ポリシー要素

この章では、Cisco ISE および Cisco Secure ACS のポリシー要素について説明します。

Cisco ISE および Cisco Secure ACS パリティ

Cisco ISE には、Cisco Secure ACS とのパリティを実現するための次の機能が導入されています。

個々のユーザーに設定された日付が特定の期間を超えている場合、ユーザーアカウントを無効にします
すべてのユーザーにグローバルに設定された日付が特定の期間を超えている場合、ユーザーアカウントを無効にします
n 日間の設定後にユーザーアカウントをグローバルに無効にします
n 日間の非アクティブ後にユーザーアカウントを無効にします
ネットワークデバイスのすべてのオクテットにおける IP アドレス範囲のサポート
IPv4 または IPv6 アドレスを持つネットワークデバイスの設定
IPv4 または IPv6 アドレスを持つ外部プロキシサーバーの設定
最大長のネットワークデバイスグループ（NDG）名のサポート
時間と日付の条件のサポート
AND 演算子および OR 演算子を持つ複合条件によるサービス選択ルール、認証ルール、および許可（標準および例外）ルールのサポート
Active Directory での MAR 構成
Dial-In 属性のサポート
LDAP のパスワード変更を有効にします
各 PSN のプライマリおよびバックアップ LDAP サーバーの構成
RADIUS ポートの構成
動的属性で構成される許可プロファイル
service-type RADIUS 属性の 2 つの新しい値
300,000 のユーザーに対する内部ユーザーサポートの向上
内部ユーザー認証キャッシュ
外部 ID ストアパスワードに対する内部ユーザーの認証
管理ユーザーおよび内部ユーザーのパスワードのディクショナリチェック
許可されたプロトコルに対する Crytobinding TLV 属性のサポート
端末ワイヤレス LAN ユニット（TWLU）クライアントに対する EAP-TLS 認証実行時に長さを含むフラグを使用
LDAP ID ストアのグループ名属性に対する共通名と識別名のサポート

ポリシーモデル

Cisco Secure ACS と Cisco ISE の両方にはシンプルなルールベースの認証パラダイムがありますが、Cisco Secure ACS と Cisco ISE は異なるポリシーモデルに基づいており、そのため Cisco Secure ACS 5.5 以降から Cisco ISE への移行ポリシーが少し複雑になっています。

Cisco Secure ACS のポリシー階層は、認証要求をアクセスサービスにリダイレクトするサービス選択ルールで始まります。アクセスサービスは、内部または外部の ID ストアに対してユーザーを認証し、定義された条件に基づいてユーザーを承認する ID ポリシーと許可ポリシーで構成されます。

認証ポリシーおよび許可ポリシーは、Cisco Secure ACS リリース 5.5 以降から Cisco ISE リリース 3.0 に移行されます。Cisco ISE は、Cisco Secure ACS のサービス選択ポリシー（SSP）と同様のポリシーセットとをサポートしているため、

Cisco Secure ACS サービスセレクションポリシーと Cisco ISE ポリシーセット

Cisco Secure ACS サービス選択ポリシー（SSP）は、SSP のルールに基づいて適切なサービスに要求を配信しますが、Cisco ISE ポリシーセットは、ポリシーセットのエントリ基準を含むルールを保持します。ポリシーセットの順序はエントリルールと同じ順序で、SSP ルールの順序に類似しています。

複数の SSP ルールが Cisco Secure ACS で同じサービスまたはサービスの再利用を要求する場合があります。しかし、各ポリシーセットは独自のエントリ条件を持っているので、Cisco ISE でポリシーセットを再利用することはできません。複数の SSP ルールによって要求された 1 つのサービスを移行する場合、そのサービスのコピーである複数のポリシーセットを作成する必要があります。つまり、Cisco Secure ACS で同じサービスを要求する SSP ルールごとに Cisco ISE のポリシーセットを作成する必要があります。

Cisco Secure ACS で SSP ルールを無効またはモニター対象として定義でき、ポリシーセットの同等のエントリルールは Cisco ISE で常に有効です。SSP ルールが Cisco Secure ACS で無効またはモニター対象になっている場合、SSP ルールによって要求されたポリシーサービスは Cisco ISE に移行できません。

Cisco Secure ACS ポリシーアクセスサービスと Cisco ISE ポリシーセット

サービスを要求せずにポリシーサービスを定義できます。つまり、Cisco Secure ACS の SSP ルールによってポリシーサービスを非アクティブとして定義できます。Cisco Secure ACS リリース 5.5 以降には、既成の DenyAccess サービスがあり、そのサービスには Cisco Secure ACS のデフォルトの SSP ルールに対するポリシーも許可されるプロトコルもなく、自動的にすべての要求を拒否します。Cisco ISE には同等のポリシーセットはありません。しかし、Cisco ISE のポリシーセットを参照するエントリルールのないポリシーセットを持つことはできません。

許可されるプロトコルは、（特定のポリシーではなく）Cisco Secure ACS リリース 5.5 以降で条件付けられていない（サービス全体を指す SSP の条件を除く）サービス全体に接続されます。許可されるプロトコルは、Cisco ISE で条件付けられた外部ルールの結果としての認証ポリシーだけに適用されます。

ID ポリシーは、Cisco Secure ACS Release 5.5 以降の ID ソース（ID ソースおよび ID ストア順序）になるルールのフラットなリストです。

Cisco Secure ACS リリース 5.5 以降および Cisco ISE リリース 3.0 には、各許可ポリシーに接続されるオプションの例外ポリシーが含まれています。Cisco ISE リリース 3.0 には、例外ポリシーに加えて、すべての許可ポリシーに影響を与えるオプションのグローバル例外ポリシーがあります。Cisco Secure ACS リリース 5.5 以降には、グローバル例外ポリシーに相当するポリシーがありません。認証時には、ローカル例外ポリシーが最初に処理され、続いてグローバル例外ポリシーおよび許可ポリシーが処理されます。

ISE 802.1X サービスに対する FIPS サポート

移行プロセスを完了する前に、Cisco ISE FIPS モードは有効にしないでください。

連邦処理標準（FIPS）をサポートするために、移行ツールはデフォルトのネットワークデバイスキーラップデータを移行します。

FIPS 準拠およびサポートされているプロトコル：

ホストルックアップの処理（Process Host Lookup）
Extensible Authentication Protocol-Translation Layer Security（EAP-TLS）
Protected Extensible Authentication Protocol（PEAP）
EAP-Flexible Authentication via Secure Tunneling（FAST）

FIPS 非準拠およびサポート対象外のプロトコル：

EAP- メッセージダイジェスト 5（MD5）
Password Authentication Protocol および ASCII
Challenge Handshake Authentication Protocol（CHAP）
Microsoft Challenge Handshake Authentication Protocol version 1（MS-CHAPv1）
Microsoft Challenge Handshake Authentication Protocol version 2（MS-CHAPv2）
Lightweight Extensible Authentication Protocol（LEAP）

Cisco Secure ACS to Cisco ISE Migration Tool リリース 3.0 ユーザーガイド

偏向のない言語

翻訳について

Book Title

Cisco Secure ACS to Cisco ISE Migration Tool リリース 3.0 ユーザーガイド

Chapter Title