Cisco ISE 1.3 と Active Directory の統合 Cisco ISE 1.3 の Active Directory 設定 4 Cisco ISE 1.3 の Active Directory の主要機能 4 Active Directory と Cisco ISE の統合の前提条件 6 Active Directory の参加ポイントの追加、および参加ポイントへの Cisco ISE ノードの参加 8 Active Directory ドメインの脱退 10 認証ドメインの設定 11 サポートされるグループ タイプ 12 Active Directory のユーザおよびマシン属性の設定 13 Active Directory 認証のユーザのテスト 14 Active Directory の Multi-Join 設定のサポート 14 読み取り専用ドメイン コントローラ 16 Active Directory でサポートされる認証プロトコルおよび機能 16 Active Directory インスタンスに対する認可 20 ID 書き換え 22 ID 解決の設定 24 サンプル シナリオ 26 トラブルシューティング ツール 30
Welcome message from author
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
Cisco ISE 1.3 と Active Directory の統合
Cisco ISE 1.3の Active Directory設定 4
Cisco ISE 1.3の Active Directoryの主要機能 4
Active Directoryと Cisco ISEの統合の前提条件 6
Active Directoryの参加ポイントの追加、および参加ポイントへの Cisco ISEノードの参加 8
Active Directoryドメインの脱退 10
認証ドメインの設定 11
サポートされるグループタイプ 12
Active Directoryのユーザおよびマシン属性の設定 13
Active Directory認証のユーザのテスト 14
Active DirectoryのMulti-Join設定のサポート 14
読み取り専用ドメインコントローラ 16
Active Directoryでサポートされる認証プロトコルおよび機能 16
Active Directoryインスタンスに対する認可 20
ID書き換え 22
ID解決の設定 24
サンプルシナリオ 26
トラブルシューティングツール 30
ADコネクタの内部操作 33
2
3
Revised: March 6, 2015,
Cisco ISE 1.3 の Active Directory 設定
Cisco ISE 1.3 の Active Directory の主要機能次に、Cisco ISE 1.3の Active Directoryの主要機能の一部を示します。
Multi-Join サポート
Cisco ISEでは、Active Directoryドメインへの複数参加がサポートされます。Cisco ISEでは、最大 50のActive Directory参加がサポートされます。 Cisco ISEは、双方向信頼がなく、相互の信頼がゼロである複数のActive Directoryドメインと接続できます。 Active Directoryのマルチドメイン参加は、各参加の独自のグループ、属性、および認可ポリシーを持つ個別の Active Directoryドメインのセットで構成されます。
認証ドメイン
Cisco ISEがActive Directoryドメインに参加する場合、参加ポイントの信頼ドメインを自動的に検出します。ただし、ドメインのうち、認証および認可についてCisco ISEに関連しないものがある場合があります。Cisco ISEでは、認証および認可について、信頼ドメインからドメインのサブセットを選択できます。このドメインのサブセットは、認証ド
メインと呼ばれます。認証する予定のユーザまたはマシンが存在するドメインを認証ドメインとして定義することを
推奨します。認証ドメインを定義すると、ドメインをブロックし、これらのドメインでのユーザ認証を制限すること
によってセキュリティが強化されます。また、ポリシーおよび認証に関係しないドメインをスキップできるため、パ
フォーマンスの最適化や、Cisco ISEによる ID検索操作の実行の効率化にも役立ちます。
ID 書き換え
この機能を使用すると、Cisco ISEは、認証のために Active Directoryに送信する前にクライアントまたは証明書から受信したユーザ名を変更できます。たとえば、ユーザ名 [email protected]を [email protected]に書き換えることができます。この機能を使用すると、修復しないと認証に失敗するユーザ名またはホスト名を修復できます。
また、証明書の IDを書き換えたり、不正にプロビジョニングされた証明書による要求を処理したりすることもできます。非証明書ベース認証で取得されたか証明書内で取得されたかに関係なく、同じ IDのリライトルールを着信ユーザ名またはマシン名に適用できます。
あいまいな ID の解決
Cisco ISEが受信したユーザ名またはマシン名があいまいな(つまり、一意でない)場合、ユーザが認証しようとすると問題が発生する可能性があります。ユーザにドメインマークアップがない場合や、複数のドメインに同じユーザ名
の IDが複数ある場合、IDのクラッシュが発生します。たとえば、userAが domain1に存在し、別の userAが domain2に存在する場合です。 ID解決の設定を使用して、このようなユーザの解決スコープを定義できます。 UPNまたはNetBIOSなどの修飾名を使用することを強く奨励します。修飾名によって、あいまいさの可能性が低下し、遅延が減少するため、パフォーマンスが向上します。
4
セキュリティ ID に基づくグループメンバーシップ評価
ISEは、グループメンバーシップ評価を最適化するためにセキュリティ ID(SID)を使用します。グループを評価する効率(スピード)、および、ダウンしたドメインに属するグループのメンバーであるユーザの、遅延に対する復元力
という 2つの理由から、SIDは有益です。グループを削除して、元と同じ名前で新しいグループを作成する場合、SIDを更新して、新しく作成したグループに新しい SIDを割り当てる必要があります。
ユーザ名ベース認証テスト(ユーザのテスト)
テスト認証は、エンドユーザの認証および認可に関する問題のトラブルシューティングに役立ちます。ユーザのテス
ト機能を使用して、ActiveDirectory認証をテストできます。テストでは、グループおよび属性の詳細(認可情報)とともに結果が返されます。結果は管理者ポータルで参照できます。
診断ツール
診断ツールを使用して、一般的な接続問題について Active Directory導入環境を自動的にテストおよび診断することができます。このツールは、次の情報を提供します。
•テストを実行する Cisco ISEノード
• Active Directoryへの接続
•ドメインの詳細なステータス
• Cisco ISE-DNSサーバ接続の詳細なステータス
ツールは、実行したテストごとに詳細なレポートを提供します。
証明書認証プロファイルの機能強化
Cisco ISE 1.3では、証明書認証プロファイルに関する次の 2つの新しい機能強化を実現しています。
• [証明書のサブジェクト名または代替名の属性(Any subject or alternative name attributes in the certificate)]オプション(Active Directoryの場合のみ):このオプションを使用すると、Active Directory UPNをログのユーザ名として使用し、証明書のすべてのサブジェクト名および代替名を試行してユーザを検索できます。このオプションは、
Active Directoryを IDソースとして選択した場合にのみ使用できます。
• [IDのあいまいさを解決するためにのみ(Only to resolve identity ambiguity)]オプション:このオプションを使用すると、EAP-TLS認証の ID問題を解決できます。 TLS証明書から複数の IDを持つことができます。ユーザ名があいまいな場合(2つの「jdoe」が取得された場合や Active Directoryにクライアント証明書が存在する場合など)、Cisco ISEはバイナリ比較を使用してあいまいさを排除できます。
ノードビュー
このページを使用して、Cisco ISE導入環境内の各ノードの参加ポイントのステータスを表示できます。ノードビューは読み取り専用ページで、ステータスのみが表示されます。このページでは、参加、脱退、またはテストオプション
はサポートされません。ただし、これらの操作を実行できる主要な参加ポイントページへのリンクを各参加ポイント
に表示します。このページには、最新の診断ステータスと診断ツールへのリンクも表示されます。
5
レポートおよびアラーム
Cisco ISEは、ActiveDirectory関連のアクティビティをモニタしてトラブルシューティングを実行するために、ダッシュボードに新しい ADコネクタ操作レポートを表示します。
高度な調整
高度な調整機能では、システムのパラメータを詳細に調整するためのノード固有の変更および設定が可能です。この
ページでは、優先の DC、GC、DCフェールオーバーパラメータおよびタイムアウトを設定できます。このページには、無効な暗号化などのトラブルシューティングオプションもあります。これらの設定は、通常の管理フローを意図
したものではなく、シスコサポートの指示に従って使用する必要があります。
関連トピック
認証ドメインの設定, (11ページ)ID書き換え, (22ページ)ID解決の設定, (24ページ)Active Directoryのユーザグループの設定, (12ページ)サポートされるグループタイプ, (12ページ)
証明書ベースの認証の Active Directory証明書の取得, (19ページ)Active Directoryの問題の診断, (30ページ)Active Directoryのアラームおよびレポート, (30ページ)
ノードの Active Directoryの参加の表示, (31ページ)Active Directory認証のユーザのテスト, (14ページ)Active Directoryの高度な調整, (33ページ)
Active Directory と Cisco ISE の統合の前提条件次に、Active Directoryと Cisco ISEを統合するための前提条件を示します。
• Network Time Protocol(NTP)サーバ設定を使用して、Cisco ISEサーバとActiveDirectory間の時間を同期します。Cisco ISE CLIから NTPを設定できます。
• Active Directory構造にマルチドメインのフォレストがある場合、または複数のフォレストに分割されている場合は、Cisco ISEが接続されるドメインと、アクセスする必要があるユーザおよびマシン情報があるその他のドメインとの間に信頼関係があることを確認します。信頼関係の確立の詳細については、Microsoft Active Directoryのマニュアルを参照してください。
• Cisco ISEを参加させるドメインで、少なくとも 1つのグローバルカタログサーバが動作し、Cisco ISEからアクセスできる必要があります。
6
ch
矩形
Change "Title,(page)" to "「Title」(page)" format.
さまざまな操作の実行に必要な Active Directory のアカウント権限
Cisco ISE マシンアカウント脱退処理参加操作
Active Directoryとの通信に使用される新しく作成されたCisco ISEマシンアカウントには、次のアクセス許可
が必要です。
•自分のパスワードの変更
•認証されるユーザ/マシンに対応するユーザ/マシンオブジェクトの読み取り
•必要な情報(信頼ドメイン、代替 UPNサフィックスなど)取得のためのActiveDirectoryの一部のクエリー
• tokenGroups属性の読み取り
Active Directoryでマシンアカウントを事前に作成できます。SAMの名前がCisco ISEアプライアンスのホスト名と一致する場合、参加操作中に検
索して再利用する必要があります。
複数の参加操作を実行すると、CiscoISE内でそれぞれの参加に 1つずつ複数のマシンアカウントが操作され
ます。
脱退処理の実行に使用されるアカウ
ントには、次のアクセス許可が必要
です。
• Active Directoryの検索(CiscoISEマシンアカウントがすでに存在するかどうかを確認するた
め)
•ドメインからの Cisco ISEマシンアカウントの削除
強制脱退(パスワードなしでの脱
退)を実行する場合、ドメインから
マシンアカウントは削除されませ
ん。
参加操作の実行に使用されるアカウ
ントには、次のアクセス許可が必要
です。
• Active Directoryの検索(CiscoISEマシンアカウントがすでに存在するかどうかを確認するた
め)
•ドメインへの Cisco ISEマシンアカウントの作成(マシンアカ
ウントが存在しない場合)
•新しいマシンアカウントに対する属性の設定(Cisco ISEマシンアカウントパスワード、SPN、dnsHostnameなど)
参加操作を実行するために、ドメイ
ン管理者である必要はありません。
参加操作または脱退処理に使用するクレデンシャルは、Cisco ISEに保存されません。新しく作成された Cisco ISEマシンアカウントのクレデンシャルのみが保存されます。
(注)
通信用に開く必要があるネットワークポート
注記認証ターゲットポート(リモート -ローカル)
プロトコル
—なしDNSサーバ/ADドメインコントローラ
49152以上の乱数DNS(TCP/UDP)
7
注記認証ターゲットポート(リモート -ローカル)
プロトコル
—ありドメインコントロー
ラ
445MSRPC
MS AD/KDCあり(Kerberos)ドメインコントロー
ラ
88Kerberos(TCP/UDP)
—ありドメインコントロー
ラ
389LDAP(TCP/UDP)
—ありグローバルカタログ
サーバ
3268LDAP(GC)
—なしNTPサーバ/ドメインコントローラ
123NTP
—あり(RBACクレデンシャルを使用)
導入環境内のその他
の ISEノード80IPC
DNS サーバDNSサーバを設定する場合は、次のことに注意してください。
• Cisco ISEに設定されているすべての DNSサーバは、使用するすべてのドメインのすべての正引きおよび逆 DNSクエリーを解決できる必要があります。
•すべての DNSサーバは、追加のサイト情報の有無に関係なく、DC、GC、および KDCの SRVクエリーに応答できる必要があります。
•パフォーマンスを向上するために、SRV応答にサーバ IPアドレスを追加することを推奨します。
•パブリックインターネットでDNS serversthatクエリーを使用しないでください。不明な名前を解決する必要がある場合に、遅延やネットワーク情報の漏洩が発生する可能性があります。
Active Directory の参加ポイントの追加、および参加ポイントへの CiscoISE ノードの参加
はじめる前に
Cisco ISEノードが、NTPサーバ、DNSサーバ、ドメインコントローラ、およびグローバルカタログサーバが配置されているネットワークと通信できることを確認します。ドメイン診断ツールを実行することで、これらのパラメータ
を確認できます。
8
手順
ステップ 1 [管理(Administration)] > [IDの管理(IdentityManagement)] > [外部 IDソース(External Identity Sources)]> [Active Directory]を選択します。
ステップ 2 [追加(Add)]をクリックして、ドメイン名および IDストア名を入力します。
ステップ 3 [送信(Submit)]をクリックします。新しく作成した参加ポイントをドメインに参加させるかどうかを尋ねるポップアップが表示されます。
すぐに参加させる場合は、[はい(Yes)]をクリックします。
設定を保存すると、Active Directoryのドメイン設定がグローバルに(プライマリおよびセカンダリのポリシーサービスノードに)保存されますが、いずれの Cisco ISEノードもまだドメインには参加していません。
ステップ 4 作成した新しいActiveDirectoryの参加ポイントの隣にあるチェックボックスをオンにして [編集(Edit)]をクリックするか、左側のナビゲーションウィンドウから新しい Active Directoryの参加ポイントをクリックします。すべての Cisco ISEノード、ノードロール、およびステータスを示す、導入環境の参加/脱退テーブルが表示されます。
ステップ 5 関連するCisco ISEノードの隣にあるチェックボックスをオンにして [参加(Join)]をクリックし、CiscoISEノードを Active Directoryドメインに参加させます。設定を保存していても、この操作を明示的に実行する必要があります。 1回の操作で複数の Cisco ISEノードをドメインに参加させるには、使用するアカウントのユーザ名とパスワードをすべての参加操作
で同じにする必要があります。異なるユーザ名とパスワードが各Cisco ISEノードの参加に必要な場合、Cisco ISEノードごとに参加操作を個別に実行する必要があります。
ステップ 6 Active Directoryのユーザ名とパスワードを入力します。参加操作に使用するユーザは、ドメイン自体に存在する必要があります。異なるドメインまたはサブド
メインに存在する場合、ユーザ名を [email protected]などの UPN表記法で示す必要があります。
ステップ 7 (任意) [組織単位の指定(Specify Organizational Unit)]チェックボックスをオンにします。Cisco ISEノードのマシンアカウントが CN=Computers、DC=someDomain、DC=someTLD以外の特定の組織単位にある場合、このチェックボックスをオンにする必要があります。Cisco ISEは、指定された組織単位の下にマシンアカウントを作成するか、マシンアカウントがすでに存在する場合はこの場所に移
動します。組織単位が指定されていない場合、Cisco ISEはデフォルトの場所を使用します。値は、完全識別名(DN)形式で指定する必要があります。構文は、Microsoftのガイドラインに準拠している必要があります。 /'+,;=<>などの特別に予約された文字、改行、スペース、およびキャリッジリターンは、バックスラッシュ(\)でエスケープする必要があります。たとえば、OU=Cisco ISE\,US,OU=ITServers,OU=Servers\, and Workstations,DC=someDomain,DC=someTLDのようにします。マシンアカウントがすでに作成されている場合、このチェックボックスをオンにする必要はありません。ActiveDirectoryドメインに参加した後にマシンアカウントの場所を変更することもできます。
ステップ 8 [OK]をクリックします。Active Directoryドメインに参加する複数のノードを選択できます。
参加操作に失敗した場合、失敗メッセージが表示されます。各ノードの失敗メッセージをクリックする
と、そのノードの詳細なログを表示できます。
9
参加が完了すると、Cisco ISEは、グループ SIDSが古い Cisco ISE 1.2形式のままになっているのかどうかを確認します。古い形式のままの場合、Cisco ISEは自動的に SID更新プロセスを開始します。このプロセスが完了したことを確認する必要があります。
(注)
DNS SRVレコードがない(ドメインコントローラが参加しようとしているドメインの SRVレコードをアドバタイズしていない)場合、Active Directoryドメインで Cisco ISEを参加させることができない場合があります。トラブルシューティング情報については、次のMicrosoftActive Directoryのマニュアルを参照してください。
(注)
• http://support.microsoft.com/kb/816587
• http://technet.microsoft.com/en-us/library/bb727055.aspx
次の作業
認証ドメインを設定します。
関連トピック
認証ドメインの設定, (11ページ)
Active Directory ドメインの脱退Active Directoryドメインまたはこの参加ポイントからユーザまたはマシンを認証する必要がなくなった場合、ActiveDirectoryドメインを脱退できます。
コマンドラインインターフェイスからCisco ISEアプリケーション設定をリセットしたり、バックアップまたはアップグレード後に設定を復元したりすると、すでに参加している場合は脱退操作が実行され、ActiveDirectoryドメインからCisco ISEノードが切断されます。ただし、Cisco ISEノードのアカウントは、Active Directoryドメインから削除されません。脱退操作は Active Directoryドメインからノードアカウントも削除するため、Active Directoryクレデンシャルを使用して管理者ポータルから脱退操作を実行することを推奨します。これは、Cisco ISEのホスト名を変更する場合にも推奨します。
はじめる前に
Active Directoryドメインを脱退するけれども、認証の IDソースとして(直接的に、または IDソース順序の一部として)Active Directoryを引き続き使用する場合、認証が失敗する可能性があります。
手順
ステップ 1 [管理(Administration)] > [IDの管理(IdentityManagement)] > [外部 IDソース(External Identity Sources)]> [Active Directory]を選択します。
ステップ 2 Cisco ISEノードの隣にあるチェックボックスをオンにして [脱退(Leave)]をクリックします。
ステップ 3 Active Directoryのユーザ名とパスワードを入力し、[OK]をクリックしてドメインを脱退し、Cisco ISEデータベースからマシンアカウントを削除します。
Active Directoryクレデンシャルを入力すると、Cisco ISEノードは Active Directoryドメインを脱退し、Active Directoryデータベースから Cisco ISEマシンアカウントを削除します。
10
ch
矩形
Change "Title,(page)" to "「Title」(page)" format.
Active Directoryデータベースから Cisco ISEマシンアカウントを削除するには、ここで指定する Active Directoryクレデンシャルにドメインからマシンアカウントを削除するアクセス許可が必要です。
(注)
ステップ 4 ActiveDirectoryクレデンシャルがない場合は、[使用可能なクレデンシャルなし(NoCredentialsAvailable)]チェックボックスをオンにして、[OK]をクリックします。[クレデンシャルなしでドメインを脱退(Leave domainwithout credentials)]チェックボックスをオンにすると、プライマリCisco ISEノードがActiveDirectoryドメインを脱退します。ActiveDirectory管理者は、参加させるときに Active Directoryで作成されたマシンアカウントを手動で削除する必要があります。
認証ドメインの設定
Cisco ISEが参加しているドメインには、信頼関係がある他のドメインに対して可視性があります。デフォルトでは、Cisco ISEはこれらすべての信頼ドメインの認証を許可するように設定されています。 Active Directory導入環境との相互作用を認証ドメインのサブセットに限定できます。認証ドメインを設定すると、選択したドメインに対してのみ認
証が実行されるように、各参加ポイントに特有のドメインを選択できます。認証ドメインを使用すると、参加ポイン
トから信頼されているすべてのドメインではなく、選択したドメインからのユーザのみが Cisco ISEで認証されるようになるため、セキュリティが向上します。また、認証ドメインは検索領域(つまり、着信ユーザ名または IDに一致するアカウントを検索する領域)を制限するため、認証要求処理のパフォーマンスも向上し、遅延も減少します。これ
は、着信ユーザ名または IDにドメインマークアップ(プレフィクスまたはサフィックス)が含まれていない場合に特に重要です。これらの理由から、認証ドメインを設定することをベストプラクティスとして強く推奨します。
手順
ステップ 1 [管理(Administration)] > [IDの管理(IdentityManagement)] > [外部 IDソース(External Identity Sources)]> [Active Directory]を選択します。
ステップ 2 [認証ドメイン(Authentication Domains)]タブをクリックします。テーブルに、信頼ドメインのリストが表示されます。デフォルトでは、Cisco ISEはすべての信頼ドメインに対して認証を許可します。
ステップ 3 指定したドメインのみを許可するには、[すべてのActive Directoryドメインを認証に使用(Use all ActiveDirectory domains for authentication)]チェックボックスをオフにします。
ステップ 4 認証を許可するドメインの隣のチェックボックスをオンにして、[選択の有効化(EnableSelected)]をクリックします。 [認証(Authenticate)]列で、このドメインのステータスが [可(Yes)]に変わります。選択したドメインを無効にすることもできます。
ステップ 5 [使用できないドメインの表示(Show Unusable Domains)]をクリックして、使用できないドメインのリストを表示します。使用できないドメインは、単方向の信頼、選択的認証などの理由から Cisco ISEが認証に使用できないドメインです。
11
次の作業
Active Directoryのユーザグループを設定します。
サポートされるグループタイプ
Cisco ISEでは、次のセキュリティグループタイプがサポートされています。
•ユニバーサル
•グローバル
•組み込み
組み込みグループには、ドメインで一意のセキュリティ ID(SID)がありません。これを解決するために、CiscoISEはグループが属する SIDにドメイン名を使用してプレフィクスを付けます。
Cisco ISEは、AD属性の tokenGroupsを使用して、ユーザのグループメンバーシップを評価します。 Cisco ISEマシンアカウントには、tokenGroups属性を読み取るためのアクセス許可が必要です。この属性には、ユーザがメンバーである可能性がある最初の約 1015グループを含めることができます(実際の数は Active Directory設定によって異なり、ActiveDirectoryを再設定することで増やすことができます)。ユーザが属するグループの数がこれを超える場合、CiscoISEではポリシールールの最初の 1015個までを使用します。
Active Directory のユーザグループの設定Active Directoryのユーザグループを、認可ポリシーで使用できるように設定する必要があります。内部的に、CiscoISEでは、グループ名のあいまいさの問題の解決や、グループマッピングの改善に役立てるために、セキュリティ ID(SID)を使用します。 SIDは、正確なグループ割り当ての一致を実現します。
手順
ステップ 1 [管理(Administration)] > [IDの管理(IdentityManagement)] > [外部 IDソース(External Identity Sources)]> [Active Directory]を選択します。
ステップ 2 [グループ(Groups)]タブをクリックします。
ステップ 3 次のいずれかを実行します。
a) [追加(Add)] > [ディレクトリからグループを選択(Select Groups From Directory)]を選択し、既存のグループを選択します。
b) [追加(Add)] > [グループの追加(AddGroup)]を選択し、手動でグループを追加します。グループ名と SIDの両方を指定するかグループ名のみを指定して、[SIDの取得(Fetch SID)]を押します。
ユーザインターフェイスにログインするためのグループ名には、二重引用符(")を使用しないでください。
ステップ 4 グループを手動で選択している場合は、フィルタを使用して検索できます。たとえば、フィルタ基準と
して admin*と入力し、[グループの取得(Retrieve Groups)]をクリックすると、adminで始まるユーザ
12
グループが表示されます。アスタリスク(*)ワイルドカード文字を入力して、結果をフィルタ処理することもできます。一度に取得できるグループは 500のみです。
ステップ 5 認可ポリシーで使用できるようにするグループについて、その隣にあるチェックボックスをオンにして、
[OK]をクリックします。
ステップ 6 グループを手動で追加する場合は、新しいグループの名前と SIDを入力します。
ステップ 7 [OK]をクリックします。
ステップ 8 [保存(Save)]をクリックします。グループを削除し、元と同じ名前で新しいグループを作成する場合は、[SID値の更新(UpdateSID Values)]をクリックして新しい SIDを新しく作成したグループに割り当てる必要があります。アップグレード後、SIDは最初の参加の後に自動的に更新されます。
(注)
次の作業
Active Directoryのユーザ属性を設定します。
Active Directory のユーザおよびマシン属性の設定Active Directoryのユーザおよびマシン属性を認可ポリシーの条件で使用できるように設定する必要があります。
手順
ステップ 1 [管理(Administration)] > [IDの管理(IdentityManagement)] > [外部 IDソース(External Identity Sources)]> [Active Directory]を選択します。
ステップ 2 [属性(Attributes)]タブをクリックします。
ステップ 3 [追加(Add)] > [属性の追加(Add Attribute)]を選択して手動で属性を追加するか、[追加(Add)] >[ディレクトリから属性を選択(Select Attributes From Directory)]を選択してディレクトリから属性のリストを選択します。
ステップ 4 ディレクトリから属性を追加することを選択した場合、ユーザ名を [ユーザまたはマシンアカウントのサンプル(Sample User or Machine Account)]フィールドに入力し、[属性の取得(Retrieve Attributes)]をクリックしてユーザの属性のリストを取得します。たとえば、管理者属性のリストを取得するには、
administratorと入力します。アスタリスク(*)ワイルドカード文字を入力して、結果をフィルタ処理することもできます。
サンプルユーザ名を入力するときは、Cisco ISEが接続されている Active Directoryドメインからユーザを選択してください。マシン属性を取得するためにサンプルマシンを選択するとき
は、マシン名に「host/」というプレフィクスを付加するか、SAM$形式を使用します。たとえば、host/myhostを使用する場合があります。属性の取得時に表示されるサンプル値は説明のみを目的としており、保存されません。
(注)
ステップ 5 選択する Active Directoryの属性の隣にあるチェックボックスをオンにし、[OK]をクリックします。
ステップ 6 属性を手動で追加する場合は、新しい属性の名前を入力します。
ステップ 7 [保存(Save)]をクリックします。
13
Active Directory 認証のユーザのテストテスト認証は、エンドユーザの認証および認可に関する問題のトラブルシューティングに役立ちます。ユーザのテス
ト機能を使用して、ユーザ認証を検証できます。任意でグループおよび属性を取得して検査できます。単一の参加ポ
イントまたはスコープのテストを実行できます。
手順
ステップ 1 [管理(Administration)] > [IDの管理(IdentityManagement)] > [外部 IDソース(External Identity Sources)]> [Active Directory]を選択します。
ステップ 2 次のいずれかのオプションを選択します。
•すべての参加ポイントでテストを実行するには、[拡張ツール(Advanced Tools)] > [すべての参加ポイントのユーザのテスト(Test User for All Join Points)]を選択します。
•特定の参加ポイントのテストを実行するには、参加ポイントを選択して [編集(Edit)]をクリックします。 Cisco ISEノードを選択し、[ユーザのテスト(Test User)]をクリックします。
ステップ 3 Active Directoryのユーザ(またはホスト)のユーザ名とパスワードを入力します。
ステップ 4 認証タイプを選択します。ルックアップ認証タイプを選択した場合、手順 3のパスワード入力は必要ありません。
ステップ 5 すべての参加ポイントにこのテストを実行している場合は、このテストを実行するCisco ISEノードを選択します。
ステップ 6 グループおよび属性を取得する場合は、チェックボックスをオンにします。
ステップ 7 [テスト(Test)]をクリックします。テストの結果と操作手順が表示されます。この手順は、失敗の原因の特定とトラブルシューティングに
役立ちます。
Active Directory の Multi-Join 設定のサポートCisco ISEでは、Active Directoryドメインへの複数参加がサポートされます。Cisco ISEでは、最大 50のActive Directory参加がサポートされます。 Cisco ISEは、双方向信頼がなく、相互の信頼がゼロである複数のActive Directoryドメインと接続できます。 Active Directoryのマルチドメイン参加は、各参加の独自のグループ、属性、および認可ポリシーを持つ個別の Active Directoryドメインのセットで構成されます。
同じフォレストに複数回参加できます。つまり、必要に応じて、同じフォレスト内の複数のドメインに参加できます。
Cisco ISEは、一方向の信頼でドメインに参加できます。このオプションは、一方向の信頼によって発生するアクセス許可の問題をバイパスできます。信頼ドメインのいずれかに参加して、両方のドメインを確認できます。
14
•参加ポイント:Cisco ISEでは、Active Directoryドメインへの個別の参加は、参加ポイントと呼ばれます。 ActiveDirectoryの参加ポイントは、Cisco ISE IDストアであり、認証ポリシーで使用できます。参加ポイントには属性およびグループの関連ディクショナリがあり、これを認可の条件で使用できます。
•スコープ:グループ化されたActive Directoryの参加ポイントのサブセットは、スコープと呼ばれます。単一の参加ポイントの代わりに、認証結果として、認証ポリシーでスコープを使用できます。スコープは、複数の参加ポ
イントに対するユーザの認証に使用されます。各参加ポイントに複数のルールを使用する代わりにスコープを使
用すると、1つのルールで同じポリシーを作成して、Cisco ISEが要求を処理する時間を削減でき、パフォーマンスの向上に役立ちます。参加ポイントは、複数のスコープに存在できます。スコープは、IDソース順序に含めることができます。認可ポリシー条件では、スコープに関連するディクショナリがないため、スコープを使用する
ことができません。
Cisco ISEの新規インストールを実行すると、デフォルトではスコープは存在しません。これは、ノースコープモードと呼ばれます。スコープを追加すると、Cisco ISEはマルチスコープモードになります。必要に応じて、ノースコープモードに戻すことができます。すべての参加ポイントは、Active Directoryフォルダに移動されます。
• Initial_Scopeは、ノースコープモードで追加された Active Directory参加ポイントを保存するために使用される暗黙のスコープです。マルチスコープモードが有効な場合、すべての Active Directory参加ポイントは自動作成された Initial_Scopeに移動されます。 Initial_Scopeの名前を変更できます。
• All_AD_Instancesは、Active Directory設定に表示されない組み込み疑似スコープです。これは、ポリシーおよび ID順序に認証結果としてのみ表示されます。 Cisco ISEで設定されたすべての Active Directory参加ポイントを選択する場合は、このスコープを選択できます。
ID ソース順序と認証ポリシーのスコープおよび参加ポイントCisco ISEでは、複数の Active Directoryの参加ポイントを定義できます。各参加ポイントは、異なる Active Directoryドメインへの接続を表します。各参加ポイントは、個別の IDストアとして、認証ポリシー、認可ポリシーおよび ID順序で使用できます。参加ポイントをグループ化して、認証ポリシーで、認証結果として、および IDソース順序で使用できる、スコープにすることができます。
各参加ポイントを完全に独立したポリシーグループとして処理する場合は、認証ポリシーの結果として、または IDソース順序で、個々の参加ポイントを選択できます。たとえば、Cisco ISE導入環境で、独自のネットワークデバイスを持つ独立したグループがサポートされるマルチテナントシナリオでは、ネットワークデバイスグループを ActiveDirectoryドメインの選択に使用できます。
ただし、ActiveDirectoryドメインが、ドメイン間に信頼がない同じ企業の一部と見なされる場合は、スコープを使用して、接続されていない複数の Active Directoryドメインを結合し、共通の認証ポリシーを作成することができます。これにより、異なる IDストアによって表されるすべての参加ポイントを認証ポリシーで定義する必要がなくなるため、各ドメインのためのルールが重複することを回避できます。使用される実際の参加ポイントは、認可ポリシーによっ
て使用される認証 IDストアに含まれます。
ユーザ名が同じで、複数のドメインに複数の IDがある場合、IDのあいまいさが発生します。たとえば、ドメインマークアップのないユーザ名が一意ではなく、Cisco ISEが EAP-TLSなどのパスワードのないプロトコルを使用するように設定されている場合、適切なユーザを検索する他の基準がないため、Cisco ISEはあいまいな IDエラーで認証に失敗します。このようなあいまいな IDが出現した場合、認証ポリシールールで特定のスコープや参加ポイントを使用するか、IDソース順序を使用できます。たとえば、特定のネットワークデバイスグループのユーザが特定のActiveDirectory
15
スコープまたは単一の参加ポイントを使用するようにして、検索スコープを制限することができます。同様に、IDが@some.domainで終了する場合は特定のActiveDirectoryの参加ポイントを使用するなどのルールを作成できます。このことは、適切な参加ポイントで認証が行われるようにするのに役立ちます。
Active Directory の参加ポイントに追加する新しいスコープの作成
手順
ステップ 1 [管理(Administration)] > [IDの管理(IdentityManagement)] > [外部 IDソース(External Identity Sources)]> [Active Directory]を選択します。
ステップ 2 [スコープモード(Scope Mode)]をクリックします。Initial_Scopeと呼ばれるデフォルトスコープが作成され、現在の参加ポイントがすべてこのスコープの下に置かれます。
ステップ 3 さらにスコープを作成するには、[追加(Add)]をクリックします。
ステップ 4 新しいスコープの名前と説明を入力します。
ステップ 5 [送信(Submit)]をクリックします。
読み取り専用ドメインコントローラ
次の操作が読み取り専用ドメインコントローラでサポートされます。
• Kerberosユーザ認証
•ユーザルックアップ
•属性およびグループの取得
Active Directory でサポートされる認証プロトコルおよび機能Active Directoryは、いくつかのプロトコルを使用した、ユーザおよびマシン認証や Active Directoryユーザパスワード変更などの機能をサポートします。次の表に、Active Directoryでサポートされる認証プロトコルとそれぞれの機能を示します。
表 1:Active Directory でサポートされる認証プロトコル
機能認証プロトコル
MS-CHAPv2および EAP-GTCという内部方式によるEAP-FASTとPEAPを使用した、ユーザおよびマシン認証とパスワード変更
EAP-FASTおよびパスワードベースの保護拡張認証プロトコル(PEAP)
16
ch
矩形
Apply italic font to the whole caption.
機能認証プロトコル
ユーザおよびマシン認証パスワード認証プロトコル(PAP)
ユーザおよびマシン認証Microsoft Challenge Handshake Authentication ProtocolVersion 1(MS-CHAPv1)
ユーザおよびマシン認証Microsoft Challenge Handshake Authentication Protocolversion 2(MS-CHAPv2)
ユーザおよびマシン認証Extensible Authentication Protocol-Generic Token Card(EAP-GTC)
•ユーザおよびマシン認証
•グループおよび属性取得
•証明書のバイナリ比較
Extensible Authentication Protocol-Transport Layer Security(EAP-TLS)
•ユーザおよびマシン認証
•グループおよび属性取得
•証明書のバイナリ比較
Extensible Authentication Protocol- Flexible Authenticationvia Secure Tunneling-Transport Layer Security(EAP-FAST-TLS)
•ユーザおよびマシン認証
•グループおよび属性取得
•証明書のバイナリ比較
Protected Extensible Authentication Protocol-Transport LayerSecurity(PEAP-TLS)
ユーザ認証Lightweight Extensible Authentication Protocol(LEAP)
Active Directory のユーザ認証プロセスフローCisco ISEでは、ユーザを認証またはクエリーするときに次のことをチェックします。
• MS-CHAPおよび PAP認証では、ユーザが無効か、ロックされているか、期限切れか、またはログイン時間外かどうかが確認され、これらの条件のいくつかを満たす場合、認証は失敗します。
• EAP-TLS認証では、ユーザが無効かまたはロックされているかどうかが確認され、これらの条件のいくつかを満たす場合、認証は失敗します。
また、上記の条件(ユーザが無効など)を満たす場合は、IdentityAccessRestricted属性を設定できます。IdentityAccessRestricted属性は、レガシーポリシーをサポートするために設定します。Cisco ISE 1.3ではこのような条件(ユーザが無効など)を満たす場合は認証が失敗するため、この属性は必要ありません。
17
サポートされるユーザ名の形式
次に、サポートされるユーザ名のタイプを示します。
• SAM(例:jdoe)
• NetBIOSプレフィクス付きの SAM(例:ACME\jdoe)
• UPN(例:[email protected])
• Alt UPN(例:[email protected])
•サブツリー(例:[email protected])
• SAMマシン(例:laptop$)
• NetBIOSプレフィクス付きのマシン(例:ACME\laptop$)
• FQDN DNSマシン(例:host/laptop.acme.com)
•ホスト名のみのマシン(例:host/laptop)
Active Directory のパスワードベース認証パスワード認証プロトコル(PAP)とMicrosoftチャレンジハンドシェイク認証プロトコル(MS-CHAP)は、パスワードベース認証です。MS-CHAPクレデンシャルは、MS-RPCによってのみ認証できます。 Cisco ISEでは PAP認証に 2つのオプション(MS-RPCおよび Kerberos)があります。MS-RPCも Kerberosも同様にセキュアなオプションです。PAP認証のMS-RPCはデフォルトであり、次の理由から推奨されるオプションです。
• MS-CHAPとの一貫性
•より明確なエラーレポートの提供
• Active Directoryとのより効率的な通信MS-RPCの場合、Cisco ISEは参加しているドメインのみからドメインコントローラに認証要求を送信し、そのドメインコントローラが要求を処理します。
Kerberosの場合、Cisco ISEは、参加しているドメインからユーザのアカウントドメインまで Kerberosのリフェラルに従う必要があります(つまり、Cisco ISEは参加しているドメインからユーザのアカウントドメインへの信頼パスにあるすべてのドメインと通信する必要があります)。
Cisco ISEは、ユーザ名の形式を確認し、ドメインマネージャを呼び出して適切な接続を検索します。アカウントドメインのドメインコントローラが検出されたら、Cisco ISEはそれに対してユーザを認証しようとします。パスワードが一致すると、ユーザにネットワークへのアクセス権が付与されます。
パスワードベースのマシン認証は、マシン名がホスト/プレフィクス形式であることを除き、ユーザベース認証によく似ています。この形式(DNSネームスペース)では、Cisco ISEはそのまま認証することはできません。認証する前に、NetBIOSのプレフィクスが付いた SAM形式に変換します。
18
証明書ベースの認証の Active Directory 証明書の取得Cisco ISEでは、EAP-TLSプロトコルを使用するユーザおよびマシン認証のための証明書取得がサポートされています。Active Directory上のユーザまたはマシンレコードには、バイナリデータ型の証明書属性が含まれています。この証明書属性に 1つ以上の証明書を含めることができます。 Cisco ISEは、この属性を userCertificateとして識別します。この属性に他の名前を設定することはできません。CiscoISEは、この証明書を取得してバイナリ比較の実行に使用します。
証明書認証プロファイルは、証明書の取得に使用される Active Directoryユーザをルックアップするためにユーザ名を取得するフィールドを特定します([サブジェクトの別名(Subject Alternative Name)(SAN)]、[共通名(CommonName)]など)。Cisco ISEは証明書を取得した後、この証明書とクライアント証明書とのバイナリ比較を実行します。複数の証明書を受信した場合、CiscoISEは証明書を比較して一致するかどうかをチェックします。一致している場合、ユーザまたはマシンの認証が成功します。
証明書認証プロファイルの追加
Extensible Authentication Protocol-Transport Layer Security(EAP-TLS)証明書ベースの認証方式を使用する場合は、証明書認証プロファイルを作成する必要があります。従来のユーザ名とパスワードの方法で認証する代わりに、Cisco ISEはクライアントから受信した証明書とサーバの証明書を比較し、ユーザの信頼性を検証します。
はじめる前に
スーパー管理者またはシステム管理者である必要があります。
手順
ステップ 1 [管理(Administration)] > [IDの管理(IdentityManagement)] > [外部 IDソース(External Identity Sources)]> [証明書認証プロファイル(Certificate Authentication Profile)] > [追加(Add)]を選択します。
ステップ 2 証明書認証プロファイルの名前と説明(任意)を入力します。
ステップ 3 ドロップダウンリストから IDストアを選択します。基本の証明書チェックに IDソースは必要ありません。証明書のバイナリ比較チェックが必要な場合は、IDソースを選択する必要があります。 Active Directoryを IDソースとして選択している場合は、サブジェクト名、共通名、およびサブジェクトの別名(すべての値)を使用してユーザを検索できます。
ステップ 4 [証明書属性(Certificate Attribute)]または [証明書のサブジェクト名または代替名の属性(Any Subjector Alternative Name Attributes in the Certificate)]から IDの使用を選択できます。これは、ログでルックアップに使用されます。
[証明書のサブジェクト名または代替名の属性(AnySubject or AlternativeNameAttributes in theCertificate)]を選択すると、Active Directory UPNはログのユーザ名として使用され、証明書のすべてのサブジェクト名および代替名でユーザの検索が試行されます。このオプションは、Active Directoryを IDソースとして選択した場合にのみ使用できます。
ステップ 5 [クライアント証明書と IDストア内の証明書の照合(Match Client Certificate Against Certificate In IdentityStore)]を使用するタイミングを選択します。この場合、IDソースを選択する必要があります(LDAPまたはActive Directory)。Active Directoryを選択すると、IDのあいまいさを解決するためにのみ証明書を照合することを選択できます。
19
• [実行しない(Never)]:このオプションではバイナリ比較を実行しません。
• [IDのあいまいさを解決するためにのみ(Only to resolve identity ambiguity)]:このオプションでは、あいまいさが見つかった場合にのみ、クライアント証明書とActiveDirectoryのアカウント証明書のバイナリ比較を実行します。たとえば、証明書の ID名に一致する複数の Active Directoryアカウントが見つかります。
• [常にバイナリ比較を実行(Always perform binary comparison)]:このオプションでは、常にクライアント証明書と IDストア内(Active Directoryまたは LDAP)のアカウント証明書のバイナリ比較を実行します。
ステップ 6 [送信(Submit)]をクリックして、証明書認証プロファイルを追加するか、変更を保存します。
パスワードの変更、マシン認証、およびマシンアクセス制限設定の変更
はじめる前に
Active Directoryドメインに Cisco ISEを参加させる必要があります。
手順
ステップ 1 [管理(Administration)] > [IDの管理(IdentityManagement)] > [外部 IDソース(External Identity Sources)]> [Active Directory]を選択します。
ステップ 2 [高度な設定(Advanced Settings)]タブをクリックします。
ステップ 3 必要に応じて、パスワードの変更、マシン認証、およびマシンアクセス制限(MAR)設定を変更します。
これらのオプションは、デフォルトで有効になっています。
ステップ 4 プレーンテキスト認証に Kerberosを使用する場合は、[プレーンテキスト認証に Kerberosを使用(UseKerberos for Plain Text Authentications)]チェックボックスをオンにします。デフォルトおよび推奨のオプションはMS-RPCです。 Kerberosは ISE 1.2で使用されます。
関連トピック
Active Directoryのパスワードベース認証, (18ページ)
Active Directory インスタンスに対する認可ここでは、Cisco ISEがActiveDirectoryに対するユーザまたはマシンの認可に使用するメカニズムについて説明します。
20
ch
矩形
Change "Title,(page)" to "「Title」(page)" format.
認可ポリシーで使用する Active Directory の属性およびグループの取得Cisco ISEは、認可ポリシールールで使用するためにActive Directoryからユーザまたはマシンの属性およびグループを取得します。これらの属性をCisco ISEポリシーで使用して、ユーザまたはマシンの承認レベルを決定することができます。 Cisco ISEは、認証が成功した後にユーザおよびマシンのActive Directory属性を取得します。また、認証とは別に、認可のために属性を取得することもできます。
Cisco ISEでは、外部 IDストアのグループを使用して、ユーザまたはコンピュータに対して、たとえばスポンサーグループにユーザをマップするためのアクセス許可を割り当てる場合があります。 Active Directoryのグループメンバーシップの次の制限事項に注意する必要があります。
•ポリシールール条件は、ユーザまたはコンピュータのプライマリグループ、ユーザまたはコンピュータが直接メンバーであるグループ、または間接的な(ネストされた)グループのいずれかを参照します。
•ユーザまたはコンピュータのアカウントドメイン外のドメインローカルグループはサポートされません。
属性およびグループは、参加ポイントごとに取得および管理されます。これらは認可ポリシーで使用されます(まず
参加ポイントを選択してから属性を選択します)。認可のスコープごとに属性やグループを定義することはできませ
んが、認証ポリシーにスコープを使用することはできます。認証ポリシーでスコープを使用する場合、ユーザは 1つの参加ポイント経由で認証されますが、属性やグループは、ユーザのアカウントドメインへの信頼できるパスがある
別の参加ポイントから取得される可能性があります。認証ドメインを使用すると、認証ドメインにおいて、1つのスコープで 2つの参加ポイントがオーバーラップしないことを保障できます。
使用可能なActive Directoryグループの最大数に関するMicrosoftの制限については、次のURLを参照してください。http://technet.microsoft.com/en-us/library/active-directory-maximum-limits-scalability(v=WS.10).aspx
(注)
/!@\#$%^&*()_+~のような特殊文字を使用した Active Directoryグループ名がルールに含まれる場合、認可ポリシーは失敗します。
認可ポリシーのディクショナリ属性
認可ポリシーは、ディクショナリ属性に基づく条件によって決定されます。 Active Directoryの各参加ポイントには、属性およびグループを含む関連ディクショナリがあります。
説明属性ディクショナリ
この属性は、参加ポイントがユーザ
認証に使用されたことを示します。
AD-User-Join-Pointネットワークアクセス
この属性は、参加ポイントがマシン
認証に使用されたことを示します。
AD-Host-Join-Pointネットワークアクセス
この属性は、ドメインDNS修飾名がユーザ認証に使用されたことを示し
ます。
AD-User-DNS-Domainネットワークアクセス
21
説明属性ディクショナリ
この属性は、ドメインDNS修飾名がマシン認証に使用されたことを示し
ます。
AD-Host-DNS-Domainネットワークアクセス
この属性は、IDストアがマシン認証に使用されたことを示します。
MachineAuthenticationIdentityStoreネットワークアクセス
この属性は、ユーザのマシンが認証
済みかどうかを示します。
WasMachineAuthenticatedネットワークアクセス
この属性は、ユーザが属する ActiveDirectoryグループを示します。
ExternalGroups参加ポイント
この属性は、ユーザアカウントが無
効になっていること、またはログイ
ン時間外でアクセス権が付与されて
いないことを示します。
IdentityAccessRestricted参加ポイント
この属性は、ユーザの ActiveDirectory属性を示します。
<ATTR name>参加ポイント
ID 書き換えID書き換えの拡張機能を使用すると、外部の Active Directoryシステムに渡す前に、Cisco ISEによって IDが操作されます。ドメインプレフィクスやサフィックスを含める、または除外することによって IDを適切な形式に変更するルールや、その他の任意の追加マークアップを作成することができます。
IDのリライトルールは、件名検索、認証、および認可クエリーなどの操作に対して、Active Directoryに渡す前に、クライアントから受信したユーザ名またホスト名に適用されます。 Cisco ISEは条件のトークンを照合します。最初の 1つが一致すると、Cisco ISEはポリシーの処理を停止し、結果に従って ID文字列を書き換えます。
書き換え処理では、角カッコ []で囲まれたすべての内容([IDENTITY]など)は変数であり、評価側で評価されるのではなく、文字列内のその位置に一致する文字列が追加されます。角カッコのないすべての内容は、ルールの評価側お
よび書き換え側の両方で固定文字列として評価されます。
次に、ID書き換えの例をいくつか示します。ユーザが入力した IDは ACME\jdoeであるとします。
• IDが ACME\[IDENTITY]と一致する場合、[IDENTITY]に書き換えます。
結果は jdoeになります。このルールによって、Cisco ISEは、ACMEプレフィクスを含むすべてのユーザ名を削除します。
• IDが ACME\[IDENTITY]と一致する場合、[IDENTITY]@ACME.comに書き換えます。
結果は [email protected]になります。このルールによって、Cisco ISEは、サフィックス表記法のプレフィクスまたは NetBIOS形式から UPN形式に形式を変更します。
22
• IDが ACME\[IDENTITY]と一致する場合、ACME2\[IDENTITY]に書き換えます。
結果は ACME2\jdoeになります。このルールによって、Cisco ISEは、特定のプレフィクスを含むすべてのユーザ名を代替プレフィクスに変更します。
• IDが [ACME]\jdoe.USAと一致する場合、[IDENTITY]@[ACME].comに書き換えます。
結果は jdoe\ACME.comになります。このルールによって、Cisco ISEは、ドットの後のレルム(この場合は国)を削除し、適切なドメインと置き換えます。
• IDが E=[IDENTITY]と一致する場合、[IDENTITY]に書き換えます。
結果は jdoeになります。これは、IDが証明書から取得され、フィールドは電子メールアドレスで、ActiveDirectoryは件名で検索するように設定されている場合に作成できるルールの例です。このルールによって、Cisco ISEは、「E=」を削除します。
• IDが E=[EMAIL],[DN]と一致する場合、[DN]に書き換えます。
このルールは、証明書の件名を [email protected]、CN=jdoe、DC=acme、DC=comから純粋な DN、CN=jdoe、DC=acme、DC=comに変換します。これは、IDが証明書の件名から取得され、Active Directoryは DNでユーザを検索するように設定されている場合に作成できるルールの例です。このルールによって、Cisco ISEは、電子メールのプレフィクスを削除し、DNを生成します。
次に、IDのリライトルールの記述でよく発生する間違いをいくつか示します。
• IDが [DOMAIN]\[IDENTITY]と一致する場合、[IDENTITY]@DOMAIN.comに書き換えます。
結果は [email protected]になります。このルールでは、ルールの書き換え側に角カッコ []の [DOMAIN]がありません。
• IDが DOMAIN\[IDENTITY]と一致する場合、[IDENTITY]@[DOMAIN].comに書き換えます。
ここでも、結果は [email protected]になります。このルールでは、ルールの評価側に角カッコ []の [DOMAIN]がありません。
IDのリライトルールは、常に、Active Directoryの参加ポイントのコンテキスト内で適用されます。認証ポリシーの結果としてスコープが選択されていても、リライトルールは各ActiveDirectoryの参加ポイントに適用されます。EAP-TLSを使用する場合、これらのリライトルールは証明書から取得される IDにも適用されます。
ID 書き換えの有効化
この設定タスクは任意です。この設定タスクを実行すると、あいまいな IDエラーなどのさまざまな理由のために発生する認証エラーを減らすことができます。
(注)
はじめる前に
Active Directoryドメインに Cisco ISEを参加させる必要があります。
23
手順
ステップ 1 [管理(Administration)] > [IDの管理(IdentityManagement)] > [外部 IDソース(External Identity Sources)]> [Active Directory]を選択します。
ステップ 2 [高度な設定(Advanced Settings)]タブをクリックします。
ステップ 3 [ID書き換え(Identity Rewrite)]セクションで、リライトルールを適用してユーザ名を変更するのかどうかを選択します。
ステップ 4 一致条件および書き換え結果を入力します。表示されるデフォルトルールを削除し、必要に応じてルー
ルを入力することができます。Cisco ISEは、ポリシーを順番に処理します。要求ユーザ名に一致する最初の条件が適用されます。一致するトークン(角カッコで囲まれたテキスト)を使用して、元のユーザ
の要素を結果に転送できます。いずれのルールにも一致しない場合、ID名は変更されません。 [テストの起動(Launch Test)]ボタンをクリックすると、書き換え処理をプレビューできます。
ID 解決の設定いくつかのタイプの IDには、プレフィクスまたはサフィックスなどのドメインマークアップが含まれています。たとえば、ACME\jdoeのようなNetBIOS IDでは「ACME」がドメインマークアッププレフィクスで、[email protected]のようなUPN IDでは「acme.com」がドメインマークアップサフィックスになります。ドメインプレフィクスは、組織内の Active Directoryドメインの NetBIOS(NTLM)名に一致し、ドメインサフィックスは、組織内の Active Directoryドメインの DNS名または代替 UPNサフィックスに一致する必要があります。たとえば、[email protected]は、gmail.comが Active Directoryドメインの DNS名でないため、ドメインマークアップなしとして処理されます。
ID解決の設定によって、重要な設定を構成して、Active Directory導入環境に対応するようにセキュリティおよびパフォーマンスバランスを調整することができます。これらの設定を使用すると、ドメインマークアップのないユーザ
名およびホスト名の認証を調整できます。 Cisco ISEがユーザのドメインを認識しない場合、すべての認証ドメインでユーザを検索するように設定することができます。ユーザが 1つのドメインで検出されても、Cisco ISEは IDのあいまいさがないことを保障するためにすべての応答を待ちます。このプロセスは、ドメインの数、ネットワークの遅延、
負荷などによって時間がかかることがあります。
ID 解決の問題の回避認証時にユーザおよびホストの完全修飾名(つまり、ドメインマークアップ付き名前)を使用することを強く推奨し
ます。たとえば、ユーザの UPNと NetBIOS名およびホストの FQDN SPNなどです。複数の Active Directoryアカウントが着信ユーザ名と一致する(たとえば、jdoeが [email protected]および [email protected]と一致する)などのあいまいエラーが頻繁に発生する場合には、このことが特に重要になります。場合によっては、完全修飾名の使用が
問題を解決する唯一の方法になります。また、ユーザのパスワードが一意であることを保証するのみで十分な場合も
あります。したがって、最初に一意の IDを使用すると、効率が向上し、パスワードのロックアウト問題の発生が少なくなります。
24
ID 解決の設定
この設定タスクは任意です。この設定タスクを実行すると、あいまいな IDエラーなどのさまざまな理由のために発生する認証エラーを減らすことができます。
(注)
はじめる前に
Active Directoryドメインに Cisco ISEを参加させる必要があります。
手順
ステップ 1 [管理(Administration)] > [IDの管理(IdentityManagement)] > [外部 IDソース(External Identity Sources)]> [Active Directory]を選択します。
ステップ 2 [高度な設定(Advanced Settings)]タブをクリックします。
ステップ 3 [ID解決(Identity Resolution)]セクションで、ユーザ名またはマシン名の ID解決について次の設定を定義します。この設定によって、ユーザ検索および認証に高度な制御が提供されます。
最初の設定は、マークアップのない ID用です。このような場合、次のオプションのいずれかを選択できます。
• [要求の拒否(Reject the request)]:このオプションは、SAM名などのドメインマークアップを持たないユーザの認証を拒否します。このことは、参加しているすべてのグローバルカタログの IDをCisco ISEが調べる必要があるために、セキュリティが低くなるMulti-Joinドメインにおいて役立ちます。このオプションでは、ユーザは強制的にドメインマークアップ付きの名前を使用します。
• [参加しているフォレストの「認証ドメイン」でのみ検索(Only search in the "AuthenticationDomains"from the joined forest)]:このオプションは、認証ドメインセクションで指定された参加ポイントのフォレスト内のドメインでのみ IDを検索します。これは、デフォルトオプションで、SAMアカウント名に対する Cisco ISE 1.2の動作と同じです。
• [すべての「認証ドメイン」セクションを検索(Search in all the "AuthenticationDomains" sections)]:このオプションは、すべての信頼できるフォレスト内のすべての認証ドメインの IDを検索します。これによって、遅延が増加したり、パフォーマンスに影響したりする可能性があります。
選択は、認証ドメインの Cisco ISEでの設定に基づいています。特定の認証ドメインのみが選択されている場合、(「参加しているフォレスト」または「すべてのフォレスト」選択の両方で)それらのドメ
インのみが検索されます。
2番目の設定は、Cisco ISEがすべてのグローバルカタログ(GC)と通信できない場合に使用されます。この設定は、[認証ドメイン(Authentication Domains)]セクションで指定された設定に従うために必要です。このような場合、次のオプションのいずれかを選択できます。
• [使用可能なドメインを続行(Proceed with available domains)]:このオプションは、使用可能なドメイン内に一致が見つかると認証を続行します。
25
• [要求をドロップ(Drop the request)]:このオプションは、ID解決で到達できないまたは使用できないドメインを検出した場合に認証要求をドロップします。
サンプルシナリオ
ここでは、Cisco ISEと Active Directoryの設定フローに関するいくつかの基本的なシナリオについて説明します。
企業の買収
シナリオ
企業 abc.comが、企業 xyz.comを買収または合併しました。 abc.comの管理者として、abc.comおよび xyz.comの両方のユーザが同じ物理ネットワークにアクセスできる統合されたネットワーク認証インフラストラクチャを実現しようと
考えています。
必要な設定
abc.comの単一の Active Directory参加ポイントがすでに設定されています。信頼できない Active Directoryインフラストラクチャを追加するには、次の操作を実行します。
1 スコープモードにして Initial_Scopeを追加します。
2 xyz.comの新しい参加ポイントを追加します。
図 1:Initial_Scope 内に作成された参加ポイント
26
ch
矩形
Apply italic font to the whole caption.
3 認証ポリシーを設定し、すべての認証の結果として Initial_Scopeを選択します。
図 2:認証ポリシーの結果として選択された Initial_Scope
上記の設定を実行することによって、いずれかの会社のActive Directoryのユーザを検索するように Cisco ISEを設定するためのスコープを作成しました。スコープを使用することで、ネットワークで、複数の Active Directoryインフラストラクチャに対して、それらが完全に切断されている場合や相互に信頼していない場合にも、認証を実行できます。
マルチテナント
シナリオ
マルチテナントのシナリオでは、複数の顧客(CompanyA、CompanyB、およびCompanyC)の設定を定義する必要があります。各顧客に対して、次の操作を実行する必要があります。
•独立したネットワークデバイスグループを定義します。
• IDトラフィックが効率的にスキャンできるスコープを定義します。
•独立した Active Directoryの参加ポイントを設定し、参加します。
• Active Directoryの IDトラフィックがこれらのデバイスグループからこれらの Active Directoryの参加ポイントに送られるような認証および認可ポリシーを定義します。
必要な設定
上記に必要なすべての機能を提供するには、次の操作を実行します。
27
ch
矩形
Apply italic font to the whole caption.
1 CompanyA、CompanyB、CompanyCのようなネットワークデバイスグループ(NDG)タイプを定義し、各社のネットワークデバイスを追加します。
図 3:各会社のネットワークデバイスグループの定義
2 各会社のスコープを定義します。各会社のスコープ内に複数の Active Directoryの参加ポイントを定義します。
28
ch
矩形
Apply italic font to the whole caption.
すべての会社のドメインが信頼できる場合、必要な参加ポイントは 1つのみです。ただし、この例では、信頼できないドメインが多数あるため、複数の参加ポイントが必要になります。
図 4:各会社のスコープおよび参加ポイントの定義
3 ポリシーセットを設定し、会社の認証のために、会社のNDGをActive Directoryのスコープに結び付けます。各会社では独自のポリシーも必要となるため、会社独自のポリシーグループで認可ポリシーを定義できます。
図 5:ポリシーセットの設定
29
ch
矩形
Apply italic font to the whole caption.
ch
矩形
Apply italic font to the whole caption.
トラブルシューティングツール
Cisco ISEには、Active Directoryのエラーを診断およびトラブルシューティングするツールが複数備えられています。
Active Directory の問題の診断診断ツールは、すべての Cisco ISEノードで実行されるサービスです。このサービスを使用すると、Active Directory導入環境を自動的にテストおよび診断し、一連のテストを実行して Cisco ISEがActive Directoryを使用するときに機能障害またはパフォーマンス障害の原因となる可能性がある問題を検出できます。
Cisco ISEが Active Directoryに対して参加または認証できない理由は複数あります。このツールでは、Cisco ISEをActive Directoryに接続するための前提条件が正しく設定されていることを確認できます。また、ネットワーキング、ファイアウォール設定、クロック同期、ユーザ認証などの問題を検出できます。このツールは、手順をステップごと
に説明したガイドとして機能し、必要に応じて途中ですべてのレイヤの問題を修正できます。
手順
ステップ 1 [管理(Administration)] > [IDの管理(IdentityManagement)] > [外部 IDソース(External Identity Sources)]> [Active Directory]を選択します。
ステップ 2 [高度なツール(Advanced Tools)]ドロップダウンをクリックし、[診断ツール(Diagnostic Tools)]を選択します。
ステップ 3 (任意) Cisco ISEノードを選択して、診断を実行します。Cisco ISEノードを選択しなければ、テストはすべてのノードで実行されます。
ステップ 4 (任意) 特定の Active Directoryの参加ポイントを選択します。Active Directoryの接続ポイントを選択しなければ、テストはすべての参加ポイントで実行されます。
ステップ 5 [ノードですべてのテストを実行(Run All Tests on Node)]をクリックしてテストを開始します。
ステップ 6 示されたリンクをクリックし、警告または障害ステータスのテストの概要を表示します。
テーブルには、Cisco ISEノードで実行された以前のテストの完全なステータスが表示されます。このテーブルで、特定のテストを再実行したり、実行中のテストを停止したり、特定のテストのレポートを
表示したりすることができます。
Active Directory のアラームおよびレポートCisco ISEは、Active Directory関連のアクティビティをモニタしてトラブルシューティングを実行するためのさまざまなアラームおよびレポートを提供します。
アラーム
次のアラームは、Active Directoryのエラーおよび問題に対してトリガーされます。
•設定したネームサーバは使用できません
30
•参加したドメインは使用できません
•認証ドメインは使用できません
• Active Directoryフォレストは使用できません
• ADコネクタを再起動する必要があります
• AD:ISEアカウントパスワードの更新に失敗しました
• AD:マシン TGTの更新に失敗しました
レポート
次の 2つのレポートで Active Directory関連のアクティビティをモニタできます。
• RADIUS認証レポート:このレポートには、Active Directoryの認証および認可に関する詳細な手順が示されています。このレポートは、次の場所にあります。[操作(Operations)] > [レポート(Reports)] > [認証サービスステータス(Auth Services Status)] > [RADIUS認証(RADIUS Authentications)]
• ADコネクタ操作レポート:ADコネクタ操作レポートには、Cisco ISEサーバのパスワード更新、Kerberosチケットの管理、DNSクエリー、DC検出、LDAP、および RPC接続管理など、ADコネクタによって実行されるバックグラウンド操作のログが示されています。 Active Directoryの障害が発生した場合、このレポートの詳細を確認して、考えられる原因を特定することができます。このレポートは、次の場所にあります。[操作(Operations)] >[レポート(Reports)] > [認証サービスステータス(Auth Services Status)] > [ADコネクタ操作(AD ConnectorOperations)]
あいまいな ID エラーの検索1つのフォレスト内に同じ名前の IDが複数出現することがあります。Multi-Joinシナリオ、特に、Active Directoryドメインに複数の無関係の会社があり、ユーザ名を相互に制御していない場合に、このことがよく発生します。 SAM名を使用すると、名前が競合する可能性も高まります。 NetBIOSプレフィクスでさえ、フォレストごとに一意ではありません。 UPNが適切に機能していても代替 UPNは競合する可能性があります。このようなすべてのシナリオで、あいまいな IDエラーが発生します。
[オペレーション(Operations)]タブの下の [認証(Authentications)]ページを使用して、次の属性を検索できます。次の属性は、あいまい IDエラーが発生した場合に、実際に使用されている IDを理解し、制御するために役立ちます。
• AD-Candidate-Identities:あいまいな IDが最初に検出されると、この属性が検出された IDを示します。 IDがあいまいである理由の特定に役立ちます。
• AD-Resolved-Identities:IDが検出されて、認証、get-groups、get-attributesなどの操作で使用された後、この属性は検出された IDで更新されます。 IDのクラッシュ時にはこれが複数になる場合があります。
• AD-Resolved-Providers:この属性は、IDが検出された Active Directoryの参加ポイントを示します。
ノードの Active Directory の参加の表示[Active Directory]ページの [ノードビュー(Node View)]ボタンを使用して、特定の Cisco ISEノードのすべてのActiveDirectory参加ポイントのステータス、またはすべての Cisco ISEノードの全参加ポイントのリストを表示できます。
31
手順
ステップ 1 [管理(Administration)] > [IDの管理(IdentityManagement)] > [外部 IDソース(External Identity Source)]> [Active Directory]を選択します。
ステップ 2 [ノードビュー(Node View)]をクリックします。
ステップ 3 [ISEノード(ISE Node)]ドロップダウンリストからノードを選択します。テーブルに、Active Directoryのステータスがノードごとに表示されます。導入環境内に複数の参加ポイントと複数の Cisco ISEノードがある場合、このテーブルの更新には数分かかることがあります。
ステップ 4 参加ポイントの [名前(Name)]リンクをクリックしてその Active Directoryの参加ポイントページに移動し、その他の特定アクションを実行します。
ステップ 5 [診断の概要(Diagnostic Summary)]リンクをクリックして [診断ツール(Diagnostic Tools)]ページに移動し、特定の問題のトラブルシューティングを実行します。診断ツールには、ノードごとに各参加ポイ
ントの最新の診断結果が表示されます。
Active Directory デバッグログの有効化Active Directoryデバッグログはデフォルトでは記録されません。導入環境内でポリシーサービスペルソナを担当している Cisco ISEノードで、このオプションを有効にする必要があります。 Active Directoryデバッグログを有効にすると、ISEのパフォーマンスに影響する場合があります。
手順
ステップ 1 [管理(Administration)] > [システム(System)] > [ロギング(Logging)] > [デバッグログの設定(DebugLog Configuration)]を選択します。
ステップ 2 Active Directoryのデバッグ情報を取得する Cisco ISEポリシーサービスノードの隣のオプションボタンをクリックし、[編集(Edit)]をクリックします。
ステップ 3 [Active Directory]オプションボタンをクリックし、[編集(Edit)]をクリックします。
ステップ 4 [ActiveDirectory]の横のドロップダウンリストから、[DEBUG]を選択します。これにはエラー、警告、verboseログが含まれます。完全なログを取得するには、[トレース(TRACE)]を選択します。
ステップ 5 [保存(Save)]をクリックします。
トラブルシューティング用の Active Directory ログファイルの入手Active Directoryのデバッグログをダウンロードして表示し、問題のトラブルシューティングを実行します。
はじめる前に
Active Directoryのデバッグロギングを有効にする必要があります。
32
手順
ステップ 1 [操作(Operations)] > [トラブルシューティング(Troubleshoot)] > [ログのダウンロード(DownloadLogs)]を選択します。
ステップ 2 Active Directoryのデバッグログファイルを取得するノードをクリックします。
ステップ 3 [デバッグログ(Debug Logs)]タブをクリックします。
ステップ 4 このページを下にスクロールして ad_agent.logファイルを見つけます。このファイルをクリックしてダウンロードします。
Active Directory の高度な調整高度な調整機能ではノード固有の設定が可能です。この設定は、システムのパラメータの詳細な調整を伴う、シスコの
サポート担当者の指示に基づくサポートアクションに使用します。これらの設定は、通常の管理フローを意図したも
のではなく、指示に従って使用する必要があります。
AD コネクタの内部操作ここでは、ADコネクタで行われる内部操作について説明します。
ドメイン検出アルゴリズム
Cisco ISEは、次の 3つのフェーズでドメイン検出を実行します。
1 参加しているドメインのクエリー:フォレストのドメイン、および参加しているドメインに対して外部的に信頼で
きるドメインを検出します。
2 フォレスト内のルートドメインのクエリー:フォレストで信頼を確立します。
3 信頼できるフォレスト内のルートドメインのクエリー:信頼できるフォレストからドメインを検出します。
さらに、Cisco ISEは DNSドメイン名(UPNサフィックス)、代替の UPNサフィックスおよび NTLMドメイン名を検出します。
デフォルトドメインの検出頻度は、2時間ごとです。 [高度な調整(Advanced Tuning)]ページからこの値を変更できますが、シスコのサポート担当者に相談してください。
DC の検出ADコネクタは、次のように特定ドメインのドメインコントローラ(DC)を選択します。
1 DNS SRVクエリー(サイトにスコープされていない)を実行し、ドメインで完全なドメインコントローラリストを取得します。
33
2 IPアドレスのない DNS SRVの DNS解決を実行します。
3 SRVレコードの優先順位に従って CLDAP ping要求をドメインコントローラに送信し、応答がある場合は最初の応答のみを処理します。 CLDAP応答には、DCサイトとクライアントサイト(Cisco ISEマシンが割り当てられたサイトなど)が含まれます。
4 DCサイトとクライアントサイトが同じ場合、応答の送信元(DC)が選択されます。
5 DCサイトとクライアントサイトが同じでない場合、ADコネクタは、検出されたクライアントサイトにスコープされた DNS SRVクエリーを実行し、クライアントサイトを使用するドメインコントローラのリストを取得し、これらのドメインコントローラに CLDAP ping要求を送信し、応答がある場合は最初の応答のみを処理します。応答の送信元(DC)が選択されます。サイトを使用するクライアントサイトにDCがない場合や、現在使用できるDCがサイトにない場合は、手順 2で検出された DCが選択されます。
Active Directoryサイトを作成および使用することで、Cisco ISEが使用するドメインコントローラに影響を与える場合があります。サイトの作成および使用方法については、Microsoft Active Directoryのマニュアルを参照してください。Cisco ISEは、ドメインごとに優先 DCのリストも定義できます。 DCのリストは、DNS SRVクエリーの前に選択の優先順位が付けられます。ただし、この優先 DCのリストは除外リストではありません。優先 DCが使用できない場合は、その他の DCが選択されます。優先 DCのリストは、次の場合に作成できます。
• SRVレコードが不良か、存在しないか、設定されていない場合。
•サイト関連が間違っているか、存在しないか、サイトを使用できない場合。
• DNS設定が間違っているか、編集できない場合。
DC のフェールオーバードメインコントローラ(DC)のフェールオーバーは、次の条件によってトリガーされます。
• ADコネクタは、現在選択している DCが LDAP、RPC、または Kerberosの通信試行時に使用できなくなった場合に検出します。 DCはダウンしているかネットワーク接続されていないために使用できない可能性があります。このような場合、ADコネクタは DCの選択を開始し、新しく選択した DCにフェールオーバーします。
• DCが起動していて CLDAP pingに応答しますが、ADコネクタはいくつかの理由で DCと通信できません。たとえば、RPCポートがブロックされている場合、DCは破損複製状態になっているか、適切に使用停止されていません。このような場合、ADコネクタは、ブラックリストを使用するDCの選択(「不良」DCはブラックリストに置かれます)を開始して、選択した DCとの通信を試します。ブラックリストを使用して選択した DCとブラックリストのどちらもキャッシュされません。
DNS のフェールオーバー最大 3つの DNSサーバと 1つのドメインサフィックスを設定できます。 Cisco ISEで Active Directoryの IDストア順序を使用している場合、すべてのDNSサーバが、使用するすべてのActive Directory DNSドメインの正引きおよび逆引き DNSクエリーに応答できるようにする必要があります。 DNSのフェールオーバーは、最初の DNSがダウンしているときにのみ発生します。フェールオーバーDNSには最初のDNSと同じレコーダが必要です。DNSサーバがクエリーの解決に失敗する場合、DNSクライアントは別の DNSサーバを試行しません。デフォルトでは、DNSサーバはクエリーを 2回再試行し、3秒でクエリーをタイムアウトします。
34
ID アルゴリズムの解決IDに関しては、パスワードが入力されているかどうか、任意のドメインマークアップが IDに存在するかどうかに関係なく、IDのタイプに基づいて、さまざまなアルゴリズムがユーザまたはマシンオブジェクトの検索に使用されます。次に、Cisco ISEがさまざまな IDタイプの解決に使用するさまざまなアルゴリズムを示します。
IDが設定済みの IDリライトルールに従って書き換えられている場合、ID解決は書き換えられた IDに適用されます。
(注)
SAM 名の解決
• IDが SAM名(ドメインマークアップのないユーザ名またはマシン名)の場合、Cisco ISEは各参加ポイントのフォレストを(1回)検索して IDを探します。一意に一致した場合、Cisco ISEはドメインまたは一意の名前を特定し、AAAフローに進みます。
• SAM名が一意ではなく、Cisco ISEが EAP-TLSなどのパスワードのないプロトコルを使用するように設定されている場合、適切なユーザを検索する他の基準がないため、Cisco ISEは「あいまいな ID」エラーで認証に失敗します。ただし、ユーザ証明書が Active Directoryに存在する場合、Cisco ISEはバイナリ比較を使用して IDを解決します。
• PAPなどのパスワードベースのプロトコル、またはMSCHAPを使用するようにCiscoISEが設定されている場合、Cisco ISEは引き続きパスワードを確認します。一意に一致した場合、Cisco ISEはAAAフローに進みます。ただし、パスワードが同じアカウントが複数ある場合、Cisco ISEは「あいまいな ID」エラーで認証に失敗します。
ユーザ名の競合を回避する必要があります。これにより、効率およびセキュリティが向上するだけでなく、アカウン
トがロックされることも防止されます。たとえば、パスワードが異なる 2つの「Chris」が存在し、Cisco ISEは SAM名の「Chris」のみを受信するとします。このシナリオでは、Cisco ISEは正しいアカウントを特定する前に、SAM名が「Chris」である両方のアカウントを試行し続けます。このような場合、Active Directoryは間違ったパスワードの試行によっていずれかのアカウントをロックする可能性があります。このため、一意のユーザ名またはドメインマーク
アップ付きのユーザ名を使用するようにしてください。また、各Active Directoryドメインに特定のネットワークデバイスを使用する場合、ID書き換えを使用して SAM名を認定できます。
UPN の解決
• IDが UPN場合、Cisco ISEは各フォレストのグローバルカタログを検索して、その UPN IDとの一致を確認します。一意に一致した場合、Cisco ISEはAAAフローに進みます。同じUPNの参加ポイントが複数あり、パスワードが入力されていないか、適切なアカウントの特定に役立たない場合、Cisco ISEは「あいまいな ID」エラーで認証に失敗します。
•また、Cisco ISEは、UPNである IDにユーザのメール属性の照合も許可します。つまり、「identity=matching UPNor email」を検索します。一部のユーザは、実際の基盤となる UPNではなく、電子メール名を使用して(多くの場合、証明書経由で)ログインします。このことは、IDが電子メールアドレスと同じ形式の場合に、暗黙的に行われます。
35
マシン ID の解決
•マシン認証の場合、Cisco ISEは、ホスト/プレフィクスを持つ IDを使用して、一致する servicePrincipalName属性がないかフォレストを検索します。完全修飾ドメインサフィックス(host/machine.domain.comなど)が IDで指定されている場合、Cisco ISEはそのドメインが存在するフォレストを検索します。 IDがホスト/マシン形式の場合、Cisco ISEはサービスプリンシパル名がないかすべてのフォレストを検索します。一致が複数ある場合、CiscoISEは「あいまいな ID」エラーで認証に失敗します。
•マシンが別の ID形式([email protected]、ACME\laptop$、または laptop$など)の場合、Cisco ISEは通常のUPN、NetBIOS、または SAMの解決アルゴリズムを使用します。
NetBIOS ID の解決
IDに NetBIOSドメインプレフィクス(ACME\jdoeなど)がある場合、Cisco ISEは NetBIOSドメインがないかフォレストを検索します。検出されたら、検出されたドメインで指定の SAM名(この例では「jdoe」)を検索します。NetBIOSドメインは、1つのフォレストにおいても必ずしも一意ではないため、検索によって同じ名前のNetBIOSドメインが複数検出される場合があります。このような場合にパスワードが入力されていると、適切な IDを検索するために、そのパスワードが使用されます。それでもあいまいな場合やパスワードが入力されていない場合、CiscoISEは「あいまいな ID」エラーで認証に失敗します。
36
Cisco and the Cisco logo are trademarks or registered trademarks of Cisco and/or its affiliates in the U.S. and other countries. To view a list of Cisco trademarks, go to this URL: http://www.cisco.com/go/trademarks. Third-party trademarks mentioned are the property of their respective owners. The use of the word partner does not imply a partnershiprelationship between Cisco and any other company. (1110R)
このマニュアルで使用している IPアドレスおよび電話番号は、実際のアドレスおよび電話番号を示すものではありません。マニュアル内の例、コマンド出力、ネットワークトポロジ図、およびその他の図は、説明のみを目的として使用されています。説明の中に実際の IPアドレスおよび電話番号が使用されていたとしても、それは意図的なものではなく、偶然の一致によるものです。
© 2014 Cisco Systems, Inc. All rights reserved.
【注意】シスコ製品をご使用になる前に、安全上の注意( www.cisco.com/jp/go/safety_warning/ )をご確認ください。本書は、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきま
しては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容
については米国サイトのドキュメントを参照ください。また、契約等の記述については、弊社販
売パートナー、または、弊社担当者にご確認ください。
Related Documents
