ISE 3.2でパッシブIDセッションの認証フローを設定する

はじめに

このドキュメントでは、セッションにSGTを割り当てるためにパッシブIDイベントの認可ルールを設定する方法について説明します。

背景説明

パッシブIDサービス（パッシブID）は、ユーザを直接認証するのではなく、Active Directory(AD)などの外部の認証サーバ（プロバイダーと呼ばれる）からユーザアイデンティティとIPアドレスを収集し、その情報を加入者と共有します。

ISE 3.2には、Active Directory(AD)グループメンバーシップに基づいてセキュリティグループタグ(SGT)をユーザに割り当てるように許可ポリシーを設定できる新機能が導入されています。

前提条件

要件

次の項目に関する知識があることが推奨されます。

• Cisco ISE 3.X
• 任意のプロバイダーとのパッシブID統合
• Active Directory(AD)の管理
• セグメンテーション(Trustsec)
• PxGrid(Platform Exchange Grid)

使用するコンポーネント

• Identity Service Engine(ISE)ソフトウェアバージョン3.2
• Microsoft Active Directory
• Syslog

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな（デフォルト）設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

コンフィギュレーション

ステップ 1：ISEサービスを有効にします。

1. ISEで、Administration > Deploymentに移動し、ISEノードを選択して、Editをクリックし、Policy Serviceを有効にし、Enable Passive Identity Serviceを選択します。パッシブIDセッションをそれぞれ介して公開する必要がある場合は、オプションでSXPとPxGridを有効にできます。[Save] をクリックします。

警告： APIプロバイダーによって認証されたPassiveIDログインユーザのSGTの詳細は、SXPに公開できません。ただし、これらのユーザのSGTの詳細は、pxGridおよびpxGrid Cloudを通じて公開できます。

有効なサービス

ステップ 2：Active Directoryを設定します。

1. Administration > Identity Management > External Identity Sourcesの順に移動し、Active Directoryを選択してから、Addボタンをクリックします。
2. 参加ポイント名とActive Directoryドメインを入力します。[Submit] をクリックします。

Active Directoryの追加

3. ISEをADに参加させるためのポップアップが表示されます。[Yes] をクリックします。[Username ] と [Password] を入力します。[OK] をクリックします。

ISEへの参加の続行Active Directoryへの参加

4. ADグループを取得します。Groupsに移動し、Addをクリックしてから、Retrieve Groupsをクリックし、必要なグループをすべて選択して、OKをクリックします。

ADグループの取得

取得されたグループ

5. 許可フローを有効にする。Advance Settingsに移動し、PassiveID SettingsセクションでAuthorization Flowチェックボックスにチェックマークを付けます。[Save] をクリックします。

許可フローの有効化

ステップ 3：Syslogプロバイダーを設定します。

1. Work Centers > PassiveID > Providersに移動し、Syslog Providersを選択し、Addをクリックして情報を入力します。[Save] をクリックします。

注意：この場合、ISEはASAでの正常なVPN接続からsyslogメッセージを受信しますが、このドキュメントではその設定については説明しません。

Syslogプロバイダーの設定

 

2. Custom Headerをクリックします。サンプルsyslogを貼り付け、区切り記号またはタブを使用してデバイスのホスト名を見つけます。正しい場合は、ホスト名が表示されます。[Save] をクリックします。

カスタムヘッダーの設定

 

ステップ 4：許可ルール（Authorization Rule）の設定

1. Policy > Policy Setsの順に移動します。 この例では、デフォルトポリシーを使用します。Defaultポリシーをクリックします。許可ポリシーで、新しいルールを追加します。PassiveIDポリシーでは、ISEにすべてのプロバイダーがあります。これをPassiveIDグループと組み合わせることができます。ProfileとしてPermit Accessを選択し、Security Groupsで必要に応じてSGTを選択します。

許可ルール（Authorization Rule）の設定

 

確認

ISEがSyslogを受信したら、RADIUSライブログを確認して認証フローを確認できます。Operations > Radius > Live logsの順に移動します。

ログで、認証イベントを確認できます。このグループには、ユーザ名、許可ポリシー、およびセキュリティグループタグが関連付けられています。

Radiusライブログ

詳細を確認するには、Detail Reportをクリックします。ここでは、SGTを割り当てるポリシーを評価するAuthorize-Onlyフローを確認できます。

RADIUSライブログレポート

トラブルシュート

この例では、passiveIDセッションと認証フローの2つのフローを使用します。デバッグを有効にするには、Operations > Troubleshoot > Debug Wizard > Debug Log Configurationの順に移動し、ISEノードを選択します。

PassiveIDで、次のコンポーネントをDEBUGレベルに設定します。

• パッシブID

パッシブIDプロバイダーに基づいてログをチェックし、このシナリオをチェックするファイルを作成するには、他のプロバイダーのfile passiveid-syslog.logを確認する必要があります。

• パッシブIDエージェント。ログ
• パッシブAPI.ログ
• パッシブIDエンドポイント。ログ
• パッシブIDスパン。ログ
• パッシブIDウィログ

認可フローで、次のコンポーネントをDEBUGレベルに有効にします。

• ポリシーエンジン
• prrt-JNI

以下に例を挙げます。

デバッグが有効