AD のクレデンシャルを使った ISE の管理ポータル アクセスの設定例

ダウンロード オプション

  • PDF     (312.0 KB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (83.1 KB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (67.6 KB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2013 年 9 月 30 日
Document ID:116503

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

はじめに

このドキュメントでは、Cisco Identity Services Engine(ISE)管理 GUI への管理アクセスのために外部アイデンティティ ストアとして Microsoft Active Directory (AD) を使用するための設定例を示します。

前提条件

次の項目に関する知識があることが推奨されます。

  • Cisco ISE バージョン 1.1.x 以降の設定
  • Microsoft AD

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

  • Cisco ISE バージョン 1.1.x
  • Windows Server 2008 リリース 2

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。

設定

このセクションでは、Cisco ISE 管理 GUI への管理アクセスのために外部アイデンティティ ストアとして Microsoft AD を使用するための設定について説明します。

AD への ISE の結合

  1. [Administration] > [Identity Management] > [External Identity Sources] > [Active Directory] を順に選択します。
  2. AD の [Domain Name] と [Identity Store Name] を入力し、[Join] をクリックします。
  3. コンピュータ オブジェクトに追加して変更を加えることのできる AD アカウントのクレデンシャルを入力し、[Save Configuration] をクリックします。

     

ディレクトリ グループの選択

  1. [Administration] > [Identity Management] > [External Identity Sources] > [Active Directory] > [Groups] > [Add] > [Select groups form Directory] を順に選択します。 
  2. 管理者が属する 1 つ以上の AD グループをインポートします。

     

AD 用管理アクセスの有効化

AD のパスワード ベースの認証を有効にするには、次の手順を実行してください。

  1. [Administration] > [System] > [Admin Access] > [Authentication] を順に選択します。
  2. [Authentication Method] タブで [Password Based] オプションを選択します。
  3. [Identity Source] ドロップダウン メニューから [AD] を選択します。
  4. [Save Changes] をクリックします。

管理グループから AD グループへのマッピングの設定

Cisco ISE 管理グループを定義し、それを AD グループにマップします。これにより認証において、AD のグループ メンバーシップに基づいて管理者の役割ベース アクセス制御(RBAC)権限が判別されます。 

  1. [管理(Administration)] > [システム(System)] > [管理者アクセス(Admin Access)] > [管理者(Administrators)] > [管理者グループ(Admin Groups)] に移動します。
  2. テーブルのヘッダーで [Add] をクリックして、新しい [Admin Group] 設定ペインを表示します。
  3. 新しい管理グループの名前を入力します。
  4. [Type] フィールドで [External check box] をオンにします。
  5. [External Groups] ドロップダウン メニューから、[Select Directory Groups] セクションに定義されているとおりに、この管理グループをマップする AD グループを選択します。
  6. [Save Changes] をクリックします。

     

管理グループの RBAC アクセス許可の設定

前のセクションで作成した管理グループに RBAC の権限を割り当てるには、次の手順を実行してください。

  1. [管理(Administration)] > [システム(System)] > [管理者アクセス(Admin Access)] > [許可(Authorization)] > [ポリシー(Policy)] に移動します。
  2. 右側にある [Actions] ドロップダウン メニューから [Insert New Policy Below] を選択して、新しいポリシーを追加します。
  3. ISE_administration_AD という名前の新しいルールを作成し、[Enable Administrative Access for AD] セクションに定義されている管理グループにマップし、権限を割り当てます。

    :この例では、Super Adminという名前の管理グループが割り当てられます。このグループは標準管理アカウントに相当します。

  4. [Save Changes] をクリックすると、保存された変更の確認が GUI の右下隅に表示されます。

     

AD クレデンシャルでの ISE へのアクセス

AD クレデンシャルを使用して ISE にアクセスするには、次の手順を実行してください。

  1. 管理 GUI からログアウトします。
  2. [Identity Source] ドロップダウン メニューから [AD1] を選択します。
  3. AD データベースからユーザ名とパスワードを入力し、ログインします。

注:ADに到達できない場合、または使用するアカウントのクレデンシャルがADに存在しない場合、ISEはデフォルトで内部ユーザストアに設定されます。これにより、AD が管理アクセス用に設定されているときには、内部ストアを使用すると、クイック ログインが促進されます。

確認

設定が正しく機能することを確認するには、ISE GUI の右上隅で認証されたユーザ名を検証します。

トラブルシュート

現在、この設定に関する特定のトラブルシューティング情報はありません。

関連情報

更新履歴

改定 発行日 コメント
1.0
09-Sep-2013
初版
TAC Authored

シスコ エンジニア提供

  • Jatin Katyal
    Cisco TAC Engineer.

このドキュメントは役に立ちましたか?

Feedbackフィードバック

シスコに問い合わせ