...

外部 ID ソースの管理

by user

on
Category: Documents
4

views

Report

Comments

Transcript

外部 ID ソースの管理
CH A P T E R
5
外部 ID ソースの管理
Cisco Identity Services Engine(ISE)は、ユーザ認証機能でクレデンシャルを検証したり、ユーザに
関連付けられているグループ情報やその他の属性を取得して許可ポリシーで使用したりするために、外
部 ID ソースと統合します。ユーザ情報を含む外部 ID ソースを ISE で設定する必要があります。外部
ID ソースには、ISE サーバの証明書情報および証明書認証プロファイルも含まれています。
内部と外部の両方の ID ソースを、スポンサー認証およびリモート ゲスト ユーザの認証用の認証ソース
として使用できます。
表 5-1 に、ID ソースおよび ID ソースがサポートするプロトコルを示します。
表 5-1
プロトコルとデータベース サポート
RADIUS
トークン サー
バまたは
プロトコル(認証タイプ)
内部データ
ベース
Active
Directory
LDAP1 RSA
EAP-GTC2、PAP3(プレーン テキスト パス
Yes
Yes
Yes
Yes
Yes
Yes
No
No
Yes
No
No
No
No
Yes
Yes
No
ワード)
MS-CHAP4 パスワード ハッシュ:
MSCHAPv1/v2
5
EAP-MSCHAPv26
LEAP7
EAP-MD58
CHAP
9
EAP-TLS10
PEAP-TLS
11
(証明書取得)
(注)
TLS 認証(EAP-TLS および
PEAP-TLS)では、ID ソースは必要
ありませんが、任意で許可ポリシー
条件に追加できます。
1. LDAP = Lightweight Directory Access Protocol。
2. EAP-GTC = Extensible Authentication Protocol-Generic Token Card
3. PAP = パスワード認証プロトコル
4. MS-CHAP = Microsoft チャレンジ ハンドシェイク認証プロトコル
Cisco Identity Services Engine ユーザ ガイド リリース 1.1.1
OL-26134-01-J
5-1
第5章
外部 ID ソースの管理
証明書認証プロファイル
5. MS-CHAPv1/v2 = Microsoft チャレンジ ハンドシェイク認証プロトコル バージョン 1/ バージョン 2
6. EAP-MSCHAPv2 = 拡張認証プロトコル -Microsoft チャレンジ ハンドシェイク認証プロトコル バージョン 2
7. LEAP = Lightweight Extensible Authentication Protocol
8. EAP-MD5 = 拡張認証プロトコル -Message Digest 5
9. CHAP = チャレンジ ハンドシェイク認証プロトコル
10. EAP-TLS = Extensible Authentication Protocol-Transport Layer Security
11. PEAP-TLS = Protected Extensible Authentication Protocol-Transport Layer Security
この章では、ISE で次の ID ソースおよび証明書認証プロファイルを設定する方法について説明します。
次のトピックを扱います。
• 「証明書認証プロファイル」(P.5-2)
• 「Microsoft Active Directory」(P.5-4)
• 「LDAP」(P.5-19)
• 「RADIUS トークン ID ソース」(P.5-34)
• 「RSA ID ソース」(P.5-41)
• 「ID ソース順序」(P.5-53)
• 「ID ソースの表示およびモニタリング」(P.5-56)
証明書認証プロファイル
証明書認証プロファイルは、証明書ベースの認証の認証ポリシーで、ユーザの信頼性を検証するために
ID ソースの代わりに使用されます。証明書認証プロファイルを使用すると、次の項目を指定できます。
• プリンシパル ユーザ名として使用する必要がある証明書フィールド
• 証明書のバイナリ比較を実行する必要があるかどうか
[ 証明書認証プロファイル(Certificate Authentication Profiles)] ページには、追加した証明書認証プ
ロファイルが一覧表示されます。
詳細情報:
「証明書認証プロファイルの追加または編集」(P.5-2)
証明書認証プロファイルの追加または編集
前提条件:
各 ISE 管理者アカウントには、1 つまたは複数の管理ロールが割り当てられています。次の手順で説明
されている操作を実行するには、Super Admin または System Admin のいずれかのロールを割り当てら
れている必要があります。さまざまな管理ロールの詳細と、各ロールに関連付けられている権限につい
ては、「Cisco ISE 管理者グループのロールおよび役割」を参照してください。
Cisco Identity Services Engine ユーザ ガイド リリース 1.1.1
5-2
OL-26134-01-J
第5章
外部 ID ソースの管理
証明書認証プロファイル
証明書認証プロファイルを追加または編集するには、次の手順を実行します。
ステップ 1
[ 管理(Administration)] > [ID の管理(Identity Management)] > [ 外部 ID ソース(External Identity
Sources)] を選択します。
ステップ 2
左側の [ 外部 ID ソース(External Identity Sources)] ナビゲーション ペインで、[ 証明書認証プロファ
イル(Certificate Authentication Profile)] をクリックします。
[ 証明書認証プロファイル(Certificate Authentication Profile)] ページが表示されます。
ステップ 3
次のいずれかを実行します。
• 新しい証明書認証を追加するには、[ 追加(Add)] をクリックします。
• 既存の証明書認証プロファイルを編集するには、編集するプロファイルを選択し、[ 編集(Edit)]
をクリックします。
• 既存の証明書認証プロファイルの複製を作成するには、複製するプロファイルを選択し、[ 複製
(Duplicate)] をクリックします。
ステップ 4
次の詳細事項を入力します。
• [ 名前(Name)]:(必須)証明書認証プロファイルの名前を入力します。
• [ 説明(Description)]:証明書認証プロファイルの説明を入力します。
• [ プリンシパル ユーザ名 X509 属性(Principal Username X509 Attribute)]:X.509 証明書の使用
可能なプリンシパル ユーザ名属性のリストには、次の選択肢があります。
– 一般名(Common Name)
– サブジェクト代替名(Subject Alternative Name)
– サブジェクト シリアル番号(Subject Serial Number)
– 件名(Subject)
– サブジェクト代替名:その他の名前(Subject Alternative Name–Other Name)
– サブジェクト代替名:電子メール(Subject Alternative Name–Email)
– サブジェクト代替名:DNS(Subject Alternative Name–DNS)
(注)
Anyconnect 3.1 を介して認証を実行する場合、クライアント証明書認証で EAP-FAST プロト
コルを使用するときに Microsoft 証明書のサブジェクト代替名を指定する必要があります。他
の認証局によって発行された証明書を使用するときは、常に一般名を指定する必要がありま
す。
• [LDAP または Active Directory から取得された証明書とバイナリ証明書比較を実行(Perform
Binary Certificate Comparison with Certificate Retrieved from LDAP or Active Directory)]:選択
した LDAP または Active Directory の ID ソースに対して認証の証明書情報を検証する場合は、こ
のチェックボックスをオンにします。
このチェックボックスをオンにした場合は、使用可能なリストから LDAP または Active Directory
ID ソースを選択する必要があります。
• [LDAP/Active Directory インスタンス名(LDAP/Active Directory Instance Name)]:認証の証明
書情報を検証する LDAP または Active Directory の ID ソースを選択します。
ステップ 5
[ 送信(Submit)] をクリックして、証明書認証プロファイルを追加するか、変更を保存します。
Cisco Identity Services Engine ユーザ ガイド リリース 1.1.1
OL-26134-01-J
5-3
第5章
外部 ID ソースの管理
Microsoft Active Directory
次の手順:
1. 認証ポリシーの作成方法については、第 16 章「認証ポリシーの管理」を参照してください。
2. 許可プロファイルおよびポリシーの作成方法については、第 17 章「許可ポリシーおよびプロファ
イルの管理」を参照してください。
Microsoft Active Directory
ISE は Active Directory を外部 ID ソースとして使用して、ユーザ、マシン、グループ、属性などのリ
ソースにアクセスします。ユーザおよびマシンを認証するように、ISE を設定できます。この項では、
次のトピックを扱います。
• 「ISE と Active Directory の統合の主要機能」(P.5-4)
• 「ISE と Active Directory の統合」(P.5-6)
• 「Active Directory デバッグ ログの有効化」(P.5-16)
• 「補足情報」(P.5-17)
(注)
ISE は、ネットワーク アドレス トランスレータの背後にあり、ネットワーク アドレス変換(NAT)ア
ドレスを持つ Microsoft Active Directory サーバをサポートしません。
ISE と Active Directory の統合の主要機能
サポートされる認証プロトコル
• Extensible Authentication Protocol-Flexible Authentication via Secure Tunneling(EAP-FAST)お
:ISE では、Microsoft チャレンジ ハン
よび Protected Extensible Authentication Protocol(PEAP)
ドシェイク認証プロトコル バージョン 2(MS-CHAPv2)の内部方式および Extensible
Authentication Protocol-Generic Token Card(EAP-GTC)とともに EAP-FAST と PEAP を使用し
た、Active Directory に対するユーザとマシンの認証およびパスワードの変更がサポートされま
す。
• パスワード認証プロトコル(PAP):ISE では PAP を使用した Active Directory に対する認証がサ
ポートされ、Active Directory のユーザ パスワードを変更することもできます。
• Microsoft チャレンジ ハンドシェイク認証プロトコルバージョン 1(MS-CHAPv1):ISE では、
MS-CHAPv1 を使用した Active Directory に対するユーザとマシンの認証がサポートされます。
• MS-CHAPv2:ISE では、EAP-MSCHAPv2 を使用した Active Directory に対するユーザとマシン
の認証がサポートされます。
• EAP-GTC:ISE では、EAP-GTC を使用した Active Directory に対するユーザとマシンの認証が
サポートされます。
• Extensible Authentication Protocol-Transport Layer Security(EAP-TLS):ISE では、EAP-TLS
を使用した Active Directory に対するユーザとマシンの認証をサポートするために、証明書取得オ
プションが使用されます。
• Protected Extensible Authentication Protocol-Transport Layer Security(PEAP-TLS):ISE では、
PEAP-TLS を使用した Active Directory に対するユーザとマシンの認証がサポートされます。
• LEAP:ISE では、LEAP を使用した Active Directory に対するユーザの認証がサポートされます。
Cisco Identity Services Engine ユーザ ガイド リリース 1.1.1
5-4
OL-26134-01-J
第5章
外部 ID ソースの管理
Microsoft Active Directory
Active Directory サービスをサポートする Windows サーバ オペレーティング システムのリストについ
ては、『Release Notes for Cisco Identity Services Engine, Release 1.1.1』を参照してください。
ディレクトリ サービス
Active Directory は、集中管理およびユーザ アカウント、クライアント、サーバの管理を可能にする
ディレクトリ サービスです。Active Directory は Lightweight Directory Access Protocol(LDAP)な
どの他のディレクトリ サービスと相互運用でき、主に分散ネットワーク環境で使用されます。
ユーザ認証
ユーザ認証では、Active Directory にリストされているユーザに対してだけ、ネットワーク アクセスが
提供されます。
マシン認証
マシン認証では、Active Directory にリストされているデバイスに対してだけ、ネットワーク サービス
へのアクセスが提供されます。
許可のための属性取得
許可ルールで使用されるユーザまたはマシンの Active Directory 属性を取得するように ISE を設定でき
ます。属性は ISE ポリシー結果にマッピングされ、ユーザまたはマシンの承認レベルが決定されます。
ISE は、ユーザまたはマシンの認証が成功した後にユーザおよびマシンの Active Directory 属性を取得
します。認証とは別に、許可のために属性を取得することもできます。
許可のためのグループ取得
ISE は、認証が成功した後にユーザおよびマシン グループを Active Directory から取得できます。ISE
は認証とは別に、許可のためにユーザまたはマシン グループを取得することもできます。Active
Directory グループ データを許可で使用でき、特殊条件を導入して、取得したグループと突き合わせる
ことができます。
EAP-TLS 認証のための証明書取得
ISE では、EAP-TLS プロトコルを使用するユーザまたはマシン認証のための証明書取得がサポートさ
れています。Active Directory 上のユーザまたはマシン レコードには、バイナリ データ型の証明書属
性が含まれています。この証明書属性に 1 つ以上の証明書を含めることができます。ISE ではこの属性
は userCertificate として識別され、この属性に対して他の名前を設定することはできません。ISE はこ
の証明書を取得し、ユーザまたはマシンの ID を確認するために使用します。証明書認証プロファイル
によって、証明書を取得するために使用されるフィールドが決まります。たとえば、[ サブジェクト代
替名(Subject Alternative Name)](SAN)、[ 一般名(Common Name)]、[ 社会保障番号(Social
Security Number)](SSN)などです。ISE は、証明書を取得した後、この証明書とクライアント証明
書とのバイナリ比較を実行します。複数の証明書が受信された場合、ISE は、いずれかが一致するかど
うかをチェックするために証明書を比較します。一致が見つかった場合、ISE はユーザまたはマシンに
ネットワークへのアクセスを付与します。
ユーザ アクセス制限
ユーザの認証または問い合わせ中に、ISE は次のことをチェックします。
• ユーザ アカウントが無効かどうか
• ユーザがロックアウトされているかどうか
Cisco Identity Services Engine ユーザ ガイド リリース 1.1.1
OL-26134-01-J
5-5
第5章
外部 ID ソースの管理
Microsoft Active Directory
• ユーザ アカウントが期限切れかどうか
• クエリー実行が指定されたログイン時間外かどうか
ユーザにこれらの制限のいずれかがある場合、Active Directory ディクショナリ上の Active Directory
Identifier::IdentityAccessRestricted 属性が設定され、ユーザのアクセスが制限されることが示されま
す。この属性は、すべてのポリシー ルールで使用できます。
Active Directory identifier は、Active Directory ID ソースに対して入力する名前です。
マルチドメイン フォレストのサポート
ISE では、マルチドメイン フォレストがサポートされます。ISE は単一のドメインに接続しますが、
ISE が接続されているドメインと他のドメイン間に信頼関係が確立されている場合は、Active
Directory フォレストの他のドメインからリソースにアクセスできます。
詳細情報:
• 「ディクショナリおよびディクショナリ属性」(P.7-1)
• 「ISE と Active Directory の統合」(P.5-6)
ISE と Active Directory の統合
前提条件:
ISE サーバを Active Directory ドメインに接続する前に、次のことをチェックする必要があります。
• Cisco ISE ホスト名が 15 文字以下であることを確認します。Active Directory では 15 文字を超え
るホスト名は検証されません。そのため、ホスト名の最初の 15 文字が同一で末尾の数字や識別子
によって区別される複数の Cisco ISE ホストが展開内にある場合、問題が発生することがありま
す。
• ISE サーバと Active Directory の時間が同期していることを確認します。ISE の時間は、ネット
ワーク タイム プロトコル(NTP)サーバに従って設定されます。NTP を使用して ISE と Active
Directory の時間を同期することを推奨します。NTP サーバの設定の詳細については、「システム
時刻と NTP サーバの設定」(P.8-18)を参照してください。
CLI から NTP サーバを設定する方法については、『Cisco Identity Services Engine CLI Reference
Guide, Release 1.1.x』を参照してください。
• ISE と Active Directory の間にファイアウォールがある場合は、ISE が Active Directory と通信で
きるように特定のポートを開く必要があります。次のデフォルト ポートが開いていることを確認
します。
プロトコル
部品番号
LDAP
389(UDP)
SMB
1
445(TCP)
KDC
2
88(TCP)
グローバル カタログ
3268(TCP)、3269
KPASS
464(TCP)
NTP
123(UDP)
LDAP
LDAPS
389(TCP)
3
636(TCP)
Cisco Identity Services Engine ユーザ ガイド リリース 1.1.1
5-6
OL-26134-01-J
第5章
外部 ID ソースの管理
Microsoft Active Directory
1. SMB = サーバ メッセージ ブロック
2. KDC = キー発行局
3. LDAPS = Lightweight Directory Access Protocol over
TLS/SSL
• Active Directory ソースにマルチドメイン フォレストがある場合は、ISE が接続されているドメイ
ンと、アクセスする必要があるリソースが含まれている他のドメインの間に信頼関係が存在するこ
とを確認します。信頼関係の確立の詳細については、Microsoft Active Directory のマニュアルを参
照してください。
• ISE で ip name-server コマンドを使用して設定された DNS サーバは、Active Directory ID ソース
のドメイン名を解決できる必要があります。通常、Active Directory 展開に含まれる DNS サーバ
は ISE で設定されます。複数の DNS サーバを設定する必要がある場合は、application configure
ise コマンドを使用して設定できます。コマンドの使用方法の詳細については、『Cisco Identity
Services Engine CLI Reference Guide, Release 1.1.x』を参照してください。
• Cisco ISE が参加するドメインで、少なくとも 1 つのグローバル カタログ サーバが動作している必
要があります。
• Active Directory ドメインに参加するときに入力する Active Directory ユーザ名は、Active
Directory で定義済みであり、次のいずれかの権限が割り当てられている必要があります。
– 接続先のドメインにワークステーションを追加する。
– ISE をドメインに追加する前に、ISE アカウントが作成されたコンピュータ上で、コンピュー
タ オブジェクトを作成する権限、またはコンピュータ オブジェクトを削除する権限を確立す
る。
– 認証に必要なユーザおよびグループを検索する権限。
ISE サーバを Active Directory ドメインに追加した後にも、次のことを実行するために前述の権限
が必要な場合があります。
– そのドメインにいずれかのセカンダリ ISE サーバを追加する
– データをバックアップまたは復元する
– アップグレード プロセスにバックアップと復元が含まれる場合、ISE を以降のバージョンに
アップグレードする
(注)
Active Directory ドメインにサブドメインが含まれており、ユーザがいずれかのサブドメイ
ンに属している場合、ユーザ名にはサブドメイン名も含まれている必要があります。たと
えば、ドメイン abc.com に 2 つのサブドメイン sub1 および sub2 が含まれており、ユーザ
が sub1 に属している場合は、ユーザ名を sub1\user1 にする必要があります。
• 各 ISE 管理者アカウントには、1 つまたは複数の管理ロールが割り当てられています。次の手順で
説明されている操作を実行するには、スーパー管理者またはシステム管理者のいずれかのロールを
割り当てられている必要があります。さまざまな管理ロールの詳細と、各ロールに関連付けられて
いる権限については、「Cisco ISE 管理者グループのロールおよび役割」を参照してください。
• Microsoft Active Directory サーバがネットワーク アドレス トランスレータの背後にないこと、お
よびネットワーク アドレス変換(NAT)アドレスを持たないことを確認します。
Cisco Identity Services Engine ユーザ ガイド リリース 1.1.1
OL-26134-01-J
5-7
第5章
外部 ID ソースの管理
Microsoft Active Directory
(注)
Cisco ISE が参加し、Active Directory への接続が確立されている場合、ステータスが「接続済み」と
して示されることがあります。ただし、Cisco ISE が接続されている場合にも、動作に問題があること
があります。このような問題を特定するには、[ 操作(Operations)] > [ レポート(Reports)] で認証
レポートを参照してください。
この項では、次のトピックを扱います。
• 「Active Directory ドメインへの接続」(P.5-8)
• 「Active Directory の高度な設定」(P.5-11)
• 「Active Directory グループの設定」(P.5-11)
• 「Active Directory ドメインの脱退」(P.5-14)
• 「Active Directory の設定の削除」(P.5-15)
Active Directory ドメインへの接続
Active Directory ドメインに接続するには、次の手順を実行します。
ステップ 1
[ 管理(Administration)] > [ID の管理(Identity Management)] > [ 外部 ID ソース(External Identity
Sources)] を選択します。
ステップ 2
左側の [ 外部 ID ソース(External Identity Sources)] ナビゲーション ペインで、[Active Directory] を
クリックします。
図 5-1 に示すように、[Active Directory] ページが表示されます。
図 5-1
Active Directory の接続ページ
ステップ 3
[ ドメイン名(Domain Name)] テキスト ボックスにドメイン名を入力します。
ステップ 4
[ID ストア名(Identity Store Name)] テキスト ボックスに Active Directory ID ソースのフレンドリ名
を入力します(デフォルトで、この値は AD1)。
ステップ 5
[ 設定の保存(Save Configuration)] をクリックします。
Cisco Identity Services Engine ユーザ ガイド リリース 1.1.1
5-8
OL-26134-01-J
第5章
外部 ID ソースの管理
Microsoft Active Directory
ドメイン名を正常に送信すると、図 5-2 に示すように、すべての Cisco ISE ノード、ノードのロール、
およびそのステータスを含む展開の参加 / 脱退の表が表示されます。
図 5-2
Active Directory ノードの表
設定を保存すると、Active Directory ドメインの設定が(プライマリおよびセカンダリのポリシー サー
ビス ノードに)グローバルに保存されますが、いずれの ISE ノードもドメインに参加しません。
(注)
ステップ 4 で設定を送信した場合にも、明示的に [ 参加(Join)] をクリックして、ISE ノード
を Active Directory ドメインに接続する必要があります。展開内のセカンダリ ポリシー サービ
ス ノードを Active Directory ドメインに接続するには、セカンダリ ポリシー サービス ノード
ごとに手動で参加操作を実行する必要があります。
ステップ 6
ISE ノードが Active Directory ドメインに接続できるかどうかを確認するには、Cisco ISE ノードの隣
のチェックボックスをオンにして、[ テスト接続(Test Connection)] をクリックします。ダイアログ
ボックスが表示され、Active Directory のユーザ名とパスワードを入力するように求められます。
ステップ 7
Active Directory のユーザ名とパスワードを入力し、[OK] をクリックします。
(注)
Active Directory ドメインにサブドメインが含まれており、ユーザがいずれかのサブドメイ
ンに属している場合、ユーザ名にはサブドメイン名も含まれている必要があります。たと
えば、ドメイン abc.com に 2 つのサブドメイン sub1 および sub2 が含まれており、ユーザ
が sub1 に属している場合は、ユーザ名を sub1\user1 にする必要があります。
ダイアログボックスが表示され、テスト接続操作のステータスが示されます。
ステップ 8
[OK] をクリックします。
ステップ 9
ISE ノードが Active Directory ドメインに参加するためには、Cisco ISE ノードの隣のチェックボック
スをオンにして、[ 参加(Join)] をクリックします。
[ ドメインの参加(Join Domain)] ダイアログボックスが表示されます。
ステップ 10
Active Directory のユーザ名とパスワードを入力し、[OK] をクリックします。
Cisco Identity Services Engine ユーザ ガイド リリース 1.1.1
OL-26134-01-J
5-9
第5章
外部 ID ソースの管理
Microsoft Active Directory
Active Directory ドメインに参加する複数のノードを選択できます。追加した後、ポップアップ リスト
が表示され、各ノードの要求の進行状況が示されます。操作が正常に完了した後、各ノードは成功とし
てマークされます。(図 5-3)。
図 5-3
Active Directory ドメインへの参加後に表示される成功メッセージ
参加操作に失敗した場合、図 5-4 に示すように、ポップアップ リストに失敗メッセージが表示されま
す。各ノードの失敗メッセージをクリックして、そのノードの詳細なログを表示できます(図 5-4)。
図 5-4
Active Directory ドメインへの参加で表示される失敗メッセージ
Cisco Identity Services Engine ユーザ ガイド リリース 1.1.1
5-10
OL-26134-01-J
第5章
外部 ID ソースの管理
Microsoft Active Directory
ステップ 11
[ 閉じる(Close)] をクリックします。
Active Directory の高度な設定
Active Directory の高度な設定を行うには、次の手順を実行します。
ステップ 1
[ 管理(Administration)] > [ID の管理(Identity Management)] > [ 外部 ID ソース(External Identity
Sources)] を選択します。
ステップ 2
左側の [ 外部 ID ソース(External Identity Sources)] ナビゲーション ペインで、[Active Directory] を
クリックします。
ステップ 3
[ 高度な設定(Advanced Settings)] タブをクリックします。
ステップ 4
[ パスワード変更の有効化(Enable Password Change)] チェックボックスをオンにして、ユーザがパ
スワードを変更できるようにします。
ステップ 5
[ マシン認証の有効化(Enable Machine Authentication)] チェックボックスをオンにして、マシン認
証を可能にします。
ステップ 6
[ マシン アクセス制限の有効化(Enable Machine Access Restrictions)](MARs)チェックボックスを
オンにして、マシン認証の結果がユーザ認証および許可の結果に関連付けられるようにします。この
チェックボックスをオンにした場合は、エージング タイムを時間単位で入力する必要があります。
ステップ 7
MARs を有効にした場合は、エージング タイムを時間単位で入力する必要があります。
この値では、マシン認証の有効期限を設定します。この期限が切れると、ユーザ認証は失敗します。た
とえば、MARs を有効にし、2 時間の値を入力した場合、ユーザが 2 時間後に認証を試みると、認証は
失敗します。
ステップ 8
[ 設定の保存(Save Configuration)] をクリックします。
次の手順:
1. 「Active Directory グループの設定」(P.5-11)
2. 「Active Directory 属性の設定」(P.5-13)
Active Directory グループの設定
許可ポリシー条件で使用できる Active Directory グループを設定するには、次の手順を実行します。
ステップ 1
[ 管理(Administration)] > [ID の管理(Identity Management)] > [ 外部 ID ソース(External Identity
Sources)] を選択します。
ステップ 2
左側の [ 外部 ID ソース(External Identity Sources)] ナビゲーション ペインで、[Active Directory] を
クリックします。
ステップ 3
ISE サーバが Active Directory ドメインに参加していることを確認します。詳細については、「Active
Directory ドメインへの接続」(P.5-8)を参照してください。
ステップ 4
[ グループ(Groups)] タブをクリックします。
[ グループ(Groups)] ページが表示されます。このページで設定するグループが、ポリシー条件で使
用できるようになります。
Cisco Identity Services Engine ユーザ ガイド リリース 1.1.1
OL-26134-01-J
5-11
第5章
外部 ID ソースの管理
Microsoft Active Directory
ステップ 5
[ 追加(Add)] > [ グループの追加(Add Group)] を選択して新しいグループを追加するか、[ 追加
(Add)] > [ ディレクトリからグループを選択(Select Groups From Directory )] を選択して既存のグ
ループを選択します。
• グループの追加を選択した場合は、新しいグループの名前を入力します。
• ディレクトリからグループを選択する場合は、[ ディレクトリ グループの選択(Select Directory
Groups)] ページが表示されます。フィルタを使用して検索を絞り込むことができます。たとえ
ば、図 5-5 に示すように、フィルタ基準として cn=users と入力し、[ グループの取得(Retrieve
Groups)] をクリックして、cn=users から始まるユーザ グループに絞り込みます。結果をフィル
タリングするために、アスタリスク(*)ワイルドカード文字を入力することもできます。
図 5-5
ステップ 6
Active Directory のグループ ページ
ポリシー条件およびルールで使用するグループの隣のチェックボックスをオンにして、[OK] をクリッ
クします。
[ グループ(Groups)] ページに戻ります。選択したグループが [ グループ(Groups)] ページに表示
されます。
a. ポリシー条件およびルールで使用しないグループを削除するには、グループの隣のオプション ボ
タンをクリックし、[ グループの削除(Delete Group)] をクリックします。
次のメッセージが表示されます。
削除してもよろしいですか ?(Are you sure you want to delete? )
b. [OK] をクリックして、ユーザ グループを削除します。
次の手順:
「Active Directory 属性の設定」(P.5-13)
Cisco Identity Services Engine ユーザ ガイド リリース 1.1.1
5-12
OL-26134-01-J
第5章
外部 ID ソースの管理
Microsoft Active Directory
Active Directory 属性の設定
許可ポリシー条件で使用できる Active Directory 属性を設定するには、次の手順を実行します。
ステップ 1
[ 管理(Administration)] > [ID の管理(Identity Management)] > [ 外部 ID ソース(External Identity
Sources)] を選択します。
ステップ 2
左側の [ 外部 ID ソース(External Identity Sources)] ナビゲーション ペインで、[Active Directory] を
クリックします。
ステップ 3
ISE サーバが Active Directory ドメインに参加していることを確認します。詳細については、「Active
Directory ドメインへの接続」(P.5-8)を参照してください。
ステップ 4
ポリシー条件で使用する属性を選択するには、[ 属性(Attributes)] タブをクリックします。
ステップ 5
[ 追加(Add)] > [ 属性の追加(Add Attribute)] を選択してポリシー条件で使用する属性を追加する
か、[ 追加(Add)] > [ ディレクトリから属性を選択(Select Attributes From Directory)] を選択して
ディレクトリから属性のリストを選択します。
• 属性を追加する場合は、新しい属性の名前を入力します。
• ディレクトリから属性を選択する場合は、[ ディレクトリ属性の選択(Select Directory Attributes)
] ページが表示されます。図 5-6 に示すように、[ ディレクトリ属性の選択(Select Directory
Attributes)] ページで [ サンプル ユーザ(Example User)] フィールドにユーザの名前を入力し、
[ 属性の取得(Retrieve Attributes)] をクリックしてユーザの属性のリストを取得します。たとえ
ば、管理者の属性のリストを取得するには、[ サンプル ユーザ(Example User)] フィールドに
admin と入力します。結果をフィルタリングするために、アスタリスク(*)ワイルドカード文字
を入力することもできます。
(注)
ユーザ属性を取得するためにサンプル ユーザを選択するときは、Cisco ISE が接続されている
Active Directory ドメインからユーザを選択することを確認してください。
(注)
マシン属性を取得するためにサンプル マシンを選択するときは、マシン名に「host/」というプ
レフィックスを付加してください。たとえば、host/myhost などを使用します。
Cisco Identity Services Engine ユーザ ガイド リリース 1.1.1
OL-26134-01-J
5-13
第5章
外部 ID ソースの管理
Microsoft Active Directory
図 5-6
ステップ 6
Active Directory の属性ページ
ISE がポリシー条件で使用する Active Directory の属性の隣にあるチェックボックスをオンにして、
[OK] をクリックします。
[ 属性(Attributes)] ページが表示されます。選択した属性がこのページに表示されます。
ポリシー条件で使用しない属性を削除するには、属性の隣のオプション ボタンをクリックし、[ 属性の
削除(Delete Attribute)] をクリックします。
次の手順:
1. 認証ポリシーの作成方法については、第 16 章「認証ポリシーの管理」を参照してください。
2. 許可プロファイルおよびポリシーの作成方法については、第 17 章「許可ポリシーおよびプロファ
イルの管理」を参照してください。
Active Directory ドメインの脱退
(注)
Active Directory ドメインを脱退する前に、認証ポリシーの ID ソースとして(直接または ID ソース順
序の一部として)Active Directory を使用していないことを確認します。Active Directory ドメインを
脱退したが、認証の ID ソースとして(直接または ID ソース順序の一部として)Active Directory を使
用している場合、認証が失敗する可能性があります。
Active Directory ドメインを脱退するには、次の手順を実行します。
ステップ 1
[ 管理(Administration)] > [ID の管理(Identity Management)] > [ 外部 ID ソース(External Identity
Sources)] を選択します。
ステップ 2
左側の [ 外部 ID ソース(External Identity Sources)] ナビゲーション ペインで、[Active Directory] を
クリックします。
ステップ 3
Active Directory ドメインを脱退するには、Cisco ISE ノードの隣のチェックボックスをオンにして、[
脱退(Leave)] をクリックします。
Cisco Identity Services Engine ユーザ ガイド リリース 1.1.1
5-14
OL-26134-01-J
第5章
外部 ID ソースの管理
Microsoft Active Directory
ステップ 4
図 5-7 に示すように、[ ドメインの脱退(Leave Domain)] ダイアログボックスが表示されます。
図 5-7
[ ドメインの脱退(Leave Domain)] ダイアログボックス
ステップ 5
Active Directory のユーザ名とパスワードを入力し、[OK] をクリックしてドメインを脱退し、ISE デー
タベースから設定を削除します。
ステップ 6
Active Directory クレデンシャルがない場合は、[ 使用可能なクレデンシャルなし(No Credentials
Available)] チェックボックスをオンにして、[OK] をクリックします。
[ 使用可能なクレデンシャルなし(No Credentials Available)] チェックボックスをオンにした場合、
ISE ノードは Active Directory ドメインを脱退します。Active Directory 管理者は、参加中に作成され
た Active Directory データベースで作成されたエントリを手動で削除する必要があります。
Active Directory クレデンシャルを入力した場合、Cisco ISE は Active Directory ドメインを脱退し、
Active Directory データベースから設定が削除されます。
(注)
Active Directory クレデンシャルには、ISE アカウントが作成されたコンピュータ上のコン
ピュータ オブジェクトの作成権限またはコンピュータ オブジェクトの削除権限が必要です。
Active Directory の設定の削除
前提条件:
1. Active Directory の設定を削除する前に、今後 Active Directory に接続する必要がないこと、およ
び Active Directory ドメインを脱退したことを確認します。
2. 別の Active Directory ドメインに参加する場合は、設定を削除しないでください。現在参加してい
るドメインから脱退し、新しいドメインに参加できます。詳細については、「Active Directory ド
メインの脱退」(P.5-14)を参照してください。
Cisco Identity Services Engine ユーザ ガイド リリース 1.1.1
OL-26134-01-J
5-15
第5章
外部 ID ソースの管理
Microsoft Active Directory
ISE から Active Directory の設定を削除するには、次の手順を実行します。
ステップ 1
[ 管理(Administration)] > [ID の管理(Identity Management)] > [ 外部 ID ソース(External Identity
Sources)] を選択します。
ステップ 2
左側の [ 外部 ID ソース(External Identity Sources)] ナビゲーション ペインで、[Active Directory] を
クリックします。
[Active Directory] ページが表示されます。
(注)
ステップ 3
[ ローカル ノード ステータス(Local Node Status)] がドメインに [ 参加していない(Not
Joined)] であることを確認します。
[ 設定の削除(Delete Configuration)] をクリックします。
Active Directory データベースから設定を削除しました。後で Active Directory を使用する場合は、有
効な Active Directory の設定を再送信できます。
Active Directory デバッグ ログの有効化
Active Directory デバッグ ログはデフォルトでは記録されません。このオプションは、デバッグ情報を
取得する展開内のポリシー サービス ペルソナを担当した ISE ノードで有効にする必要があります。
Active Directory のデバッグ ログを有効にするには、次の手順を実行します。
ステップ 1
[ 管理(Administration)] > [ システム(System)] > [ ロギング(Logging)] を選択します。
ステップ 2
左側の [ ロギング(Logging)] ナビゲーション ペインで [ デバッグ ログ設定(Debug Log
Configuration)] をクリックします。
[ ノード リスト(Node List)] ページに展開内のノードのリストが表示されます。
ステップ 3
Active Directory のデバッグ情報を取得する ISE ポリシー サービス ノードの隣のオプション ボタンを
クリックし、[ 編集(Edit)] をクリックします。
[ デバッグ レベルの設定(Debug Level Configuration)] ページが表示されます。
ステップ 4
[Active Directory] オプション ボタンをクリックし、[ 編集(Edit)] をクリックします。
ステップ 5
[Active Directory] の横のドロップダウン リストから、[DEBUG] を選択します。
ステップ 6
[ 保存(Save)] をクリックしてロギング設定を保存します。
ログ ファイルは次の場所に保存されます。
/opt/CSCOcpm/logs/ad_agent.log
Cisco Identity Services Engine ユーザ ガイド リリース 1.1.1
5-16
OL-26134-01-J
第5章
外部 ID ソースの管理
Microsoft Active Directory
ad_agent.log ファイルをダウンロードするには、次の手順を実行します。
ステップ 1
ステップ 2
[ 操作(Operations)] > [ トラブルシューティング(Troubleshoot)] > [ ログのダウンロード
(Download Logs)] を選択します。
[ アプライアンス ノード リスト(Appliance node list)] ナビゲーション ペインで、Active Directory デ
バッグ ログ ファイルを取得するノードをクリックします。
ステップ 3
右ペインで、[ デバッグ ログ(Debug Logs)] タブをクリックします。
ステップ 4
このページを下にスクロールして ad_agent.log ファイルを見つけます。このファイルをクリックして
ダウンロードします。
補足情報
この項では、次のことを実行するための指針を示します。
• 「Active Directory でのグループ ポリシーの設定」(P.5-17)
• 「Active Directory に対する EAP-TLS マシン認証のための Odyssey 5.X サプリカントの設定」
(P.5-18)
• 「マシン認証のための AnyConnect エージェントの設定」(P.5-19)
Active Directory でのグループ ポリシーの設定
この項では、有線サービスのグループ ポリシーを設定するための指針を示します。グループ ポリシー
管理エディタにアクセスする方法の詳細については、Microsoft Active Directory のマニュアルを参照し
てください。
Active Directory でグループ ポリシーを設定するには、次の手順を実行します。
1. 図 5-8 に示すように、グループ ポリシー管理エディタを開き、新しいポリシー オブジェクトを作
成するか、既存のドメイン ポリシーに追加します。
図 5-8
グループ ポリシー オブジェクト
2. 新しいポリシーを作成し、説明的な名前を入力します。たとえば、優先自動設定などを使用しま
す。
3. 図 5-9 に示すように、[ このポリシー設定を定義する(Define this policy setting)] チェックボック
スをオンにして、サービス起動モードの [ 自動(Automatic)] オプション ボタンをクリックしま
す。
Cisco Identity Services Engine ユーザ ガイド リリース 1.1.1
OL-26134-01-J
5-17
第5章
外部 ID ソースの管理
Microsoft Active Directory
図 5-9
ポリシー プロパティ
4. 目的の組織ユニットまたはドメイン Active Directory レベルでポリシーを適用します。コンピュー
タは次回再起動したときにポリシーを受信し、このサービスが有効になります。
Active Directory に対する EAP-TLS マシン認証のための Odyssey 5.X サプリカントの設定
Active Directory に対する EAP-TLS マシン認証に Odyssey 5.x サプリカントを使用している場合は、
Odyssey サプリカントで次の設定を行う必要があります。
1. Odyssey アクセス クライアントを起動します。
2. [ ツール(Tools)] メニューから、[Odyssey アクセス クライアント管理者(Odyssey Access
Client Administrator)] を選択します。
3. [ マシン アカウント(Machine Account)] アイコンをダブルクリックします。
4. [ マシン アカウント(Machine Account)] ページから、EAP-TLS 認証のプロファイルを設定する
必要があります。
a. [ 設定(Configuration)] > [ プロファイル(Profiles)] を選択します。
b. EAP-TLS プロファイルの名前を入力します。
c. [ 認証(Authentication)] タブで、認証方式として [EAP-TLS] を選択します。
d. [ 証明書(Certificate)] タブで、[ 証明書を使用したログインを許可(Permit login using my
certificate)] チェックボックスをオンにして、サプリカント マシンの証明書を選択します。
e. [ ユーザ情報(User Info)] タブで、[ マシン クレデンシャルを使用(Use machine credentials)
] チェックボックスをオンにします。
このオプションが有効になっている場合、Odyssey サプリカントは host\<machine_name> の形式でマ
シン名を送信します。Active Directory は要求をマシンから送信されていると識別し、認証を実行する
コンピュータ オブジェクトを検索します。このオプションが無効になっている場合、Odyssey サプリ
カントは host\ プレフィックスなしでマシン名を送信します。Active Directory はユーザ オブジェクト
を検索し、認証は失敗します。
Cisco Identity Services Engine ユーザ ガイド リリース 1.1.1
5-18
OL-26134-01-J
第5章
外部 ID ソースの管理
LDAP
マシン認証のための AnyConnect エージェントの設定
マシン認証のために AnyConnect エージェントを設定する場合、次のいずれかを実行できます。
• デフォルトのマシン ホスト名(プレフィックス「host/」を含む)を使用する。
• 新しいプロファイルを設定する。その場合、マシン名の前にプレフィックス「host/」を付加する
必要があります。
LDAP
Lightweight Directory Access Protocol(LDAP)は、RFC 2251 で定義されている、TCP/IP 上で動作
するディレクトリ サービスの問い合わせおよび変更のためのネットワーキング プロトコルです。
LDAP は、X.500 ベースのディレクトリ サーバにアクセスするためのライトウェイト メカニズムです。
ISE は、LDAP プロトコルを使用して LDAP 外部データベース(ID ソースとも呼ばれる)と統合しま
す。LDAP ID ソースの設定については、「LDAP ID ソースの追加または編集」(P.5-23)を参照してく
ださい。
この項では、次のトピックを扱います。
• 「ISE と LDAP の統合の主要機能」(P.5-19)
• 「LDAP ID ソースの追加または編集」(P.5-23)
ISE と LDAP の統合の主要機能
この項の構成は、次のとおりです。
• 「ディレクトリ サービス」(P.5-19)
• 「複数の LDAP インスタンス」(P.5-20)
• 「フェールオーバー」(P.5-20)
• 「LDAP 接続管理」(P.5-21)
• 「ユーザ認証」(P.5-21)
• 「LDAP を使用した認証」(P.5-21)
• 「バインディング エラー」(P.5-22)
• 「ユーザ ルックアップ」(P.5-22)
• 「MAC アドレス ルックアップ」(P.5-22)
• 「グループ メンバーシップ情報の取得」(P.5-22)
• 「属性取得」(P.5-23)
• 「証明書取得」(P.5-23)
ディレクトリ サービス
ディレクトリ サービスは、コンピュータ ネットワークのユーザおよびリソースに関する情報を保存お
よび編成するためのソフトウェア アプリケーション(アプリケーションのセット)です。ディレクト
リ サービスを使用すると、これらのリソースへのユーザ アクセスを管理できます。LDAP ディレクト
リ サービスは、クライアント / サーバ モデルに基づきます。クライアントは、LDAP サーバに接続す
Cisco Identity Services Engine ユーザ ガイド リリース 1.1.1
OL-26134-01-J
5-19
第5章
外部 ID ソースの管理
LDAP
ることで LDAP セッションを開始し、操作要求をサーバに送信します。サーバは、応答を送信します。
1 台以上の LDAP サーバに、LDAP ディレクトリ ツリーまたは LDAP バックエンド データベースから
のデータが含まれています。
ディレクトリ サービスは、ディレクトリを管理します。ディレクトリは、情報を保有するデータベー
スです。ディレクトリ サービスは、情報を保存するために分散モデルを使用します。その情報は、通
常はディレクトリ サーバ間で複製されます。
LDAP ディレクトリは、単純なツリー階層で編成されており、数多くのサーバ間で分散できます。各
サーバには、定期的に同期化されるディレクトリ全体の複製バージョンを配置できます。
ツリーのエントリには属性のセットが含まれており、各属性には名前(属性タイプまたは属性の説明)
と 1 つ以上の値があります。属性はスキーマに定義されます。
各エントリには、固有識別情報、つまり識別名(DN)があります。この名前には、エントリ内の属性
で構成されている相対識別名(RDN)と、それに続く親エントリの DN が含まれています。DN は完
全なファイル名、RDN はフォルダ内の相対ファイル名と考えることができます。
複数の LDAP インスタンス
ISE に複数の LDAP インスタンスを作成できます。IP アドレスまたはポートの設定が異なる複数の
LDAP インスタンスを作成することにより、異なる LDAP サーバを使用するか、または同じ LDAP
サーバ上の異なるデータベースを使用して認証を行うように、ISE を設定できます。プライマリ サー
バの各 IP アドレスおよびポートの設定は、セカンダリ サーバの IP アドレスおよびポートの設定とと
もに、ISE LDAP ID ソース インスタンスに対応する LDAP インスタンスを形成します。
ISE では、個々の LDAP インスタンスが一意の LDAP データベースに対応している必要はありません。
複数の LDAP インスタンスを、同一のデータベースにアクセスするように設定できます。この方法は、
LDAP データベースにユーザまたはグループのサブツリーが複数含まれている場合に役立ちます。各
LDAP インスタンスでは、ユーザとグループに対してそれぞれ単一のサブツリー ディレクトリだけを
サポートするため、ISE が認証要求を送信する必要があるユーザ ディレクトリ サブツリーとグループ
ディレクトリ サブツリーの組み合わせごとに、別々の LDAP インスタンスを設定する必要があるから
です。
フェールオーバー
ISE は、プライマリ LDAP サーバとセカンダリ LDAP サーバ間でのフェールオーバーをサポートしま
す。ISE による LDAP 認証のコンテキストでは、ISE が LDAP サーバに接続できないために認証要求
が失敗した場合に、フェールオーバーが適用されます。サーバがダウンした場合、または ISE から到
達不能である場合、フェールオーバーが発生することがあります。この機能を使用するには、プライマ
リとセカンダリの LDAP サーバを定義する必要があり、フェールオーバー設定を行う必要があります。
フェールオーバー設定を行い、ISE が接続しようとする最初の LDAP サーバに到達できない場合には、
常に ISE は他の LDAP サーバへの接続を試みます。ISE が接続を試みる最初のサーバが、常にプライ
マリ LDAP サーバであるとは限りません。ISE が接続を試みる最初の LDAP サーバは、その前に試み
た LDAP 認証と、[ フェールバック再試行遅延(Failback Retry Delay)] テキスト ボックスに入力する
値によって決まります。
(注)
Cisco ISE では、常にプライマリ LDAP サーバを使用して、認証ポリシーで使用するグループと属性が
ユーザ インターフェイスから取得されます。このため、プライマリ LDAP サーバはこれらの項目を設
定するときに到達可能である必要があります。Cisco ISE では、フェールオーバーの設定に従って、実
行時に認証と許可にのみセカンダリ LDAP サーバが使用されます。
Cisco Identity Services Engine ユーザ ガイド リリース 1.1.1
5-20
OL-26134-01-J
第5章
外部 ID ソースの管理
LDAP
LDAP 接続管理
ISE では、複数の同時 LDAP 接続がサポートされています。接続は、最初の LDAP 認証時にオン デマ
ンドで開かれます。最大接続数は、LDAP サーバごとに設定されます。事前に接続を開いておくと、
認証時間が短縮されます。同時バインディング接続に使用する最大接続数を設定できます。開かれる接
続の数は、LDAP サーバ(プライマリまたはセカンダリ)ごとに異なる場合があり、サーバごとに設
定される最大管理接続数に基づいて決まります。
ISE は、ISE で設定されている LDAP サーバごとに、開いている LDAP 接続(バインディング情報を
含む)のリストを保持します。認証プロセス中に、Connection Manager は開いている接続をプールか
ら検索しようとします。開いている接続が存在しない場合、新しい接続が開かれます。
LDAP サーバが接続を閉じた場合、Connection Manager はディレクトリを検索する最初のコールでエ
ラーをレポートし、接続を更新しようとします。認証プロセスが完了した後、Connection Manager は
接続を解放します。
ユーザ認証
LDAP は、Cisco ISE ユーザ認証の対象の外部データベースとして使用できます。ISE では、ユーザの
プレーン パスワード認証がサポートされます。ユーザ認証には次のアクションが含まれます。
• 要求内のユーザ名と一致するエントリの LDAP サーバを検索する
• ユーザ パスワードを LDAP サーバで見つかったパスワードと照合する
• ポリシーで使用するために、ユーザのグループ メンバーシップ情報を取得する
• ポリシーおよび許可プロファイルで使用するために指定した属性の値を取得する
ユーザを認証するために、ISE は LDAP サーバにバインド要求を送信します。バインド要求には、
ユーザの DN およびユーザ パスワードがクリア テキストで含まれています。ユーザの DN およびパス
ワードが LDAP ディレクトリ内のユーザ名およびパスワードと一致した場合に、ユーザは認証されま
す。
(注)
Secure Sockets Layer(SSL)を使用して LDAP サーバへの接続を保護することを推奨します。
• 認証エラー:ISE は認証エラーを ISE ログ ファイルにロギングします。
• 初期化エラー:LDAP サーバのタイムアウト設定を使用して、LDAP サーバでの接続または認証
が失敗したと判断する前に ISE が LDAP サーバからの応答を待つ秒数を設定します。LDAP サー
バが初期化エラーを返す理由で考えられるのは、次のとおりです。
– LDAP がサポートされていない。
– サーバがダウンしている。
– サーバがメモリ不足である。
– ユーザに特権がない。
– 間違った管理者クレデンシャルが設定されている。
LDAP を使用した認証
ISE は、ディレクトリ サーバでバインド操作を実行し、サブジェクトを検索および認証することに
よって、LDAP ID ソースに対してサブジェクト(ユーザまたはホスト)を認証できます。認証が成功
した後、ISE は要求された場合は常にサブジェクトに所属するグループおよび属性を取得できます。取
得する属性は、ISE ユーザ インターフェイスで [ 管理(Administration)] > [ID の管理(Identity
Management)] > [ 外部 ID ソース(External Identity Sources)] > [LDAP] を選択して設定できます。
ISE は、これらのグループおよび属性を使用してサブジェクトを許可できます。
Cisco Identity Services Engine ユーザ ガイド リリース 1.1.1
OL-26134-01-J
5-21
第5章
外部 ID ソースの管理
LDAP
ユーザの認証または LDAP ID ソースの問い合わせを行うために、ISE は LDAP サーバに接続し、接続
プールを保持します。「LDAP 接続管理」(P.5-21)を参照してください。
バインディング エラー
LDAP サーバがバインディング(認証)エラーを返す理由で考えられるのは、次のとおりです。
• パラメータ エラー:無効なパラメータが入力された
• ユーザ アカウントが制限されている(無効、ロックアウト、期限切れ、パスワード期限切れなど)
外部リソース エラーとして次のエラーがロギングされ、LDAP サーバで考えられる問題が示されます。
• 接続エラーが発生した
• タイムアウトが期限切れになった
• サーバがダウンしている
• サーバがメモリ不足である
未知ユーザ エラーとして次のエラーがロギングされます。
• データベースにユーザが存在しない
無効パスワード エラーとして次のエラーがロギングされます。ユーザは存在しますが、送信されたパ
スワードが無効です。
• 無効なパスワードが入力された
ユーザ ルックアップ
ISE では、LDAP サーバによるユーザ ルックアップ機能がサポートされます。この機能を使用すると、
認証なしで LDAP データベース内のユーザを検索し、情報を取得できます。ユーザ ルックアップ プロ
セスには次のアクションが含まれます。
• 要求内のユーザ名と一致するエントリの LDAP サーバを検索する
• ポリシーで使用するために、ユーザのグループ メンバーシップ情報を取得する
• ポリシーおよび許可プロファイルで使用するために指定した属性の値を取得する
MAC アドレス ルックアップ
ISE では、MAC アドレス ルックアップ機能がサポートされます。この機能を使用すると、認証なしで
LDAP データベース内の MAC アドレスを検索し、情報を取得できます。MAC アドレス ルックアップ
プロセスには次のアクションが含まれます。
• デバイスの MAC アドレスと一致するエントリの LDAP サーバを検索する
• ポリシーで使用するために、デバイスのグループ情報を取得する
• ポリシーで使用するために指定した属性の値を取得する
グループ メンバーシップ情報の取得
ユーザ認証、ユーザ ルックアップ、および MAC アドレス ルックアップのために、ISE は LDAP デー
タベースからグループ メンバーシップ情報を取得する必要があります。LDAP サーバは、サブジェク
ト(ユーザまたはホスト)とグループ間の関連付けを次の 2 つの方法のいずれかで表します。
• グループがサブジェクトを参照:グループ オブジェクトには、サブジェクトを指定する属性が含
まれています。サブジェクトの識別子は、次のものとしてグループに供給できます。
– 識別名
Cisco Identity Services Engine ユーザ ガイド リリース 1.1.1
5-22
OL-26134-01-J
第5章
外部 ID ソースの管理
LDAP
– プレーン ユーザ名
• サブジェクトがグループを参照:サブジェクト オブジェクトには、所属するグループを指定する
属性が含まれています。
LDAP ID ソースには、グループ メンバーシップ情報の取得のために次のパラメータが含まれていま
す。
• [ 参照方向(Reference Direction)]:このパラメータは、グループ メンバーシップを決定するとき
に使用する方法を指定します(グループからサブジェクトへまたはサブジェクトからグループへ)。
• [ グループ マップ属性(Group Map Attribute)]:このパラメータは、グループ メンバーシップ情
報を含む属性を示します。
• [ グループ オブジェクト クラス(Group Object Class)]:このパラメータは、特定のオブジェクト
がグループとして認識されることを決定します。
• [ グループ検索サブツリー(Group Search Subtree)]:このパラメータは、グループ検索の検索
ベースを示します。
• [ メンバー タイプ オプション(Member Type Option)]:このパラメータは、グループ メンバー属
性にメンバーが供給される方法を指定します(DN として、またはプレーン ユーザ名として)。
属性取得
ユーザ認証、ユーザ ルックアップ、および MAC アドレス ルックアップのために、ISE は LDAP デー
タベースからサブジェクト属性を取得する必要があります。LDAP ID ソースのインスタンスごとに、
ID ソース ディクショナリが作成されます。これらのディレクトリでは、次のデータ型の属性がサポー
トされています。
• 文字列
• 符号なし 32 ビット整数
• IPv4 アドレス
符号なし整数および IPv4 属性の場合、ISE は取得した文字列を対応するデータ型に変換します。変換
が失敗した場合、または属性に対して値が取得されなかった場合、ISE ではデバッグ メッセージをロ
ギングしますが、認証およびルックアップ プロセスは失敗しません。
変換が失敗した場合、または ISE で属性に対して値が取得されなかった場合、ISE が使用できる属性の
デフォルト値を任意で設定できます。
証明書取得
ユーザ ルックアップの一部として証明書取得を設定した場合、ISE は証明書属性の値を LDAP から取
得する必要があります。証明書属性の値を LDAP から取得するには、LDAP ID ソースの設定時に、ア
クセスする属性のリストで証明書属性をあらかじめ設定しておく必要があります。
LDAP ID ソースの追加方法については、「LDAP ID ソースの追加または編集」(P.5-23)を参照してく
ださい。
LDAP ID ソースの追加または編集
前提条件:
• 各 ISE 管理者アカウントには、1 つまたは複数の管理ロールが割り当てられています。次の手順で
説明されている操作を実行するには、スーパー管理者またはシステム管理者のいずれかのロールを
割り当てられている必要があります。さまざまな管理ロールの詳細と、各ロールに関連付けられて
いる権限については、「Cisco ISE 管理者グループのロールおよび役割」を参照してください。
Cisco Identity Services Engine ユーザ ガイド リリース 1.1.1
OL-26134-01-J
5-23
第5章
外部 ID ソースの管理
LDAP
• ISE では、常にプライマリ LDAP サーバを使用して、認証ポリシーで使用するグループと属性が
ユーザ インターフェイスから取得されます。このため、プライマリ LDAP サーバはこれらの項目
を設定するときに到達可能である必要があります。
LDAP ID ソースを作成するには、次の手順を実行します。
ステップ 1
[ 管理(Administration)] > [ID の管理(Identity Management)] > [ 外部 ID ソース(External Identity
Sources)] を選択します。
ステップ 2
左側の [ 外部 ID ソース(External Identity Sources)] ナビゲーション ペインで、[LDAP] をクリック
します。
ステップ 3
[ 追加(ADD)] をクリックして LDAP ID ソースを追加するか、LDAP ID ソースの隣のチェックボッ
クスをオンにし、[ 編集(Edit)] または [ 複製(Duplicate)] をクリックして既存の LDAP ID ソース
を編集または複製します。
ステップ 4
図 5-10 に示すようなページが表示されます。
図 5-10
[LDAP] の [ 一般(General)] タブ
ステップ 5
表 5-2 に説明されているように値を入力します。
ステップ 6
[ 送信(Submit)] をクリックして、LDAP インスタンスを作成します。
Cisco Identity Services Engine ユーザ ガイド リリース 1.1.1
5-24
OL-26134-01-J
第5章
外部 ID ソースの管理
LDAP
LDAP の一般情報
表 5-2 に、[LDAP] の [ 一般(General)] タブのフィールドとその説明を示します。
表 5-2
[LDAP] の [ 一般(General)] タブ
オプション
名前(Name)
説明
(必須)この値は、サブジェクト DN および属性を取得するための検索で
使用されます。この値は string 型で、最大長は 64 文字です。
説明(Description)
この説明は任意です。string 型で、最大長は 1024 文字です。
スキーマ(Schema)
次のいずれかの組み込みスキーマ タイプを選択した場合、スキーマの詳細
が事前に読み込まれ、表示されません。
• Active Directory
• Sun Directory Server
• Novell eDirectory
(注)
事前定義されたスキーマの詳細を編集できますが、ISE によって変
更が検出され、[ スキーマ(Schema)] のラベルが [ カスタム
(Custom)] に変更されます。[ スキーマ(Schema)] の隣の矢印
をクリックすると、スキーマの詳細を表示できます。
次のフィールドにはスキーマの詳細が含まれ、[ カスタム(Custom)] スキーマを選択した場合にのみ表示され
ます。
サブジェクト オブジェ (必須)この値は、サブジェクト DN および属性を取得するための検索で
クト クラス(Subject
使用されます。この値は string 型で、最大長は 256 文字です。
Objectclass)
サブジェクト名属性
(Subject Name
Attribute)
(必須)このフィールドは、要求からのユーザ名を含む属性の名前です。
この値は string 型で、最大長は 256 文字です。
証明書定義を含む属性を入力します。これらの定義を任意で使用して、ク
証明書属性
(Certificate Attribute) ライアントによって提示された証明書を(それらが証明書認証プロファイ
ルの一部として定義されている場合に)検証できます。その場合、クライ
アント証明書と LDAP ID ソースから取得された証明書の間でバイナリ比
較が実行されます。
グループ オブジェクト (必須)この値は、検索において、グループとして認識されるオブジェク
トを指定するために使用されます。この値は string 型で、最大長は 256 文
クラス(Group
字です。
Objectclass)
(必須)このフィールドでは、マッピング情報を含む属性を指定します。
グループ マップ属性
(Group Map Attribute) この属性は、選択した参照方向に基づいて、ユーザまたはグループ属性を
指定できます。
サブジェクト オブジェ
クトにグループへの参
照が含まれる(Subject
所属するグループを指定する属性がサブジェクト オブジェクトに含まれて
いる場合は、このオプション ボタンをクリックします。
Objects Contain
Reference To Groups)
Cisco Identity Services Engine ユーザ ガイド リリース 1.1.1
OL-26134-01-J
5-25
第5章
外部 ID ソースの管理
LDAP
表 5-2
[LDAP] の [ 一般(General)] タブ (続き)
オプション
説明
グループ オブジェクト
にサブジェクトへの参
照が含まれる(Group
サブジェクトを指定する属性がグループ オブジェクトに含まれている場合
は、このオプション ボタンをクリックします。この値はデフォルト値で
す。
Objects Contain
Reference To Subjects)
このオプションは、[ グループ オブジェクトにサブジェクトへの参照が含
まれる(Group Objects Contain Reference To Subjects)] オプション ボタ
ンを有効にした場合にのみ使用できます。このオプションでは、メンバー
Groups Are Stored In
がグループ メンバー属性に供給される方法を指定します。デフォルトは
Member Attribute As) DN です。
グループ内のサブジェ
クトをメンバー属性に
保存(Subjects In
LDAP インスタンスを編集して、次のタスクを実行できます。
• 「LDAP の接続設定値の設定」(P.5-26)
• 「ディレクトリ構成値の設定」(P.5-29)
• 「LDAP グループの追加」(P.5-31)
• 「LDAP 属性の選択」(P.5-32)
LDAP の接続設定値の設定
LDAP サーバに接続するには、次の手順を実行します。
ステップ 1
[ 管理(Administration)] > [ID の管理(Identity Management)] > [ 外部 ID ソース(External Identity
Sources)] を選択します。
ステップ 2
左側の [ 外部 ID ソース(External Identity Sources)] ナビゲーション ペインで、[LDAP] をクリック
します。
[LDAP] ページが表示されます。
ステップ 3
編集する LDAP インスタンスの隣にあるチェックボックスをオンにし、[ 編集(Edit)] をクリックし
ます。
ステップ 4
[ 接続(Connection)] タブをクリックして、プライマリおよびセカンダリ サーバを設定します。
図 5-11 に示すようなページが表示されます。
Cisco Identity Services Engine ユーザ ガイド リリース 1.1.1
5-26
OL-26134-01-J
第5章
外部 ID ソースの管理
LDAP
図 5-11
[LDAP] の [ 接続(Connection)] タブ
ステップ 5
表 5-3 に説明されているように値を入力します。
ステップ 6
[ 送信(Submit)] をクリックして接続パラメータを保存します。
LDAP の接続設定
表 5-3 に、[LDAP] の [ 接続(Connection)] タブのフィールドとその説明を示します。
表 5-3
[LDAP] の [ 接続(Connection)] タブ
オプション
説明
セカンダリ サーバの
有効化(Enable
Secondary Server)
プライマリ LDAP サーバに障害が発生した場合にバックアップとして使用
するセカンダリ LDAP サーバを有効にする場合は、このオプションをオン
にします。このチェックボックスをオンにする場合は、セカンダリ LDAP
サーバの設定パラメータを入力する必要があります。
プライマリ サーバとセカンダリ サーバ
ホスト名 /IP
(Hostname/IP)
(必須)LDAP ソフトウェアを実行しているマシンの IP アドレスまたは
DNS 名を入力します。ホスト名は 1 ~ 256 文字か、または文字列として表
される有効な IP アドレスです。ホスト名の有効な文字は、英数字(a ~ z、
A ~ Z、0 ~ 9)、ドット(.)、およびハイフン(-)だけです。
ポート(Port)
(必須)LDAP サーバが受信している TCP/IP ポート番号を入力します。有
効な値は 1 ~ 65,535 です。デフォルトは、LDAP 仕様の記述に従って 389
です。ポート番号が不明な場合は、LDAP サーバの管理者からポート番号を
取得できます。
Cisco Identity Services Engine ユーザ ガイド リリース 1.1.1
OL-26134-01-J
5-27
第5章
外部 ID ソースの管理
LDAP
表 5-3
[LDAP] の [ 接続(Connection)] タブ (続き)
オプション
アクセス(Access)
説明
(必須)[ 匿名アクセス(Anonymous Access)]:LDAP ディレクトリの検索
が匿名で行われるようにする場合にクリックします。サーバではクライアン
トが区別されず、認証されていないクライアントに対してアクセス可能に設
定されているデータへの、クライアント読み取りアクセスが許可されます。
認証情報をサーバに送信することを許可する特定のポリシーがない場合、ク
ライアントは匿名接続を使用する必要があります。
[ 認証されたアクセス(Authenticated Access)]:LDAP ディレクトリの検
索が管理クレデンシャルによって行われるようにする場合にクリックしま
す。その場合、[ 管理者 DN(Admin DN)] および [ パスワード(Password)
] フィールドの情報を入力します。
管理者 DN(Admin
DN)
管理者の DN を入力します。管理者 DN は、ユーザ ディレクトリ サブツ
リー内の必要なすべてのユーザの検索が許可され、グループの検索が許可さ
れている LDAP アカウントです。指定した管理者に対して、検索でのグ
ループ名属性の表示が許可されていない場合、LDAP で認証されたユーザの
グループ マッピングは失敗します。
パスワード
(Password)
LDAP 管理者アカウントのパスワードを入力します。
セキュアな認証
(Secure
Authentication)
SSL を使用して ISE とプライマリ LDAP サーバ間の通信を暗号化する場合
にクリックします。[ ポート(Port)] フィールドに LDAP サーバでの SSL
に使用されるポート番号が入力されていることを確認します。このオプショ
ンを有効にした場合は、ルート CA を選択する必要があります。
ルート CA(Root
CA)
ドロップダウン リスト ボックスから信頼できるルート認証局を選択して、
証明書による安全な認証を有効にします。
CA 証明書の詳細については、「認証局証明書」(P.13-17)および「認証局証
明書の追加」(P.13-19)を参照してください。
サーバ タイムアウト
(Server Timeout)
プライマリ LDAP サーバでの接続または認証が失敗したと判断する前に ISE
がプライマリ LDAP サーバからの応答を待つ秒数を入力します。有効な値
は 1 ~ 300 です。デフォルトは 10 です。
特定の LDAP 設定に対して実行できる LDAP 管理者アカウント権限での同
最大管理接続(Max.
Admin Connections) 時接続の最大数(0 より大きい数)を入力します。これらの接続は、ユーザ
ディレクトリ サブツリーおよびグループ ディレクトリ サブツリーの下にあ
るユーザおよびグループのディレクトリの検索に使用されます。有効な値は
1 ~ 99 です。デフォルトは 20 です。
サーバへのバインドを LDAP サーバの詳細およびクレデンシャルが正常にバインドできることをテ
テスト(Test Bind To ストおよび確認する場合にクリックします。テストが失敗した場合は、
Server)
LDAP サーバの詳細を編集して再テストします。
Cisco Identity Services Engine ユーザ ガイド リリース 1.1.1
5-28
OL-26134-01-J
第5章
外部 ID ソースの管理
LDAP
ディレクトリ構成値の設定
ディレクトリ構成値を設定するには、次の手順を実行します。
(注)
LDAP ID ソースでは、次の 3 つの検索が適用されます。
• 管理のためのグループ サブツリーのすべてのグループの検索
• ユーザを特定するためのサブジェクト サブツリーのユーザの検索
• ユーザが所属するグループの検索
ステップ 1
[ 管理(Administration)] > [ID の管理(Identity Management)] > [ 外部 ID ソース(External Identity
Sources)] を選択します。
ステップ 2
左側の [ 外部 ID ソース(External Identity Sources)] ナビゲーション ペインで、[LDAP] をクリック
します。
[LDAP] ページが表示されます。
ステップ 3
編集する LDAP インスタンスの隣にあるチェックボックスをオンにし、[ 編集(Edit)] をクリックし
ます。
ステップ 4
[ ディレクトリ構成(Directory Organization)] タブをクリックします。
図 5-12 に示すような画面が表示されます。
図 5-12
ステップ 5
[LDAP] の [ ディレクトリ構成(Directory Organization)] タブ
表 5-4 に説明されているように値を入力します。
Cisco Identity Services Engine ユーザ ガイド リリース 1.1.1
OL-26134-01-J
5-29
第5章
外部 ID ソースの管理
LDAP
ステップ 6
設定を保存するには、[ 送信(Submit)] をクリックします。
[LDAP] の [ ディレクトリ構成(Directory Organization)] タブ
表 5-4 に、[LDAP] の [ ディレクトリ構成(Directory Organization)] タブのフィールドとその説明を
示します。
表 5-4
[LDAP] の [ ディレクトリ構成(Directory Organization)] タブ
オプション
サブジェクト検索
ベース(Subject
Search Base)
説明
(必須)すべてのサブジェクトを含むサブツリーの DN を入力します。次に例
を示します。
o=corporation.com
サブジェクトを含むツリーがベース DN である場合は、LDAP 設定に応じて
o=corporation.com
または
dc=corporation,dc=com
と入力します。詳細については、LDAP データベースに関するドキュメント
を参照してください。
グループ検索ベース (必須)すべてのグループを含むサブツリーの DN を入力します。次に例を示
(Group Search Base) します。
ou = 組織ユニット、ou = 次の組織ユニット、o = corporation.com
グループを含むツリーがベース DN である場合は、LDAP 設定に応じて
o=corporation.com
または
dc=corporation,dc=com
と入力します。詳細については、LDAP データベースに関するドキュメント
を参照してください。
形式での MAC アド
レスの検索(Search
for MAC Address in
Format)
内部 ID ソースの MAC アドレスは、xx-xx-xx-xx-xx-xx の形式で供給されま
す。LDAP データベースの MAC アドレスは、異なる形式で供給できます。
ただし、ISE でホスト ルックアップ要求が受信されると、MAC アドレスは
ISE によって内部形式からこのフィールドで指定した形式に変換されます。
ドロップダウン リストを使用して、特定の形式での MAC アドレスの検索を
有効にします。<format> は次のいずれかです。
• xxxx.xxxx.xxxx
• xxxxxxxxxxxx
• xx-xx-xx-xx-xx-xx
• xx:xx:xx:xx:xx:xx
選択する形式は、LDAP サーバに供給されている MAC アドレスの形式と一
致している必要があります。
Cisco Identity Services Engine ユーザ ガイド リリース 1.1.1
5-30
OL-26134-01-J
第5章
外部 ID ソースの管理
LDAP
表 5-4
[LDAP] の [ ディレクトリ構成(Directory Organization)] タブ (続き)
オプション
説明
サブジェクト名の先
頭から最後に出現す
る区切り文字まで削
除(Strip start of
ユーザ名からドメイン プレフィックスを削除するために適切なテキストを入
力します。
ユーザ名の中で、このフィールドに指定した区切り文字が ISE で検出される
と、そのユーザ名の初めから区切り文字までのすべての文字が削除されます。
subject name up to
ユーザ名に、<start_string> ボックスに指定した文字が複数含まれている場合
the last occurrence of
は、ISE によって最後の区切り文字までの文字が削除されます。たとえば、区
the separator)
切り文字がバックスラッシュ(\)で、ユーザ名が DOMAIN\user1 である場
合、ISE によって user1 が LDAP サーバに送信されます。
(注)
最初に出現する区切
り文字からサブジェ
クト名の末尾まで削
除(Strip end of
subject name from
the first occurrence
of the separator)
<start_string> ボックスには、特殊文字であるシャープ記号(#)、疑
問符(?)、引用符(")、アスタリスク(*)、右山カッコ(>)、および
左山カッコ(<)を入力できません。ISE では、ユーザ名にこれらの
文字を使用できません。これらの文字のいずれかを入力すると、スト
リッピングが失敗します。
ユーザ名からドメイン サフィックスを削除するために適切なテキストを入力
します。
ユーザ名の中で、このフィールドに指定した区切り文字が ISE で検出される
と、その区切り文字からユーザ名の末尾までのすべての文字が削除されます。
ユーザ名に、このフィールドに指定した文字が複数含まれている場合は、ISE
によって最初の区切り文字から文字が削除されます。たとえば、区切り文字
がアットマーク(@)で、ユーザ名が user1@domain である場合、ISE に
よって user1 が LDAP サーバに送信されます。
(注)
<end_string> ボックスには、特殊文字であるシャープ記号(#)、疑
問符(?)、引用符(")、アスタリスク(*)、右山カッコ(>)、および
左山カッコ(<)を入力できません。ISE では、ユーザ名にこれらの
文字を使用できません。これらの文字のいずれかを入力すると、スト
リッピングが失敗します。
LDAP グループの追加
LDAP グループを追加するには、次の手順を実行します。
ステップ 1
[ 管理(Administration)] > [ID の管理(Identity Management)] > [ 外部 ID ソース(External Identity
Sources)] を選択します。
ステップ 2
左側の [ 外部 ID ソース(External Identity Sources)] ナビゲーション ペインで、[LDAP] をクリック
します。
[LDAP] ページが表示されます。
ステップ 3
編集する LDAP インスタンスの隣にあるチェックボックスをオンにし、[ 編集(Edit)] をクリックし
ます。
ステップ 4
[ グループ(Groups)] タブをクリックします。
[ グループ(Groups)] ページが表示されます。
ステップ 5
ステップ 6
[ 追加(Add)] > [ グループの追加(Add Group)] を選択して新しいグループを追加するか、[ 追加
(Add)] > [ ディレクトリからグループを選択(Select Groups From Directory )] を選択して LDAP
ディレクトリからグループを選択します。
グループの追加を選択した場合は、新しいグループの名前を入力します。
Cisco Identity Services Engine ユーザ ガイド リリース 1.1.1
OL-26134-01-J
5-31
第5章
外部 ID ソースの管理
LDAP
ステップ 7
ディレクトリから選択する場合は、フィルタ基準を入力し、[ グループの取得(Retrieve Groups)] を
クリックします。検索条件には、アスタリスク(*)ワイルドカード文字を含めることができます。
図 5-13 に示すような画面が表示されます。
図 5-13
ステップ 8
LDAP のグループ選択ページ
選択するグループの隣にあるチェックボックスをオンにし、[OK] をクリックします。
選択したグループが [ グループ(Groups)] ページに表示されます。
ステップ 9
グループ選択を保存するには、[ 送信(Submit)] をクリックします。
LDAP 属性の選択
LDAP 属性を選択するには、次の手順を実行します。
ステップ 1
[ 管理(Administration)] > [ID の管理(Identity Management)] > [ 外部 ID ソース(External Identity
Sources)] を選択します。
ステップ 2
左側の [ 外部 ID ソース(External Identity Sources)] ナビゲーション ペインで、[LDAP] をクリック
します。
[LDAP] ページが表示されます。
ステップ 3
編集する LDAP インスタンスの隣にあるチェックボックスをオンにし、[ 編集(Edit)] をクリックし
ます。
ステップ 4
[ 属性(Attributes)] タブをクリックします。
[ 属性(Attributes)] ページが表示されます。
Cisco Identity Services Engine ユーザ ガイド リリース 1.1.1
5-32
OL-26134-01-J
第5章
外部 ID ソースの管理
LDAP
ステップ 5
[ 追加(Add)] > [ 属性の追加(Add Attribute)] を選択して新しい属性を追加するか、[ 追加(Add)]
> [ ディレクトリから属性を選択(Select Attributes From Directory)] を選択して LDAP サーバから属
性を選択します。
ステップ 6
属性を追加する場合は、新しい属性の名前を入力します。
ステップ 7
ディレクトリから選択するオプションを選択した場合は、[ ディレクトリ属性の選択(Select Directory
Attributes)] ページが表示されます。サンプル ユーザを入力し、[ 属性の取得(Retrieve Attributes)]
をクリックしてユーザの属性を取得します。アスタリスク(*)ワイルドカード文字を使用できます。
ステップ 8
図 5-14 に示すような画面が表示されます。
図 5-14
ステップ 9
[ ディレクトリ属性の選択(Select Directory Attributes)] ページ
選択する属性の隣にあるチェックボックスをオンにし、[OK] をクリックします。
選択した属性が [ 属性(Attributes)] ページに表示されます。
ステップ 10
属性選択を保存するには、[ 送信(Submit)] をクリックします。
次の手順:
1. 認証ポリシーの作成方法については、第 16 章「認証ポリシーの管理」を参照してください。
2. 許可プロファイルおよびポリシーの作成方法については、第 17 章「許可ポリシーおよびプロファ
イルの管理」を参照してください。
Cisco Identity Services Engine ユーザ ガイド リリース 1.1.1
OL-26134-01-J
5-33
第5章
外部 ID ソースの管理
RADIUS トークン ID ソース
RADIUS トークン ID ソース
RADIUS プロトコルをサポートし、ユーザおよびデバイスに認証、許可、アカウンティング(AAA)
サービスを提供するサーバは、RADIUS サーバと呼ばれます。RADIUS ID ソースは、サブジェクトと
そのクレデンシャルの集合を含み、通信に RADIUS プロトコルを使用する外部 ID ソースです。たと
えば、Safeword トークン サーバは、複数のユーザおよびそのクレデンシャルをワンタイム パスワード
として含めることができる ID ソースであり、Safeword トークン サーバによって提供されるインター
フェイスでは、RADIUS プロトコルを使用して問い合わせることができます。
ISE では、RADIUS RFC 2865 準拠のいずれかのサーバが外部 ID ソースとしてサポートされています。
ISE では、複数の RADIUS トークン サーバ ID がサポートされています。たとえば、RSA SecurID
サーバや SafeWord サーバなどです。RADIUS ID ソースは、ユーザを認証するために使用される任意
の RADIUS トークン サーバと連携できます。RADIUS ID ソースでは、認証セッションにユーザ デー
タグラム プロトコル(UDP)ポートが使用されます。すべての RADIUS 通信に同じ UDP ポートが使
用されます。
ISE で RADIUS メッセージを RADIUS 対応サーバに正常に送信するには、RADIUS 対応サーバと ISE
の間のゲートウェイ デバイスが、UDP ポートを介した通信を許可するように設定されている必要があ
ります。UDP ポートは、ISE インターフェイスを介して設定できます。
この項では、次のトピックを扱います。
• 「ISE と RADIUS ID ソースの統合の主要機能」(P.5-34)
• 「RADIUS トークン サーバの追加または編集」(P.5-37)
ISE と RADIUS ID ソースの統合の主要機能
サポートされる認証プロトコル
ISE では、RADIUS ID ソースに対して次の認証プロトコルがサポートされています。
• RADIUS PAP
• 内部 EAP-GTC を含む PEAP
• 内部 EAP-GTC を含む EAP-FAST
制約
RADIUS ID トークン サーバでは、認証セッションに UDP ポートが使用されます。このポートはすべ
ての RADIUS 通信に使用されます。ISE で RADIUS ワンタイム パスワード(OTP)メッセージを
RADIUS 対応トークン サーバに送信するには、ISE と RADIUS 対応トークン サーバの間のゲート
ウェイ デバイスが、UDP ポートを介した通信を許可するように設定されている必要があります。
RADIUS 共有秘密
ISE で RADIUS ID ソースを設定するときに、共有秘密を指定する必要があります。この共有秘密情報
は、RADIUS トークン サーバ上で設定されている共有秘密情報と同一である必要があります。
フェールオーバー
ISE では、複数の RADIUS ID ソースを設定できます。各 RADIUS ID ソースには、プライマリとセカ
ンダリの RADIUS サーバを指定できます。ISE からプライマリ サーバに接続できない場合は、セカン
ダリ サーバが使用されます。
Cisco Identity Services Engine ユーザ ガイド リリース 1.1.1
5-34
OL-26134-01-J
第5章
外部 ID ソースの管理
RADIUS トークン ID ソース
パスワード プロンプト
RADIUS ID ソースでは、パスワード プロンプトを設定できます。パスワード プロンプトは、ISE ユー
ザ インターフェイスを介して設定できます。
ユーザ認証
ISE は、ユーザ クレデンシャル(ユーザ名とパスコード)を取得し、RADIUS トークン サーバに渡し
ます。また、ISE は RADIUS トークン サーバ認証処理の結果をユーザに中継します。
ユーザ属性キャッシュ
RADIUS トークン サーバでは、デフォルトではユーザ ルックアップはサポートされていません。ただ
し、ユーザ ルックアップは次の ISE 機能に不可欠です。
• PEAP セッション再開:この機能によって、認証の成功後、EAP セッションの確立中に PEAP
セッションを再開できます。
• EAP/FAST 高速再接続:この機能によって、認証の成功後、EAP セッションの確立中に高速再接
続が可能になります。
ISE では、これらの機能のユーザ ルックアップ要求を処理するために、成功した認証の結果がキャッ
シュされます。成功した認証すべてについて、認証されたユーザの名前と取得された属性がキャッシュ
されます。失敗した認証はキャッシュに書き込まれません。
キャッシュは、実行時にメモリで使用可能であり、分散展開の ISE ノード間で複製されません。ISE
ユーザ インターフェイスを介してキャッシュの存続可能時間(TTL)制限を設定できます。ID キャッ
シング オプションを有効にし、エージング タイムを分単位で設定する必要があります。指定した時間、
キャッシュはメモリで使用可能です。
ID 順序での RADIUS ID ソース
ID ソース順序で認証順序用の RADIUS ID ソースを追加できます。ただし、属性取得順序用の
RADIUS ID ソースを追加することはできません。これは、認証しないで RADIUS ID ソースを問い合
わせることはできないためです。ISE では、RADIUS サーバによる認証中に、異なるエラー状況を区
別できません。すべてのエラー状況に対して RADIUS サーバから Access-Reject メッセージが返され
ます。たとえば、RADIUS サーバでユーザが見つからない場合、RADIUS サーバからは User
Unknown ステータスの代わりに Access-Reject メッセージが返されます。ただし、ISE ユーザ イン
ターフェイスの RADIUS ID ソースのページで使用できる [ 拒否を認証失敗またはユーザが見つからな
いとして処理(Treat Rejects as Authentication Failed or User Not Found)] オプションを有効にするこ
とができます。
認証失敗メッセージ
RADIUS サーバでユーザが見つからない場合、RADIUS サーバからは Access-Reject メッセージが返
されます。ISE には、ISE ユーザ インターフェイスを使用して、このメッセージを、認証失敗か、また
はユーザが見つからないとして設定するオプションがあります。ただし、このオプションを使用する
と、ユーザが未知の状況だけでなく、すべての失敗状況に対して「ユーザが見つからない(User Not
Found)」メッセージが返されます。
表 5-5 に、RADIUS ID サーバで発生するさまざまな失敗状況を示します。
Cisco Identity Services Engine ユーザ ガイド リリース 1.1.1
OL-26134-01-J
5-35
第5章
外部 ID ソースの管理
RADIUS トークン ID ソース
表 5-5
エラー処理
認証失敗の原因
認証に失敗
失敗状況
• ユーザが未知である。
• ユーザが不正なパスコードでログインしよう
としている。
• ユーザ ログイン時間が期限切れになった。
プロセスの失敗
• RADIUS サーバが ISE で正しく設定されて
いない。
• RADIUS サーバが使用できない。
• RADIUS パケットが偽装として検出されて
いる。
• RADIUS サーバとのパケットの送受信の問
題。
• タイムアウト。
未知ユーザ
認証が失敗し、[ 拒否で失敗(Fail on Reject)]
オプションが false に設定されている。
SafeWord サーバでのユーザ名の特殊フォーマット
SafeWord トークン サーバでは、次のユーザ名フォーマットでの認証がサポートされています。
ユーザ名:Username, OTP
ISE では、認証要求を受信するとすぐにユーザ名が解析され、次のユーザ名に変換されます。
ユーザ名:Username
Safeword トークン サーバでは、これらの両方のフォーマットがサポートされています。ISE はさまざ
まなトークン サーバと連携します。SafeWord サーバを設定する場合、ISE でユーザ名を解析して指定
のフォーマットに変換するには、ISE ユーザ インターフェイスで [SafeWord サーバ(SafeWord
Server)] チェックボックスをオンにする必要があります。この変換は、要求が RADIUS トークン
サーバに送信される前に、RADIUS トークン サーバ ID ソースで実行されます。
認証要求および応答
ISE が RADIUS 対応トークン サーバに認証要求を転送する場合、RADIUS 認証要求には次の属性が含
まれます。
• User-Name(RADIUS 属性 1)
• User-Password(RADIUS 属性 2)
• NAS-IP-Address(RADIUS 属性 4)
ISE では、次のいずれかの受信を要求します。
• Access-Accept:属性は必要ありませんが、応答には RADIUS トークン サーバの設定に基づいて
さまざまな属性が含まれる場合があります。
• Access-Reject:属性は必要ありません。
• Access-Challenge:RADIUS RFC ごとに必要な属性は次のとおりです。
– State(RADIUS 属性 24)
Cisco Identity Services Engine ユーザ ガイド リリース 1.1.1
5-36
OL-26134-01-J
第5章
外部 ID ソースの管理
RADIUS トークン ID ソース
– Reply-Message(RADIUS 属性 18)
– 次の 1 つ以上の属性:Vendor-Specific、Idle-Timeout(RADIUS 属性 28)、Session-Timeout
(RADIUS 属性 27 )、Proxy-State(RADIUS 属性 33)
Access-Challenge ではそれ以外の属性は使用できません。
RADIUS トークン サーバの追加方法については、「RADIUS トークン サーバの追加または編集」
(P.5-37)を参照してください。
RADIUS トークン サーバの削除方法については、「RADIUS トークン サーバの削除」(P.5-40)を参照
してください。
RADIUS トークン サーバの追加または編集
前提条件:
各 ISE 管理者アカウントには、1 つまたは複数の管理ロールが割り当てられています。次の手順で説明
されている操作を実行するには、スーパー管理者またはシステム管理者のいずれかのロールを割り当て
られている必要があります。さまざまな管理ロールの詳細と、各ロールに関連付けられている権限につ
いては、「Cisco ISE 管理者グループのロールおよび役割」を参照してください。
RADIUS ID ソースを作成または編集するには、次の手順を実行します。
ステップ 1
[ 管理(Administration)] > [ID の管理(Identity Management)] > [ 外部 ID ソース(External Identity
Sources)] を選択します。
ステップ 2
左側の [ 外部 ID ソース(External Identity Sources)] ナビゲーション ペインで、[RADIUS トークン
(RADIUS Token)] をクリックします。
[RADIUS トークン ID ソース(RADIUS Token Identity Sources)] ページが表示されます。
ステップ 3
[ 追加(ADD)] をクリックして新しい RADIUS ID ソースを追加するか、編集する RADIUS トークン
サーバの隣のチェックボックスをオンにして [ 編集(Edit)] をクリックするか、[ 複製(Duplicate)]
をクリックして RADIUS トークン サーバ定義の複製を作成します。
図 5-15 に示すような画面が表示されます。
Cisco Identity Services Engine ユーザ ガイド リリース 1.1.1
OL-26134-01-J
5-37
第5章
外部 ID ソースの管理
RADIUS トークン ID ソース
図 5-15
ステップ 4
RADIUS トークン サーバのプロンプト タブ
[ 一般(General)] および [ 接続(Connection)] タブで、表 5-6 に示されているように値を入力しま
す。
ステップ 5
[ 認証(Authentication)] タブをクリックします。
このタブでは、RADIUS トークン サーバからの Access-Reject メッセージへの応答を制御できます。
この応答は、クレデンシャルが無効であること、またはユーザが不明であることのいずれかを意味する
場合があります。ISE は、認証失敗か、またはユーザが見つからないかのいずれかの応答を受け入れま
す。このタブでは、ID キャッシングを有効にし、キャッシュのエージング タイムを設定することもで
きます。パスワードを要求するプロンプトを設定することもできます。
ステップ 6
次のことを選択します。
• RADIUS トークン サーバからの Access-Reject 応答を認証失敗として処理する場合は、[ 拒否を
「認証失敗」として処理(Treat Rejects as 'authentication failed')] オプション ボタンをクリックし
ます。
• RADIUS トークン サーバからの Access-Reject 応答を未知ユーザ エラーとして処理する場合は、[
拒否を「ユーザが見つからない」として処理(Treat Rejects as 'user not found')] オプション ボタ
ンをクリックします。
• パスワードを要求するプロンプトを入力します。
ステップ 7
[ 許可(Authorization)] タブをクリックします。
このタブでは、ISE への Access-Accept 応答を送信中に RADIUS トークン サーバによって返されるこ
の単一の属性に対して表示される名前を設定できます。この属性は、許可ポリシー条件で使用できま
す。[ 属性名 ACS(Attribute Name ACS)] フィールドに、この属性の名前を入力します。デフォルト
値は CiscoSecure-Group-Id です。
Cisco Identity Services Engine ユーザ ガイド リリース 1.1.1
5-38
OL-26134-01-J
第5章
外部 ID ソースの管理
RADIUS トークン ID ソース
ステップ 8
[ 送信(Submit)] をクリックして RADIUS トークン ID ソースを保存します。
RADIUS トークン サーバの [ 接続(Connections)]
表 5-6 に、RADIUS トークン サーバの [ 接続(Connections)] タブのフィールドとそのデフォルト値
を示します。
表 5-6
RADIUS トークン サーバのプロンプト タブ
オプション
名前(Name)
説明
(必須)このフィールドは、RADIUS トークン サーバの名前
です。許容最大文字数は 64 文字です。
説明(Description)
このフィールドは任意の説明です。最大文字数は 1024 です。
SafeWord サーバ(SafeWord
Server)
RADIUS ID ソースが SafeWord サーバである場合はこの
セカンダリ サーバの有効化(Enable
プライマリに障害が発生した場合にバックアップとして使用
する ISE のセカンダリ RADIUS トークン サーバを有効にする
場合は、このチェックボックスをオンにします。このチェッ
クボックスをオンにする場合は、セカンダリ RADIUS トーク
ン サーバを設定する必要があります。
Secondary Server)
チェックボックスをオンにします。
常にプライマリ サーバに最初にアク ISE が常にプライマリ サーバに最初にアクセスする場合は、
セスする(Always Access Primary
このオプション ボタンをクリックします。
Server First)
経過後にプライマリ サーバにフォー プライマリ サーバに到達できない場合に ISE がセカンダリ
ルバック(Fallback to Primary
RADIUS トークン サーバを使用して認証できる時間(分単
位)を指定する場合は、このオプション ボタンをクリックし
Server after)
ます。この時間を過ぎると、ISE はプライマリ サーバに対す
る認証を再試行します。
プライマリ サーバ(Primary Server)
ホスト名 / アドレス(Host IP)
プライマリ RADIUS トークン サーバの IP アドレスを入力し
ます。このフィールドには、文字列として表される有効な IP
アドレスを入力できます。このフィールドに入力できる有効
な文字は、数値およびドット(.)です。
共有秘密キー(Shared Secret)
この接続のプライマリ RADIUS トークン サーバで設定されて
いる共有秘密を入力します。
認証ポート(Authentication Port)
プライマリ RADIUS トークン サーバが受信しているポート番
号を入力します。有効な値は 1 ~ 65,535 です。デフォルトは
1812 です。
サーバ タイムアウト(Server
プライマリ サーバがダウンしていると判断する前に ISE がプ
ライマリ RADIUS トークン サーバからの応答を待つ時間(秒
単位)を指定します。有効な値は 1 ~ 300 です。デフォルト
は 5 です。
Timeout)
接続試行回数(Connection
Attempts)
セカンダリ サーバ(定義されている場合)に移動する前、ま
たはセカンダリ サーバが定義されていない場合は要求をド
ロップする前に、ISE がプライマリ サーバへの再接続を試行
する回数を指定します。有効な値は 1 ~ 9 です。デフォルト
は 3 です。
Cisco Identity Services Engine ユーザ ガイド リリース 1.1.1
OL-26134-01-J
5-39
第5章
外部 ID ソースの管理
RADIUS トークン ID ソース
表 5-6
RADIUS トークン サーバのプロンプト タブ (続き)
オプション
説明
セカンダリ サーバ(Secondary Server)
ホスト名 / アドレス(Host IP)
セカンダリ RADIUS トークン サーバの IP アドレスを入力し
ます。このフィールドには、文字列として表される有効な IP
アドレスを入力できます。このフィールドに入力できる有効
な文字は、数値およびドット(.)です。
共有秘密キー(Shared Secret)
この接続のセカンダリ RADIUS トークン サーバで設定されて
いる共有秘密を入力します。
認証ポート(Authentication Port)
セカンダリ RADIUS トークン サーバが受信しているポート番
号を入力します。有効な値は 1 ~ 65,535 です。デフォルトは
1812 です。
サーバ タイムアウト(Server
セカンダリ サーバがダウンしていると判断する前に ISE がセ
カンダリ RADIUS トークン サーバからの応答を待つ時間(秒
単位)を指定します。有効な値は 1 ~ 300 です。デフォルト
は 5 です。
Timeout)
接続試行回数(Connection
Attempts)
要求をドロップする前に ISE がセカンダリ サーバへの再接続
を試行する回数を指定します。有効な値は 1 ~ 9 です。デ
フォルトは 3 です。
次の手順:
1. 認証ポリシーの作成方法については、第 16 章「認証ポリシーの管理」を参照してください。
2. 許可プロファイルおよびポリシーの作成方法については、第 17 章「許可ポリシーおよびプロファ
イルの管理」を参照してください。
RADIUS トークン サーバの削除
前提条件:
• 各 ISE 管理者アカウントには、1 つまたは複数の管理ロールが割り当てられています。次の手順で
説明されている操作を実行するには、スーパー管理者またはシステム管理者のいずれかのロールを
割り当てられている必要があります。さまざまな管理ロールの詳細と、各ロールに関連付けられて
いる権限については、「Cisco ISE 管理者グループのロールおよび役割」を参照してください。
• ID ソース順序に含まれる RADIUS トークン サーバを選択していないことを確認します。ID ソー
ス順序に含まれる RADIUS トークン サーバを削除用に選択した場合、削除操作は失敗します。
RADIUS ID ソースを削除するには、次の手順を実行します。
ステップ 1
[ 管理(Administration)] > [ID の管理(Identity Management)] > [ 外部 ID ソース(External Identity
Sources)] を選択します。
ステップ 2
左側の [ 外部 ID ソース(External Identity Sources)] ナビゲーション ペインで、[RADIUS トークン
(RADIUS Token)] をクリックします。
[RADIUS トークン ID ソース(RADIUS Token Identity Sources)] ページが表示され、設定されてい
る RADIUS トークン サーバのリストが示されます。
ステップ 3
削除する RADIUS トークン サーバの隣にあるチェックボックスをオンにし、[ 削除(Delete)] をク
リックします。
Cisco Identity Services Engine ユーザ ガイド リリース 1.1.1
5-40
OL-26134-01-J
第5章
外部 ID ソースの管理
RSA ID ソース
ISE によって次のメッセージが表示されます。
削除してもよろしいですか ?(Are you sure you want to delete? )
ステップ 4
[OK] をクリックして、選択した RADIUS トークン サーバを削除します。
(注)
削除する RADIUS トークン サーバを複数選択し、その 1 つが ID ソース順序で使用されている
場合、削除操作は失敗し、いずれの RADIUS トークン サーバも削除されません。
RSA ID ソース
ISE では、外部データベースとして RSA SecurID サーバがサポートされています。RSA SecurID の 2
要素認証は、ユーザの PIN と、タイム コード アルゴリズムに基づいて使い捨てのトークン コードを生
成する個別に登録された RSA SecurID トークンで構成されます。異なるトークン コードが固定間隔
(通常は 30 または 60 秒ごと)で生成されます。RSA SecurID サーバでは、この動的な認証コードが検
証されます。各 RSA SecurID トークンは固有であり、過去のトークンに基づいて将来のトークンの値
を予測することはできません。そのため、正しいトークン コードが PIN とともに提示された場合、そ
の人が有効なユーザである確実性が高くなります。したがって、RSA SecurID サーバでは、従来の再
利用可能なパスワードよりも信頼性の高い認証メカニズムが提供されます。
ISE では、次の RSA ID ソースがサポートされています。
• RSA ACE/Server 6.x シリーズ
• RSA Authentication Manager 7.x シリーズ
次のいずれかの方法で、RSA SecurID 認証テクノロジーと統合できます。
• RSA SecurID エージェントの使用:ユーザは、RSA のネイティブ プロトコルによってユーザ名お
よびパスコードで認証されます。
• RADIUS プロトコルの使用:ユーザは、RADIUS プロトコルによってユーザ名およびパスコード
で認証されます。
ISE の RSA SecurID トークン サーバは、RSA SecurID エージェントを使用して RSA SecurID 認証テ
クノロジーと統合します。
Cisco ISE Release 1.1.1 では、1 つの RSA 領域だけがサポートされています。
この項では、次のトピックを扱います。
• 「ISE と RSA SecurID サーバの統合」(P.5-41)
• 「RSA プロンプトの設定」(P.5-49)
• 「RSA メッセージの設定」(P.5-51)
ISE と RSA SecurID サーバの統合
ISE と RSA SecurID サーバを統合するには、次の 2 つの管理ロールが必要です。
• RSA サーバ管理者:RSA システムおよび統合の設定と維持
• ISE 管理者:ISE と RSA SecurID サーバの統合の設定および設定の維持。
この項では、ISE に RSA SecurID サーバを外部 ID ソースとして統合するために必要なプロセスについ
て説明します。RSA サーバについての詳細は、RSA に関するドキュメントを参照してください。
Cisco Identity Services Engine ユーザ ガイド リリース 1.1.1
OL-26134-01-J
5-41
第5章
外部 ID ソースの管理
RSA ID ソース
ISE での RSA の設定
RSA 管理システムでは sdconf.rec ファイルが生成されます。このファイルは RSA システム管理者に
よって提供されます。このファイルを使用すると、ISE サーバを領域内の RSA SecurID エージェント
として追加できます。このファイルを参照して ISE に追加する必要があります。プライマリ ISE サー
バは、複製のプロセスによってこのファイルをすべてのセカンダリ サーバに配布します。
ISE での RSA SecurID サーバに対する RSA エージェントの認証
sdconf.rec ファイルがすべての ISE サーバにインストールされると、RSA エージェント モジュールが
初期化され、RSA 生成のクレデンシャルによる認証が各 ISE サーバで実行されます。展開内の各 ISE
サーバ上のエージェントが正常に認証されると、RSA サーバとエージェント モジュールは securid
ファイルをダウンロードします。このファイルは ISE ファイル システムに存在し、RSA エージェント
によって定義された既知の場所にあります。
ISE 展開における RSA サーバの保守
ISE で sdconf.rec ファイルを追加した後、RSA サーバを廃止する、または新しい RSA セカンダリ サー
バを追加する場合、RSA SecurID 管理者は sdconf.rec ファイルを更新する必要があることがあります。
更新されたファイルは RSA SecurID 管理者によって提供されます。更新されたファイルによって ISE
を再設定できます。ISE では、更新されたファイルが複製プロセスによって展開内のセカンダリ ISE
サーバに配布されます。ISE では、まずファイル システムのファイルを更新し、RSA エージェント モ
ジュールに合わせて調整して再起動プロセスを適切に段階的に行います。sdconf.rec ファイルが更新さ
れると、sdstatus.12 および securid ファイルがリセット(削除)されます。
自動 RSA ルーティングの上書き
領域内に複数の RSA サーバを持つことができます。sdopts.rec ファイルはロード バランサの役割を果
たします。ISE サーバと RSA SecurID サーバはエージェント モジュールを介して動作します。ISE に
存在するエージェント モジュールは、領域内の RSA サーバを最大限に利用するためにコストベースの
ルーティング テーブルを保持します。ただし、このルーティングは手動設定で上書きできます。領域
の各 ISE サーバの手動設定を使用して上書きするには、ISE ユーザ インターフェイスで sdopts.rec と
呼ばれるテキスト ファイルを使用します。このファイルの作成方法については、RSA に関するドキュ
メントを参照してください。
RSA ノードの秘密のリセット
securid ファイルは秘密ノード キー ファイルです。RSA が最初に設定されると、RSA では秘密を使用
してエージェントが検証されます。ISE に存在する RSA エージェントが RSA サーバに対して初めて正
常に認証されると、securid と呼ばれるファイルがクライアント マシン上に作成され、このファイルを
使用して、マシン間で交換されるデータが有効であることが確認されます。展開内の特定の ISE サー
バまたはサーバのグループから securid ファイルを削除する必要がある場合があります(たとえば、
RSA サーバでのキーのリセット後など)。このファイルを領域の ISE サーバから削除するには、ISE
ユーザ インターフェイスを使用できます。ISE の RSA エージェントが次回正常に認証されたとき、新
しい securid ファイルが作成されます。
RSA 自動アベイラビリティのリセット
sdstatus.12 ファイルは、領域内の RSA サーバのアベイラビリティに関する情報を提供します。たとえ
ば、いずれのサーバがアクティブで、いずれのサーバがダウンしているかに関する情報を提供します。
エージェント モジュールは領域内の RSA サーバと連携して、このアベイラビリティ ステータスを維持
します。この情報は、sdstatus.12 ファイルに連続的に表示されます。このファイルは、ISE ファイル
システムの既知の場所に供給されます。このファイルは古くなり、現在のステータスが反映されていな
Cisco Identity Services Engine ユーザ ガイド リリース 1.1.1
5-42
OL-26134-01-J
第5章
外部 ID ソースの管理
RSA ID ソース
いことがあります。その場合、現在のステータスが反映されるように、このファイルを削除する必要が
あります。このファイルを特定の領域の特定の Cisco ISE サーバから削除するには、Cisco ISE ユーザ
インターフェイスを使用できます。ISE は RSA エージェントに合わせて調整して、再起動が正しく段
階的に行われるようにします。
アベイラビリティ ファイル sdstatus.12 は、securid ファイルがリセットされるか、sdconf.rec または
sdopts.rec ファイルが更新されるたびに削除されます。
分散環境の考慮事項
分散 ISE 環境で RSA ID ソースを管理するには、次の操作が必要です。
• sdconf.rec および sdopts.rec ファイルのプライマリ サーバからセカンダリ サーバへの配布。
• securid および sdstatus.12 ファイルの削除。
詳細は、次のトピックを参照してください。
• 「RSA コンフィギュレーション ファイルのインポート」(P.5-43)
• 「ISE サーバのオプション ファイルの設定および SecurID ファイルと sdstatus.12 ファイルのリセッ
ト」(P.5-44)
• 「RSA ID ソースの追加または編集」(P.5-43)
RSA ID ソースの追加または編集
RSA ID ソースを作成または編集するには、RSA コンフィギュレーションファイル(sdconf.rec)をイ
ンポートする必要があります。詳細については、「RSA コンフィギュレーション ファイルのインポー
ト」(P.5-43)を参照してください。
前提条件:
1. RSA 管理者から sdconf.rec ファイルを取得する必要があります。
2. 各 ISE 管理者アカウントには、1 つまたは複数の管理ロールが割り当てられています。次の手順で
説明されている操作を実行するには、スーパー管理者またはシステム管理者のいずれかのロールを
割り当てられている必要があります。さまざまな管理ロールの詳細と、各ロールに関連付けられて
いる権限については、「Cisco ISE 管理者グループのロールおよび役割」を参照してください。
RSA コンフィギュレーション ファイルのインポート
RSA の一般設定を行うには、次の手順を実行します。
ステップ 1
[ 管理(Administration)] > [ID の管理(Identity Management)] > [ 外部 ID ソース(External Identity
Sources)] を選択します。
ステップ 2
左側の [ 外部 ID ソース(External Identity Sources)] ナビゲーション ペインで、[RSA SecurID] をク
リックします。
[RSA SecurID ID ソース(RSA SecurID Identity Sources)] ページが表示されます。
ステップ 3
[ 追加(ADD)] をクリックして RSA ID ソースを追加するか、編集する RSA ID ソースの隣のチェッ
クボックスをオンにして [ 編集(Edit)] をクリックするか、[ 複製(Duplicate)] をクリックして RSA
ID ソースの複製エントリを作成します。
図 5-16 に示すように RSA の [ 一般(General)] タブが表示されます。
Cisco Identity Services Engine ユーザ ガイド リリース 1.1.1
OL-26134-01-J
5-43
第5章
外部 ID ソースの管理
RSA ID ソース
図 5-16
ステップ 4
RSA の [ 一般(General)] タブ
[ 参照(Browse)] をクリックして、クライアント ブラウザを実行しているシステムから新しい
sdconf.rec ファイルまたは更新された sdconf.rec ファイルを選択します。
初めて RSA ID ソースを作成する場合、[ 新しい sdconf.rec ファイルのインポート(Import new
sdconf.rec file)] フィールドは必須フィールドです。これ以降は、既存の sdconf.rec ファイルを更新さ
れたファイルで置き換えることができますが、既存のファイルの置き換えは任意です。
ステップ 5
(必須)サーバのタイムアウト値を秒単位で入力します。ISE はタイムアウトになる前に、指定された
秒数 RSA サーバからの応答を待ちます。この値には、1 ~ 199 の任意の整数を指定できます。デフォ
ルト値は 30 秒です。
ステップ 6
PIN が変更された場合に強制的に再認証するには、[ 変更 PIN で再認証(Reauthenticate on Change
PIN)] チェックボックスをオンにします。
ステップ 7
[ 保存(Save)] をクリックして設定を保存します。
ISE では、次のシナリオもサポートされます。
• 「ISE サーバのオプション ファイルの設定および SecurID ファイルと sdstatus.12 ファイルのリセッ
ト」(P.5-44)
• 「認証制御オプションの設定」(P.5-47)
ISE サーバのオプション ファイルの設定および SecurID ファイルと sdstatus.12 ファイルのリセット
sdopts.rec ファイルを設定し、securid ファイルと sdstatus.12 ファイルをリセットするには、次
の手順を実行します。
ステップ 1
ISE サーバにログインします。
Cisco Identity Services Engine ユーザ ガイド リリース 1.1.1
5-44
OL-26134-01-J
第5章
外部 ID ソースの管理
RSA ID ソース
ステップ 2
[ 管理(Administration)] > [ID の管理(Identity Management)] > [ 外部 ID ソース(External Identity
Sources)] を選択します。
ステップ 3
[ 追加(ADD)] をクリックして RSA ID ソースを追加するか、編集する RSA ID ソースの隣のチェッ
クボックスをオンにして [ 編集(Edit)] をクリックするか、[ 複製(Duplicate)] をクリックして複製
の RSA ID ソース エントリを作成します。
ステップ 4
[RSA インスタンス ファイル(RSA Instance Files)] タブをクリックします。
図 5-17 に示すような画面が表示されます。
図 5-17
[RSA インスタンス ファイル(RSA Instance Files)] タブ
このページには、展開内のすべての ISE サーバの sdopts.rec servers ファイルが一覧表示されます。
ステップ 5
特定の ISE サーバの sdopts.rec ファイルの横にあるオプション ボタンをクリックし、[ オプション ファ
イルの更新(Update Options File)] をクリックします。
図 5-18 に示すような画面が表示されます。
Cisco Identity Services Engine ユーザ ガイド リリース 1.1.1
OL-26134-01-J
5-45
第5章
外部 ID ソースの管理
RSA ID ソース
図 5-18
RSA の [ オプション ファイル(Options File)]
[ 現在のファイル(Current File)] 領域(表示専用)に既存のファイルが表示されます。
ステップ 6
次のいずれかを選択します。
• [RSA エージェントが保持する自動ロード バランシング ステータスを使用(Use the Automatic
Load Balancing status maintained by the RSA agent)]:RSA エージェントでロード バランシング
を自動的に管理する場合は、このオプションを選択します。
• [ 次で選択された sdopts.rec ファイルで自動ロード バランシング ステータスを上書き(Override
the Automatic Load Balancing status with the sdopts.rec file selected below)]:特定のニーズに基
づいて手動でロード バランシングを設定する場合は、このオプションを選択します。このオプ
ションを選択する場合は、[ 参照(Browse)] をクリックして、クライアント ブラウザを実行して
いるシステムから新しい sdopts.rec ファイルを選択する必要があります。
ステップ 7
[OK] をクリックします。
ステップ 8
ISE サーバの securid および sdstatus.12 ファイルをリセットするには、ISE サーバに対応する行をク
リックします。図 5-19 に示すような画面が表示されます。
Cisco Identity Services Engine ユーザ ガイド リリース 1.1.1
5-46
OL-26134-01-J
第5章
外部 ID ソースの管理
RSA ID ソース
図 5-19
ステップ 9
securid および sdstatus.12 ファイルのリセット
ドロップダウン矢印をクリックし、[securid ファイルのリセット(Reset securid File)] 列と
[sdstatus.12 ファイルのリセット(Reset sdstatus.12 File)] 列の [ 送信で削除(Remove on Submit)]
を選択します。
(注)
[sdstatus.12 ファイルのリセット(Reset sdstatus.12 File)] フィールドはユーザのビューから
非表示になっています。このフィールドを表示するには、最も内側のフレームで垂直および水
平スクロール バーを使用して、下にスクロールし、次に右にスクロールします。
ステップ 10
この行で [ 保存(Save)] をクリックして変更を保存します。
ステップ 11
[ 保存(Save)] をクリックして設定を保存します。
認証制御オプションの設定
このページを使用して、ISE が認証失敗を定義する方法を指定し、ID キャッシングを有効にすること
ができます。RSA ID ソースでは、「認証失敗」エラーと「ユーザが見つからない」エラーは区別され
ず、Access-Reject 応答が送信されます。
ISE が要求の処理およびエラーの報告においてこのようなエラーを処理する方法を定義できます。ID
キャッシングによって、ISE では、ISE サーバに対して認証に失敗した要求を 2 回目に処理できます。
前の認証から取得された結果および属性を、キャッシュで利用できます。
Cisco Identity Services Engine ユーザ ガイド リリース 1.1.1
OL-26134-01-J
5-47
第5章
外部 ID ソースの管理
RSA ID ソース
認証制御オプションを設定するには、次の手順を実行します。
ステップ 1
[ 管理(Administration)] > [ID の管理(Identity Management)] > [ 外部 ID ソース(External Identity
Sources)] > [RSA SecurID] を選択します。
ステップ 2
[ 追加(ADD)] をクリックして RSA ID ソースを追加するか、編集する RSA ID ソースの隣のチェッ
クボックスをオンにして [ 編集(Edit)] をクリックするか、[ 複製(Duplicate)] をクリックして既存
の RSA ID ソース エントリを複製します。
ステップ 3
[ 認証制御(Authentication Control)] タブをクリックします。
図 5-20 に示すように [ 認証制御(Authentication Control)] タブが表示されます。
図 5-20
ステップ 4
[ 認証制御(Authentication Control)] タブ
次のいずれかを選択します。
• [ 拒否を「認証失敗」として処理(Treat Rejects as "authentication failed")]:拒否された要求を認
証失敗として処理する場合は、このオプションを選択します。
• [ 拒否を「ユーザが見つからない」として処理(Treat Rejects as "user not found" )]:拒否された
要求をユーザが見つからないエラーとして処理する場合は、このオプションを選択します。
ステップ 5
[ 保存(Save)] をクリックして設定を保存します。
次の手順:
1. 認証ポリシーの作成方法については、第 16 章「認証ポリシーの管理」を参照してください。
2. 許可プロファイルおよびポリシーの作成方法については、第 17 章「許可ポリシーおよびプロファ
イルの管理」を参照してください。
Cisco Identity Services Engine ユーザ ガイド リリース 1.1.1
5-48
OL-26134-01-J
第5章
外部 ID ソースの管理
RSA ID ソース
詳細情報:
• 「RSA ID ソース」(P.5-41)
• 「RSA プロンプトの設定」(P.5-49)
• 「RSA メッセージの設定」(P.5-51)
RSA プロンプトの設定
ISE では、RSA SecurID サーバへの要求の処理中にユーザに表示される RSA プロンプトを設定できま
す。
前提条件:
各 ISE 管理者アカウントには、1 つまたは複数の管理ロールが割り当てられています。次の手順で説明
されている操作を実行するには、スーパー管理者またはシステム管理者のいずれかのロールを割り当て
られている必要があります。さまざまな管理ロールの詳細と、各ロールに関連付けられている権限につ
いては、「Cisco ISE 管理者グループのロールおよび役割」を参照してください。
RSA プロンプトを設定するには、次の手順を実行します。
ステップ 1
[ 管理(Administration)] > [ID の管理(Identity Management)] > [ 外部 ID ソース(External Identity
Sources)] を選択します。
ステップ 2
左側の [ 外部 ID ソース(External Identity Sources)] ナビゲーション ペインで、[RSA SecurID] をク
リックします。
[RSA SecurID ID ソース(RSA SecurID Identity Sources)] リスト ページが表示されます。
ステップ 3
[ プロンプト(Prompts)] をクリックします。
図 5-21 に示すように、デフォルトのプロンプトを含む RSA [ プロンプト(Prompts)] のページが表示
されます。
Cisco Identity Services Engine ユーザ ガイド リリース 1.1.1
OL-26134-01-J
5-49
第5章
外部 ID ソースの管理
RSA ID ソース
図 5-21
ステップ 4
ステップ 5
RSA のプロンプト設定ページ
表 5-7 に説明されているように情報を入力します。
[ 送信(Submit)] をクリックしてカスタム RSA プロンプトを保存するか、[ デフォルト値のリセット
(Reset Default Values)] をクリックしてデフォルトの RSA プロンプトを適用します。
RSA プロンプト
表 5-7 に、RSA の [ プロンプト(Prompts)] タブのフィールドとそのデフォルト値を示します。
表 5-7
RSA の [ プロンプト(Prompts)] タブ1
オプション
説明
パスコード プロンプトの このフィールドは、パスコードを取得する場合に使用されるテキスト文
字列です。デフォルト値は [ パスコードを入力してください(Enter
入力(Enter Passcode
Prompt)
PASSCODE)] です。
次のトークン コードの入 このフィールドは、次のトークンを要求する場合に使用されるテキスト
文字列です。デフォルト値は [ 次のトークンコードを入力してください
力(Enter Next Token
(Enter Next TOKENCODE)] です。
Code)
PIN タイプの選択
(Choose PIN Type)
このフィールドは、PIN タイプを要求する場合に使用されるテキスト文
字列です。デフォルト値は [ 独自の pin を入力しますか ?(Do you want
to enter your own pin?)] です。
システム PIN の受け入れ このフィールドは、システム生成の PIN を受け入れる場合に使用される
(Accept System PIN)
テキスト文字列です。デフォルト値は [ システム生成の PIN を受け入れ
る準備はできていますか ?(ARE YOU PREPARED TO ACCEPT A
SYSTEM-GENERATED PIN?)] です。
Cisco Identity Services Engine ユーザ ガイド リリース 1.1.1
5-50
OL-26134-01-J
第5章
外部 ID ソースの管理
RSA ID ソース
表 5-7
RSA の [ プロンプト(Prompts)] タブ1 (続き)
オプション
英数字 PIN の入力
(Enter Alphanumeric
PIN)
説明
(任意)このフィールドは、英数字 PIN を要求する場合に使用されるテキ
スト文字列です。デフォルト値は、[ 新しい PIN の手順をキャンセルする
には、{MIN_LENGTH} から {MAX_LENGTH} の数字 \n または \n「x」
を含む新しい英数字の PIN を入力してください。(Enter your new
Alpha-Numerical PIN, containing {MIN_LENGTH} to
{MAX_LENGTH} digits\n or\n"x" to cancel the new PIN procedure.)] で
す。
数値 PIN の入力(Enter (必須)このフィールドは、数値 PIN を要求する場合に使用されるテキス
ト文字列です。デフォルト値は、[ 新しい PIN の手順をキャンセルするに
Numeric PIN)
は、{MIN_LENGTH} から {MAX_LENGTH} の数字 \n または \n「x」
を含む新しい数字の PIN を入力してください。(Enter your new
Numerical PIN, containing {MIN_LENGTH} to {MAX_LENGTH}
digits\n or\n"x" to cancel the new PIN procedure.)] です。
PIN の再入力(Re-enter (必須)このフィールドは、ユーザに PIN の再入力を要求する場合に使用
されるテキスト文字列です。デフォルト値は、[PIN の再入力(Reenter
PIN)
PIN)] です。
1. プロンプトには 256 文字以内の文字列を入力します。
次の手順:
次の手順については、「RSA メッセージの設定」(P.5-51)を参照してください。
RSA メッセージの設定
ISE では、RSA SecurID サーバへの要求の処理中にユーザに表示されるメッセージを設定できます。
前提条件:
各 ISE 管理者アカウントには、1 つまたは複数の管理ロールが割り当てられています。次の手順で説明
されている操作を実行するには、スーパー管理者またはシステム管理者のいずれかのロールを割り当て
られている必要があります。さまざまな管理ロールの詳細と、各ロールに関連付けられている権限につ
いては、「Cisco ISE 管理者グループのロールおよび役割」を参照してください。
RSA メッセージを設定するには、次の手順を実行します。
ステップ 1
[ 管理(Administration)] > [ID の管理(Identity Management)] > [ 外部 ID ソース(External Identity
Sources)] を選択します。
ステップ 2
左側の [ 外部 ID ソース(External Identity Sources)] ナビゲーション ペインで、[RSA SecurID] をク
リックします。
[RSA SecurID ID ソース(RSA SecurID Identity Sources)] リスト ページが表示されます。
ステップ 3
[ プロンプト(Prompts)] をクリックします。
RSA [ プロンプト(Prompts)] のページが表示されます。
ステップ 4
[ メッセージ(Messages)] タブをクリックします。
図 5-22 に示すように RSA の [ メッセージ(Messages)] タブが表示されます。
Cisco Identity Services Engine ユーザ ガイド リリース 1.1.1
OL-26134-01-J
5-51
第5章
外部 ID ソースの管理
RSA ID ソース
図 5-22
ステップ 5
ステップ 6
RSA の [ メッセージ(Messages)] タブ
表 5-8 に説明されているように情報を入力します。
[ 送信(Submit)] をクリックしてカスタム RSA メッセージを保存するか、[ デフォルト値のリセット
(Reset Default Values)] をクリックしてデフォルトの RSA メッセージを適用します。
RSA メッセージ
表 5-8 に、RSA の [ メッセージ(Messages)] タブのフィールドとそのデフォルト値を示します。
表 5-8
RSA の [ メッセージ(Messages)] タブ
オプション
説明
システム PIN メッセージの表
示(Display System PIN
Message)
システム PIN メッセージのラベルにするテキスト文字列を入力し
ます。デフォルトは、[PIN] です。
システム PIN 通知の表示
(Display System PIN
Reminder)
数字を入力する必要があるエ
ラー(Must Enter Numeric
Error)
ユーザに新しい PIN を覚えるように通知するテキスト文字列を入
力します。デフォルトは、[ 新しい PIN を覚えたら、Return キーを
押して続行してください。(Please remember your new PIN, then
press Return to continue.)] です。
PIN には数字のみを入力するようにユーザに指示するメッセージを
入力します。デフォルトは、[PIN には数字のみを含める必要があ
ります。(PIN must only contain numbers.)] です。
Cisco Identity Services Engine ユーザ ガイド リリース 1.1.1
5-52
OL-26134-01-J
第5章
外部 ID ソースの管理
ID ソース順序
表 5-8
RSA の [ メッセージ(Messages)] タブ (続き)
オプション
説明
英数字を入力する必要があるエ PIN には英数字のみを入力するようにユーザに指示するメッセージ
ラー(Must Enter Alpha Error) を入力します。デフォルトは、[PIN には英数字のみを含める必要
があります。(PIN must only contain alphanumeric characters.)]
です。
PIN 受け入れメッセージ(PIN
Accepted Message)
PIN 拒否メッセージ(PIN
Rejected Message)
ユーザの PIN が異なるエラー
(User Pins Differ Error)
システム PIN 受け入れメッ
セージ(System PIN Accepted
Message)
不正パスワード長エラー(Bad
Password Length Error)
ユーザの PIN がシステムによって受け入れられたときに表示され
るメッセージを入力します。デフォルトは、[PIN は受け入れられ
ました。再度試す前に次のカード コードを待ってください。(PIN
accepted, wait for next card code before trying again.)] です。
ユーザの PIN がシステムによって拒否されたときに表示される
メッセージを入力します。デフォルトは [PIN は拒否されました。
(PIN rejected.)] です。
ユーザが不正な PIN を入力したときに表示されるメッセージを入
力します。デフォルトは [PIN が異なります。変更されていません。
(PINs differ, not changed.)] です。
ユーザの PIN がシステムによって受け入れられたときに表示され
るメッセージを入力します。デフォルトは、[ 再度試す前に次の
カード コードを待ってください。(Wait for next card code before
trying again.)] です。
ユーザが指定した PIN が、PIN 長ポリシーで指定されている範囲
に収まらない場合に表示されるメッセージを入力します。デフォル
トは、[PIN は最少長文字と最大長文字の間である必要があります。
(PIN must be between minimum length and maximum length
characters.)] です。
ID ソース順序
ID ソース順序では、ISE が異なるデータベース内でユーザ クレデンシャルを検索する順序を定義しま
す。ISE では、次のデータベースがサポートされています。
• 内部ユーザ
• 内部エンドポイント
• Active Directory
• LDAP
• RSA
• RADIUS トークン サーバ
• 証明書認証プロファイル
ISE に接続されているこれらのデータベースの複数にユーザ情報が格納されている場合、ISE がこれら
のデータベースでユーザ情報を検索する順序を定義できます。一致が見つかると、ISE はそれ以降の検
索を行いませんが、クレデンシャルを評価し、ユーザに結果を返します。このポリシーは最初の一致ポ
リシーです。
この項では、次のトピックを扱います。
• 「ID ソース順序の作成」(P.5-54)
• 「ID ソース順序の削除」(P.5-55)
Cisco Identity Services Engine ユーザ ガイド リリース 1.1.1
OL-26134-01-J
5-53
第5章
外部 ID ソースの管理
ID ソース順序
ID ソース順序の作成
前提条件:
1. ISE に外部 ID ソースを設定していることを確認します。外部 ID ソースを設定する方法について
は、「ID ソース順序」(P.5-53)を参照してください。
2. 各 ISE 管理者アカウントには、1 つまたは複数の管理ロールが割り当てられています。次の手順で
説明されている操作を実行するには、スーパー管理者またはシステム管理者のいずれかのロールを
割り当てられている必要があります。さまざまな管理ロールの詳細と、各ロールに関連付けられて
いる権限については、「Cisco ISE 管理者グループのロールおよび役割」を参照してください。
ID ソース順序を定義するには、次の手順を実行します。
ステップ 1
[ 管理(Administration)] > [ID の管理(Identity Management)] > [ID ソース順序(Identity Source
Sequences)] を選択します。
[ID ソース順序(Identity Source Sequences)] ページが表示され、定義した ID ソース順序のリストが
示されます。
ステップ 2
[ 追加(Add)] をクリックして ID ソース順序を追加します。ID ソース順序の隣のチェックボックスを
オンにして、[ 編集(Edit)] または [ 複製(Duplicate)] をクリックすると、ID ソースを編集または複
製できます。
ステップ 3
ID ソース順序の名前を入力します。任意で説明を入力することもできます。
ステップ 4
認証に証明書認証プロファイルを使用する場合は、[ 証明書ベースの認証(Certificate-Based
Authentication)] 領域で [ 証明書認証プロファイルの選択(Select Certificate Authentication Profile)]
チェックボックスをオンにして、ドロップダウン リストから証明書認証プロファイルを選択します。
ステップ 5
ステップ 6
[ 認証検索リスト(Authentication Search List)] 領域で、[ 使用可能なリスト(Available list)] に ISE
に接続されている一連のデータベースが表示されます。ID ソース順序を含めるデータベースを選択し、
ボタンをクリックして [ 選択済み(Selected)] リストに移動します。必要に応じて、[ 選択済み
ボタンをクリックすると、すべての
(Selected)] リストにさらにデータベースを追加できます。
データベースを [ 使用可能(Available)] リストから [ 選択済み(Selected)] リストに移動できます。
上へ移動(
)または下へ移動(
)ボタンを使用して、[ 選択済み(Selected)] リストでデータ
ベースを並べ替えることができます。
ステップ 7
[ 高度な検索リスト(Advanced Search List)] 領域で、次のいずれかのオプションを選択します。
• [ 順序内の他のストアにアクセスせず、AuthenticationStatus 属性を ProcessError に設定(Do not
access other stores in the sequence and set the AuthenticationStatus attribute to ProcessError)]:最
初に選択された ID ソースでユーザが見つからないとき、ISE が検索を中止する場合は、このオプ
ション ボタンをクリックします。
• [ ユーザが見つからなかったとして処理し、順序内の次のストアに進む(Treat as if the user was
not found and proceed to the next store in the sequence)]:最初に選択された ID ソースでユーザが
見つからないとき、ISE が順序内の他の選択された ID ソースの検索を続行する場合は、このオプ
ション ボタンをクリックします。
ステップ 8
[ 選択済み(Selected)] リストでデータベースの正しい順序を指定した後、[ 送信(Submit)] をク
リックして ID ソース順序を作成すると、その後この ID ソース順序をポリシーで使用できます。
Cisco Identity Services Engine ユーザ ガイド リリース 1.1.1
5-54
OL-26134-01-J
第5章
外部 ID ソースの管理
ID ソース順序
(注)
(注)
ISE では、要求の処理中にこれらの ID ソースが順番に検索されます。[ 選択済み(Selected)]
リストに、ISE が ID ソースを検索する順序で ID ソースが表示されていることを確認します。
ゲスト ユーザがローカル WebAuth を使用して認証できるようにするには、ゲスト ポータル認証ソー
スと ID ソース順序に同じ ID ストアが含まれるように設定する必要があります。ゲスト ポータル認証
ソースの設定方法の詳細については、「認証ソースの指定」(P.21-30)を参照してください。
次の手順:
認証ポリシーでの ID ソース順序の使用方法については、
「単純な認証ポリシーの設定」
(P.16-30)およ
び「ルールベースの認証ポリシーの設定」(P.16-32)を参照してください。
ID ソース順序の削除
前提条件:
1. 削除する ID ソース順序がいずれの認証ポリシーでも使用されていないことを確認してください。
2. 各 ISE 管理者アカウントには、1 つまたは複数の管理ロールが割り当てられています。次の手順で
説明されている操作を実行するには、スーパー管理者またはシステム管理者のいずれかのロールを
割り当てられている必要があります。さまざまな管理ロールの詳細と、各ロールに関連付けられて
いる権限については、「Cisco ISE 管理者グループのロールおよび役割」を参照してください。
ID ソース順序を削除するには、次の手順を実行します。
ステップ 1
[ 管理(Administration)] > [ID の管理(Identity Management)] > [ID ソース順序(Identity Source
Sequences)] を選択します。
[ID ソース順序(Identity Source Sequences)] ページが表示され、定義した ID ソース順序のリストが
示されます。
ステップ 2
削除する ID ソース順序の隣にあるチェックボックスをオンにし、[ 削除(Delete)] をクリックしま
す。
(注)
認証ポリシーで参照される ID ソース順序は削除できません。削除する ID ソース順序を複数選
択し、選択した ID ソース順序のいずれかが認証ポリシーで参照される場合、削除操作は失敗
します。
次のメッセージが表示されます。
削除してもよろしいですか ?(Are you sure you want to delete? )
ステップ 3
[OK] をクリックして ID ソース順序を削除します。
Cisco Identity Services Engine ユーザ ガイド リリース 1.1.1
OL-26134-01-J
5-55
第5章
外部 ID ソースの管理
ID ソースの表示およびモニタリング
ID ソースの表示およびモニタリング
ISE は次のものを介して ID ソースに関する情報を提供します。
• 「Cisco ISE ダッシュボード」(P.5-56)
• 「認証」(P.5-57)
• 「レポート」(P.5-58)
前提条件:
各 ISE 管理者アカウントには、1 つまたは複数の管理ロールが割り当てられています。ISE でレポート
を表示するには、スーパー管理者、ヘルプデスク管理者、モニタリング管理者のいずれかのロールを割
り当てられている必要があります。さまざまな管理ロールの詳細と、各ロールに関連付けられている権
限については、「Cisco ISE 管理者グループのロールおよび役割」を参照してください。
Cisco ISE ダッシュボード
Cisco ISE には、Cisco ISE ダッシュボードに表示されるダッシュレットに ID ソース関連の情報が一目
でわかるビューがあります。図 5-23 に、統計データを提供する ISE ダッシュボードおよび ID ストア
ダッシュレットを示します。
図 5-23
ISE ダッシュボード
新しいページに詳細を表示するには、ID ストア ダッシュレットの
らに詳しい情報にドリルダウンできます。
アイコンをクリックします。さ
ISE ダッシュボードとその操作の方法の詳細については、「Cisco ISE ダッシュボードのモニタリング」
(P.24-3)を参照してください。
Cisco Identity Services Engine ユーザ ガイド リリース 1.1.1
5-56
OL-26134-01-J
第5章
外部 ID ソースの管理
ID ソースの表示およびモニタリング
認証
[ 認証(Authentications)] ページから、障害の理由などの詳細情報にドリルダウンできます。
図 5-24 に、[ 認証(Authentications)] ページを示し、詳細にドリルダウンする場合にクリックする必
要がある虫眼鏡アイコンを強調表示します。
図 5-24
[ 認証(Authentications)] ページ
図 5-25 に、認証に使用された ID ソースを特定するドリルダウン ビューを示します。
図 5-25
[ 認証(Authentications)] ページの [ ドリルダウン ビュー(Drill-Down View)]
[ 認証(Authentications)] ページの詳細については、「ライブ認証のモニタリング」(P.24-26)を参照
してください。
Cisco Identity Services Engine ユーザ ガイド リリース 1.1.1
OL-26134-01-J
5-57
第5章
外部 ID ソースの管理
ID ソースの表示およびモニタリング
レポート
Cisco ISE は ID ソースに関する情報を含むさまざまなレポートを提供します。認証レポート、認証概
要レポート、および上位 N 個のレポートを使用すると、ID ソースに基づいて情報を問い合わせること
ができます。表 5-9 に、ID ソースに基づいてクエリーを実行し、レポートを生成できるレポートのリ
ストを示します。
表 5-9
レポートの ID ソース情報
レポートのタイプ
AAA プロトコル
(AAA Protocol)
許可されるプロト
コル(Allowed
Protocol)
レポート名
認証トレンド(Authentication Trend)
RADIUS 認証(RADIUS Authentication)
許可されるプロトコル認証概要(Allowed
Protocol Authentication Summary)
許可されるプロトコル別上位 N 個の認証
(Top N Authentications By Allowed
Protocol)
サーバ インスタン サーバ認証概要(Server Authentication
ス(Server
Summary)
Instance)
サーバ別上位 N 個の認証(Top N
Authentications By Server )
エンドポイント
(Endpoint)
エンドポイント MAC 認証概要(Endpoint
MAC Authentication Summary)
MAC アドレス別上位 N 個の認証(Top N
Authentications By Endpoint MAC Address )
マシン別上位 N 個の認証(Top N
Authentications By Machine)
障害理由(Failure
Reason)
障害理由認証概要(Failure Reason
Authentication Summary)
障害理由別上位 N 個の認証(Top N
Authentications By Failure Reason)
ネットワーク デバ ネットワーク デバイス認証概要(Network
イス(Network
Device Authentication Summary)
Device)
ネットワーク デバイス別上位 N 個の認証
(Top N Authentications By Network Device)
ユーザ(User)
ユーザ別上位 N 個の認証(Top N
Authentications By User )
ユーザ認証概要(User Authentication
Summary)
これらのレポートについては、「使用可能なレポート」(P.25-44)を参照してください。
クエリーを実行し、レポートを生成するには、たとえば、[ ユーザ認証概要(User Authentication
Summary)] の場合は、[ 操作(Operations)] > [ レポート(Reports)] > [ カタログ(Catalog)] を選
択します。左側のナビゲーション ペインに表示されているレポートのタイプで [ ユーザ(User)] をク
リックします。[ ユーザ認証概要(User Authentication Summary )] オプション ボタンをクリックし、
[ 実行(Run)] > [ クエリーおよび実行(Query and Run)] を選択します。ユーザ名およびレポートの
実行に使用するその他の検索条件を入力し、[ 実行(Run)] をクリックします。図 5-26 に示すような
レポートが表示されます。
Cisco Identity Services Engine ユーザ ガイド リリース 1.1.1
5-58
OL-26134-01-J
第5章
外部 ID ソースの管理
ID ソースの表示およびモニタリング
図 5-26
[ ユーザ認証概要(User Authentication Summary)] レポート
ID ソースに基づく認証、認証概要、または上位 N 個の詳細については、表 5-9 に一覧表示されている
レポートのいずれかを実行できます。
これらのレポートを実行、表示、ナビゲート、カスタマイズ、エクスポート、および印刷する方法につ
いては、次の項を参照してください。
• 「レポートの実行、表示、およびナビゲート」(P.25-3)
• 「カタログ レポートへのアクセス」(P.25-6)
• 「レポートのエクスポートおよび印刷」(P.25-4)
Cisco Identity Services Engine ユーザ ガイド リリース 1.1.1
OL-26134-01-J
5-59
第5章
外部 ID ソースの管理
ID ソースの表示およびモニタリング
Cisco Identity Services Engine ユーザ ガイド リリース 1.1.1
5-60
OL-26134-01-J
Fly UP