概要

このドキュメントでは、Cisco Identity Services Engine(ISE)で検証された、スイッチ、ワイヤレス LAN コントローラ、その他のポリシー適用デバイスとの互換性、および Cisco ISE と相互運用するオペレーティングシステムについて説明します。

検証済みネットワーク アクセス デバイス

Cisco ISE は、標準ベースの認証に共通の RADIUS 動作(Cisco IOS 12.x と同様)を実装するシスコまたはシスコ以外の RADIUS クライアント ネットワーク アクセス デバイス(NAD)との相互運用性をサポートします。

『RADIUS』

Cisco ISE は、標準プロトコルに準拠するサードパーティの RADIUS デバイスと完全に相互に機能します。RADIUS 機能がサポートされるかどうかは、そのデバイス固有の実装によって異なります。

RFC 標準

Cisco ISE は、次の RFC に準拠しています。

  • RFC 2138:Remote Authentication Dial In User Service (RADIUS)

  • RFC 2139:RADIUS Accounting

  • RFC 2865:Remote Authentication Dial In User Service (RADIUS)

  • RFC 2866:RADIUS Accounting

  • RFC 2867:RADIUS Accounting の拡張(トンネル プロトコルのサポート用)

  • RFC 5176—Dynamic Authorization Extensions to Remote Authentication Dial In User Service (RADIUS)

TACACS+

Cisco ISE は、管理プロトコルに準拠するサードパーティの TACACS+ クライアントデバイスと完全に相互に機能します。TACACS+ 機能がサポートされるかどうかは、そのデバイス固有の実装によって異なります。


(注)  

ポスチャアセスメント、プロファイリング、および Web 認証を含むものなど、特定の高度な使用例は、シスコ以外のデバイスでは一貫して利用できないか、機能が制限される場合があります。すべてのネットワークデバイスとそのソフトウェアのハードウェア機能または特定のソフトウェアリリースのバグを検証することをお勧めします。


ネットワークスイッチで Cisco ISE の特定の機能を有効にする方法については、『Cisco Identity Services Engine Admin Guide 』の「Switch AND Wireless LAN Controller Configuration Required To SUPPORT Cisco ise functions」の章を参照してください。

サードパーティ NAD プロファイルの詳細については、「ISE コミュニティリソース」を参照してください。


(注)  

一部のスイッチモデルと IOS バージョンがサポート終了日に達した可能性があります。また、Cisco TAC では相互運用性がサポートされていない可能性があります。



(注)  

Cisco ISE プロファイリングサービスについては、最新バージョンの NetFlow を使用する必要があります。NetFlow バージョン 5 を使用する場合は、アクセスレイヤのプライマリ NAD でのみ使用できます。


ワイヤレス LAN コントローラの場合は、次の点に注意してください。

  • MAC 認証バイパス(MAB)は、RADIUS ルックアップによる MAC フィルタリングをサポートしています。

  • MAC フィルタリングを使用したセッション ID と COA のサポートにより、MAB のような機能が提供されます。

  • DNS ベースの ACL 機能は WLC 8.0 でサポートされています。すべてのアクセスポイントが DNS ベースの ACL をサポートしているわけではありません。詳細については、『Cisco Access Points Release Notes』を参照してください。

デバイスサポートをマーキングするには、次の表記法を使用します。

  • :完全サポート
  • X:サポート対象外

  • ! :限定的なサポート、一部の機能はサポートされていません。

次の機能は各特徴でサポートされています。

表 1. 特徴と機能
機能 機能

AAA

802.1 x、MAB、VLAN の割り当て、dACL

プロファイリング

RADIUS CoA およびプロファイリングプローブ

BYOD

RADIUS CoA、URL リダイレクション、および SessionID

ゲスト

RADIUS CoA、ローカル Web 認証、URL リダイレクション、および SessionID

Guest URL(元の URL)

RADIUS CoA、ローカル Web 認証、URL リダイレクション、および SessionID

ポスチャ(Posture)

RADIUS CoA、URL リダイレクション、および SessionID

MDM

RADIUS CoA、URL リダイレクション、および SessionID

TrustSec

SGT の分類

検証済みシスコアクセススイッチ

表 2. 検証済みシスコアクセススイッチ

Device

検証済み OS1

AAA

プロファイリング

BYOD

ゲスト

Guest URL(元の URL)

ポスチャ(Posture)

MDM

TrustSec2

最小 OS3

IE2000

IE3000

Cisco IOS 15.2(2)E4

Cisco IOS 15.2(4)EA6

Cisco IOS 15.0(2)EB

X

IE4000

IE5000

Cisco IOS 15.2(2)E5

Cisco IOS 15.2(4)E2

Cisco IOS 15.2(4)EA6

Cisco IOS 15.0.2A-EX5

IE4010

Cisco IOS 15.2(2)E5

Cisco IOS 15.2(4)E2

Cisco IOS 15.0.2A-EX5

SMB SG500

Sx500 1.4.8.06

4

!

X

X

X

X

X

X

Sx500 1.2.0.97

!

!

X

X

X

X

X

X

CGS 2520

Cisco IOS 15.2(3)E3

X

Cisco IOS 15.2(3)E3

X

Catalyst 2960 LAN Base

Cisco IOS 15.0(2)SE11

X

X

Cisco IOS v12.2(55)SE55

!

X

!

!

X

Catalyst 2960-C

Catalyst 3560-C

Cisco IOS 15.2(2)E4

Cisco IOS 12.2(55)EX3

Catalyst 2960-L

Cisco IOS 15.2(6.1.27)E2

X

Cisco IOS 15.2(6)E2

X

CATALYST 2960-Plus

Catalyst 2960-SF

Cisco IOS 15.2(2)E4

Cisco IOS 15.0(2)SE7

X

Catalyst 2960-S

Cisco IOS 15.2(2)E6

Cisco IOS 15.2(2)E9

Cisco IOS 15.0.2SE10a

Cisco IOS 15.0(2)SE11

X

X

Cisco IOS 12.2.(55)SE5

X

Catalyst 2960–XR

Catalyst 2960–X

Cisco IOS 15.2(2)E6

Cisco IOS 15.2(2)E5

Cisco IOS 15.2(4)E2

Cisco IOS 15.2.6E1(ED)

Cisco IOS 15.2(2)E9

Cisco IOS 15.2(7)E0a

Cisco IOS 15.0.2A-EX5

Catalyst 2960-CX

Catalyst 3560-CX

Cisco IOS 15.2(3)E1

Cisco IOS 15.2(3)E

Catalyst 3560-G

Catalyst 3750-G

Cat 3750-E

Cisco IOS 15.2(2) E6

Cisco IOS 12.2(55)SE5

Cisco IOS 12.2(55)SE10

Cisco IOS 12.2(55)SE11

Cisco IOS 15.0(2)SE11

Cisco IOS 12.2(55)SE5

Catalyst 3560V2

Catalyst 3750V2

Cisco IOS 12.2(55)SE10

Cisco IOS 12.2(55)SE5

Catalyst 3560-E

Cisco IOS 15.0(2)SE11

Cisco IOS 12.2(55)SE5

Catalyst 3560-X

Cisco IOS 15.2(2)E5

Cisco IOS 15.2(2)E6

Cisco IOS 15.2(4)E9

Cisco IOS 12.2(55)SE5

Catalyst 3650

Catalyst 3650-X

Cisco IOS XE 16.3.3

Cisco IOS XE 3.6.5E

Cisco IOS 16.6.2 ES

Cisco IOS 16.9.1 ES

Cisco IOS XE 16.12.1

Cisco IOS XE 3.3.5.SE

Catalyst 3750-E

Cisco IOS 15.2(2) E6

Cisco IOS 15.0(2)SE11

Cisco IOS 12.2(55)SE5

Catalyst 3750-X

Cisco IOS 15.2(2) E6

Cisco IOS 15.2(2)E5

Cisco IOS 15.2(4)E2

Cisco IOS 12.2(55)SE5

Catalyst 3850

Cisco IOS XE 16.3.3

Cisco IOS XE 3.6.5E

Cisco IOS XE 3.6.7E

Cisco IOS XE 3.6.9E

Cisco IOS 16.6.2 ES

Cisco IOS 16.9.1 ES

Cisco IOS XE 16.12.1

Cisco IOS XE 3.3.5.SE

Catalyst 4500-X

Cisco IOS XE 3.6.6 E

Cisco IOS 15.2(2)E5

Cisco IOS 15.2(4)E2

Cisco IOS 15.2(6)E

Cisco IOS XE 3.4.4 SG

X

Catalyst 4500 Supervisor 7-E、7L-E

Cisco IOS XE 3.6.4

Cisco IOS XE 3.4.4 SG

X

Catalyst 4500 Supervisor 6-E、6L-E

Cisco IOS 15.2(2)E4

X

Cisco IOS 15.2(2)E

X

Catalyst 4500 Supervisor 8-E

Cisco IOS XE 3.6.4

Cisco IOS XE 3.6.8E

Cisco IOS 15.2(6)E

Cisco IOS 3.11.0 E ED

X

Cisco IOS XE 3.3.2 XO

X

Catalyst 5760

Cisco IOS XE 3.7.4

X

Catalyst 6500-E (Supervisor 32)

Cisco IOS 12.2(33)SXJ10

X

Cisco IOS 12.2(33)SXI6

X

Catalyst 6500-E(Supervisor 720)

Cisco IOS 15.1(2)SY7

X

Cisco IOS v12.2(33)SXI6

X

Catalyst 6500-E (VS-S2T-10G)

Cisco IOS 152-1.SY1a

X

Cisco IOS 15.0(1)SY1

X

CATALYST 6807-XL

Catalyst 6880-X (VS-S2T-10G)

Cisco IOS 152-1.SY1a

X

Cisco IOS 15.0(1)SY1

X

Catalyst 6500-E (Supervisor 32)

Cisco IOS 12.2(33)SXJ10

X

Cisco IOS 12.2(33)SXI6

X

Catalyst 6848ia

Cisco IOS 152-1.SY1a

X

Cisco IOS 15.1(2) SY+

X

CATALYST 9200

Cisco IOS XE 16.10.1

Cisco IOS XE 16.12.1

Cisco IOS XE 17.1.1

Cisco IOS XE 16.9.2

Catalyst 9200-H

Cisco IOS XE 16.10.1

Cisco IOS XE 16.12.1

Cisco IOS XE 16.9.2

Catalyst 9200-L

Cisco IOS XE 16.10.1

Cisco IOS XE 16.12.1

Cisco IOS XE 16.9.2

Catalyst 9300

Cisco IOS XE 16.6.2 ES

Cisco IOS XE 16.8.1a

Cisco IOS 16.9.1

Cisco IOS XE 16.12.1

Cisco IOS XE 17.1.1

Cisco IOS XE 16.6.2 ES

Catalyst 9300H

Catalyst 9300L

Catalyst 9300S

Cisco IOS XE 16.12.1

Cisco IOS XE 17.1.1

Cisco IOS XE 16.12.1

Catalyst 9400

Cisco IOS XE 16.6.2 ES

Cisco IOS XE 16.8.1a

Cisco IOS XE 16.9.1

Cisco IOS XE 16.12.1

Cisco IOS XE 17.1.1

Cisco IOS XE 16.6.2 ES

Catalyst 9500

Cisco IOS XE 16.6.2 ES

Cisco IOS XE 16.8.1a

Cisco IOS XE 16.6.4

Cisco IOS XE 16.6.2 ES

Catalyst 9500H

Cisco IOS XE 16.12.1

Cisco IOS XE 17.1.1

Cisco IOS XE 16.12.1

Catalyst 9600

Cisco IOS XE 16.12.1

Cisco IOS XE 17.1.1

Cisco IOS XE 16.12.1

Meraki MS プラットフォーム

最新バージョン

! 6

!7

X

!8

X

最新バージョン

!

!

X

!

X

1 検証済み OS は、互換性と安定性のためにテストされたバージョンです。
2 Cisco TrustSec 機能のサポートの完全なリストについては、 Cisco TrustSec の製品情報を参照してください。
3 最小 OS は、機能が導入されたバージョンです。
4 SMB SG500 は、MAC 認証バイパス(MAB)機能をサポートしていません。
5 IOS 12.x バージョンは、CSCsx97093 のため、ポスチャフローとゲストフローを完全にはサポートしていません。回避策として、Cisco ISE で URL リダイレクトを設定するときに、「coa-skip-logical-profile」に値を割り当てます。
6 dACL は、Meraki スイッチではサポートされていません。
7 ローカル Web 認証は、Meraki スイッチでサポートされていません。
8 Meraki MDM のみがサポートされています。サードパーティ MDM はサポートされていません。
Cisco ISE は、Cisco Catalyst スイッチの SNMP CoA をサポートしています。Cisco Catalyst スイッチの SNMP CoA では、次の機能がサポートされています。
  • ポスチャ(Posture)

  • BYOD

  • ゲスト

デバイスセンサー用にサポートされている Catalyst プラットフォームについては、「https://communities.cisco.com/docs/DOC-72932」を参照してください。

検証済みサード パーティ アクセス スイッチ

表 3. 検証済みサード パーティ アクセス スイッチ

Device

検証済み OS9

AAA

プロファイリング

BYOD

ゲスト

ポスチャ(Posture)

MDM

TrustSec10

最小 OS11

Avaya ERS 2526T

4.4

!

X

X

X

X

X

4.4

!

X

X

X

X

X

Brocade ICX 6610

8.0.20

X

X

8.0.20

X

X

Extreme X440-48p

ExtremeXOS 15.5

X

X

X

ExtremeXOS 15.5

X

X

X

HP H3C

HP ProCurve

5.20.99

X

X

5.20.99

X

X

HP ProCurve 2900

WB 15.18.0007

X

X

WB.15.18.0007

X

X

Juniper EX3300

12.3R11.2

X

X

12.3R11.2

X

X

9 検証済み OS は、互換性と安定性のためにテストされたバージョンです。
10 Cisco TrustSec 機能のサポートの完全なリストについては、Cisco TrustSec の製品情報を参照してください。
11 最小 OS は、機能が導入されたバージョンです。

サードパーティ製デバイスのサポートの詳細については、次を参照してください。 https://communities.cisco.com/docs/DOC-64547

検証済み Cisco ワイヤレス LAN コントローラ

表 4. 検証済み Cisco ワイヤレス LAN コントローラ

Device

検証済み OS12

AAA

プロファイリング

BYOD

ゲスト

Guest URL(元の URL)

ポスチャ(Posture)

MDM

TrustSec13

WLC 2100

AireOS 7.0.252.0

!

X

!

X

X

X

X

AireOS 7.0.116.0(最小)

!

X

!

X

X

X

X

WLC 2504

AirOS 8.5.120.0(ED)

WLC 3504

AirOS 8.5.105.0

未検証

WLC 4400

AireOS 7.0.252.0

!

X

!

X

X

X

X

AireOS 7.0.116.0(最小)

!

X

!

X

X

X

X

WLC 2500

AireOS 8.0.140.0

X

X

AireOS 8.2.121.0

X

AireOS 8.3.102.0

X

AireOS 8.4.100.0

X

AireOS 7.2.103.0(最小)

!

X

X

WLC 5508

AireOS 8.0.140.0

X

X

AireOS 8.2.121.0

X

AireOS 8.3.102.0

X

AireOS 8.3.114.x

X

AireOS 8.3.140.0

X

AireOS 8.4.100.0

X

AireOS 7.0.116.0(最小)

!

X

!

X

X

X

WLC 5520

AireOS 8.0.140.0

X

X

AireOS 8.2.121.0

X

AireOS 8.3.102.0

X

AireOS 8.4.100.0

X

AireOS 8.5.1.x

AireOS 8.6.1.x

AirOS 8.6.101.0(ED)

AireOS 8.1.122.0(最小)

X

WLC 7500

AireOS 8.0.140.0

X

X

AireOS 8.2.121.0

X

AireOS 8.2.154.x

X

AireOS 8.3.102.0

X

AireOS 8.4.100.0

X

AirOS 8.5.120.0(ED)

AireOS 7.2.103.0(最小)

!

X

X

X

X

X

X

WLC 8510

AireOS 8.0.135.0

X

X

AireOS 7.4.121.0(最小)

X

X

X

X

X

WLC 8540

AireOS 8.1.131.0

X

X

AireOS 8.1.122.0(最小)

X

X

Catalyst 9800-CL

IOS XE 16.12.1

IOS XE 17.1.1

X

IOS XE 16.10.1

X

Catalyst 9800-10

IOS XE 16.12.1

IOS XE 17.1.1

X

IOS XE 16.10.1

X

Catalyst 9800-40

IOS XE 16.12.1

IOS XE 17.1.1

X

IOS XE 16.10.1

X

Catalyst 9800-80

IOS XE 16.12.1

IOS XE 17.1.1

X

IOS XE 16.10.1

X

Catalyst 9300 の Catalyst 9800

IOS XE 16.12.1

IOS XE 17.1.1

X

IOS XE 16.10.1

X

vWLC

AireOS 8.0.135.0

X

X

AireOS 7.4.121.0(最小)

X

X

WiSM1 6500

AireOS 7.0.252.0

!

X

!

X

X

X

X

AireOS 7.0.116.0(最小)

!

X

!

X

X

X

X

WiSM2 6500

AireOS 8.0.135.0

X

AireOS 7.2.103.0(最小)

!

X

WLC 5760

IOS XE 3.6.4

IOS XE 3.3(最小)

X

ISR の WLC(ISR2 ISM、SRE700、および SRE900)

AireOS 7.0.116.0

!

X

!

X

X

X

X

AireOS 7.0.116.0(最小)

!

X

!

X

X

X

X

Meraki MS プラットフォーム

公開ベータ版

X

最新バージョン(最小)

X

Catalyst Access Point-C9117AXI 上の Cisco 組み込みワイヤレスコントローラ

IOS XE 16.12.1

X

IOS XE 16.12.1

IOS XE 17.1.1

X

Catalyst Access Point-C9115 上の Cisco 組み込みワイヤレスコントローラ

IOS XE 16.12.1

IOS XE 17.1.1

X

IOS XE 16.12.1

X

12 検証済み OS は、互換性と安定性のためにテストされたバージョンです。
13 Cisco TrustSec 機能のサポートの完全なリストについては、 Cisco TrustSec の製品情報を参照してください。

サポートされているオペレーティングシステムの完全なリストについては、『Cisco Wireless Solutions Software Compatibility Matrix』を参照してください。


(注)  

CSCvi10594 により、IPv6 RADIUS CoA は AireOS リリース 8.1 以降では失敗します。回避策として、IPv4 RADIUS を使用するか、Cisco ワイヤレス LAN コントローラを AireOS リリース 8.0 にダウングレードできます。



(注)  

Cisco ワイヤレス LAN コントローラ(WLC)およびワイヤレス サービス モジュール(WiSM) は、ダウンロード可能な ACL(dACL)をサポートしていませんが、名前付き ACL はサポートしています。自律型 AP の導入では、エンドポイントポスチャはサポートされません。プロファイリングサービスは、WLC リリース 7.0.116.0 から開始した 802.1 X 認証 WLAN と WLC 7.2.110.0 から始まる MAB 認証 WLAN でサポートされます。FlexConnect は、以前はハイブリッド リモート エッジ アクセス ポイント(HREAP)モードと呼ばれていましたが、WLC 7.2.110.0 以降の中央認証構成の導入でサポートされています。FlexConnect サポートに関する追加情報については、該当するワイヤレス コントローラ プラットフォームのリリースノートを参照してください。


サポートされているシスコのアクセス ポイント

表 5. サポートされているシスコのアクセス ポイント

シスコアクセスポイント

最小 Cisco Mobility Express バージョン

AAA

プロファイリング

BYOD

ゲスト

Guest URL(元の URL)

ポスチャ(Posture)

MDM

TrustSec

Cisco Aironet 1540 シリーズ

Cisco Mobility Express 8.7.106.0

X

X

X

X

X

Cisco Aironet 1560 シリーズ

Cisco Mobility Express 8.7.106.0

X

X

X

X

X

Cisco Aironet 1815i

Cisco Mobility Express 8.7.106.0

X

X

X

X

X

Cisco Aironet 1815m

Cisco Mobility Express 8.7.106.0

X

X

X

X

X

Cisco Aironet 1815w

Cisco Mobility Express 8.7.106.0

X

X

X

X

X

Cisco Aironet 2800 シリーズ

Cisco Mobility Express 8.7.106.0

X

X

X

X

X

Cisco Aironet 3800 シリーズ

Cisco Mobility Express 8.7.106.0

X

X

X

X

X

検証済みサードパーティワイヤレス LAN コントローラ

表 6. 検証済みサードパーティワイヤレス LAN コントローラ

Device

検証済み OS14

AAA

プロファイリング

BYOD

ゲスト

ポスチャ(Posture)

MDM

TrustSec15

最小 OS16

Aruba 320017

Aruba 3200XM

Aruba 650

6.4

X

X

6.4

X

X

6.4

X

X

Aruba 7000

Aruba IAP

6.4.1.0

!

!

6.4.1.0

!

!

Motorola RFS 4000

5.5

X

X

5.5

X

X

HP 830

35073P5

X

X

35073P5

X

X

Ruckus ZD1200

9.9.0.0

X

X

9.9.0.0

X

X

14 検証済み OS は、互換性と安定性のためにテストされたバージョンです。
15 Cisco TrustSec 機能のサポートの完全なリストについては、Cisco TrustSec の製品情報を参照してください。
16 最小 OS は、機能が導入されたバージョンです。
17 Aruba 3200 は、ISE 2.2 パッチ 2 以降でサポートされています。

サードパーティ製デバイスのサポートの詳細については、次を参照してください。 https://communities.cisco.com/docs/DOC-64547

検証済みのシスコルータ

表 7. 検証済みのシスコルータ

Device

検証済み OS18

最小 OS19

AAA

プロファイリング

BYOD

ゲスト

ポスチャ(Posture)

MDM

TrustSec20

ISR 88x、89x シリーズ

IOS 15.3.2T(ED)

X

X

X

X

X

X

IOS 15.2(2)T

X

X

X

X

X

X

ISR 19x、29x、39x シリーズ

IOS 15.3.2T(ED)

!

X

!

X

X

IOS 15.2 (2) T

!

X

!

X

X

CGR 2010

IOS 15.3.2T(ED)

!

X

!

X

X

IOS 15.3.2T(ED)

!

X

!

X

X

4451-XSM-X L2/L3 Ethermodule

IOS XE 3.11

IOS XE 3.11

18 検証済み OS は、互換性と安定性のためにテストされたバージョンです。
19 最小 OS は、機能が導入されたバージョンです。
20 Cisco TrustSec 機能のサポートの完全なリストについては、 Cisco TrustSec の製品情報を参照してください。

検証済み Cisco リモートアクセス

表 8. 検証済み Cisco リモートアクセス

Device

検証済み OS21

AAA

プロファイリング

BYOD

ゲスト

ポスチャ(Posture)

MDM

TrustSec22

最小 OS23

ASA 5500、ASA 5500-X(リモートアクセスのみ)

ASA 9.2.1

NA

NA

NA

X

ASA 9.1.5

NA

NA

X

NA

X

X

X

Meraki MX プラットフォーム

最新バージョン

X

最新バージョン

X

21 検証済み OS は、互換性と安定性のためにテストされたバージョンです。
22 Cisco TrustSec 機能のサポートの完全なリストについては、 Cisco TrustSec の製品情報を参照してください。
23 最小 OS は、機能が導入されたバージョンです。

RADIUS プロキシサービスの AAA 属性

RADIUS プロキシサービスの場合、次の認証、許可、およびアカウンティング(AAA)属性を RADIUS 通信に含める必要があります。

  • Calling-Station-ID(IP または MAC_ADDRESS)

  • RADIUS::NAS_IP_Address

  • RADIUS::NAS_Identifier

サードパーティ VPN コンセントレータの AAA 属性

VPN コンセントレータを Cisco ISE と統合するには、次の認証、許可、およびアカウンティング(AAA)属性を RADIUS 通信に含める必要があります。

  • Calling-Station-ID(MAC または IP アドレスによる個々のクライアントの追跡)

  • User-Name(ログイン名によるリモートクライアントの追跡)

  • NAS-Port-Type(VPN としての接続タイプの決定に役立つ)

  • RADIUS Accounting Start(セッションの正式な開始をトリガーします)

  • RADIUS Accounting Stop(セッションの正式な終了をトリガーし、ISE ライセンスをリリースします)

  • IP アドレス変更時の RADIUS アカウンティング暫定更新(たとえば、SSL VPN 接続は Web ベースからフルトンネルクライアントに移行します)


(注)  

VPN デバイスの場合、信頼できるネットワーク上にあるエンドポイントを追跡するには、RADIUS アカウンティングメッセージの Framed-IP-Address 属性をクライアントの VPN 割り当て IP アドレスに設定する必要があります。


検証済み外部 ID ソース

詳細については、『Cisco Identity Services Engine Administration Guide』を参照してください。

表 9. 検証済み外部 ID ソース

外部 ID ソース

OS/バージョン

Active Directory

242526

Microsoft Windows Active Directory 2003

27

Microsoft Windows Active Directory 2003 R2

Microsoft Windows Active Directory 2008

Microsoft Windows Active Directory 2008 R2

Microsoft Windows Active Directory 2012

Microsoft Windows Active Directory 2012 R2

28

Microsoft Windows Active Directory 2016

Microsoft Windows Active Directory 2019

29

LDAP サーバ

SunONE LDAP ディレクトリサーバ

バージョン 5.2

OpenLDAP ディレクトリサーバ

バージョン 2.4.23

任意の LDAP v3 準拠サーバ

トークンサーバ

RSA ACE/サーバ

6.x シリーズ

RSA 認証マネージャ

7.x および 8.x シリーズ

Any RADIUS RFC 2865 準拠のトークン サーバ

セキュリティ アサーション マークアップ言語(SAML)シングルサインオン(SSO)

Microsoft Azure

Oracle Access Manager(OAM)

バージョン 11.1.2.2.0

Oracle Identity Federation(OIF)

バージョン 11.1.1.2.0

PingFederate サーバ

バージョン 6.10.0.4

PingOne クラウド

セキュア認証

8.1.1

SAMLv2 準拠の ID プロバイダー

Open Database Connectivity(ODBC)アイデンティティソース

Microsoft SQL Server

Microsoft SQL Server 2012

Oracle

Enterprise Edition リリース 12.1.0.2.0

PostgreSQL

9.0

Sybase

16.0

MySQL

6.3

ソーシャルログイン(ゲストユーザアカウントの場合)

Facebook

24

CISCO ISE OCSP 機能は Microsoft Windows Active Directory 2008 以降でのみ使用できます。

25 Microsoft Windows Active Directory バージョン 2000 またはその機能レベルは、Cisco ISE ではサポートされていません。
26

ISE には最大 200 のドメイン コントローラのみを追加できます。制限を超えると、次のエラーが表示されます:

<DC FQDN> の作成エラー:許可される DC の数が最大数 200 を超えています
27

Microsoft は、Windows Server 2003 および 2003 R2 のサポートを終了しました。Windows Server をサポートされているバージョンにアップグレードすることをお勧めします。

28

CISCO ISE は Microsoft Windows Active directory 2012 R2 のすべてのレガシー機能をサポートしていますが、保護ユーザグループなどの Microsoft Windows Active directory 2012 R2 の新機能はサポートされていません。

29

Cisco ISE は、Cisco ISE リリース 2.6.0.156 パッチ 4 以降の Microsoft Windows Active Directory 2019 のすべてのレガシー機能をサポートしています。

検証済み MDM サーバ

検証済みのモバイルデバイス管理(MDM)サーバには、次のベンダーの製品が含まれています。

  • 絶対値(Absolute)

  • VMware AirWatch

  • Citrix XenMobile

  • Globo

  • Good Technology

  • IBM MaaS360

  • JAMF ソフトウェア

  • Meraki SM/EMM

  • MobileIron

  • SAP Afaria

  • SOTI

  • Symantec

  • Tangoe

  • Microsoft Intune - モバイル デバイス用

  • Microsoft SCCM -デスクトップ デバイス用

管理者ポータルでサポートされているブラウザ

  • Mozilla Firefox 72 以前のバージョン

  • Mozilla Firefox ESR 60.9 以前のバージョン

  • Google Chrome 80 以前のバージョン

  • Microsoft Edge ベータ 77 以前のバージョン

  • Microsoft Internet Explorer 10.x および 11.x

    Internet Explorer 10.x を使用する場合は、TLS 1.1 と TLS 1.2 を有効にし、SSL 3.0 と TLS 1.0 を無効にします([インターネットオプション(Internet Options)] > [詳細設定(Advanced)])。

    Cisco ISE 管理者ポータルを表示してより良いユーザエクスペリエンスを得るために必要な最小画面解像度は、1280 x 800 ピクセルです。

検証済み仮想環境

Cisco ISE は次の仮想環境プラットフォームをサポートしています。

  • VMware ESXi 5.x(5.1 U2 以降は RHEL 7 をサポート)、6.x


    (注)  

    ESXi 5.x サーバに Cisco ISE をインストールまたはアップグレードしている場合に、ゲスト OS として RHEL 7 をサポートするには、VMware のハードウェアバージョンを 9 以降にアップデートしてください。RHEL 7 は、VMware のハードウェアバージョン 9 以降でサポートされます。


  • QEMU 1.5.3-160 上の KVM

  • Microsoft Windows Server 2012 R2 以降の Microsoft Hyper-V


注意    

Cisco ISE は、ISE データのバックアップ用の VMware スナップショットをサポートしていません。これは、VMware スナップショットが特定の時点で VM のステータスを保存するためです。マルチノード Cisco ISE 環境では、すべてのノードのデータは、現在のデータベース情報と継続的に同期されます。スナップショットを復元すると、データベースのレプリケーションと同期の問題を引き起こす可能性があります。データのバックアップおよび復元用に、Cisco ISE に含まれるバックアップ機能を使用することを推奨します。

VMware スナップショットを使用して ISE データをバックアップすると、Cisco ISE サービスが停止します。ISE ノードを起動するには、再起動が必要です。


検証済み Cisco Digital Network Architecture Center リリース

Cisco Digital Network Architecture Center(Cisco DNA Center)との Cisco ISE の互換性については、『 CISCO SD-Access Compatibility Matrix』を参照してください。

検証済み Cisco Mobility Services Engine リリース

Cisco ISE は Cisco Mobility Services Engine(MSE)リリース 8.0.110.0 と統合して、ロケーションサービス(コンテキスト認識サービスとも呼ばれます)を提供します。このサービスでは、ワイヤレスデバイスの場所を追跡できます。

Cisco ISE を Cisco MSE と統合する方法については、次を参照してください。

検証済み Cisco Prime Infrastructure リリース

Cisco Prime Infrastructure リリース 3.6 以降を Cisco ISE 2.6 以降と統合して、Cisco ISE のモニタリングおよびレポート機能を活用できます。

検証済み Cisco Stealthwatch リリース

Cisco ISE 2.7 は、Cisco Stealthwatch リリース 7.0 で検証されています。

検証済み Cisco WAN サービス管理者リリース

Cisco ISE 2.7 は、Cisco WAN サービス管理者リリース 11.5.1 で検証されています。

脅威中心型 NAC のサポート

Cisco ISE は、次のアダプタで検証されます。

  • SourceFire FireAMP

  • Cognitive Threat Analytics(CTA)アダプタ

  • Rapid7 Nexpose

  • Tenable Security Center

  • Qualys(TC-NAC フローで現在サポートされているのは Qualys Enterprise Edition のみです)

検証済みのクライアントマシンのオペレーティングシステム、サプリカント、およびエージェント

このセクションでは、検証されたクライアントマシンのオペレーティングシステム、ブラウザ、および各クライアントマシンタイプのエージェントバージョンを示します。すべてのデバイスでは、Web ブラウザで cookie が有効になっている必要もあります。Cisco AnyConnect ISE のサポートチャートは、次から入手できます。 https://www.cisco.com/c/en/us/support/security/identity-services-engine/products-device-support-tables-list.html

Cisco ISE リリース 2.3 以降では、Cisco AnyConnect および Cisco Temporal Agent のみがサポートされています。

すべての標準 802.1X サプリカントは、Cisco ISE でサポートされる標準認証プロトコルをサポートしている限り、Cisco ISE、リリース 2.4 以降の標準および高度な機能で使用できます。VLAN 変更許可機能をワイヤレス展開で動作させるには、サプリカントで VLAN 変更時の IP アドレスの更新がサポートされている必要があります。


(注)  

Cisco ISE は、オペレーティングシステムのトライアルバージョンまたは評価版をサポートしていません。


Google Android

Cisco ISE は、特定のデバイスでの Android 実装のオープンアクセス機能により、特定の Android OS バージョンとデバイスの組み合わせをサポートしない場合があります。

表 10. Google Android

クライアントマシンのオペレーティングシステム

Web ブラウザ

サプリカント(802.1X)

Google Android 9.x

  • ネイティブブラウザ

  • Mozilla Firefox

Google Android サプリカント 9.x

Google Android 8.x

  • ネイティブブラウザ

  • Mozilla Firefox

Google Android サプリカント 8.x

Google Android 7.x

  • ネイティブブラウザ

  • Mozilla Firefox

Google Android サプリカント 7.x

Google Android 6.x

  • ネイティブブラウザ

  • Mozilla Firefox

Google Android サプリカント 6.x

Google Android 5.x

  • ネイティブブラウザ

  • Mozilla Firefox

Google Android サプリカント 5.x

Google Android 4.x

  • ネイティブブラウザ

  • Mozilla Firefox

Google Android サプリカント 4.x

Google Android 3.x

  • ネイティブブラウザ

  • Mozilla Firefox

Google Android サプリカント 3.x

Google Android 2.3.x

  • ネイティブブラウザ

  • Mozilla Firefox

Google Android サプリカント 2.3.x

Google Android 2.2. x

  • ネイティブブラウザ

Google Android サプリカント 2.2.x

サプリカント プロビジョニング ウィザード(SPW)を開始する前に、Android 9.x および 10.x デバイスでロケーションサービスが有効になっていることを確認してください。

Android は、共通名(CN)を使用しなくなりました。ホスト名は subjectAltName(SAN)拡張子に含まれている必要があります。そうでない場合、信頼の確立に失敗します。自己署名証明書を使用している場合は、ポータル([Administration(管理)] > [system(システム)] > [certificates(証明書)] > [System certificates(システム証明書)] の下)の SAN ドロップダウンリストからドメイン名または IP アドレスオプションを選択して、Cisco ISE 自己署名証明書を再生成します。

Android 9.x を使用している場合は、Cisco ISE の ポスチャフィードを更新して、Android 9 の NSA を取得する必要があります。

Apple iOS

Apple iOS デバイスは Cisco ISE または 802.1x で 保護拡張認証プロトコル(PEAP)を使用し、パブリック証明書には iOS デバイスが検証する必要がある CRL 分散ポイントが含まれますが、ネットワークアクセスなしではそれを実行できません。ネットワークに対して認証するには、iOS デバイスで [確定/承諾(confirm/accept)] をクリックします。

表 11. Apple iOS

クライアントマシンのオペレーティングシステム

Web ブラウザ

サプリカント(802.1X)

Apple iOS 13.x

Safari

Apple iOS サプリカント 13.x

Apple iOS 12.x

Safari

Apple iOS サプリカント 12.x

Apple iOS 11.x

Safari

Apple iOS サプリカント 11.x

Apple iOS 10.x

Safari

Apple iOS サプリカント 10.x

Apple iOS 9.x

Safari

Apple iOS サプリカント 9.x

Apple iOS 8.x

Safari

Apple iOS サプリカント 8.x

Apple iOS 7.x

Safari

Apple iOS サプリカント 7.x

Apple iOS 6.x

Safari

Apple iOS サプリカント 6.x

Apple iOS 5.x

Safari

Apple iOS サプリカント 5.x


(注)  

  • Apple iOS 12.2 以降のバージョンを使用している場合は、ダウンロードした証明書/プロファイルを手動でインストールする必要があります。これを行うには、Apple iOS デバイスで [設定(Settings)] > [全般(General)] > [プロファイル(Profile)] を選択し、[インストール(Install)] をクリックします。

  • Apple iOS 12.2 以降のバージョンを使用している場合、RSA キーサイズは 2048 ビット以上である必要があります。それ以外の場合は、BYOD プロファイルのインストール中にエラーが表示されることがあります。

  • Apple iOS 13 以降のバージョンを使用している場合は、[SAN] フィールドに <<FQDN>>DNS 名として追加して、ポータルロールの自己署名証明書を再生成します。

  • Apple iOS 13 以降のバージョンを使用している場合は、SHA-256(またはそれ以上)が署名アルゴリズムとして選択されていることを確認します。


Apple MAC OS X

表 12. Apple Mac OS X

クライアントマシンのオペレーティングシステム

Web ブラウザ

サプリカント(802.1X)

Cisco ISE

AnyConnect

Apple macOS 10.15

  • Apple Safari

  • Mozilla Firefox

  • Google Chrome

Apple macOS サプリカント 10.15

2.7

4.6.01098 以降

Apple macOS 10.14

  • Apple Safari

  • Mozilla Firefox

  • Google Chrome

Apple macOS サプリカント 10.14

2.7

4.6.01098 以降

Apple macOS 10.13

  • Apple Safari

  • Mozilla Firefox

  • Google Chrome

Apple macOS サプリカント 10.13

2.7

4.6.01098 以降

Apple macOS 10.12

  • Apple Safari30

  • Mozilla Firefox

  • Google Chrome

Apple macOS サプリカント 10.12

2.7

4.6.01098 以降

Apple Mac OS X 10.11

  • Apple Safari

  • Mozilla Firefox

  • Google Chrome

Apple MAC OS X サプリカント 10.11

2.7

4.6.01098 以降

Apple Mac OS X 10.10

  • Apple Safari

  • Mozilla Firefox

  • Google Chrome

Apple MAC OS X サプリカント 10.10

2.7

4.6.01098 以降

Apple Mac OS X 10.9

  • Apple Safari

  • Mozilla Firefox

  • Google Chrome

Apple MAC OS X サプリカント 10.9

2.7

4.6.01098 以降

30 Apple Safari バージョン 6.0 は、MAC OS X 10.7.4 以降のオペレーティングシステムのバージョンでのみサポートされています。

(注)  

Cisco ISE は、AnyConnect 4.x の以前のリリースで動作します。ただし、新しい機能をサポートしているのは、新しい AnyConnect リリースのみです。たとえば、ディスク暗号化条件の "すべての内部ドライブ" オプションには AnyConnect リリース 4.6.01098 以降が必要とされます。


Microsoft Windows

表 13. Microsoft Windows

クライアントマシンのオペレーティングシステム

Web ブラウザ

サプリカント(802.1X)

Cisco ISE

Cisco Temporal Agent

AnyConnect31

Microsoft Windows 10

  • Windows 19H2

  • Windows 19H1

  • Windows 10 Enterprise

  • Windows 10 Enterprise N

  • Windows 10 Enterprise E

  • Windows 10 Enterprise LTSB

  • Windows 10 Enterprise N LTSB

  • Windows 10 Professional

  • Windows 10 Professional N

  • Windows 10 Professional E

  • Windows 10 Education

  • Windows 10 Home

  • Windows 10 Home 中国語

  • Windows 10.0 SLP(シングル言語パック)

  • Microsoft Edge

  • Microsoft IE 11

  • Mozilla Firefox

  • Google Chrome

  • Microsoft Windows 10 802.1X クライアント

  • AnyConnect ネットワーク アクセス マネージャ

2.7

4.5 以降

4.6.01098 以降

Microsoft Windows 8

32

Windows 8.1

Windows 8

Windows 8 x64

Windows 8 Professional

Windows 8 Professional x64

Windows 8 Enterprise

Windows 8 Enterprise x64

(注)   

Windows 8 RT はサポートされていません。

  • Microsoft IE 11

  • Mozilla Firefox

  • Google Chrome

  • Microsoft Windows 8 802.1X クライアント

  • AnyConnect ネットワーク アクセス マネージャ

2.7

4.5 以降

4.6.01098 以降

Microsoft Windows 733

Windows 7 Professional

Windows 7 Professional x64

Windows 7 Ultimate

Windows 7 Ultimate x64

Windows 7 Enterprise

Windows 7 Enterprise x64

Windows 7 Home Premium

Windows 7 Home Premium x64

Windows 7 Home Basic

Windows 7 Starter Edition

  • Microsoft IE 11

  • Mozilla Firefox

  • Google Chrome

  • Microsoft Windows 7 802.1X クライアント

  • AnyConnect ネットワーク アクセス マネージャ

2.7

4.5 以降

4.6.01098 以降

31 AnyConnect ネットワーク アクセス マネージャ(NAM)がインストールされている場合、NAM は Windows ネイティブサプリカントよりも 802.1X サプリカントとして優先され、BYOD フローをサポートしません。NAM を完全に、または特定のインターフェイスで無効にする必要があります。詳細については、『Cisco AnyConnect Secure Mobility Client Administrator Guide』を参照してください。
32

Windows 8 に対応するようにクライアント プロビジョニング ポリシーを作成する場合は、"Windows All" というオペレーティングシステムのオプションを選択する必要があります。

33 Cisco ISE は、Microsoft から入手できる Windows Embedded オペレーティングシステムをサポートしていません。

Cisco ISE は、AnyConnect 4.x の以前のリリースで動作します。ただし、新しい機能をサポートしているのは、新しい AnyConnect リリースのみです。たとえば、ディスク暗号化条件の "すべての内部ドライブ" オプションには AnyConnect リリース 4.6.01098 以降が必要とされます。

BYOD、およびゲストおよびクライアント プロビジョニング ポータルの Firefox 70 でのワイヤレスリダイレクションを有効にするには、次のようにします。

  1. [管理(Administration)] > [システム(System)] > [設定(Settings)] > [セキュリティ設定(Security Settings)] を選択します。

  2. [SHA1暗号を許可(Allow SHA1 ciphers)] チェックボックスをオンにします。SHA1 暗号はデフォルトで無効になっています。

  3. Firefox のブラウザで、[オプション(Options)] > [プライバシー&設定(Privacy & Settings)] > [証明書の表示(View Certificates)] > [サーバ(Servers)] > [例外の追加(Add Exception)]を選択します。

  4. https://<FQDN>:8443/ を例外として追加します。

  5. [証明書の追加(Add Certificate)] をクリックし、Firefox ブラウザを更新します。

Google Chromebook

Google Chromebook は管理対象デバイスであり、ポスチャサービスをサポートしていません。詳細については、『Cisco Identity Services Engine Administration Guide』を参照してください。

表 14. Google Chromebook

クライアントマシンのオペレーティングシステム

Web ブラウザ

サプリカント(802.1X)

Cisco ISE

Google Chromebook

Google Chrome バージョン 49 以降

Google Chromebook サプリカント

2.7

Cisco ISE BYOD またはゲストポータルは、URL が正常にリダイレクトされても、Chrome オペレーティングシステム 73 で起動に失敗する場合があります。Chrome オペレーティングシステム 73 でポータルを起動するには、次の手順を実行します。

  1. [サブジェクトの別名(Subject Alternative Name)] フィールドに入力することで、ISE GUI から新しい自己署名証明書を生成します。DNS と IP アドレスの両方を入力する必要があります。

  2. 証明書をエクスポートし、エンドクライアント(chrome book)にコピーします。

  3. [設定(Settings)] > [詳細(Advanced)] > [プライバシーとセキュリティ(Privacy And Security)] > [証明書の管理(Manage certificates)] > [当局(Authorities)] を選択します。

  4. 証明書をインポートします。

  5. ブラウザを終了し、ポータルのリダイレクトを試みます。

Chromebook 76 以降では、EAP の内部 CA を使用して EAP-TLS 設定を設定している場合は、SAN フィールドを含む CA 証明書チェーンを Google 管理コンソール([デバイス管理(Device Management)] > [ネットワーク(Network]) > [証明書(Certificates)])にアップロードします。CA チェーンがアップロードされると、Cisco ISE 証明書が信頼できるものと見なされるように、[Cisco ISEが SANで生成した証明書(Cisco ISE generated certificate with SAN)] フィールドは [Chromebook権限(Chromebook Authorities)] セクションの下にマッピングされます。

サードパーティの CA を使用している場合は、Google 管理コンソールに CA チェーンをインポートする必要はありません。[設定(Settings)] > [詳細(Advanced)] > [プライバシーとセキュリティ(Privacy And Security)] > [証明書の管理(Manage certificates)] > [サーバ認証局(Server Certificate authority)] を選択し、ドロップダウンリストから [シスコのデフォルトの認証局を使用(Use Any default certificate authority)] を選択します。

その他のオペレーティングシステム

表 15. その他のオペレーティングシステム

クライアントマシンのオペレーティングシステム

Web ブラウザ

34

サプリカント(802.1X)

Red Hat Enterprise Linux(RHEL)

  • Google Chrome

  • Mozilla Firefox

広範囲にわたってテストされていない

35
34 Google Chrome は 32 ビット Linux システムをサポートしていません。
35 802.1X のサポートはシスコでは広範囲にわたってテストされていませんが、IEEE 802.1X 標準に準拠している限り、どの 802.1X サプリカントもサポートされます。

スポンサー、ゲスト、およびマイデバイスポータルの検証済みオペレーティングシステムとブラウザ

これらの Cisco ISE ポータルは、次のオペレーティングシステムとブラウザの組み合わせをサポートしています。これらのポータルでは、Web ブラウザで cookie が有効になっている必要があります。

表 16. 検証済みオペレーティングシステムとブラウザ

サポートされているオペレーティングシステム36

ブラウザのバージョン

Google Android379.x、8.x、7.x、6.x、5.x、4.x、3.x、2.3.x、2.2.x

  • ネイティブブラウザ

  • Mozilla Firefox

Apple iOS 12.x、11.x、10.x、9.x、8.x、7.x、6.x、5.x

  • Safari

Apple macOS 10.15、10.14、10.13、10.12、10.11、10.10、10.9

  • Mozilla Firefox

  • Safari

  • Google Chrome

Microsoft Windows 10、8.1、8、7

  • Microsoft Edge

  • Microsoft IE 11

  • Mozilla Firefox

  • Google Chrome

Red Hat Enterprise Linux(RHEL)

  • Mozilla Firefox

  • Google Chrome

36 公式にリリースされた最新の 2 つのブラウザバージョンは、Microsoft Windows を除くすべてのオペレーティングシステムでサポートされています。サポートされている Internet Explorer のバージョンについては、表 14 を参照してください。
37 Cisco ISE は、特定のデバイスでの Android 実装のオープンアクセス機能により、特定の Android OS バージョンとデバイスの組み合わせをサポートしない場合があります。

オンボードおよび証明書プロビジョニングのための検証済みデバイス

BYOD 機能には、Cisco Wireless LAN Controller(WLC)7.2 以降のサポートが必要です。既知の問題または警告については、『Release Notes for the Cisco Identity Services Engine』を参照してください。


(注)  

シスコがサポートする最新のクライアント オペレーティング システムのバージョンを入手するには、ポスチャの更新情報([管理(Administration)] > [システム(System)] > [設定(Settings)] > [ポスチャ(Posture)] > [更新(Updates)] を確認し、[今すぐ更新(Update Now)] をクリックします。


表 17. BYOD オンボードおよび証明書プロビジョニング:検証済みデバイスおよびオペレーティングシステム

[Device]

[Operating System]

シングル SSID

デュアル SSID(open > PEAP(no cert)または open > TLS)

オンボーディング方式

Apple iDevice

Apple iOS 13.x、12.x、11.x、10.x、9.x、8.x、7.x、6.x、5.x

Apple iPad OS 13.x

38

Apple プロファイルの設定(ネイティブ)

Android

2.2 以上3940

はい41

Cisco Network Setup Assistant

Barnes & Noble Nook(Android)HD/HD+42

Windows

Windows 10、8.1、8、7

43

2.2.1.53 以降

Windows

Mobile 8、Mobile RT、Surface 8、および Surface RT

×

×

Apple macOS

Apple macOS 10.15、10.14、10.13、10.12、10.11、10.10、10.9

Yes

Yes

2.2.1.43 以降

Chrome OS

Chrome OS 76、73

Yes

Yes

38 プロビジョニング後にセキュア SSID に接続します。
39 Android 4.1.1 デバイスには既知の EAP-TLS 問題があります。サポートについては、デバイスの製造元にお問い合わせください。
40 Android 6.0 では、ECC 証明書をサポートするために 2016 年 5 月のパッチが必要です。P-192 ECC 曲線タイプはサポートしていません。
41

Android バージョン 6.0 以降を使用している場合、Cisco サプリカント プロビジョニング ウィザード(SPW)を使用してシステム作成の SSID を変更することはできません。SPW からネットワークを削除するように求められたら、このオプションを選択して [戻る(Back)] ボタンを押し、プロビジョニングフローを続行する必要があります。

42 Barnes & Noble Nook(Android)は、Google Play ストア 2.1.0 がインストールされている場合に機能します。
43 接続の際にワイヤレスプロパティを設定しているとき([セキュリティ(Security)] > [認証方式(Auth Method)] > [設定(Settings)] > [サーバ証明書の検証(Validate Server certificate)])、有効なサーバ証明書オプションをオフにします。このオプションをオンにした場合は、正しいルート証明書が選択されていることを確認します。

検証済み OpenSSL のバージョン

Cisco ISE は、OpenSSL 1.0.2.x(CiscoSSL 6.0)を使用して検証されます。

サポートされる暗号スイート

Cisco ISE は、TLS バージョン 1.0、1.1、および 1.2 をサポートします。

Cisco ISE は、RSA および ECDSA サーバ証明書をサポートしています。次の楕円曲線をサポートしています。

  • secp256r1

  • secp384r1

  • secp521r1

次の表に、サポートされている暗号スイートが表示されています。

暗号スイート

Cisco ISE が EAP サーバとして設定されている場合

Cisco ISE が RADIUS DTLS サーバとして設定されている場合

Cisco ISE が、HTTPS またはセキュア LDAP サーバから CRL をダウンロードする場合

Cisco ISE がセキュアな LDAP クライアントとして設定されている場合

Cisco ISE が CoA の RADIUS DTLS クライアントとして設定されている場合

TLS 1.0 のサポート

TLS 1.0 が許可されている場合

(DTLS サーバは DTLS 1.2 のみをサポート)

Cisco ISE 2.3 以上では、[TLS 1.0を許可(Allow TLS 1.0)] オプションがデフォルトで無効になっています。このオプションが無効の場合、TLS 1.0 では、TLS ベースの EAP 認証方式(EAP-TLS、EAP-FAST/TLS)および 802.1 X サプリカントがサポートされません。TLS ベースの EAP 認証方式を TLS 1.0 で使用するには、[セキュリティ設定(Security Settings)] ページで [TLS 1.0 を許可する(Allow TLS 1.0)] チェック ボックスをオンにします([管理(Administration)] > [システム(System)] > [設定(Settings)] > [プロトコル(Protocols)] > [セキュリティ設定(Security Settings)])。

TLS 1.0 が許可されている場合

(DTLS クライアントは DTLS 1.2 のみをサポート)

TLS 1.1 のサポート

TLS 1.1 が許可されている場合

Cisco ISE 2.3 以上では、[TLS 1.1を許可(Allow TLS 1.0)] オプションがデフォルトで無効になっています。このオプションが無効の場合、TLS 1.1 では、TLS ベースの EAP 認証方式(EAP-TLS、EAP-FAST/TLS)および 802.1 X サプリカントがサポートされません。TLS ベースの EAP 認証方式を TLS 1.1 で使用するには、[セキュリティ設定(Security Settings)] ページ([管理(Administration)] > [システム(System)] > [設定(Settings)] > [プロトコル(Protocols)] > [セキュリティ設定(Security Settings)])で [TLS 1.1を許可(Allow TLS 1.0)] チェック ボックスをオンにします。

TLS 1.1 が許可されている場合

ECC DSA 暗号方式

ECDHE-ECDSA-AES256-GCM-SHA384

Yes

Yes

ECDHE-ECDSA-AES128-GCM-SHA256

Yes

Yes

ECDHE-ECDSA-AES256-SHA384

Yes

Yes

ECDHE-ECDSA-AES128-SHA256

Yes

Yes

ECDHE-ECDSA-AES256-SHA

SHA-1 が許可されている場合

SHA-1 が許可されている場合

ECDHE-ECDSA-AES128-SHA

SHA-1 が許可されている場合

SHA-1 が許可されている場合

ECC RSA 暗号方式

ECDHE-RSA-AES256-GCM-SHA384

ECDHE-RSA が許可されている場合

ECDHE-RSA が許可されている場合

ECDHE-RSA-AES128-GCM-SHA256

ECDHE-RSA が許可されている場合

ECDHE-RSA が許可されている場合

ECDHE-RSA-AES256-SHA384

ECDHE-RSA が許可されている場合

ECDHE-RSA が許可されている場合

ECDHE-RSA-AES128-SHA256

ECDHE-RSA が許可されている場合

ECDHE-RSA が許可されている場合

ECDHE-RSA-AES256-SHA

ECDHE-RSA/SHA-1 が許可されている場合

ECDHE-RSA/SHA-1 が許可されている場合

ECDHE-RSA-AES128-SHA

ECDHE-RSA/SHA-1 が許可されている場合

ECDHE-RSA/SHA-1 が許可されている場合

DHE RSA 暗号方式

DHE-RSA-AES256-SHA256

×

DHE-RSA-AES128-SHA256

×

DHE-RSA-AES256-SHA

×

SHA-1 が許可されている場合

DHE-RSA-AES128-SHA

×

SHA-1 が許可されている場合

RSA 暗号方式

AES256-SHA256

Yes

Yes

AES128-SHA256

Yes

Yes

AES256-SHA

SHA-1 が許可されている場合

SHA-1 が許可されている場合

AES128-SHA

SHA-1 が許可されている場合

SHA-1 が許可されている場合

3DES 暗号方式

DES-CBC3-SHA

3DES/SHA-1 が許可されている場合

3DES/DSS および SHA-1 が有効になっている場合

DSS 暗号方式

DHE-DSS-AES256-SHA

×

3DES/DSS および SHA-1 が有効になっている場合

DHE-DSS-AES128-SHA

×

3DES/DSS および SHA-1 が有効になっている場合

EDH-DSS-DES-CBC3-SHA

×

3DES/DSS および SHA-1 が有効になっている場合

弱い RC4 暗号方式

RC4-SHA

[許可されているプロトコル(Allowed Protocols)] ページで [脆弱な暗号を許可(Allow weak ciphers)] オプションが有効になっていて、SHA-1 が許可されている場合

×

RC4-MD5

[許可されているプロトコル(Allowed Protocols)] ページで [脆弱な暗号を許可(Allow weak ciphers)] オプションが有効になっている場合

×

EAP-FAST 匿名プロビジョニングのみの場合:

ADH-AES-128-SHA

Yes

ピア証明書の制限

KeyUsage の検証

クライアント証明書では、以下の暗号に対し、KeyUsage=Key Agreement および ExtendedKeyUsage=Client Authentication が必要です。

  • ECDHE-ECDSA-AES128-GCM-SHA256
  • ECDHE-ECDSA-AES256-GCM-SHA384
  • ECDHE-ECDSA-AES128-SHA256
  • ECDHE-ECDSA-AES256-SHA384

ExtendedKeyUsage の検証

クライアント証明書では、以下の暗号に対し、KeyUsage=Key Encipherment および ExtendedKeyUsage=Client Authentication が必要です。

  • AES256-SHA256
  • AES128-SHA256
  • AES256-SHA
  • AES128-SHA
  • DHE-RSA-AES128-SHA
  • DHE-RSA-AES256-SHA
  • DHE-RSA-AES128-SHA256
  • DHE-RSA-AES256-SHA256
  • ECDHE-RSA-AES256-GCM-SHA384
  • ECDHE-RSA-AES128-GCM-SHA256
  • ECDHE-RSA-AES256-SHA384
  • ECDHE-RSA-AES128-SHA256
  • ECDHE-RSA-AES256-SHA
  • ECDHE-RSA-AES128-SHA
  • EDH-RSA-DES-CBC3-SHA
  • DES-CBC3-SHA
  • RC4-SHA
  • RC4-MD5

サーバ証明書では ExtendedKeyUsage=Server Authentication が必要です

Cisco ISE と相互運用するための CA の要件

証明書ベースの認証のためのクライアント証明書の要件

Cisco ISE で CA サーバを使用しているときは、次の要件を満たしている必要があります。

  • キー サイズは 1024、2048、またはそれ以上にする必要があります。CA サーバでは、キー サイズは証明書テンプレートを使用して定義されます。サプリカント プロファイルを使用して Cisco ISE でキー サイズを定義できます。

  • キーの使用法では、拡張された署名と暗号化を許可する必要があります。

  • SCEP プロトコルを介して GetCACapabilities を使用する場合は、暗号化アルゴリズムと要求ハッシュがサポートされている必要があります。RSA と SHA1 を使用することをお勧めします。

  • Online Certificate Status Protocol(OCSP)がサポートされます。これは BYOD では直接使用されませんが、OCSP サーバとして機能できる CA は証明書失効に使用できます。


    (注)  

    Enterprise Java Beans 認証局(EJBCA)は、プロキシ SCEP の Cisco ISE ではサポートされていません。EJBCA は、PEAP、EAP-TLS などの標準 EAP 認証について Cisco ISE でサポートされます。


  • エンタープライズ PKI を使用して Apple iOS デバイスの証明書を発行する場合は、SCEP テンプレートでキーの使用法を設定し、[キーの暗号化(Key Encipherment)] オプションを有効にする必要があります。

    Microsoft CA を使用する場合は、証明書テンプレートのキー使用法拡張機能を編集します。[暗号化(Encryption)] 領域で、[キーの暗号化でのみキーの交換を許可する(Allow key exchange only with key encryption (key encipherment))] オプションボタンをクリックし、[ユーザデータの暗号化を許可する(Allow encryption of user data) ] チェックボックスもオンにします。

  • Cisco ISE は、EAP-TLS 認証の信頼できる証明書およびエンドポイント証明書に対して、RSASSA-PSS アルゴリズムの使用をサポートしています。証明書を表示すると、署名アルゴリズムは、アルゴリズム名ではなく、1.2.840.113549.1.1.10 としてリストされます。


(注)  

BYOD フローに Cisco ISE 内部の CA を使用する場合、管理証明書は(外部 CA で)RSASSA-PSS アルゴリズムを使用して署名できません。Cisco ISE 内部の CA は、このアルゴリズムを使用して署名された管理証明書を検証できず、要求が失敗します。


Cisco ISE による証明書ベースの認証では、クライアント証明書が次の要件を満たしている必要があります。

サポートされている暗号化アルゴリズム:

  • RSA

  • ECC

表 18. クライアント RSA および ECC の証明書要件

RSA

サポートされているキーサイズ

1024、2048、および 4096 ビット

サポートされているセキュア ハッシュ アルゴリズム(SHA)

SHA-1 および SHA-2(SHA-256 を含む)

ECC 4445

サポートされる曲線タイプ

P-192、P-256、P-384、および P-521

サポートされているセキュア ハッシュ アルゴリズム(SHA)

SHA-256

クライアントマシンのオペレーティングシステムとサポートされている曲線タイプ

Windows

8 以降

P-256、P-384、P-521

Android

4.4 以降

(注)   

Android 6.0 は、ECC 証明書をサポートするために 2016 年 5 月のパッチが必要です。

すべての曲線タイプ(P-192 曲線タイプをサポートしていない Androidv6.0 を除く)。

44 Windows 7 と Apple iOS は、EAP-TLS 認証用の ECC をネイティブでサポートしていません。
45 Cisco ISE のこのリリースでは、Mac OS X デバイスでの ECC 証明書の使用はサポートされていません。