概要
このドキュメントでは、Identity Services Engine(ISE)の管理アクセスを管理するためのISEの機能について説明します。
前提条件
要件
次の項目に関する知識があることが推奨されます。
- ISE
- Active Directory
- Lightweight Directory Access Protocol(LDAP)
使用するコンポーネント
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
- Identity Services Engine 3.0
- Windows Server 2016
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
設定
認証設定
管理者ユーザは、ISEの情報にアクセスするために自身を認証する必要があります。管理者ユーザのIDは、ISE内部IDストアまたは外部IDストアを使用して確認できます。信頼性は、パスワードまたは証明書によって確認できます。これらの設定を構成するには、[Administration] > [System] > [Admin Access] > [Authentication]に移動します。[Authentication Method]タブで必要な認証タイプを選択します。
注:パスワードベースの認証は、デフォルトで有効になっています。これをクライアント証明書ベース認証に変更すると、すべての展開ノードでアプリケーションサーバが再起動します。
Identity Services Engineでは、CLIからコマンドラインインターフェイス(CLI)のパスワードポリシーを設定できません。グラフィカルユーザインターフェイス(GUI)とCLIの両方のパスワードポリシーは、ISEのGUIを介してのみ設定できます。これを設定するには、[Administration] > [System] > [Admin Access] > [Authentication]に移動し、[Password Policy]タブに移動します。
ISEには、非アクティブな管理者ユーザを無効にするプロビジョニングがあります。これを設定するには、[Administration] > [System] > [Admin Access] > [Authentication]に移動し、[Account Disable Policy]タブに移動します。
ISEには、失敗したログイン試行回数に基づいて、管理者ユーザアカウントをロックまたは一時停止する機能もあります。これを設定するには、[Administration] > [System] > [Admin Access] > [Authentication]に移動し、[Lock/Suspend Settings]タブに移動します。
管理アクセスを管理するには、管理グループ、ユーザ、および権限を制御および管理するさまざまなポリシー/ルールが必要です。
管理グループの設定
[管理] > [システム] > [管理アクセス] > [管理者] > [管理グループ]に移動し、管理者グループを設定します。デフォルトで組み込まれているグループは少数であり、削除できません。
グループが作成されたら、そのグループを選択し、[edit]をクリックしてそのグループに管理ユーザを追加します。外部IDグループをISE上の管理グループにマッピングして、外部管理者ユーザが必要な権限を取得できるようにするプロビジョニングがあります。これを設定するには、ユーザを追加するときにタイプとして[External]を選択します。
管理者ユーザの設定
管理者ユーザを設定するには、[Administration] > [System] > [Admin Access] > [Administrators] > [Admin Users]に移動します。
[Add] をクリックします。選択するオプションは2つあります。1つは、新しいユーザを追加することです。もう1つの方法は、ISE管理者としてネットワークアクセスユーザ(内部ユーザとして設定されたユーザ)を作成することです。
オプションを選択した後は、必要な詳細を指定する必要があり、ユーザに与えられる権限と権限に基づいてユーザグループを選択する必要があります。
権限の設定
ユーザグループに設定できる権限には、次の2つのタイプがあります。
- メニューアクセス
- データアクセス
[Menu Access]は、ISEのナビゲーションの表示を制御します。[表示]または[非表示]タブごとに2つのオプションがあり、これらは設定可能です。メニューアクセスルールは、選択したタブの表示/非表示を設定できます。
データアクセスは、ISE上のアイデンティティデータの読み取り/アクセス/変更を制御します。アクセス権限は、管理グループ、ユーザIDグループ、エンドポイントIDグループ、およびネットワークデバイスグループに対してのみ設定できます。ISE上のこれらのエンティティには3つのオプションがあり、これらは設定可能です。フルアクセス、読み取り専用アクセス、およびアクセスなし。ISEの各タブに対して、次の3つのオプションのいずれかを選択するようにデータアクセスルールを設定できます。
メニューのアクセスポリシーとデータアクセスポリシーは、任意の管理グループに適用する前に作成する必要があります。デフォルトで組み込まれているポリシーはいくつかありますが、常にカスタマイズすることも、新しいポリシーを作成することもできます。
メニューアクセスポリシーを設定するには、[Administration] > [System] > [Admin Access] > [Authorization] > [Permissions] > [Menu Access]に移動します。
[Add] をクリックします。ISEの各ナビゲーションオプションは、ポリシーに表示/非表示を設定できます。
データアクセスポリシーを設定するには、[管理(Administration)] > [システム(System)] > [管理アクセス(Admin Access)] > [許可(Authorization)] > [権限(Permissions)] > [データアクセス(Data Access)]に移動します。
[Add]をクリックして新しいポリシーを作成し、管理/ユーザアイデンティティ/エンドポイントアイデンティティ/ネットワークグループにアクセスするためのアクセス許可を設定します。
RBACポリシーの設定
RBACは、Role-Based Access Control(ロールベースアクセスコントロール)の略です。ユーザが属するロール(管理グループ)は、必要なメニューポリシーとデータアクセスポリシーを使用するように設定できます。1つのロールに対して複数のRBACポリシーを設定することも、1つのポリシーに複数のロールを設定してメニューやデータにアクセスすることもできます。これらの適用可能なポリシーはすべて、管理者ユーザがアクションを実行しようとしたときに評価されます。最終的な決定は、そのロールに適用されるすべてのポリシーの集約です。同時に許可と拒否を行う矛盾したルールがある場合、許可ルールによって拒否ルールが上書きされます。これらのポリシーを設定するには、[Administration] > [System] > [Admin Access] > [Authorization] > [RBAC Policy]に移動します。
ポリシーを複製/挿入/削除するには、[アクション]をクリックします。
注:システム作成およびデフォルトポリシーは更新できず、デフォルトポリシーは削除できません。
注:1つのルールで複数のメニュー/データアクセス権限を設定することはできません。
管理アクセスの設定
RBACポリシーに加えて、すべての管理者ユーザに共通の設定を設定できます。
GUIおよびCLIの[Maximum Sessions Allowed]、[Pre-login]、および[Post-login Banners]の数を設定するには、[Administration] > [System] > [Admin Access] > [Settings] > [Access]に移動します。[セッション]タブでこれらを設定します。
GUIおよびCLIにアクセスできるIPアドレスのリストを設定するには、[Administration] > [System] > [Admin Access] > [Settings] > [Access]に移動して、[IP Access]タブに移動します。
管理者がCisco ISEのMnTセクションにアクセスできるノードのリストを設定するには、[Administration] > [System] > [Admin Access] > [Settings] > [Access]に移動し、[MnT Access]タブに移動します。
展開内または展開外のノードまたはエンティティがMnTにsyslogを送信できるようにするには、[Allow any IP address to connect to MNT]オプションボタンをクリックします。展開内のノードまたはエンティティのみがMnTにsyslogを送信できるようにするには、[展開内のノードのみがMNTに接続することを許可する]ラジオボタンをクリックします。
注:ISE 2.6パッチ2以降では、MnTへのUDP Syslog配信に「ISE Messaging Service」を使用するが、デフォルトでオンになっています。これは、展開外の他のエンティティからのsyslogを許可しません。
セッションの非アクティブによるタイムアウト値を設定するには、[Administration] > [System] > [Admin Access] > [Settings] > [Session]に移動します。この値は、[Session Timeout]タブで設定します。
現在のアクティブなセッションを表示または無効にするには、[Administration] > [Admin Access] > [Settings] > [Session]に移動し、[Session Info]タブをクリックします。
ADクレデンシャルを使用した管理ポータルアクセスの設定
AD への ISE の結合
ISEを外部ドメインに参加させるには、[Administration] > [Identity Management] > [External Identity Sources] > [Active Directory]に移動します。新しい参加ポイント名とActive Directoryドメインを入力します。コンピュータオブジェクトを追加および変更できるADアカウントの資格情報を入力し、[OK]をクリックします。
ディレクトリ グループの選択
[Administration] > [Identity Management] > [External Identity Sources] > [Active Directory] を順に選択します。目的の結合点名をクリックし、「グループ」タブに移動します。[Add] > [Select Groups from Directory] > [Retrieve Groups]をクリックします。管理者が属するADグループを少なくとも1つインポートし、[OK]をクリックし、[保存]をクリックします。
AD 用管理アクセスの有効化
ADを使用してISEのパスワードベース認証を有効にするには、[Administration] > [System] > [Admin Access] > [Authentication]に移動します。[Authentication Method]タブで、[Password-Based]オプションを選択します。[IDソース]ドロップダウンメニューから[AD]を選択し、[Save]をクリックします。
ISE管理グループのADグループマッピングへの設定
これにより認証において、AD のグループ メンバーシップに基づいて管理者の役割ベース アクセス制御(RBAC)権限が判別されます。Cisco ISE管理グループを定義し、それをADグループにマッピングするには、[Administration] > [System] > [Admin Access] > [Administrators] > [Admin Groups]に移動します。[Add]をクリックし、新しい管理グループの名前を入力します。[Type] フィールドで [External check box] をオンにします。[External Groups]ドロップダウンメニューから、この管理グループをマッピングするADグループを選択します(上記の[Select Directory Groups]セクションで定義されています)。 変更を送信します。
管理グループの RBAC アクセス許可の設定
前のセクションで作成した管理グループにRBAC権限を割り当てるには、[Administration] > [System] > [Admin Access] > [Authorization] > [RBAC Policy]に移動します。右側の[アクション]ドロップダウンメニューから、[新しいポリシーの挿入]を選択します。新しいルールを作成し、上のセクションで定義した管理グループにマッピングし、必要なデータおよびメニューアクセス権限を割り当て、[Save]をクリックします。
ADクレデンシャルを使用したISEへのアクセスと確認
管理 GUI からログアウトします。[IDソース]ドロップダウンメニューから結合ポイント名を選択します。AD データベースからユーザ名とパスワードを入力し、ログインします。
設定が正常に動作していることを確認するには、ISE GUIの右上隅にある[Settings]アイコンから認証されたユーザ名を確認します。[サーバ情報]に移動し、ユーザ名を確認します。
LDAPによる管理ポータルアクセスの設定
ISEからLDAPへの参加
[Administration] > [Identity Management] > [External Identity Sources] > [Active Directory] > [LDAP]に移動します。[General]タブで、LDAPの名前を入力し、スキーマを[Active Directory]として選択します。
次に、接続の種類を構成するには、[接続]タブに移動します。ここで、プライマリLDAPサーバのホスト名/IPを、ポート389(LDAP)/636(LDAP-Secure)とともに設定します。 LDAPサーバの管理パスワードを使用して、管理識別名(DN)のパスを入力します。
次に、[Directory Organization] タブに移動し、[Naming Contexts]をクリックして、LDAPサーバに保存されているユーザの階層に基づいてユーザの正しい組織グループを選択します。
[Connection]タブの[Test Bind to Server]をクリックし、ISEからLDAPサーバへの到達可能性をテストします。
次に、[グループ]タブに移動し、[追加] > [ディレクトリからグループを選択] > [グループの取得]をクリックします。管理者が属するグループを少なくとも1つインポートし、「OK」をクリックし、「保存」をクリックします。
LDAPユーザの管理アクセスの有効化
LDAPを使用してISEのパスワードベース認証を有効にするには、[Administration] > [System] > [Admin Access] > [Authentication]に移動します。[Authentication Method]タブで、[Password-Based]オプションを選択します。[IDソース]ドロップダウンメニューから[LDAP]を選択し、[Save]をクリックします。
ISE管理グループをLDAPグループにマッピングします
これにより、設定されたユーザはRBACポリシーの許可に基づいて管理者アクセスを取得できます。この権限は、ユーザのLDAPグループメンバーシップに基づいて取得されます。Cisco ISE管理グループを定義してLDAPグループにマッピングするには、[Administration] > [System] > [Admin Access] > [Administrators] > [Admin Groups]に移動します。[Add]をクリックし、新しい管理グループの名前を入力します。[Type] フィールドで [External check box] をオンにします。[外部グループ]ドロップダウンメニューから、この管理グループがマッピングされるLDAPグループを選択します(以前に取得および定義した場合)。 変更を送信します。
管理グループの RBAC アクセス許可の設定
前のセクションで作成した管理グループにRBAC権限を割り当てるには、[Administration] > [System] > [Admin Access] > [Authorization] > [RBAC Policy]に移動します。右側の[アクション]ドロップダウンメニューから、[新しいポリシーの挿入]を選択します。新しいルールを作成し、上のセクションで定義した管理グループにマッピングし、必要なデータおよびメニューアクセス権限を割り当て、[Save]をクリックします。
LDAPクレデンシャルによるISEへのアクセスと確認
管理 GUI からログアウトします。[IDソース]ドロップダウンメニューからLDAP名を選択します。LDAPデータベースからユーザ名とパスワードを入力し、ログインします。
設定が正常に動作していることを確認するには、ISE GUIの右上隅にある[Settings] アイコンから認証されたユーザ名を確認します。[サーバ情報]に移動し、ユーザ名を確認します。