ISEでのユーザごとのダイナミックアクセスコントロールリストの設定

ダウンロード オプション

  • PDF     (1.2 MB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (1.0 MB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (1.0 MB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2023 年 5 月 16 日
Document ID:212419

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

    はじめに

    このドキュメントでは、IDストアのタイプに存在するユーザのユーザごとのダイナミックアクセスコントロールリスト(dACL)の設定について説明します。

    前提条件

    要件

    Identity Services Engine(ISE)のポリシー設定に関する知識があることが推奨されます。

    使用するコンポーネント

    このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

    •  Identity Services Engine 3.0
    •  Microsoft Windows Active Directory 2016

    このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

    背景説明

    ユーザごとのダイナミックアクセスコントロールリスト(DACL)の設定は、ISE内部IDストアまたは外部IDストアに存在するユーザ用です。 

    設定

    ユーザ単位のdACLは、カスタムユーザ属性を使用する内部ストア内の任意のユーザに対して設定できます。Active Directory(AD)内のユーザの場合、文字列型の任意の属性を使用して同じ属性を実現できます。このセクションでは、ISEとADの両方で属性を設定するために必要な情報と、この機能を動作させるためにISEで必要な設定について説明します。 

    ISEでの新しいカスタムユーザ属性の設定

    Administration > Identity Management > Settings > User Custom Attributesの順に移動します。新しい属性を追加して変更を保存するには、図に示すように+ボタンをクリックします。この例では、カスタム属性の名前はACLです。

    Configure a New Custom User Attribute on ISE

    dACLの設定


    ダウンロード可能ACLを設定するには、Policy > Policy Elements > Results > Authorization > Downloadable ACLsの順に移動します。[Add] をクリックします。名前とdACLの内容を指定し、変更を保存します。図に示すように、dACLの名前はNotMuchAccessです。

    Configure dACL

    カスタム属性を使用した内部ユーザアカウントの設定

    Administration > Identity Management > Identities > Users > Addの順に移動します。ユーザを作成し、認可されたときにユーザが取得する必要があるdACLの名前を使用してカスタム属性値を設定します。この例では、dACLの名前はNotMuchAccessです。 

    Configure an Internal User Account with the Custom Attribute

    ADユーザアカウントの設定 

    Active Directoryで、ユーザアカウントのプロパティに移動し、次にAttribute Editorタブに移動します。図に示すように、aCSPolicyNameはdACL名を指定するために使用される属性です。ただし、前述のように、文字列値を受け入れることができる属性も使用できます。

    Configure a AD User Account

    ADからISEへの属性のインポート 

    ADで設定された属性を使用するには、ISEでインポートする必要があります。属性をインポートするには、Administration > Identity Management > External Identity Sources > Active Directory > [Join point configured] > Attributes タブに移動します。Addをクリックし、次にSelect Attributes From Directoryをクリックします。 ADでユーザアカウント名を入力し、Retrieve Attributesをクリックします。 dACLに設定されている属性を選択し、OKをクリックしてから、Saveをクリックします。図に示すように、aCSPolicyNameは属性です。

    Use Attribute Configured on AD to Import the Attribute from AD to ISE

    Import Complete

    内部および外部ユーザの許可プロファイルの設定

    認可プロファイルを設定するには、Policy > Policy Elements > Results > Authorization > Authorization Profilesの順に移動します。[Add] をクリックします。内部ユーザの名前を指定し、dACL名にInternalUser:<作成されるカスタム属性の名前> を選択します。図に示すように、内部ユーザのプロファイルInternalUserAttributeTestは、InternalUser:ACLとして設定されたdACLを使用して設定されます。

    Configure Authorization Profiles for Internal and External Users

    外部ユーザの場合は、dACL名として<Join point name>:<attribute configured on AD> を使用します。この例では、プロファイルExternalUserAttributeTestに、RiniAD:aCSPolicyNameとして設定されたdACLが設定されています。ここで、RiniADは参加ポイント名です。

    Profile ExternalUserAttributeTest is Configured with the dACL

    許可ポリシーの設定

    認可ポリシーは、ADに存在する外部ユーザのグループに基づいて、またISE内部IDストア内のユーザ名に基づいて、Policy > Policy Setsで設定できます。この例では、testuserexternalはグループrinsantr.lab/Users/Test Groupに存在するユーザで、testuserinternalはISE内部IDストアに存在するユーザです。

    Configure Authorization Policies

    確認

    このセクションを使用して、設定が機能するかどうかを確認します。

    RADIUSライブログをチェックして、ユーザ認証を確認します。

    内部ユーザ:

    Check the RADIUS Live Logs to Verify the User Authentications - Internal User

    外部ユーザ:

    Check the RADIUS Live Logs to Verify the User Authentications - External User

    成功したユーザ認証の虫眼鏡アイコンをクリックして、詳細ライブログの「概要」セクションで要求が正しいポリシーに一致するかどうかを確認します。

    内部ユーザ:

    Verify if Requests Hit the Correct Policies in the Overview Section of the Detailed Live Logs - Internal User

    外部ユーザ:

    Verify if Requests Hit the Correct Policies in the Overview Section of the Detailed Live Logs - External User

    詳細なライブログのOther Attributesセクションをチェックして、ユーザ属性が取得されているかどうかを確認します。

    内部ユーザ:

    Verify if the User Attributes have been Retrieved - Internal User

    外部ユーザ:

    Verify if the User Attributes have been Retrieved - External User

    詳細なライブログの結果セクションをチェックして、dACL属性がAccess-Acceptの一部として送信されているかどうかを確認します。

    Verify if dACL Attribute is Sent as Part of Access-Accept

    また、RADIUSライブログをチェックして、ユーザ認証の後にdACLがダウンロードされているかどうかを確認します。

    Verify if the dACL is Downloaded after the User Authentication

    dACLのダウンロードに成功したログで虫眼鏡のアイコンをクリックし、「概要」セクションを確認してdACLのダウンロードを確認します。

    Verify the Overview Section to confirm the dACL Download

    dACLの内容を確認するには、この詳細レポートの「結果」セクションを確認します。

    Verify the Contents of the dACL

    トラブルシュート

    現在のところ、この設定に関する特定のトラブルシューティング情報はありません。

    更新履歴

    改定 発行日 コメント
    2.0
    16-May-2023
    代替テキストと背景情報が追加されました。 「概要」、「機械翻訳」、「言語と書式」を更新。
    1.0
    06-Nov-2017
    初版
    TAC Authored

    シスコ エンジニア提供

    • リニ・サントラ
      Cisco TACエンジニア
    • スレンドラ・レディ
      Cisco TACエンジニア

    このドキュメントは役に立ちましたか?

    Feedbackフィードバック

    シスコに問い合わせ

    このドキュメントは次の製品に対応しています