ISEでの管理者アクセスポリシーとRBACポリシーについて

はじめに

このドキュメントでは、Identity Services Engine(ISE)で管理アクセスを管理するためのISEの機能について説明します。

前提条件

要件

次の項目に関する知識があることが推奨されます。

• ISE
• Active Directory
• Lightweight Directory Access Protocol(LDAP)

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

• ISE 3.0
• Windows Server 2016

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな（デフォルト）設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

設定

認証設定

管理者ユーザは、ISE上の情報にアクセスするために自身を認証する必要があります。管理者ユーザのIDは、ISE内部IDストアまたは外部IDストアを使用して確認できます。信憑性は、パスワードまたは証明書によって検証できます。これらの設定を行うには、Administration > System> Admin Access > Authenticationに移動します。Authentication Methodタブで、必要な認証タイプを選択します。

注：パスワードベースの認証はデフォルトで有効になっています。これをクライアント証明書ベースの認証に変更すると、すべての展開ノードでアプリケーションサーバーが再起動します。

ISEでは、コマンドラインインターフェイス(CLI)からのCLIパスワードポリシーの設定は許可されていません。グラフィカルユーザインターフェイス(GUI)とCLIの両方のパスワードポリシーは、ISE GUIからのみ設定できます。設定するには、Administration > System > Admin Access > Authenticationに移動し、Password Policyタブに移動します。

ISEには、非アクティブな管理者ユーザを無効にするプロビジョニングがあります。これを設定するには、Administration > System > Admin Access > Authenticationの順に移動し、Account Disable Policyタブに移動します。

ISEには、ログイン試行の失敗回数に基づいて管理者ユーザアカウントをロックまたは一時停止する機能もあります。これを設定するには、Administration > System > Admin Access > Authenticationに移動し、Lock/Suspend Settingsタブに移動します。

管理アクセスを管理するには、管理グループ、ユーザー、およびその権限を制御および管理するためのさまざまなポリシー/ルールが必要です。

管理グループの設定

Administration > System > Admin Access > Administrators > Admin Groupsに移動して、管理者グループを設定します。一部のグループはデフォルトで組み込まれており、削除できません。

グループを作成したら、グループを選択してeditをクリックし、そのグループに管理ユーザを追加します。外部管理者ユーザが必要な権限を取得できるように、外部IDグループをISEの管理者グループにマッピングするプロビジョニングがあります。これを設定するには、ユーザの追加時にタイプExternalを選択します。

管理者ユーザの設定

管理者ユーザを設定するには、Administration > System > Admin Access > Administrators > Admin Usersに移動します。

[Add] をクリックします。選択可能なオプションは2つあります。1つは、新しいユーザを完全に追加することです。もう1つは、ネットワークアクセスユーザ（ネットワークやデバイスにアクセスするために内部ユーザとして設定されたユーザ）をISE管理者にする方法です。

オプションを選択したら、必要な詳細情報を指定し、ユーザに与える権限と特権に基づいてユーザグループを選択する必要があります。

権限の設定

ユーザグループに設定できる権限には、次の2つのタイプがあります。

1. メニューアクセス
2. データアクセス

メニューアクセスは、ISEでのナビゲーションの表示を制御します。タブごとに2つのオプション（[表示]または[非表示]）があり、設定できます。メニューアクセスルールを設定して、選択したタブの表示/非表示を切り替えることができます。

データアクセスは、ISE上のIDデータの読み取り/アクセス/変更を制御します。アクセス許可は、管理者グループ、ユーザIDグループ、エンドポイントIDグループ、およびネットワークデバイスグループに対してのみ設定できます。ISE上のこれらのエンティティには、設定可能な3つのオプションがあります。フルアクセス、読み取り専用アクセス、アクセス不可です。ISEの各タブで、これら3つのオプションのいずれかを選択するようにデータアクセスルールを設定できます。

メニューアクセスポリシーとデータアクセスポリシーを作成してから、任意の管理グループに適用する必要があります。デフォルトで組み込まれているポリシーはいくつかありますが、いつでもカスタマイズしたり、新しいポリシーを作成したりできます。

メニューアクセスポリシーを設定するには、Administration > System > Admin Access > Authorization > Permissions > Menu Accessに移動します。

[Add] をクリックします。ISEの各ナビゲーションオプションは、ポリシーで表示/非表示になるように設定できます。

データアクセスポリシーを設定するには、Administation > System > Admin Access > Authorization > Permissions > Data Accessに移動します。

Addをクリックして、新しいポリシーを作成し、Admin/User Identity/Endpoint Identity/Network Groupsにアクセスするための権限を設定します。

RBACポリシーの設定

RBACはRole-Based Access Controlの略です。ユーザが属するロール（管理者グループ）は、目的のメニューポリシーとデータアクセスポリシーを使用するように設定できます。メニューやデータにアクセスするために、単一のロールに対して複数のRBACポリシーを設定したり、単一のポリシーで複数のロールを設定したりできます。これらの適用可能なポリシーはすべて、管理者ユーザがアクションを実行しようとしたときに評価されます。最終的な決定は、そのロールに適用されるすべてのポリシーの集約です。許可と拒否を同時に行う矛盾したルールがある場合、許可ルールが拒否ルールを上書きします。これらのポリシーを設定するには、Administration > System > Admin Access > Authorization > RBAC Policyに移動します。

[ポリシーActions の複製/挿入/削除]をクリックします。

注：システムで作成されたデフォルトポリシーは更新できず、デフォルトポリシーは削除できません。

注：複数のメニュー/データアクセス権限を単一のルールで設定することはできません。

管理者アクセスの設定

RBACポリシーに加えて、すべての管理者ユーザに共通の設定がいくつかあります。

GUIおよびCLIのMaximum Sessions Allowed、Pre-login、およびPost-loginバナーの数を設定するには、Administration > System > Admin Access > Settings > Accessに移動します。Sessionタブでこれらの設定を行います。

GUIおよびCLIへのアクセスに使用できるIPアドレスのリストを設定するには、Administration > System > Admin Access > Settings > Accessに移動し、IP Accessタブに移動します。

管理者がCisco ISEのMnTセクションにアクセスできるノードのリストを設定するには、Administration > System > Admin Access > Settings > Accessに移動し、MnT Accessタブに移動します。

展開内または展開外のノードまたはエンティティがMnTにsyslogを送信できるようにするには、Allow any IP address to connect to MNTオプションボタンをクリックします。MnTへのsyslogの送信を展開内のノードまたはエンティティだけに許可するには、Allow only the nodes in the deployment to connect to MNTのオプションボタンをクリックします。

注：ISE 2.6パッチ2以降では、UDP SyslogをMnTに配信するために、ISEメッセージングサービスがデフォルトで有効になっています。この設定では、導入以外の外部エンティティからのsyslogの受け入れを制限します。

セッションが非アクティブなために生じるタイムアウト値を設定するには、Administration > System > Admin Access > Settings > Sessionに移動します。Session Timeoutタブでこの値を設定します。

現在アクティブなセッションを表示または無効にするには、Administration > Admin Access > Settings > Sessionに移動してSession Infoタブをクリックします。

ADクレデンシャルを使用した管理者ポータルアクセスの設定

AD への ISE の結合

ISEを外部ドメインに参加させるには、Administration > Identity Management > External Identity Sources > Active Directoryに移動します。新しい参加ポイント名とActive Directoryドメインを入力します。追加できるADアカウントのクレデンシャルを入力し、コンピュータオブジェクトを変更して、OKをクリックします。

ディレクトリグループの選択

Administration > Identity Management > External Identity Sources > Active Directoryに移動します。目的の結合ポイント名をクリックして、Groupsタブに移動します。をクリックします。Add > Select Groups from Directory > Retrieve Groups管理者が属するADグループを少なくとも1つインポートし、OKをクリックしてから、Saveをクリックします。

AD 用管理アクセスの有効化

ADを使用してISEのパスワードベースの認証を有効にするには、Administration> System > Admin Access > Authenticationに移動します。Authentication Methodタブで、Password-Basedオプションを選択します。Identity SourceドロップダウンメニューからADを選択し、Saveをクリックします。

ADグループマッピングへのISE管理グループの設定

これにより、許可はADのグループメンバーシップに基づいて管理者のRBAC権限を決定できます。Cisco ISE管理グループを定義してADグループにマッピングするには、Administration > System > Admin Access > Administrators > Admin Groupsに移動します。Addをクリックして、新しい管理者グループの名前を入力します。[Type] フィールドで [External check box] をオンにします。External Groupsドロップダウンメニューから、この管理グループをマッピングするADグループを選択します(「Select Directory Groups」の項の定義に従います)。変更を送信します。

管理グループの RBAC アクセス許可の設定

前のセクションで作成した管理グループにRBACの権限を割り当てるには、Administration > System > Admin Access > Authorization > RBAC Policyに移動します。右側のActionsドロップダウンメニューから、Insert new policyを選択します。新しいルールを作成して、前のセクションで定義した管理グループにマッピングし、データとメニューのアクセス権限を割り当ててから、Saveをクリックします。

ADクレデンシャルを使用したISEへのアクセスと確認

管理 GUI からログアウトします。Identity Sourceのドロップダウンメニューから結合ポイント名を選択します。AD データベースからユーザ名とパスワードを入力し、ログインします。

設定が正しく機能していることを確認するには、ISE GUIの右上隅にあるSettingsアイコンで認証されたユーザ名を確認します。Server Informationに移動し、ユーザ名を確認します。

LDAPを使用した管理者ポータルアクセスの設定

ISEのLDAPへの参加

Administration > Identity Management > External Identity Sources > Active Directory > LDAPに移動します。Generalタブで、LDAPの名前を入力し、スキーマとしてActive Directoryを選択します。

次に、接続タイプを設定するために、Connectionタブに移動します。ここでは、プライマリLDAPサーバのホスト名/IPと、ポート389(LDAP)/636(LDAP-Secure)を設定します。管理者の識別名(DN)のパスと、LDAPサーバの管理者パスワードを入力します。

次に、Directory Organizationタブに移動し、Naming Contextsをクリックして、LDAPサーバに保存されているユーザの階層に基づいて、ユーザの正しい組織グループを選択します。

ISEからLDAPサーバに到達できるかどうかをテストするには、Connectionタブの下にあるTest Bind to Serverをクリックします。

Groupsタブに移動し、Add > Select Groups From Directory > Retrieve Groupsをクリックします。管理者が属するグループを少なくとも1つインポートし、OKをクリックしてから、Saveをクリックします。

LDAPユーザの管理アクセスの有効化

LDAPを使用してISEのパスワードベースの認証を有効にするには、Administration> System > Admin Access > Authenticationに移動します。Authentication Methodタブで、Password-Basedオプションを選択します。Identity SourceドロップダウンメニューからLDAPを選択して、Saveをクリックします。

ISE管理グループのLDAPグループへのマッピング

これにより、設定されたユーザは、RBACポリシーの許可に基づいて管理者アクセスを取得できます。このアクセスは、ユーザのLDAPグループメンバーシップに基づいて行われます。Cisco ISE管理グループを定義してLDAPグループにマッピングするには、Administration > System > Admin Access > Administrators > Admin Groupsに移動します。Addをクリックして、新しい管理者グループの名前を入力します。[Type] フィールドで [External check box] をオンにします。External Groupsドロップダウンメニューから、この管理グループをマッピングするLDAPグループを選択します（すでに取得して定義しています）。変更を送信します。

管理グループの RBAC アクセス許可の設定

前のセクションで作成した管理グループにRBACの権限を割り当てるには、Administration > System > Admin Access > Authorization > RBAC Policyに移動します。右側のActionsドロップダウンメニューから、Insert new policyを選択します。新しいルールを作成して、前のセクションで定義した管理グループにマッピングし、データとメニューのアクセス権限を割り当ててから、Saveをクリックします。

LDAPクレデンシャルを使用したISEへのアクセスと確認

管理 GUI からログアウトします。Identity SourceドロップダウンメニューからLDAP名を選択します。LDAPデータベースからユーザ名とパスワードを入力し、ログインします。

設定が正しく機能していることを確認するには、ISE GUIの右上隅にあるSettingsアイコンで認証されたユーザ名を確認します。Server Informationに移動し、ユーザ名を確認します。