この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
ダウンロード可能なサービステンプレートの場合、認証、許可、およびアカウンティング(AAA)サーバー、Cisco Secure Access Control Server(ACS)、または Cisco Identity Services Engine(ISE)からサービステンプレートをダウンロードするときに、スイッチではデフォルトパスワードの「cisco123」が使用されます。AAA、ACS、ISE サーバーの場合、サービステンプレートの設定にパスワード「cisco123」を含める必要があります。
アイデンティティ サービス テンプレートに関する情報
サービステンプレートには、アクセス制御リスト(ACL)や VLAN 割り当てなどのサービス関連の属性や機能のセットが含まれており、セッションのライフサイクルイベントに応じて 1 つまたは複数の加入者セッションでアクティブにできます。テンプレートを使用すると、ポリシーが個別のグループに分類されているか、またはロールベースであるネットワーク セッション ポリシーのプロビジョニングとメンテナンスが簡素化されます。
サービステンプレートは、制御ポリシー内での参照、RADIUS 認可変更(CoA)要求、またはユーザープロファイルやサービスプロファイルを介してセッションに適用されます。ユーザープロファイルは加入者ごとに定義されます。サービス プロファイルは複数の加入者に適用できます。
Identity Based Networking Services は、次の 2 種類のサービステンプレートをサポートしています。
ダウンロード可能なサービステンプレート:サービステンプレートは外部の ACS または AAA サーバーで一元的に設定され、オンデマンドでダウンロードされます。
ローカルで設定されたサービステンプレート:サービステンプレートは、Cisco IOS コマンド ライン インターフェイス(CLI)を介してデバイス上でローカルに設定されます。
Cisco Identity Based Networking Services(IBNS)は、外部 AAA サーバーで定義されたサービステンプレートをダウンロードできます。テンプレートでは、AAA 属性のコレクションを定義します。サービステンプレートは、外部 AAA サーバーまたは ACS から受信した RADIUS CoA メッセージに含まれるベンダー固有属性(VSA)を使用してセッションに適用されます。テンプレートの名前は、処理中にサービステンプレートのダウンロードをトリガーするユーザープロファイルや制御ポリシーで参照されます。
ダウンロード可能なテンプレートはデバイスにキャッシュされ、後続のダウンロード要求ではキャッシュされた利用可能なテンプレートが参照されますが、テンプレートは、そのアクティブな使用期間中にのみキャッシュされます。デバイスにキャッシュされたダウンロード済みテンプレートは保護されており、コマンド ライン インターフェイスや他のアプリケーションからは削除できないため、アクティブな参照がない場合にのみテンプレートが削除されます。
サービステンプレートは、CLI を使用してローカルに設定できます。サービステンプレートは、制御ポリシー内での参照によって加入者セッションに適用できます。
アクティブなローカルテンプレートが更新されると、そのローカルテンプレートへの変更は、テンプレートがアクティブなすべてのセッションに反映されます。テンプレートが削除されると、セッションに適用されているそのテンプレートからすべてのコンテンツが削除されます。
アイデンティティ サービス テンプレートの設定
サービステンプレートでは、加入者セッションに適用できるローカルポリシーを定義します。ローカルポリシーを適用する必要があるセッションで、このサービステンプレートをアクティブにします。
| コマンドまたはアクション | 目的 | |
|---|---|---|
|
ステップ 1 |
enable 例: |
特権 EXEC モードを有効にします。
|
|
ステップ 2 |
configure terminal 例: |
グローバル コンフィギュレーション モードを開始します。 |
|
ステップ 3 |
service-template template-name 例: |
サービステンプレートを作成し、サービス テンプレート コンフィギュレーション モードを開始します。 |
|
ステップ 4 |
absolute-timer minutes 例: |
(任意)サブスクライバセッションに対する絶対タイムアウトを有効にします。 |
|
ステップ 5 |
access-group access-list-name 例: |
(任意)サービステンプレートを使用してセッションにアクセスリストを適用します。 |
|
ステップ 6 |
description description 例: |
(任意)サービステンプレートに説明を追加します。 |
|
ステップ 7 |
inactivity-timer minutes [probe] 例: |
(任意)サブスクライバセッションに対する非アクティブタイムアウトを有効にします。 |
|
ステップ 8 |
redirect url url 例: |
(任意)クライアントを特定の URL にリダイレクトします。 |
|
ステップ 9 |
sgt range 例: |
(任意)セキュリティグループタグ(SGT)をサービステンプレートに関連付けます。 |
|
ステップ 10 |
tag tag-name 例: |
(任意)ユーザー定義タグをサービステンプレートに関連付けます。 |
|
ステップ 11 |
vlan vlan-id 例: |
(任意)サービステンプレートを使用して、セッションに VLAN を適用します。 |
|
ステップ 12 |
end 例: |
サービス テンプレート コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。 |
|
ステップ 13 |
show service-template [template-name] 例: |
設定されたサービステンプレートに関する情報を表示します。 |
service-template SVC_2
description label for SVC_2
access-group ACL_2
redirect url www.cisco.com
vlan 215
inactivity-timer 15
absolute-timer 15
tag TAG_2加入者セッションでサービステンプレートをアクティブ化するには、制御ポリシーでサービステンプレートを指定します。制御ポリシーの設定を参照してください。
アイデンティティ サービス テンプレートの設定例
次に、デバイスにローカルに定義されたサービステンプレートの設定例を示します。このテンプレートには、以下に示すように、POSTTURE_VALIDATION という名前の制御ポリシーを使用するセッションに適用される属性が含まれています。
service-template DOT1X
access-group SVC1_ACL
redirect url www.cisco.com match URL_REDIRECT_ACL
inactivity-timer 60
absolute-timer 300
!
ip access-list extended URL_REDIRECT_ACL
permit tcp any host 5.5.5.5 eq www
以下の例は、replace-all が有効な DOT1X という名前のサービステンプレートをアクティブ化する制御ポリシーを示しています。正常にアクティブ化されたテンプレートにより、既存の承認データおよび以前にセッションに適用されたサービステンプレートが置き換わります。
policy-map type control subscriber POSTURE_VALIDATION
event session-started match-all
10 class always do-until-failure
10 authenticate using dot1x priority 10
20 authenticate using webauth priority 20
event authentication-success match-all
10 class DOT1X do-all
10 terminate webauth
20 activate service-template DOT1X replace-all
次に、デバイスにローカルに定義されたサービステンプレートの設定例を示します。このテンプレートには、以下に示すように、POSTTURE_VALIDATION という名前の制御ポリシーを使用するセッションに適用される属性が含まれています。
service-template FALLBACK
description fallback service
access-group ACL_2
redirect url www.cisco.com
inactivity-timer 15
absolute-timer 15
tag TAG_2次の例は、認証方式 dot1x および MAB を実行する制御ポリシーを示しています。dot1x 認証が失敗すると、MAB 認証が試行されます。MAB が失敗した場合、FALLBACK テンプレートを使用してデフォルトの認証プロファイルが提供されます。
policy-map type control subscriber POSTURE_VALIDATION
event session-started match-all
10 class always do-all
10 authenticate using dot1x
event authentication-failure match-all
10 class DOT1X do-all
10 authenticate using mab
20 class MAB do-all
10 activate service-template FALLBACK
以下は、LOW_IMPACT_TEMPLATE という名前のローカル サービス テンプレートによって使用されるアクセス制御リスト(ACL)の設定例です。
ip access-list extended LOW_IMPACT_ACL
permit udp any any eq bootps
permit tcp any any eq www
permit tcp any any eq 443
permit ip any 172.30.0.0 0.0.255.255
以下は、認証が失敗した場合でも、すべてのホストへのアクセスを制限するローカル サービス テンプレートの設定例です。
service-template LOW_IMPACT_TEMPLATE
description Service template for Low impact mode
access-group LOW_IMPACT_ACL
inactivity-timer 60
tag LOW_IMPACT_TEMPLATE
以下は、LOW_IMPACT_TEMPLATE という名前のテンプレートを使用して、認証が失敗した場合でもすべてのホストへのアクセスを制限する制御ポリシーの設定例です。認証が成功すると、ポリシーマネージャはサービステンプレートを削除し、RADIUS サーバーによってダウンロードされたポリシーに基づいてアクセスを許可します。
class-map type control subscriber match-all DOT1X_MAB_FAILED
no-match result-type method dot1x success
no-match result-type method mab success
!
policy-map type control subscriber CONCURRENT_DOT1X_MAB_LOW_IMP_MODE
event session-started match-all
10 class always do-until-failure
10 authorize
20 activate service-template LOW_IMPACT_TEMPLATE
30 authenticate using mab
40 authenticate using dot1x
event authentication-success match-all
10 class always do-until-failure
10 deactivate service-template LOW_IMPACT_TEMPLATE
event authentication-failure match-first
10 class DOT1X_MAB_FAILED do-until-failure
10 authorize
20 terminate dot1x
30 terminate mab
event agent-found match-all
10 class always do-until-failure
10 authenticate using dot1x
event inactivity-timeout match-all
10 class always do-until-failure
10 clear-session
次の表に、このモジュールで説明する機能のリリースおよび関連情報を示します。
これらの機能は、特に明記されていない限り、導入されたリリース以降のすべてのリリースで使用できます。
| リリース |
機能名 |
機能情報 |
|---|---|---|
| Cisco IOS XE Fuji 16.9.2 |
アイデンティティ サービス テンプレート |
アイデンティティ サービス テンプレートをローカルで設定し、常に使用できるようにします。 |
Cisco Feature Navigator を使用すると、プラットフォームおよびソフトウェアイメージのサポート情報を検索できます。Cisco Feature Navigator にアクセスするには、https://cfnng.cisco.com に進みます。
フィードバック