SSID設定の例に基づくISEポリシーの確認

Updated: 2014 年 7 月 2 日
Document ID:115734

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

    はじめに

    このドキュメントでは、異なるサービスセットID(SSID)を区別するためにCisco ISEで認可ポリシーを設定する方法について説明します。 

    要件

    このマニュアルでは、以下の条件を想定しています。

    1)ワイヤレスLANコントローラ(WLC)が設定され、関係するすべてのSSIDに対して動作している。

    2)認証は、関係するすべてのSSIDでISEに対して機能します。

    ワイヤレス LAN コントローラ リリース 7.3.101.0

    Services Engineリリース1.1.2.145の特定

    先行バージョンにもこの両方の機能があります。

    一度に使用できる設定方法は1つだけです。両方の設定を同時に実装すると、ISE によって処理される量が増え、ルールの読みやすさに影響します。この文書では、各設定方法の利点と欠点を説明します。

    背景説明

    これは、さまざまな目的のためにワイヤレス ネットワークに複数の SSID がある組織にとって非常に一般的です。最も一般的な目的の 1 つとして、従業員用に会社の SSID を使用し、会社への訪問者用にゲスト SSID を使用することがあります。

    方式1:Airespace-Wlan-Id

    WLC に作成されたすべてのワイヤレス ローカル エリア ネットワーク(WLAN)に WLAN ID があります。WLAN ID は WLAN 要約ページに表示されます。

    WLANID(WLAN ID)

    クライアントが SSID に接続するとき、ISE への RADIUS 要求には Airespace-WLAN-ID 属性が含まれています。この単純な属性は ISE でポリシー決定を行うために使用されます。この属性の短所の 1 つは、複数のコントローラに分散している SSID で WLAN ID が一致しない場合があることです。これに該当する導入の場合は、「メソッド 2」に進みます。 

    この場合、Airespace-Wlan-Id は基準として使用されます。単純な条件として(単独で)または複合条件として(別の属性と組み合わせて)使用し、必要な結果を実現できます。この文書では、両方の使用例について説明します。上記の 2 個の SSID を使用して、次の 2 つのルールを作成できます。 

    A)ゲストユーザはゲストSSIDにログインする必要があります。

    B)企業ユーザは、Active Directory(AD)グループ「Domain Users」に属し、企業SSIDにログインする必要があります。

    ルール A

    ルール A の要件は 1 つだけであるため、単純な条件(上記の値に基づく)を作成できます。

    1) ISEで、Policy > Policy Elements > Conditions > Authorization > Simple Conditionsの順に移動し、新しい条件を作成します。

    2) 「名称」フィールドに条件名を入力します。

    3) 「摘要」フィールドに摘要を入力します(オプション)。

    4) Attributeドロップダウンリストから、Airespace > Airespace-Wlan-Id—[1]を選択します。

    5) Operatorドロップダウンリストから、Equalsを選択します。

    6) Valueドロップダウンリストから、2を選択します。

    7) Saveをクリックします。

    Airespaceゲスト

    ルール B

    ルール B には 2 つの要件があるため、複合条件を作成できます(上記の値に基づく)。

    1) ISEで、Policy > Policy Elements > Conditions > Authorization > Compound Conditionsの順に移動し、新しい条件を作成します。

    2) 「名称」フィールドに条件名を入力します。

    3) 「摘要」フィールドに摘要を入力します(オプション)。

    4) Create New Condition (Advance Option)を選択します。

    5) Attributeドロップダウンリストから、Airespace > Airespace-Wlan-Id—[1]を選択します。

    6) Operatorドロップダウンリストから、Equalsを選択します。

    7) Valueドロップダウンリストから、1を選択します。

    右側の歯車をクリックし、[Add Attribute/Value] を選択します。

    9) Attributeドロップダウンリストから、AD1 > External Groupsを選択します。

    10) Operatorドロップダウンリストから、Equalsを選択します。

    11) 「値」ドロップダウン・リストから、必要なグループを選択します。この例では、Domain Users に設定されています。

    12) Saveをクリックします。

    Airespace企業

    note-icon

    :このドキュメントでは、Policy > Policy Elements > Results > Authorization > Authorizationで設定された単純な認可プロファイルを使用します。これらは [Permit Access] に設定されますが、導入のニーズに合うように変更できます。

    これで条件を作成したため、ここでは許可ポリシーに適用できます。[Policy] > [Authorization] に移動します。ルールを挿入するリスト上の場所を決めるか、既存のルールを編集します。

    ゲスト ルール

    1)既存のルールの右側にある下矢印をクリックして、Insert a new ruleを選択します。

    2)ゲストルールの名前を入力し、IDグループフィールドはAnyのままにしておきます。

    3) Conditionsの下で、プラス(+)をクリックして、Select Existing Condition from Libraryをクリックします。

    4) Condition Nameで、Simple Condition > GuestSSIDの順に選択します。

    5) Permissionsの下で、ゲストユーザ用の適切な認可プロファイルを選択します。

    6) Doneをクリックします。

    企業ルール

    1)既存のルールの右側にある下矢印をクリックして、Insert a new ruleを選択します。

    2)社内ルールの名前を入力し、IDグループフィールドはAnyのままにしておきます。

    3) Conditionsの下で、プラス(+)をクリックして、Select Existing Condition from Libraryをクリックします。

    4) Condition Nameで、Compound Condition > CorporateSSIDの順に選択します。

    5) Permissionsの下で、社内ユーザに適切な許可プロファイルを選択します。

    6) Doneをクリックします。

    note-icon

    注:ポリシーリストの一番下にあるSaveをクリックするまで、この画面での変更は展開に適用されません。

    AirespacePolicy

    方法2:Called-Station-ID

    WLC は RADIUS の Called-Station-ID 属性に入れて SSID 名を送信するように設定できます。次に、ISE で条件としてこれを使用できます。この属性の利点は、WLC での WLAN ID の設定にかかわらず使用できることです。デフォルトでは、WLC は Called-Station-ID 属性で SSID を送信しません。WLCでこの機能を有効にするには、Security > AAA > RADIUS > Authenticationの順に選択し、Call Station ID TypeをAP MAC Address:SSIDに設定します。これにより、Called-Station-IDの形式が<MAC of the AP the user is connecting to>:<SSID Name>に設定されます。

    WLCセキュリティ

    送信されている SSID 名は WLAN 要約ページから確認できます。

    WLANSSID(SSID)

    Called-Station-Id 属性には、AP の MAC アドレスも含まれているため、ISE ポリシーの SSID の名前との照合には、正規表現(REGEX)が使用されます。条件設定の演算子の「Matches」では、[Value] フィールドから正規表現を読み取ることができます。

    正規表現の例

    「Starts with」では、たとえば、正規表現値^(Acme).*を使用します。この条件はCERTIFICATE:Organization MATCHES 'Acme'(「Acme」で始まる条件を持つ任意の一致)として設定されます。

    Ends with'」では、たとえば、正規表現値.*(mktg)$を使用します。この条件は、CERTIFICATE:Organization MATCHES 'mktg'として設定されます(「mktg」で終わる条件を持つすべての一致)。

    'Contains':たとえば、正規表現値.*(1234).*を使用します。この条件はCERTIFICATE:Organization MATCHES '1234'として構成されます(Eng1234、1234Dev、Corp1234Mktgなど、「1234」を含む条件と一致する必要があります)。

    「Does not start with」:たとえば、正規表現値^(?!LDAP).*を使用します。この条件は、CERTIFICATE:Organization MATCHES 'LDAP'として設定されます(usLDAPやCorpLDAPmktgなどの、「LDAP」で始まらない条件と一致する証明書)。

    Called-Station-IDはSSID名で終わるため、この例で使用する正規表現は.*(:<SSID NAME>)$です。設定を行う際には、この点に注意してください。

    上記の 2 個の SSID を使用すると、次の要件を持つ 2 つのルールを作成できます。

    A)ゲストユーザはゲストSSIDにログインする必要があります。

    B)企業ユーザは、ADグループ「Domain Users」に属し、企業SSIDにログインする必要があります。

    ルール A

    ルール A の要件は 1 つだけであるため、単純な条件(上記の値に基づく)を作成できます。

    1) ISEで、Policy > Policy Elements > Conditions > Authorization > Simple Conditionsの順に移動し、新しい条件を作成します。

    2) 「名称」フィールドに条件名を入力します。

    3) 「摘要」フィールドに摘要を入力します(オプション)。

    4) Attributeドロップダウンリストから、Radius > Called-Station-ID—[30]を選択します。

    5) Operatorドロップダウンリストから、Matchesを選択します。

    6) Valueドロップダウンリストから、.*(:Guest)$を選択します。これは大文字と小文字が区別されます。

    7) Saveをクリックします。

    ゲスト着信側

    ルール B

    ルール B には 2 つの要件があるため、複合条件を作成できます(上記の値に基づく)。

    1) ISEで、Policy > Policy Elements > Conditions > Authorization > Compound Conditions の順に移動し、新しい条件を作成します。

    2) 「名称」フィールドに条件名を入力します。

    3) 「摘要」フィールドに摘要を入力します(オプション)。

    4) Create New Condition (Advance Option)を選択します。

    5) Attributeドロップダウンリストから、Radius > Called-Station-Id—[30]を選択します。

    6) Operatorドロップダウンリストから、Matchesを選択します。

    7) Valueドロップダウンリストから、.*(:Corporate)$を選択します。これは大文字と小文字が区別されます。

    右側の歯車をクリックし、[Add Attribute/Value] を選択します。

    9) Attributeドロップダウンリストから、AD1 > External Groupsを選択します。

    10) Operatorドロップダウンリストから、Equalsを選択します。

    11) 「値」ドロップダウン・リストから、必要なグループを選択します。この例では、Domain Users に設定されています。

    12) Saveをクリックします。

    企業着信

    note-icon

    :このドキュメントでは、Policy > Policy Elements > Results > Authorization > Authorizationで設定されたシンプルな認可プロファイルを使用します。これらは [Permit Access] に設定されますが、導入のニーズに合うように変更できます。

    これで条件を設定したため、許可ポリシーに適用します。[Policy] > [Authorization] に移動します。ルールを適切なロケーションのリストに挿入するか、既存のルールを編集します。 

    ゲスト ルール

    1)既存のルールの右側にある下矢印をクリックして、Insert a new ruleを選択します。

    2)ゲストルールの名前を入力し、IDグループフィールドはAnyのままにしておきます。

    3) Conditionsの下で、プラス(+)をクリックして、Select Existing Condition from Libraryをクリックします。

    4) Condition Nameで、Simple Condition > GuestSSIDの順に選択します。

    5) Permissionsの下で、ゲストユーザ用の適切な認可プロファイルを選択します。

    6) Doneをクリックします。

    企業ルール

    1)既存のルールの右側にある下矢印をクリックして、Insert a new ruleを選択します。

    2)社内ルールの名前を入力し、IDグループフィールドはAnyのままにしておきます。

    3) Conditionsの下で、プラス(+)をクリックして、Select Existing Condition from Libraryをクリックします。

    4) Condition Nameで、Compound Condition > CorporateSSIDの順に選択します。

    5) Permissionsの下で、社内ユーザに適切な許可プロファイルを選択します。

    6) Doneをクリックします。

    7) Policyリストの一番下にあるSaveをクリックします。

    note-icon

    注:ポリシーリストの一番下にあるSaveをクリックするまで、この画面での変更は展開に適用されません。

    AirespacePolicy

    トラブルシュート

    ポリシーが正しく作成されたことを確認し、ISE で適切な属性を受信しているかどうかを確認するには、成功または失敗したユーザ認証の詳細な認証レポートを調べます。[Operations] > [Authentications] を選択してから認証の [Details] アイコンをクリックします。

    [Authentication]

    まず、[Authentication Summary] を確認します。これはユーザに示された許可プロファイルを含む認証の基本を示します。

    要約

    ポリシーが正しくない場合、認証の詳細には、WLCから送信されたAirespace-Wlan-IdとCalled-Station-Idが表示されます。ルールを適宜調整します。[Authorization Policy Matched Rule] で、認証が目的のルールに一致しているかどうかを確認します。

    詳細

    これらのルールは、誤設定の多いルールです。設定の問題を特定するためには、認証の詳細に表示される内容とルールを照合します。[Other Attributes] フィールドに属性が表示されない場合は、WLC が正しく設定されていることを確認します。

    更新履歴

    改定 発行日 コメント
    1.0
    19-Dec-2012
    初版
    TAC Authored

    シスコ エンジニア提供

    • Jesse Dubois氏

    このドキュメントは役に立ちましたか?

    Feedbackフィードバック

    シスコに問い合わせ

    このドキュメントは次の製品に対応しています