報を入力する必要があります。

管理者 DN(Admin DN)

slapd.conf コンフィギュレーション ファイルで LDAP 管理者に設定されている識別名 (DN)を入力します。

管理者 DN フォーマット例: cn=Admin, dc=cisco.com, dc=com

[パスワード(Password)]

LDAP 管理者に設定されたパスワードを slapd.conf コンフィギュレーションファイルに入力します。

ベース DN(Base DN)

親エントリの認定者名 を入力します。

ベース DN フォーマット例: dc=cisco.com, dc=com

クエリ設定(Query Settings)

MAC アドレス objectClass(MAC Address objectClass)

MAC アドレスのインポートに使用するクエリフィルタを入力します。たとえば、ieee802Device です。

MAC アドレス属性名(MAC Address Attribute Name)

インポートに対して返される属性 名を入力します。たとえば、macAddress です。

プロファイル属性名(Profile Attribute Name)

LDAP 属性の名前を入力します。この属性は、 LDAP サーバで定義されている各エンドポイントエントリのポリシー名を保持します。

[プロファイル属性名(Profile Attribute Name)] フィールドを設定する場合は、次の点を考慮してください。

  • [プロファイル属性名(Profile Attribute Name)] フィールドでこの LDAP 属性を指定しない場合、またはこの属性 を誤って設定した場合、インポート操作時にエンドポイントは「不明」としてマークされ、 これらのエンドポイントは一致するエンドポイントプロファイリング ポリシーに個別にプロファイリングされます。

  • [プロファイル属性名(Profile Attribute Name)] フィールドで LDAP 属性を設定した場合、その属性値は 、エンドポイントポリシーが Cisco ISE 内の既存のポリシーに一致することを確認するために検証され、エンドポイントがインポートされます。エンドポイントポリシーが 既存のポリシーと一致しない場合、それらのエンドポイントはインポートされません。

タイムアウト(秒)(Time Out [seconds])

時間を秒単位 (1 ~ 60 秒)で入力します。

グループ(Groups)

これらのページでは、エンドポイント ID グループを設定および管理することができます。

エンドポイント ID グループの設定

次の表に、 エンドポイントグループを作成するために使用できる [エンドポイント ID グループ(Endpoint Identity Groups)] ページの フィールドを示します。このページへのナビゲーション パスは、[管理(Administration)] > [ID の管理(Identity Management)] > [グループ(Groups)] > [エンドポイント ID グループ(Endpoint Identity Groups)] です。

表 37.エンドポイント ID グループの 設定

フィールド

使用上のガイドライン

名前(Name)

作成する エンドポイント ID グループの名前を入力します。

説明(Description)

作成する エンドポイント ID グループの説明を入力します。

親グループ(Parent Group)

新しく作成したエンドポイント ID グループを関連付けるエンドポイント ID グループを、[親グループ(Parent Group)] ドロップダウンリストから選択します。

外部 ID ソース

これらのページでは、Cisco ISE が認証 および認可に使用するユーザデータが含まれる外部 ID ソースを設定および管理することができます。

LDAP ID ソースの設定

次の表では、[LDAP ID ソース(LDAP Identity Sources)] ページのフィールドについて説明します。これらのフィールドを使用して LDAP インスタンスを作成し、接続します。 このページへのナビゲーションパスは、[管理(Administration)] > [ID 管理(Identity Management)] > [外部 ID ソース(External Identity Sources)] >[LDAP] です。

LDAP 一般設定

以下の表では、[一般(General)] タブのフィールドについて説明します。

表 38.LDAP 一般設定

フィールド

使用上のガイドライン

名前(Name)

LDAP インスタンスの名前を入力します。 この値は、サブジェクト DN および属性を取得するために検索で使用されます。 この値は string 型で、最大長は 64 文字です。

説明(Description)

LDAP インスタンスの説明を入力します。 この値は string 型で、最大長は 1024 文字です。

スキーマ(Schema)

次の組み込みのスキーマタイプのいずれかを選択するか、カスタムスキーマを作成できます。

  • Active Directory

  • Sun Directory Server

  • Novell eDirectory

    [スキーマ(Schema)] の隣の矢印をクリックすると、スキーマの詳細を表示できます。

    事前定義されたスキーマの属性を編集すると、Cisco ISE が自動的にカスタムスキーマを作成します。

 

次のフィールドは、カスタムスキーマを選択した場合にのみ編集できます。

サブジェクト オブジェクト クラス(Subject Objectclass)

サブジェクト DN および属性を取得するために検索で使用する値を入力します。 この値は string 型で、最大長は 256 文字です。

サブジェクト名属性(Subject Name Attribute)

要求内のユーザ名を含む属性の名前を入力します。 この値は string 型で、最大長は 256 文字です。

グループ名属性(Group Name Attribute)

[グループ名属性(Group Name Attribute)] フィールドに CN、DN またはサポートされる属性を入力します。

  • CN:共通名に基づいて LDAP ID ストアグループを取得します。

  • DN:識別名に基づいて LDAP ID ストアグループを取得します。

証明書属性(Certificate Attribute)

証明書定義を含む属性を入力します。 証明書ベースの認証の場合、クライアントによって提示された証明書を検証するために、これらの定義が使用されます。

グループ オブジェクト クラス(Group Objectclass)

グループとして認識されるオブジェクトを指定するために、検索に使用する値を入力します。 この値は string 型で、最大長は 256 文字です。

グループ マップ属性(Group Map Attribute)

マッピング情報を含む属性を指定します。 この属性には、選択した参照方向に基づいて、ユーザまたはグループ属性を指定できます。

サブジェクトオブジェクトにグループへの参照が含まれる(Subject Objects Contain Reference To Groups)

所属するグループを指定する属性がサブジェクトオブジェクトに含まれている場合は、このオプションボタンをクリックします。

グループオブジェクトにサブジェクトへの参照が含まれる(Group Objects Contain Reference To Subjects)

サブジェクトを指定する属性がグループオブジェクトに含まれている場合は、このオプションボタンをクリックします。 この値はデフォルト値です。

グループ内のサブジェクトをメンバー属性に保存(Subjects In Groups Are Stored In Member Attribute As)

([グループオブジェクトにサブジェクトへの参照が含まれる(Group Objects Contain Reference To Subjects)] オプションボタンの選択時に限り使用可能)グループメンバー属性にメンバーが供給される方法を指定します(デフォルトは DN)。

ユーザ情報属性(User Info Attributes)

デフォルトでは、事前定義された属性が次の組み込みのスキーマタイプのユーザ情報(名、姓、電子メール、電話番号、地域など)を収集するために使用されます。

  • Active Directory

  • Sun Directory Server

  • Novell eDirectory

事前定義されたスキーマの属性を編集すると、Cisco ISE が自動的にカスタムスキーマを作成します。

[スキーマ(Schema)] ドロップダウンリストから [カスタム(Custom)] オプションを選択し、要件に基づいてユーザ情報の属性を編集することもできます。

LDAP の接続設定

以下の表では、[接続設定(Connection Settings)] タブのフィールドについて説明します。

表 39. LDAP の接続設定

フィールド

使用上のガイドライン

セカンダリ サーバの有効化(Enable Secondary Server)

プライマリ LDAP サーバに障害が発生した場合にバックアップとして使用するセカンダリ LDAP サーバを有効にする場合は、このオプションをオンにします。 このチェックボックスをオンにする場合は、セカンダリ LDAP サーバの設定パラメータを入力する必要があります。

プライマリ サーバとセカンダリ サーバ(Primary and Secondary Servers)

ホスト名/IP(Hostname/IP)

LDAP ソフトウェアを実行しているマシンの IP アドレスまたは DNS 名を入力します。 ホスト名は 1 ~ 256 文字か、または文字列として表される有効な IP アドレスです。 ホスト名の有効な文字は、英数字(a ~ z、A ~ Z、0 ~ 9)、ドット(.)、およびハイフン(-)だけです。

ポート(Port)

LDAP サーバがリッスンしている TCP/IP ポート番号を入力します。 有効な値は 1 ~ 65,535 です。デフォルトは、LDAP 仕様の記述に従って 389 です。 ポート番号が不明な場合は、LDAP サーバの管理者からポート番号を取得できます。

各 ISE ノードのサーバの指定(Specify server for each ISE node)

プライマリおよびセカンダリ LDAP サーバのホスト名または IP および各 PSN のポートを設定するには、このチェックボックスをオンにします。

このオプションを有効にすると、導入環境のすべてのノードを表示するテーブルが表示されます。 ノードを選択し、プライマリおよびセカンダリ LDAP サーバのホスト名または IP および選択したノードのポートを設定する必要があります。

アクセス(Access)

[匿名アクセス(Anonymous Access)]:LDAP ディレクトリの検索が匿名で行われるようにする場合にクリックします。 サーバではクライアントが区別されず、認証されていないクライアントに対してアクセス可能に設定されているデータへの、クライアント読み取りアクセスが許可されます。 認証情報をサーバに送信することを許可する特定のポリシーがない場合、クライアントは匿名接続を使用する必要があります。

[認証されたアクセス(Authenticated Access)]:LDAP ディレクトリの検索が管理者のログイン情報によって行われるようにする場合にクリックします。 その場合、[管理者 DN(Admin DN)] および [パスワード(Password)] フィールドの情報を入力します。

管理者 DN(Admin DN)

管理者の DN を入力します。 管理者 DN は、[ユーザ ディレクトリ サブツリー(User Directory Subtree)] 下のすべての必要なユーザの検索およびグループの検索を行う権限を持つ LDAP アカウントです。 指定した管理者に対して、検索でのグループ名属性の表示が許可されていない場合、該当 LDAP サーバで認証されたユーザのグループマッピングは失敗します。

パスワード(Password)

LDAP 管理者アカウントのパスワードを入力します。

セキュアな認証(Secure Authentication)

SSL を使用して Cisco ISE とプライマリ LDAP サーバ間の通信を暗号化する場合にクリックします。 [ポート(Port)] フィールドに LDAP サーバでの SSL に使用されるポート番号が入力されていることを確認します。 このオプションを有効にした場合は、ルート CA を選択する必要があります。

LDAP サーバのルート CA(LDAP Server Root CA)

ドロップダウンリストから信頼できるルート認証局を選択して、証明書によるセキュア認証を有効にします。

サーバ タイムアウト(Server timeout)

プライマリ LDAP サーバでの接続または認証が失敗したと判断する前に Cisco ISE がプライマリ LDAP サーバからの応答を待つ秒数を入力します。 有効な値は 1 ~ 99 です。デフォルトは 10 です。

最大管理接続(Max. Admin Connections)

特定の LDAP 設定に対して実行できる LDAP 管理者アカウント権限での同時接続の最大数(0 より大きい数)を入力します。 これらの接続は、ユーザ ディレクトリ サブツリーおよびグループ ディレクトリ サブツリーの下にあるユーザおよびグループのディレクトリの検索に使用されます。 有効な値は 1 ~ 99 です。デフォルトは 20 です。

N 秒ごとに再接続(Force reconnect every N seconds)

このチェックボックスをオンにし、2 つ目のテキストボックスに、サーバを指定された間隔で LDAP 接続を更新するための適切な値を入力します。 有効な範囲は 1 ~ 60 分です。

サーバへのバインドをテスト(Test Bind To Server)

LDAP サーバの詳細およびログイン情報が正常にバインドできることをテストおよび確認する場合にクリックします。 テストが失敗した場合は、LDAP サーバの詳細を編集して再テストします。

フェールオーバー

常にプライマリサーバに最初にアクセスする(Always Access Primary Server First)

認証と認可のために、Cisco ISE が常にプライマリ LDAP サーバに最初にアクセスするように設定するには、このオプションをクリックします。

経過後にプライマリサーバにフェールバック(Failback to Primary Server After)

Cisco ISE は、接続を試行したプライマリ LDAP サーバが到達不能な場合、セカンダリ LDAP サーバへの接続を試行します。 再びプライマリ LDAP サーバを使用するように Cisco ISE を設定するには、このオプションをクリックし、テキストボックスに値を入力します。

LDAP のディレクトリ構成の設定

次の表では、[ディレクトリ構成(Directory Organization)] タブのフィールドについて説明します。

表 40. LDAP のディレクトリ構成の設定

フィールド

使用上のガイドライン

サブジェクト検索ベース(Subject Search Base)

すべてのサブジェクトを含むサブツリーの DN を入力します。 次に例を示します。

o=corporation.com

サブジェクトを含むツリーがベース DN である場合は、LDAP 設定に応じて

o=corporation.com

または

dc=corporation,dc=com

と入力します。 詳細については、LDAP データベースに関するドキュメントを参照してください。

グループ検索ベース(Group Search Base)

すべてのグループを含むサブツリーの DN を入力します。 次に例を示します。

ou=organizational unit、 ou=next organizational unit、o=corporation.com

グループを含むツリーがベース DN である場合は、LDAP 設定に応じて

o=corporation.com

または

dc=corporation,dc=com

と入力します。 詳細については、LDAP データベースに関するドキュメントを参照してください。

形式での MAC アドレスの検索(Search for MAC Address in Format)

LDAP データベースでの検索に使用する、Cisco ISE の MAC アドレス形式を入力します。 内部 ID ソースの MAC アドレスは、xx-xx-xx-xx-xx-xx の形式で供給されます。 LDAP データベースの MAC アドレスは、異なる形式で供給できます。 ただし、Cisco ISE でホストルックアップ要求が受信されると、MAC アドレスは内部形式からこのフィールドで指定した形式に変換されます。

ドロップダウンリストを使用して、特定の形式での MAC アドレスの検索を有効にします。<format> は次のいずれかです。

  • xxxx.xxxx.xxxx

  • xxxxxxxxxxxx

  • xx-xx-xx-xx-xx-xx

  • xx:xx:xx:xx:xx:xx

選択する形式は、LDAP サーバに供給されている MAC アドレスの形式と一致している必要があります。

サブジェクト名の先頭から最後に出現する区切り文字まで削除(Strip Start of Subject Name Up To the Last Occurrence of the Separator)

ユーザ名からドメインプレフィックスを削除するための適切なテキストを入力します。

ユーザ名の中で、このフィールドに指定した区切り文字が Cisco ISE で検出されると、そのユーザ名の初めから区切り文字までのすべての文字が削除されます。 ユーザ名に、<start_string> ボックスに指定した文字が複数含まれている場合は、Cisco ISE によって最後の区切り文字までの文字が削除されます。 たとえば、区切り文字がバックスラッシュ(\)で、ユーザ名が DOMAIN\user1 である場合、Cisco ISE によって user1 が LDAP サーバに送信されます。

 

<start_string> には、特殊文字であるシャープ記号(#)、疑問符(?)、引用符(")、アスタリスク(*)、右山カッコ(>)、および左山カッコ(<)を入力できません。 Cisco ISE では、ユーザ名にこれらの文字を使用できません。

最初に出現する区切り文字からサブジェクト名の末尾まで削除(Strip End of Subject Name from the First Occurrence of the Separator)

ユーザ名からドメインサフィックスを削除するための適切なテキストを入力します。

ユーザ名の中で、このフィールドに指定した区切り文字が Cisco ISE で検出されると、その区切り文字からユーザ名の末尾までのすべての文字が削除されます。 ユーザ名に、このフィールドに指定した文字が複数含まれている場合は、Cisco ISE によって最初の区切り文字から文字が削除されます。 たとえば、区切り文字が @ で、ユーザ名が user1@domain の場合、Cisco ISE は user1 を LDAP サーバに送信します。

 

<end_string> ボックスには、特殊文字であるシャープ記号(#)、疑問符(?)、引用符(")、アスタリスク(*)、右山カッコ(>)、および左山カッコ(<)を入力できません。 Cisco ISE では、ユーザ名にこれらの文字を使用できません。

LDAP グループの設定
表 41. LDAP グループの設定

フィールド

使用上のガイドライン

追加(Add)

[追加(Add)] > [グループの追加(Add Group)] を選択して新しいグループを追加するか、[追加(Add)] > [ディレクトリからグループを選択(Select Groups From Directory)] を選択して LDAP ディレクトリからグループを選択します。

グループの追加を選択した場合は、新しいグループの名前を入力します。 ディレクトリから選択する場合は、フィルタ基準を入力し、[グループの取得(Retrieve Groups)] をクリックします。 選択するグループの隣にあるチェックボックスをオンにし、[OK] をクリックします。 選択したグループが [グループ(Groups)] ページに表示されます。

LDAP 属性の設定
表 42. LDAP 属性の設定

フィールド

使用上のガイドライン

追加(Add)

[追加(Add)] > [属性の追加(Add Attribute)] を選択して新しい属性を追加するか、[追加(Add)] > [ディレクトリから属性を選択(Select Attributes From Directory)] を選択して LDAP サーバから属性を選択します。

属性を追加する場合は、新しい属性の名前を入力します。 ディレクトリから選択する場合は、ユーザ名を入力し、[属性の取得(Retrieve Attributes)] をクリックしてユーザの属性を取得します。 選択する属性の隣にあるチェックボックスをオンにし、[OK] をクリックします。

LDAP 詳細設定

以下の表では、[詳細設定(Advanced Settings)] タブのフィールドについて説明します。

表 43.LDAP 詳細設定

フィールド

使用上のガイドライン

[パスワードの変更を有効にする(Enable password change)]

デバイス管理に PAP プロトコルを使用し、ネットワークアクセスに RADIUS EAP-GTC プロトコルを使用している場合に、パスワードが期限切れになるか、またはパスワードがリセットされるときに、ユーザがパスワードを変更できるようにするには、このチェックボックスをオンにします。 サポートされていないプロトコルでは、ユーザ認証が失敗します。 このオプションでは、ユーザが次回のログイン時にパスワードを変更できるようにもできます。

RADIUS トークン ID ソースの設定

次の表では、RADIUS 外部 ID ソースを設定し、それに接続するために使用できる [RADIUS トークン ID ソース(RADIUS Token Identity Sources)] ページのフィールドについて説明します。 このページへのナビゲーションパスは、[管理(Administration)] > [ID 管理(Identity Management)] > [外部 ID ソース(External Identity Sources)] > [RADIUS トークン(RADIUS Token)] です。
表 44.RADIUS トークン ID ソースの設定
フィールド 使用上のガイドライン

名前(Name)

RADIUS トークン サーバの名前を入力します。許容最大文字数は 64 文字です。

説明

RADIUS トークン サーバの説明を入力します。最大文字数は 1024 です。

SafeWord サーバ(SafeWord Server)

RADIUS ID ソースが SafeWord サーバである場合はこのチェックボックスをオンにします。

セカンダリ サーバの有効化(Enable Secondary Server)

プライマリに障害が発生した場合にバックアップとして使用する Cisco ISE のセカンダリ RADIUS トークン サーバを有効にするには、このチェックボックスをオンにします。 このチェックボックスをオンにする場合は、セカンダリ RADIUS トークン サーバを設定する必要があります。

常にプライマリ サーバに最初にアクセスする(Always Access Primary Server First)

Cisco ISE が常にプライマリ サーバに最初にアクセスするには、このオプション ボタンをクリックします。

経過後にプライマリ サーバにフォールバック(Fallback to Primary Server after)

プライマリサーバに到達できない場合に Cisco ISE がセカンダリ RADIUS トークンサーバを使用して認証できる時間(分単位)を指定するには、このオプションボタンをクリックします。 この時間を過ぎると、Cisco ISE はプライマリサーバに対する認証を再試行します。

プライマリ サーバ(Primary Server)

ホスト名/アドレス(Host IP)

プライマリ RADIUS トークン サーバの IP アドレスを入力します。このフィールドには、文字列として表される有効な IP アドレスを入力できます。 このフィールドで使用できる文字は、数字とドット(.)です。

共有秘密鍵(Shared Secret)

この接続のプライマリ RADIUS トークン サーバで設定されている共有秘密を入力します。

認証ポート(Authentication Port)

プライマリ RADIUS トークン サーバが受信しているポート番号を入力します。

サーバ タイムアウト(Server timeout)

プライマリサーバがダウンしていると判断する前に Cisco ISE がプライマリ RADIUS トークンサーバからの応答を待つ時間(秒単位)を指定します。

接続試行回数(Connection Attempts)

セカンダリサーバ(定義されている場合)に移動する前、またはセカンダリサーバが定義されていない場合は要求をドロップする前に、Cisco ISE がプライマリサーバへの再接続を試行する回数を指定します。

セカンダリ サーバ(Secondary Server)

ホスト名/アドレス(Host IP)

セカンダリ RADIUS トークン サーバの IP アドレスを入力します。このフィールドには、文字列として表される有効な IP アドレスを入力できます。 このフィールドで使用できる文字は、数字とドット(.)です。

共有秘密鍵(Shared Secret)

この接続のセカンダリ RADIUS トークン サーバで設定されている共有秘密を入力します。

認証ポート(Authentication Port)

セカンダリ RADIUS トークン サーバが受信しているポート番号を入力します。有効な値は 1 ~ 65,535 です。デフォルトは 1812 です。

サーバ タイムアウト(Server timeout)

セカンダリサーバがダウンしていると判断する前に Cisco ISE がセカンダリRADIUS トークンサーバからの応答を待つ時間(秒単位)を指定します。

接続試行回数(Connection Attempts)

要求をドロップする前に Cisco ISE がセカンダリ サーバへの再接続を試行する回数を指定します。

RSA SecurID ID ソースの設定

次の表では、RSA SecurID ID ソースを作成し、そのソースに接続するために使用できる [RSA SecurID ID ソース(RSA SecurID Identity Sources)] ページのフィールドについて説明します。 このページへのナビゲーションパスは、[管理(Administration)] > [ID 管理(Identity Management)] > [外部 ID ソース(External Identity Sources)] > [RSA SecurID] です。
RSA プロンプトの設定

次の表では、[RSA プロンプト(RSA Prompts)] タブ内のフィールドについて説明します。

表 45.RSA プロンプトの設定

フィールド

使用上のガイドライン

パスコード プロンプトの入力(Enter Passcode Prompt)

パス コードを取得するテキスト文字列を入力します。

次のトークン コードの入力(Enter Next Token Code)

次のトークンを要求するテキスト文字列を入力します。

PIN タイプの選択(Choose PIN Type)

PIN タイプを要求するテキスト文字列を入力します。

システム PIN の受け入れ(Accept System PIN)

システム生成の PIN を受け付けるテキスト文字列を入力します。

英数字 PIN の入力(Enter Alphanumeric PIN)

英数字 PIN を要求するテキスト文字列を入力します。

数値 PIN の入力(Enter Numeric PIN)

数値 PIN を要求するテキスト文字列を入力します。

PIN の再入力(Re-enter PIN)

ユーザに PIN の再入力を要求するテキスト文字列を入力します。

RSA メッセージ設定(RSA Message Settings)

次の表では、[RSA メッセージ(RSA Messages)] タブ内のフィールドについて説明します。

表 46.RSA メッセージ設定(RSA Messages Settings)

フィールド

使用上のガイドライン

システム PIN メッセージの表示(Display System PIN Message)

システム PIN メッセージのラベルにするテキスト文字列を入力します。

システム PIN 通知の表示(Display System PIN Reminder)

ユーザに新しい PIN を覚えるように通知するテキスト文字列を入力します。

数字を入力する必要があるエラー(Must Enter Numeric Error)

PIN には数字のみを入力するようにユーザに指示するメッセージを入力します。

英数字を入力する必要があるエラー(Must Enter Alpha Error)

PIN には英数字のみを入力するようにユーザに指示するメッセージを入力します。

PIN 受け入れメッセージ(PIN Accepted Message)

ユーザの PIN がシステムによって受け入れられたときに表示されるメッセージを入力します。

PIN 拒否メッセージ(PIN Rejected Message)

ユーザの PIN がシステムによって拒否されたときに表示されるメッセージを入力します。

ユーザの PIN が異なるエラー(User Pins Differ Error)

ユーザが不正な PIN を入力したときに表示されるメッセージを入力します。

システム PIN 受け入れメッセージ(System PIN Accepted Message)

ユーザの PIN がシステムによって受け入れられたときに表示されるメッセージを入力します。

不正パスワード長エラー(Bad Password Length Error)

ユーザが指定した PIN が、PIN 長ポリシーで指定されている範囲に収まらない場合に表示されるメッセージを入力します。

ネットワーク リソース

ネットワーク デバイス

これらのページを使用すると、ネットワーク デバイスを追加し、管理することができます。

ネットワーク デバイス定義の設定

次の表は、Cisco ISE のネットワーク アクセス デバイスを設定するために使用できる [ネットワークデバイス(Network Devices)] ページのフィールドについて説明しています。 このページへのナビゲーションパスは、[管理(Administration)] > [ネットワークリソース(Network Resources)] > [ネットワークデバイス(Network Devices)] です。

ネットワークデバイスの 設定

次の表に、[ネットワークデバイス(Network Device)] セクションのフィールドを示します。

表 47ネットワークデバイスの 設定

フィールド

説明

[名前(Name)]

ネットワークデバイスの名前を入力します。

ネットワークデバイスに、デバイスのホスト名とは異なるわかりやすい名前を指定できます。 デバイス名は論理識別子です。

 

一度設定したデバイスの名前は編集できません。

説明

デバイスの説明を入力します。

IP アドレス/IP 範囲(IP Address/IP Ranges)

次のいずれか を実行します。

  • [IP アドレス(IP Address)]:単一の IP アドレス(IPv4 または IPv6 アドレス)とサブネットマスクを入力します。

  • [IP 範囲(IP Ranges)]:必要な IPv4 アドレス範囲を入力します。 [除外(Exclude)] テキストボックスに IP アドレスまたは IP アドレス範囲を入力して、認証時に IP アドレスを除外することもできます。

IP アドレスとサブネットマスクまたは IP アドレス範囲を定義するときに従う必要があるガイドラインを次に示します。

  • 特定の IP アドレスを定義するか、サブネットマスクを使用して範囲を定義できます。 デバイス A の IP アドレス範囲が定義されている場合、デバイス A に定義されている範囲の個別のアドレスを別のデバイス B に設定できます。

  • すべてのオクテットの IP アドレス範囲を定義できます。 IP アドレスの範囲を指定するときに、ハイフン(-)またはアスタリスク(*)をワイルドカードとして使用できます。 たとえば、*.*.*.*、1-10.1-10.1-10.1-10 または 10-11.*.5.10-15 などです。

  • サブセットがすでに追加されている場合には、設定された範囲からその IP アドレス範囲のサブセットを除外できます。 たとえば、10.197.65.*/10.197.65.1 または 10.197.65.* exclude 10.197.65.1 などです。

  • 同じ IP アドレスを持つ 2 台のデバイスを定義することはできません。

  • 同じ IP 範囲を持つ 2 台のデバイスを定義することはできません。 IP 範囲は、一部または全部が重複することはできません。

デバイスタイプ(Device Type)

ドロップダウンリストをクリックして、ネットワークデバイスのベンダーを選択します。

ドロップダウンリストの横にあるツールのヒントを使用して、選択したベンダーのネットワークデバイスがサポートしているフローおよびサービスと、デバイスで使用されている RADIUS CoA ポートと URL リダイレクトのタイプを表示できます。 これらの属性は、デバイスタイプのネットワーク デバイス プロファイルで定義されます。

モデル名(Model Name)

ドロップダウンリストをクリックして、デバイスモデルなどを選択します。

モデル名は、ルールベースのポリシーの条件をチェックするときに、パラメータの 1 つとして使用できます。 この属性は、デバイス ディクショナリにあります。

ソフトウェア バージョン(Software Version)

ドロップダウンリストをクリックして、ネットワークデバイスで実行するソフトウェアのバージョンを選択します。

ソフトウェアバージョンは、ルールベースのポリシーの条件をチェックするときに、パラメータの 1 つとして使用できます。 この属性は、デバイス ディクショナリにあります。

ネットワーク デバイス グループ(Network Device Group)

[ロケーション(Location)] および [デバイスタイプ(Device Type)] ドロップダウンリストをクリックし、ネットワークデバイスに関連付けることができるロケーションとデバイスタイプを選択します。

グループを設定するときに、明確にデバイスをグループに割り当てないと、そのデバイスはデフォルトのデバイスグループ(ルート NDG)に含まれます。これにより、ロケーションはすべてのロケーション、デバイスタイプはすべてのデバイスタイプとなり、デフォルトのデバイスグループ(ルート NDG)が割り当てられます。 たとえば、すべてのロケーションとすべてのデバイス グループなどです。

RADIUS 認証設定

次の表では、[RADIUS 認証設定(RADIUS Authentication Settings)] セクションのフィールドについて説明します。

表 48RADIUS 認証 設定

フィールド

使用上のガイドライン

RADIUS UDP の設定

プロトコル

選択したプロトコルとして RADIUS を表示します。

共有秘密鍵(Shared Secret)

ネットワークデバイスの共有秘密鍵を入力します。

共有秘密鍵は、 pac オプションを指定した radius-host コマンドを使用してネットワークデバイスに設定したキーです。

 

共有秘密鍵の長さは、[デバイスのセキュリティ設定(Device Security Settings)] ページの [RADIUS共有秘密鍵の最小長(Minimum RADIUS Shared Secret Length)] フィールドで設定された値と同等以上である必要があります([管理(Administration)] > [ネットワークリソース(Network Resources)] > [ネットワークデバイス(Network Devices)] > [デバイスセキュリティ設定(Device Security Settings)])。

RADIUS サーバでのベストプラクティスは、22 文字にすることです。 新規インストールとアップグレードした展開の場合、デフォルトではこの値は 4 文字であることに注意してください。 この値は [デバイスセキュリティ設定(Device Security Settings)] ページで変更できます。

2 番目の共有秘密の使用

ネットワーク デバイスと Cisco ISE で使用される 2 つの共有秘密(鍵)を指定します。

 

TrustSec デバイスには、デュアル共有秘密(鍵)の利点がありますが、Cisco ISE により送信される TrustSec CoA パケットは常に最初の共有秘密(鍵)を使用します。 2 番目の共有秘密の使用を有効にするには、TrustSec デバイスに送信される必要のある TrustSec CoA パケットの送信元の ISE ノードを、[ワークセンター(Work Centers)] > [デバイス管理(Device Administration)] > [ネットワークリソース(Network Resources)] > [ネットワークデバイス(Network Devices)] > [追加(Add)] > [TrustSec の詳細設定(Advanced TrustSec Settings)] ページの [送信元(Send From)] ドロップダウンリストから選択する必要があります。 PAN または PSN ノードを選択できます。選択した PSN ノードがダウンした場合、PAN を使用して TrustSec デバイスに TrustSec CoA パケットが送信されます。

 

RADIUS アクセス要求の 2 番目の共有秘密機能は、Message-Authenticator フィールドを含むパケットに対してのみ機能します。

CoA ポート(CoA Port)

RADIUS CoA に使用するポートを指定します。

デバイスのデフォルトの CoA ポートはネットワーク デバイス プロファイルで定義されます。

 

[RADIUS 認証設定(RADIUS Authentication Settings)] の [ネットワークデバイス(Network Devices)] ページ([管理(Administration)] > [ネットワークリソース(Network Resources)] > [ネットワークデバイス(Network Devices)])で指定した CoA ポートを変更する場合は、[ネットワークデバイス プロファイル(Network Device Profile)] ページ([管理(Administration)] > [ネットワークリソース(Network Resources)] > [ネットワーク デバイス プロファイル(Network Device Profiles)])で対応するプロファイルに同じ CoA ポートを指定します。

RADIUS DTLS の設定

必要な DTLS

このオプションを有効にすると、Cisco ISE ではこのデバイスからの DTLS 要求だけが処理されます。 このオプションを無効にすると、Cisco ISE ではこのデバイスからの UDP 要求と DTLS 要求の両方が処理されます。

RADIUS DTLS は SSL トンネルの確立および RADIUS の通信用に強化されたセキュリティを提供します。

共有秘密鍵(Shared Secret)

RADIUS DTLS に使用される共有秘密鍵が表示されます。 この値は固定されており、MD5 整合性チェックを計算するために使用されます。

CoA ポート(CoA Port)

RADIUS DTLS CoA に使用するポートを指定します。

CoA の ISE 証明書の発行元 CA

ドロップダウンリストから RADIUS DTLS CoA に使用する認証局を選択します。

DNS 名

ネットワークデバイスの DNS 名を入力します。 [RADIUS/DTLS クライアント ID 検証の有効化(Enable RADIUS/DTLS Client Identity Verification)] オプションが RADIUS 設定で有効になっている場合、Cisco ISE はこの DNS 名とクライアント証明書で指定されている DNS 名を比較して、ネットワークデバイスの ID を確認します。

全般設定

KeyWrap の有効化(Enable KeyWrap)

ネットワークデバイスでサポートされる場合にのみ、このチェックボックスをオンにします。これにより、AES KeyWrap アルゴリズムによって RADIUS のセキュリティが強化されます。

 

FIPS モードで Cisco ISE を実行する場合は、ネットワークデバイス上で KeyWrap を有効にする必要があります。

キー暗号キー(Key Encryption Key)

(KeyWrap を有効にしている場合だけ表示されます)セッション暗号化(秘密)に使用される暗号キーを入力します。

メッセージ オーセンティケータ コード キー(Message Authenticator Code Key)

(KeyWrap を有効にしている場合だけ表示されます)RADIUS メッセージのキー付き Hashed Message Authentication Code(HMAC)の計算に使用されるキーを入力します。

キー入力形式(Key Input Format)

次の形式のいずれか 1 つを選択します。

  • [ASCII]:キー暗号キーの長さは 16 文字(バイト)、メッセージ オーセンティケータ コード キーの長さは 20 文字(バイト)である必要があります。

  • [16 進数(Hexadecimal)]:キー暗号キーの長さは 32 バイトであり、メッセージ オーセンティケータ コード キーの長さは 40 バイトである必要があります。

Cisco ISE FIPS 暗号キーの入力に使用するキー入力形式を指定します。これは、WLC の設定と一致する必要があります (指定する値はキーの正しい(全体の)長さにする必要があり、それよりも短い値は許可されません)。

TACACS+ 認証設定

次の表では、ネットワークデバイスの TACACS+ 認証を設定するために使用できる [ネットワークデバイス(Network Devices)] ページのフィールドについて説明します。 ナビゲーション パスは次のとおりです。

  • (ネットワーク デバイスの場合)[ワークセンター(Work Centers)] > [デバイス管理(Device Administration)] > [ネットワークリソース(Network Resources)] > [ネットワークデバイス(Network Devices)] > [追加(Add)] > [TACACS認証設定(TACACS Authentication Settings)]。

  • (デフォルトのデバイスの場合)[ワークセンター(Work Centers)] > [デバイス管理(Device Administration)] > [ネットワークリソース(Network Resources)] > [デフォルトのデバイス(Default Devices)] > [TACACS 認証設定(TACACS Authentication Settings)]。詳細については、『Cisco ISE 管理者ガイド:セキュアな有線アクセス 』の「Cisco ISE でのデフォルトのネットワークデバイス定義」のセクションを参照してください。

フィールド

使用上のガイドライン

共有秘密鍵(Shared Secret)

TACACS+ プロトコルがイネーブルのときにネットワークデバイスに割り当てられたテキストの文字列。ユーザ は、ネットワークデバイスによってユーザ名およびパスワードが認証される前にテキストを入力する必要が あります。ユーザが共有秘密情報を提示するまで、接続は拒否されます。 これは必須フィールドではありません。

廃止された共有秘密がアクティブです(Retired Shared Secret is Active)

リタイアメント期間がアクティブな場合に表示されます。

廃止(Retire)

既存 の共有秘密を終了する代わりに廃止します。[廃止(Retire)] をクリックすると、 メッセージボックスが表示されます。[はい(Yes)] または [いいえ(No)] をクリックできます。

残りの廃止期間(Remaining Retired Period)

(上のメッセージボックスで [はい(Yes)] を選択した場合にのみ利用可能)次の ナビゲーションパスで指定されたデフォルト値が表示されます。[ワークセンター(Work Centers)] > [デバイス管理(Device Administration)] > [設定(Settings)] > [接続設定(Connection Settings)] > [デフォルトの共有秘密リタイアメント期間(Default Shared Secret Retirement Period)]。デフォルト値は変更することができます。

これ により、新しい共有秘密を入力でき、古い共有秘密は指定された日数にわたって アクティブなままになります。

終了(End)

(上のメッセージボックスで [はい(Yes)] を選択した場合にのみ利用可能)リタイアメント期間が終了し、古い 共有秘密が終了します。

シングル接続モードを有効にする(Enable Single Connect Mode)

ネットワークデバイスとのすべての TACACS+ 通信に単一の TCP 接続を使用する場合にオンにします。次のいずれか を実行します。

  • [レガシーシスコデバイス(Legacy Cisco Devices)]

  • または、[TACACS+ ドラフト コンプライアンス シングル接続のサポート(TACACS+ Draft Compliance Single Connect Support)]。 シングル接続モードをディセーブルにすると、ISE はすべての TACACS+ 要求に対して新しい TCP 接続を使用します。

SNMP 設定

次の表では、[SNMP 設定(SNMP Settings)] セクションのフィールドについて説明します。

表 49SNMP 設定

フィールド

使用上のガイドライン

SNMP バージョン(SNMP Version)

[バージョン(Version)] ドロップダウンリストから要求に使用される SNMP のバージョンを選択します。

次のバージョンがあります。

  • 1:SNMPv1 は informs をサポートしていません。

  • 2c

  • 3:SNMPv3 は、[Priv] セキュリティレベルを選択した場合にパケット暗号化が可能であるため、最もセキュアなモデルです。

     

    ネットワークデバイスに SNMPv3 パラメータを設定した場合、モニタリングサービス([操作(Operations)] > [レポート(Reports)] > [カタログ(Catalog)] > [ネットワークデバイス(Network Device)] > [セッションステータス概要(Session Status Summary)])で提供されるネットワーク デバイス セッション ステータス概要レポートは生成できません。 ネットワークデバイスが SNMPv1 または SNMPv2c パラメータを使用して設定されている場合は、このレポートを生成できます。

SNMP RO コミュニティ(SNMP RO Community)

(SNMP バージョン 1 および 2c で選択された場合のみ)Cisco ISE にデバイスへの特定タイプのアクセスを提供する読み取り専用コミュニティストリングを入力します。

 

キャレット記号(曲折アクセント付き ^)を使用することはできません。

SNMP ユーザ名(SNMP Username)

(SNMP バージョン 3 の場合のみ)SNMP ユーザ名を入力します。

セキュリティ レベル(Security Level)

(SNMP バージョン 3 の場合のみ)次からセキュリティレベルを選択します。

  • [Auth]:Message Digest 5 またはセキュア ハッシュ アルゴリズム(SHA)パケット認証をイネーブルにします。

  • [No Auth]:認証なし、プライバシーなしのセキュリティレベル。

  • [Priv]:データ暗号規格(DES)パケットの暗号化をイネーブルにします。

認証プロトコル(Auth Protocol)

(SNMP バージョン 3 でセキュリティレベル Auth および Priv を選択した場合のみ)ネットワークデバイスで使用する認証プロトコルを選択します。

認証プロトコルには、Auth および Priv のセキュリティレベルに対して次のいずれかが含まれます。

  • MD5

  • SHA

認証パスワード(Auth Password)

(SNMP バージョン 3 でセキュリティレベル Auth および Priv を選択した場合のみ)認証キーを入力します。このキーは 8 文字以上の長さにする必要があります。

デバイスにすでに設定されている認証パスワードを表示するには、[表示(Show)] をクリックします。

 

キャレット記号(曲折アクセント付き ^)をパスワードで使用することはできません。

プライバシー プロトコル(Privacy Protocol)

(SNMP バージョン 3 でセキュリティレベル Priv を選択した場合のみ)ネットワークデバイスで使用するプライバシープロトコルを選択します。

プライバシープロトコルは次のいずれかです。

  • DES

  • AES128

  • AES192

  • AES256

  • 3DES

プライバシー パスワード(Privacy Password)

(SNMP バージョン 3 でセキュリティレベル Priv を選択した場合のみ)プライバシーキーを入力します。

デバイスにすでに設定されているプライバシーパスワードを表示するには、[表示(Show)] をクリックします。

 

キャレット記号(曲折アクセント付き ^)をパスワードで使用することはできません。

ポーリング間隔(Polling Interval)

ポーリング間隔を秒単位で入力します。 デフォルトは 3600 秒です。

リンク トラップ クエリー(Link Trap Query)

SNMP トラップを介して受信する linkup 通知と linkdown 通知を受信して解釈するには、このチェックボックスをオンにします。

MAC トラップ クエリ(MAC Trap Query)

SNMP トラップを介して受信する MAC 通知を受信して解釈するには、このチェックボックスをオンにします。

送信元ポリシー サービス ノード(Originating Policy Service Node)

SNMP データのポーリングに使用される ISE サーバを示します。 デフォルトでは自動ですが、別の値を割り当てて設定を上書きできます。

高度な TrustSec 設定

次の表は、[高度な TrustSec 設定(Advanced TrustSec Settings)] セクションのフィールドについて説明しています。

表 50高度な TrustSec 設定

フィールド

使用上のガイドライン

HTTP REST API の設定

HTTP REST API の有効化(Enable HTTP REST API)

HTTP REST API を使用して、ネットワークデバイスに必要なすべての TrustSec 情報を提供するには、このチェックボックスをオンにします。これにより、既存の RADIUS プロトコルと比較して、短時間で大規模な設定をダウンロードする効率と能力が向上します。 また、UDP を介した TCP を使用することで、信頼性が向上します。

[ユーザ名(Username)]

TrustSec デバイスチェックボックスを認証するために TrustSec デバイス CLI で設定したユーザ名を入力します。 ユーザ名にスペース、! % ^ : ;、[{|}] ' "= < >? を含めることはできません

パスワード(Password)

TrustSec デバイスを認証するために TrustSec デバイス CLI で設定したパスワードを入力します。

TrustSec デバイスの通知および更新の設定

TrustSec ID にデバイス ID を使用(Use Device ID for TrustSec Identification)

[デバイス ID(Device ID)] フィールドにデバイス ID としてデバイス名をリストするには、このチェックボックスをオンにします。

デバイスID (Device ID)

[TrustSec ID にデバイスIDを使用(Use Device ID for TrustSec Identification)] チェックボックスがオフの場合にのみ、このフィールドにデバイス ID を入力できます。

パスワード(Password)

TrustSec デバイスを認証するために TrustSec デバイス CLI で設定したパスワードを入力します。

TrustSec デバイスの認証に使用されるパスワードを表示するには、[表示(Show)] をクリックします。

環境データのダウンロード間隔 <...>(Download Environment Data Every <...>)

デバイスが Cisco ISE から環境データをダウンロードする必要がある時間間隔を指定します。時間を秒、分、時、日、または週で指定できます。 デフォルト値は 1 日です。

ピア許可ポリシーのダウンロード間隔 <...>(Download Peer Authorization Policy Every <...>)

デバイスが Cisco ISE からピア許可ポリシーをダウンロードする必要がある時間間隔を指定します。時間を秒、分、時、日、または週で指定できます。 デフォルト値は 1 日です。

再認証間隔 <...>(Reauthentication Every <...>)

最初の認証後、デバイスが Cisco ISE に対して自身を再認証する時間間隔を指定します。時間を秒、分、時、日、または週で設定できます。 たとえば 1000 秒と入力すると、デバイスは 1000 秒ごとに Cisco ISE に対して自身を認証します。 デフォルト値は 1 日です。

SGACL リストのダウンロード間隔 <...>(Download SGACL Lists Every <...>)

デバイスが Cisco ISE から SGACL をダウンロードする必要がある時間間隔を指定します。時間を秒、分、時、日、または週で設定できます。 デフォルト値は 1 日です。

その他の TrustSec デバイスでこのデバイスを信頼する(信頼できる TrustSec)(Other TrustSec Devices to Trust This Device (TrustSec Trusted))

すべてのピア デバイスでこの TrustSec デバイスを信頼する場合は、このチェックボックスをオンにします。このチェックボックスをオフにした場合、ピアデバイスはこのデバイスを信頼せず、このデバイスから到着したすべてのパケットが適宜色付けまたはタグ付けされます。

設定変更のデバイスへの送信(Send Configuration Changes to Device)

Cisco ISE で CoA または CLI(SSH)を使用して TrustSec 設定変更を TrustSec デバイスに送信する場合は、このチェックボックスをオンにします。

CoA の使用(Using CoA)

Cisco ISE で CoA を使用して設定変更を TrustSec デバイスに送信する場合は、このオプションを選択します。

送信元(Send From)

設定変更を TrustSec デバイスに送る必要がある送信元 ISE ノードを、このドロップダウン リストから選択します。PAN または PSN ノードを選択できます。 選択した PSN ノードがダウンした場合、PSN を使用して TrustSec デバイスに設定変更が送信されます。

テスト接続(Test Connection)

TrustSec デバイスと選択した ISE ノード(PAN または PSN ノード)の間の接続をテストするには、このオプションを使用できます。

CLI(SSH)の使用(Using CLI (SSH))

Cisco ISE で CLI を使用(SSH 接続を使用)して設定の変更を TrustSec デバイスに送信するには、このオプションを選択します。 詳細については、Cisco ISE 管理者ガイド:セグメンテーション 』の「非 CoA サポートデバイスへの設定変更のプッシュ」のセクションを参照してください。

SSH キー(SSH Key)

この機能を使用するには、Cisco ISE からネットワークデバイスへの SSHv2 トンネルを開き、デバイスの CLI を使用して SSH キーを取得します。 確認のために、このキーをコピーして [SSH キー(SSH Key)] フィールドに貼り付ける必要があります。詳細については、Cisco ISE 管理者ガイド:セグメンテーション 』の「SSH キーの検証」のセクションを参照してください。

デバイス設定の展開設定

セキュリティ グループ タグ マッピングの展開時にこのデバイスを含める(Include this device when deploying Security Group Tag Mapping Updates)

この TrustSec デバイスで、デバイス インターフェイス クレデンシャルを使用して IP と SGT の間のマッピングを取得するには、このチェックボックスをオンにします。

EXEC モード ユーザ名(EXEC Mode Username)

TrustSec デバイスへのログインに使用するユーザ名を入力します。

EXEC モード パスワード(EXEC Mode Password)

デバイス パスワードを入力します。

有効モード パスワード(Enable Mode Password)

(省略可能)特権モードで TrustSec デバイスの構成を編集するために使用する有効なパスワードを入力します。

アウト オブ バンド TrustSec PAC ディスプレイ(Out Of Band TrustSec PAC Display)

発行日(Issue Date)

この TrustSec デバイス用に Cisco ISE によって生成された最後の TrustSec PAC の発行日を表示します。

期限日(Expiration Date)

この TrustSec デバイス用に Cisco ISE によって生成された最後の TrustSec PAC の有効期限を表示します。

発行元(Issued By)

このデバイス用に Cisco ISE によって最後に生成された TrustSec PAC の発行者(TrustSec 管理者)の名前を表示します。

PAC の生成(Generate PAC)

TrustSec デバイスのアウト オブ バンド TrustSec PAC を生成するには、このオプションをクリックします。

デフォルトのネットワーク デバイス定義の設定

次の表に、[デフォルトのネットワーク デバイス(Default Network device)] ページのフィールドを示します。このページでは、Cisco ISE が RADIUS または TACACS+ 認証に使用するデフォルトのネットワークデバイスを設定できます。 次のいずれかのナビゲーション パスを選択します。

  • [管理(Administration)] > [ネットワークリソース(Network Resources)] > [ネットワークデバイス(Network Devices)] > [デフォルトのデバイス(Default Devices)]

  • [ワーク センター(Work Centers)] > [デバイス管理(Device Administration)] > [ネットワーク リソース(Network Resources)] > [デフォルトのデバイス(Default Devices)]

表 51デフォルトのネットワークデバイス 定義の設定

フィールド

使用上のガイドライン

デフォルトのネットワーク デバイスのステータス(Default Network Device Status)

デフォルトのネットワーク デバイス定義を有効にするには、[デフォルトのネットワーク デバイスのステータス(Default Network Device Status)] ドロップダウン リストから [有効化(Enable)] を選択します。

 

デフォルト デバイスが有効になっている場合、RADIUS または TACACS+ で認証設定を有効にする必要があります。

デバイスプロファイル(Device Profile)

デフォルトのデバイスベンダーとしてシスコを表示します。

RADIUS 認証設定

RADIUS の有効化

デバイスへの RADIUS 認証を有効にする場合は、このチェックボックスをオンにします。

RADIUS UDP の設定

共有秘密鍵(Shared Secret)

共有秘密を入力します。共有秘密情報の長さは、最大 127 文字です。

共有秘密鍵は、 pac オプションを指定した radius-host コマンドを使用してネットワークデバイスに設定したキーです。

 

共有秘密鍵の長さは、[デバイスのセキュリティ設定(Device Security Settings)] ページの [RADIUS共有秘密鍵の最小長(Minimum RADIUS Shared Secret Length)] フィールドで設定された値と同等以上である必要があります([管理(Administration)] > [ネットワークリソース(Network Resources)] > [ネットワークデバイス(Network Devices)] > [デバイスセキュリティ設定(Device Security Settings)])。 新規インストールとアップグレードした展開の場合、デフォルトではこの値は 4 文字になります。 RADIUS サーバでのベストプラクティスは、22 文字にすることです。

RADIUS DTLS の設定

必要な DTLS

このオプションを有効にすると、Cisco ISE ではこのデバイスからの DTLS 要求だけが処理されます。 このオプションを無効にすると、Cisco ISE ではこのデバイスからの UDP 要求と DTLS 要求の両方が処理されます。

RADIUS DTLS は SSL トンネルの確立および RADIUS の通信用に強化されたセキュリティを提供します。

共有秘密鍵(Shared Secret )

RADIUS DTLS に使用される共有秘密鍵が表示されます。 この値は固定されており、MD5 整合性チェックを計算するために使用されます。

CoA の ISE 証明書の発行元 CA(Issuer CA of ISE Certificates for CoA)

ドロップダウンリストから RADIUS DTLS CoA に使用する認証局を選択します。

全般設定 (General Settings)

KeyWrap の有効化(Enable KeyWrap)

ネットワークデバイスでサポートされる場合にのみ、このチェックボックスをオンにします。これにより、AES KeyWrap アルゴリズムによって RADIUS のセキュリティが強化されます。

FIPS モードで Cisco ISE を実行する場合は、ネットワークデバイス上で KeyWrap を有効にする必要があります。

キー暗号キー(Key Encryption Key)

KeyWrap を有効にしている場合、セッションの暗号化(秘密)に使用する暗号キーを入力します。

メッセージ オーセンティケータ コード キー(Message Authenticator Code Key)

KeyWrap を有効にしている場合、RADIUS メッセージに対するキー付き Hashed Message Authentication Code(HMAC)の計算に使用するキーを入力します。

キー入力形式(Key Input Format)

次の形式のいずれか 1 つを選択します。

  • [ASCII]:キー暗号キーの長さは 16 文字(バイト)、メッセージ オーセンティケータ コード キーの長さは 20 文字(バイト)である必要があります。

  • [16 進数(Hexadecimal)]:キー暗号キーの長さは 32 バイトであり、メッセージ オーセンティケータ コード キーの長さは 40 バイトである必要があります。

Cisco ISE FIPS 暗号キーの入力に使用するキー入力形式を指定します。これは、WLC の設定と一致する必要があります 指定する値はキーの正しい(全体の)長さにする必要があります。それよりも短い値は許可されません。

TACACS 認証設定

共有秘密鍵(Shared Secret)

TACACS+ プロトコルがイネーブルのときにネットワークデバイスに割り当てられたテキストの文字列。 ユーザは、ネットワークデバイスによってユーザ名およびパスワードが認証される前にテキスト を入力する必要があります。ユーザが共有秘密情報を提示するまで、接続 は拒否されます。

廃止された共有秘密がアクティブです(Retired Shared Secret is Active )

リタイアメント期間 がアクティブな場合に表示されます。

廃止(Retire)

既存 の共有秘密を終了する代わりに廃止します。[廃止(Retire)] をクリックすると、メッセージ ボックスが表示されます。[はい(Yes)] または [いいえ(No)] をクリックできます。

残りの廃止期間(Remaining Retired Period )

(上のメッセージボックスで [はい(Yes)] を選択した場合にのみ利用可能)次のナビゲーションパスで指定されたデフォルト値が表示されます。[ワークセンター(Work Centers)] > [デバイス管理(Device Administration)] > [設定(Settings)] > [接続設定(Connection Settings)] > [デフォルトの共有秘密リタイアメント期間(Default Shared Secret Retirement Period)]。 デフォルト値は変更することができます。

これ により、新しい共有秘密を入力でき、古い共有秘密は指定された日数にわたって アクティブなままになります。

終了(End)

(上のメッセージボックスで [はい(Yes)] を選択した場合にのみ利用可能)リタイアメント期間が終了し、古い 共有秘密が終了します。

シングル接続モードを有効にする(Enable Single Connect Mode)

ネットワークデバイスとのすべての TACACS+ 通信に単一の TCP 接続を使用する場合にオンにします。次のいずれか を実行します。

  • [レガシーシスコデバイス(Legacy Cisco Devices)]

  • または、[TACACS+ ドラフト コンプライアンス シングル接続のサポート(TACACS+ Draft Compliance Single Connect Support)]。 このオプションをディセーブルにすると、すべての TACACS+ 要求に対して新しい TCP 接続が ISE で使用されます。

デバイス セキュリティ設定

RADIUS 共有秘密の最小長を指定します。新規インストールとアップグレードした展開の場合、デフォルトではこの値は 4 文字になります。 RADIUS サーバでのベスト プラクティスは、22 文字にすることです。



[ネットワークデバイス(Network Devices)] ページに入力した共有秘密の長さは、[デバイスセキュリティ設定(Device Security Settings)] ページの [RADIUS 共有秘密の最小長(Minimum RADIUS Shared Secret Length)] フィールドで設定した値以上でなければなりません。


ネットワーク デバイスのインポート設定

次の表では、ネットワークデバイスの詳細を Cisco ISE にインポートするために使用する [ネットワーク デバイス インポート(Network Device Import)] ページのフィールドについて説明します。 このページへのナビゲーションパスは、[管理(Administration)] > [ネットワークリソース(Network Resources)] > [ネットワークデバイス(Network Devices)] です。

表 52.ネットワーク デバイスのインポート設定

フィールド

使用上のガイドライン

テンプレートの生成(Generate a Template)

カンマ区切り形式(.csv)テンプレート ファイルを作成するには、このリンクをクリックします。

同じ形式のネットワークデバイス情報でテンプレートを更新し、それらのネットワークデバイスを Cisco ISE 展開にインポートするためにローカルで保存します。

ファイル(File)

作成したか、または Cisco ISE 展開から以前にエクスポートしたカンマ区切り形式ファイルの場所を参照するには、[参照(Browse)] をクリックします。

インポートを使用して、新しい、更新されたネットワーク デバイス情報を含むネットワーク デバイスを別の Cisco ISE 展開にインポートできます。

新しいデータで既存のデータを上書き(Overwrite existing data with new data)

Cisco ISE で既存のネットワーク デバイスをインポート ファイル内のデバイスに置き換える場合は、このチェックボックスをオンにします。

このチェックボックスをオンにしない場合、インポートファイル内の新しいネットワークデバイス定義がネットワーク デバイス リポジトリに追加されます。 重複エントリは無視されます。

最初のエラーでインポートを停止(Stop Import on First Error)

インポート中にエラーが発生したときに Cisco ISE にインポートを中止させる場合、このチェックボックスをオンにしますが、Cisco ISE はエラーのその時点までネットワークデバイスをインポートします。

このチェックボックスがオフで、エラーが発生した場合は、エラーが報告され、Cisco ISE はデバイスを引き続きインポートします。

ネットワーク デバイス グループ(Network Device Groups)

これらのページを使用すると、ネットワーク デバイス グループを設定し、管理することができます。

ネットワーク デバイス グループの設定

次の表では、ネットワーク デバイス グループを作成するために使用できる [ネットワーク デバイス グループ(Network Device Groups)] ページのフィールドについて説明します。 このページへのナビゲーションパスは、[管理(Administration)] > [ネットワークリソース(Network Resources)] > [ネットワーク デバイス グループ(Network Device Groups)] > [グループ(Groups)] です。

[ワークセンター(Work Centers)] > [デバイス管理(Device Administration)] > [ネットワーク デバイス グループ(Network Device Groups)] >[ グループ(Groups)] ページでネットワーク デバイス グループを作成することもできます。

表 53.ネットワーク デバイス グループの 設定

フィールド

使用上のガイドライン

名前(Name)

ルート ネットワーク デバイス グループ(NDG)の名前を入力します。 ルート NDG の下位にあるすべての子ネットワーク デバイス グループに対して、新しいネットワーク デバイス グループの名前を入力します。

ルート ノードを含み、最大で 6 つのノードを NDG 階層に含めることができます。各 NDG 名は最大 32 文字です。

説明

ルートまたは子のネットワーク デバイス グループの説明を入力します。

親グループ(Parent Group)

親グループとして既存のグループを選択するか、ルートグループとして、この新しいグループを追加できます。

ネットワーク デバイス グループのインポート設定

次の表では、Cisco ISE にネットワーク デバイス グループをインポートするために使用できる [ネットワーク デバイス グループ インポート(Network Device Group Import)] ページのフィールドについて説明します。 このページへのナビゲーションパスは、[管理(Administration)] > [ネットワークリソース(Network Resources)] > [ネットワーク デバイス グループ(Network Device Groups)] > [グループ(Groups)] です。

表 54ネットワーク デバイス グループのインポート設定

フィールド

使用上のガイドライン

テンプレートの生成(Generate a Template)

カンマ区切り形式(.csv)テンプレート ファイルを作成するには、このリンクをクリックします。

同じ形式のネットワーク デバイス グループ情報でテンプレートを更新し、それらのネットワーク デバイス グループを Cisco ISE 展開にインポートするためにローカルで保存します。

ファイル(File)

作成したか、または Cisco ISE 展開から以前にエクスポートしたカンマ区切り形式ファイルの場所を参照するには、[参照(Browse)] をクリックします。

インポートを使用して、新しい、更新されたネットワーク デバイス グループ情報を含むネットワーク デバイス グループを別の Cisco ISE 展開にインポートできます。

新しいデータで既存のデータを上書き(Overwrite existing data with new data)

Cisco ISE で既存のネットワーク デバイス グループをインポートファイル内のデバイスグループに置き換える場合は、このチェックボックスをオンにします。

このチェックボックスをオンにしない場合、インポートファイル内の新しいネットワーク デバイス グループがネットワーク デバイス グループ リポジトリに追加されます。 重複エントリは無視されます。

最初のエラーでインポートを停止(Stop Import on First Error)

インポート中にエラーが発生すると、Cisco ISE にインポートを中止させる場合、このチェックボックスをオンにしますが、Cisco ISE はエラーのその時点までネットワーク デバイス グループをインポートします。

このチェックボックスがオフで、エラーが発生した場合は、エラーが報告され、Cisco ISE はデバイスグループを引き続きインポートします。

セッション認識型ネットワーク(SAnet)のサポート

Cisco ISE は、セッション認識型ネットワーキング(SAnet)に対する限定的なサポートを提供します。SAnet は、多くのシスコスイッチで実行するセッション管理フレームワークです。 SAnet は、可視性、認証、認可などのアクセスセッションを管理します。SAnet は、RADIUS 認可属性が含まれているサービステンプレートを使用します。 Cisco ISE には、認証プロファイル内にサービステンプレートが含まれています。 Cisco ISE は、プロファイルを「サービステンプレート」互換として識別するフラグを使用して認証プロファイルのサービステンプレートを識別します。

Cisco ISE 認証プロファイルには、属性のリストに変換される RADIUS 認可属性が含まれています。また、SAnet サービステンプレートには、RADIUS 認可属性も含まれていますが、これらの属性はリストに変換されません。

SAnet デバイスの場合、Cisco ISE はサービステンプレートの名前を送信します。キャッシュ内にそのコンテンツか、または静的に定義された設定が存在しない限り、デバイスはサービステンプレートのコンテンツをダウンロードします。 サービステンプレートによって RADIUS 属性が変更されると、Cisco ISE はデバイスに CoA 通知を送信します。

ネットワーク デバイス プロファイル設定

次の表は、[ネットワーク デバイス プロファイル(Network Device Profiles)] ページのフィールドについての説明です。このページを使用して、プロトコル、リダイレクト URL および CoA 設定に対するデバイスのサポートなど、特定のベンダーからのネットワークデバイスのタイプに対するデフォルト設定を構成することができます。 その後、プロファイルを使用して特定のネットワークデバイスを定義します。

このページへのナビゲーションパスは、[管理(Administration)] > [ネットワークリソース(Network Resources)] > [ネットワーク デバイス プロファイル(Network Device Profiles)] です。

ネットワーク デバイス プロファイルの設定

次の表は、[ネットワーク デバイス プロファイル(Network Device Profile)] セクションのフィールドについての説明です。

表 55ネットワーク デバイス プロファイル の設定

フィールド

説明

[名前(Name)]

ネットワーク デバイス プロファイルの名前を入力します。

説明

ネットワーク デバイス プロファイルの説明を入力します。

アイコン(Icon)

ネットワーク デバイス プロファイルに使用するアイコンを選択します。 このアイコンには、選択したベンダーのアイコンがデフォルトで設定されます。

選択するアイコンは 16 X 16 の PNG ファイルである必要があります。

ベンダー(Vendor)

ネットワーク デバイス プロファイルのベンダーを選択します。

選択可能なベンダーは、シスコ、Aruba、HP、Motorola、Brocade、Alcatel などです。

サポートされるプロトコル

RADIUS

このネットワーク デバイス プロファイルが RADIUS をサポートしている場合は、このチェックボックスをオンにします。

TACACS+

このネットワーク デバイス プロファイルが TACACS+ をサポートしている場合は、このチェックボックスをオンにします。

TrustSec

このネットワーク デバイス プロファイルが TrustSec をサポートしている場合は、このチェックボックスをオンにします。

RADIUS ディクショナリ(RADIUS Dictionaries)

このプロファイルでサポートされる 1 つ以上の RADIUS ディクショナリを選択します。 プロファイルを作成する前に、ベンダー固有の RADIUS ディクショナリをインポートします。

認証/許可テンプレートの設定

次の表は、[認証/許可(Authentication/Authorization)] セクションのフィールドについての説明です。

表 56}認証/許可の 設定

フィールド

説明

フロータイプの条件(Flow Type Conditions)

Cisco ISE では、802.1X、MAC 認証バイパス(MAB)、およびブラウザベースの Web 認証ログインが、有線ネットワークと無線ネットワークの両方を介した基本的なユーザ認証およびアクセスでサポートされます。

このタイプのネットワークデバイスがサポートする認証ログインのチェックボックスをオンにします。 次の 1 つ以上の項目を指定できます。

  • 有線 MAC 認証バイパス(MAB)(Wired MAC authentication bypass (MAB))

  • 無線 MAB(Wireless MAB)

  • 有線 802.1x(Wired 802.1X)

  • 無線 802.1x(Wireless 802.1X)

  • 有線 Web 認証(Wired Web Authentication)

  • 無線 Web 認証(Wireless Web Authentication)

ネットワーク デバイス プロファイルでサポートされる認証ログインをオンにした後、ログインの条件を指定します。

属性エイリアシング(Attribute Aliasing)

ポリシールールのフレンドリ名としてデバイスのサービスセット識別子(SSID)を使用する場合は、[SSID] チェックボックスをオンにします。 これにより、ポリシールールで使用する一貫した名前を作成でき、その名前は複数のデバイスに適用されます。

ホストルックアップ(MAB)

ホストルックアップの処理(Process Host Lookup)

ネットワーク デバイス プロファイルで使用されるホストルックアップ用のプロトコルを定義するには、このチェックボックスをオンにします。

さまざまなベンダーからのネットワークデバイスは、MAB 認証を異なる方法で実行します。 デバイスタイプに応じて、使用しているプロトコルの [パス