アイデンティティポリシーの作成および管理

次のトピックでは、アイデンティティルールとアイデンティティポリシーの作成方法と管理方法について説明します。

アイデンティティポリシーについて

アイデンティティポリシーには、アイデンティティルールが含まれます。アイデンティティルールでは、トラフィックのセットを、レルムおよび認証方式（パッシブ認証、アクティブ認証、または認証なし）と関連付けます。

アイデンティティルールで呼び出す前に、使用するレルムおよび認証方式を完全に設定しておく必要があります。

[システム（System）] > [統合（Integration）] > [レルム（Realms）] でアイデンティティポリシー外のレルムを設定します。詳細については、レルムの作成を参照してください。
パッシブ認証のアイデンティティソースであるユーザエージェントと ISE/ISE-PIC は、[システム（System）] > [統合（Integration）] > [アイデンティティソース（Identity Sources）] で設定します。詳細については、ユーザ制御のためのユーザエージェントの設定およびユーザ制御用 ISE/ISE-PIC の設定を参照してください。
パッシブ認証のアイデンティティソースである TS エージェントについては、Firepower システムの外で設定します。詳細については、『Cisco Terminal Services (TS) Agent Guide』を参照してください。
アクティブ認証のアイデンティティソースであるキャプティブポータルについては、アイデンティティポリシー内で設定します。詳細については、ユーザ制御のためのキャプティブポータルの設定方法を参照してください。
リモートアクセス VPN ポリシー内では、アクティブな認証アイデンティティソースであるリモートアクセス VPN を設定します。詳細については、リモートアクセス VPN の AAA の設定を参照してください。

単一のアイデンティティポリシーに複数のアイデンティティルールを追加した後、ルールの順番を決めます。システムは、ルール番号の昇順で上から順に、ルールをトラフィックと照合します。トラフィックが一致する最初のルールがそのトラフィックを処理するルールです。

1 つ以上のアイデンティティポリシーを設定した後、1 つのアイデンティティポリシーをアクセスコントロールポリシーに関連付ける必要があります。ネットワークのトラフィックがアイデンティティルールの条件と一致する場合、システムはトラフィックを指定されたレルムと関連付け、指定されたアイデンティティソースを使用してトラフィックのユーザを認証します。

アイデンティティポリシーを設定しない場合、システムはユーザ認証を実行しません。

アイデンティティルールの作成


スマートライセンス	従来のライセンス	サポートされるデバイス	サポートされるドメイン	アクセス（Access）
任意（Any）	Control	任意（Any）	任意（Any）	Administrator/Access Admin/Network Admin

アイデンティティルールの設定オプションに関する詳細については、アイデンティティルールフィールドを参照してください。

手順

ステップ 1	まだ Firepower Management Center にログインしていない場合は、ログインします。
ステップ 2	[ポリシー（Policies）] > [アクセスコントロール（Access Control）] > [ID（Identity）] をクリックします。
ステップ 3	アイデンティティルールの追加先となるアイデンティティポリシーの横にある [編集（edit）] （）をクリックします。代わりに表示アイコン（）が表示される場合、設定は先祖ドメインに属しており、設定を変更する権限がありません。
ステップ 4	[ルールの追加（Add Rule）] をクリックします。
ステップ 5	名前を入力します。
ステップ 6	ルールを有効にするかどうかを指定します。
ステップ 7	既存のカテゴリにルールを追加するには、ルールを [挿入（Insert）] する場所を指定します。新しいカテゴリを追加するには、[カテゴリの追加（Add Category）] をクリックします。
ステップ 8	一覧からルール [アクション（Action）] を選択します。
ステップ 9	[レルムおよび設定（Realms & Settings）] タブをクリックします。
ステップ 10	[レルム（Realms）] 一覧から、アイデンティティルールのレルムを選択します。各アイデンティティルールにレルムを関連付ける必要があります。レルム要件の唯一の例外は、ISE SGT 属性タグのみを使用してユーザ制御を実装する場合です。この場合は、ISE サーバのレルムを設定する必要はありません。ISE SGT 属性条件は、関連するアイデンティティポリシーの有無にかかわらずポリシーで設定できます。
ステップ 11	キャプティブポータルを設定する場合は、ユーザ制御のためのキャプティブポータルの設定方法を参照してください。
ステップ 12	（オプション）アイデンティティルールに条件を追加するには、ルール条件タイプを参照してください。
ステップ 13	[追加（Add）] をクリックします。
ステップ 14	ポリシーエディタで、ルールの位置を設定します。クリックしてドラッグするか、または右クリックメニューを使用してカットアンドペーストを実行します。ルールには 1 から番号が付けられます。システムは、ルール番号の昇順で上から順に、ルールをトラフィックと照合します。トラフィックが一致する最初のルールは、そのトラフィックを処理するルールです。適切なルールの順序を指定することで、ネットワークトラフィックの処理に必要なリソースが削減され、ルールのプリエンプションを回避できます。
ステップ 15	[保存（Save）] をクリックします。

アイデンティティルールフィールド

次のフィールドを使用して、アイデンティティルールを設定します。

[有効（Enabled）]

このオプションを選択すると、アイデンティティポリシーのアイデンティティルールが有効になります。このオプションの選択を解除すると、アイデンティティルールが無効になります。

アクション（Action）

指定したレルムでユーザに対して実行する認証のタイプを指定します。これには、[パッシブ認証（Passive Authentication）]（デフォルト）、[アクティブ認証（Active Authentication）]、または [認証なし（No Authentication）] があります。アイデンティティルールのアクションとして選択する前に、認証方式、またはアイデンティティソースを完全に設定する必要があります。

さらに、VPN が有効になっている場合（少なくとも 1 つの管理対象デバイスで設定されている場合）、リモートアクセス VPN セッションは VPN によってアクティブに認証されます。他のセッションはルールアクションを使用します。つまり、VPN が有効になっている場合は、選択したアクションに関係なく、すべてのセッションで VPN ID の判別が最初に行われます。指定されたレルム上に VPN ID が見つかった場合、これは使用されるアイデンティティソースになります。選択されていても、追加のキャプティブポータルアクティブ認証は実行されません。

VPN アイデンティティソースが見つからない場合は、指定されたアクションに従ってプロセスが続行されます。アイデンティティポリシーを VPN 認証のみに制限することはできません。VPN ID が見つからない場合は、選択されたアクションに従ってルールが適用されるためです。

注意

SSL 復号が無効の場合（つまりアクセスコントロールポリシーに SSL ポリシーが含まれない場合）に、アクティブな最初の認証ルールを追加するか、アクティブな最後の認証ルールを削除すると設定の変更を展開すると Snort プロセスが再起動され、一時的にトラフィックのインスペクションが中断されます。この中断中にトラフィックがドロップされるか、それ以上インスペクションが行われずに受け渡されるかは、ターゲットデバイスがトラフィックを処理する方法に応じて異なります。詳細については、Snort® の再起動によるトラフィックの動作を参照してください。

アクティブ認証ルールには [アクティブ認証（Active Authentication）] ルールアクションが含まれているか、または [パッシブまたは VPN ID を確立できない場合はアクティブ認証を使用する（Use active authentication if passive or VPN identity cannot be established）] が選択された [パッシブ認証（Passive Authentication）] ルールアクションが含まれています。

Firepower システムのバージョンでサポートされるパッシブおよびアクティブ認証方式の詳細については、ユーザアイデンティティソースについてを参照してください。

レルム

指定されたアクションを実行するユーザが含まれるレルム。アイデンティティルールのレルムとして選択する前に、レルムを完全に設定する必要があります。

（注）

リモートアクセス VPN が有効で、展開で VPN 認証に RADIUS サーバグループを使用している場合は、この RADIUS サーバグループに関連付けられているレルムを指定してください。

（注）

[Kerberos]（または [Kerberos] をオプションとする場合は [HTTP ネゴシエート（HTTP Negotiate）]）を、アイデンティティルールの [認証プロトコル（Authentication Protocol）] として選択する場合、選択する [レルム（Realm）] は、Kerberos キャプティブポータルアクティブ認証を実行できるように、[AD 参加ユーザ名（AD Join Username）] と [AD 参加パスワード（AD Join Password）] を使用して設定する必要があります。

パッシブまたは VPN ID を確立できない場合は、アクティブ認証を使用します。

このオプションを選択すると、パッシブまたは VPN 認証でユーザを識別できない場合にキャプティブポータルアクティブ認証を使用してユーザが認証されます。このオプションを選択するには、アイデンティティポリシーでキャプティブポータルアクティブ認証を設定する必要があります。

このオプションを無効にすると、VPN ID を持たないユーザまたはパッシブ認証では識別できないユーザは、「不明（Unknown）」と識別されます。

認証でユーザを識別できない場合は特別 ID/ゲストとして識別する（Identify as Special Identities/Guest if authentication cannot identify user）

このオプションを選択すると、キャプティブポータルアクティブ認証に指定された回数失敗したユーザがゲストとしてネットワークにアクセスできます。これらのユーザは、Firepower Management Console ではユーザ名（ユーザ名が AD または LDAP サーバに存在する場合）または [ゲスト（Guest）]（ユーザ名が不明の場合）で表示されます。これらのユーザのレルムは、アイデンティティルールで指定されたレルムです。（デフォルトでは、失敗したログインの数は 3 回です。）

ルールアクションとして [アクティブ認証（Active Authentication）]（つまり、キャプティブポータル認証）を設定している場合にのみ、このフィールドが表示されます。

認証プロトコル

キャプティブポータルアクティブ認証を実行するために使用する方法です。選択は、レルム、LDAP、または AD のタイプによって異なります。

暗号化されていない HTTP 基本認証（BA）接続を使用してユーザを認証するには、[HTTP 基本（HTTP Basic）] を選択します。ユーザはブラウザのデフォルトの認証ポップアップウィンドウを使用してネットワークにログインします。

ほとんどの Web ブラウザは、HTTP 基本ログインからクレデンシャルをキャッシュし、古いセッションがタイムアウトした後にシームレスに新しいセッションを開始するためにそのクレデンシャルを使用します。

NT LAN Manager（NTLM）接続を使用してユーザを認証するには NTLM を選択します。この選択は AD レルムを選択するときにのみ使用できます。透過的な認証がユーザのブラウザで設定されている場合、ユーザは自動的にログインします。透過的な認証が設定されていない場合、ユーザは各自のブラウザでデフォルトの認証ポップアップウィンドウを使用してネットワークにログインします。

Kerberos 接続を使用してユーザを認証する場合は、[Kerberos] を選択します。この選択は、セキュア LDAP（LDAPS）が有効になっているサーバに対して AD レルムを選択する場合にのみ可能です。透過的な認証がユーザのブラウザで設定されている場合、ユーザは自動的にログインします。透過的な認証が設定されていない場合、ユーザは各自のブラウザでデフォルトの認証ポップアップウィンドウを使用してネットワークにログインします。

（注）

選択する [レルム（Realm）] は、Kerberos キャプティブポータルアクティブ認証を実行するために、[AD 参加ユーザ名（AD Join Username）] および [AD 参加パスワード（AD Join Password）] を使用して設定する必要があります。

（注）

Kerberos キャプティブポータルを実行するアイデンティティルールを作成しようとしており、DNS 解決は設定済みである場合は、キャプティブポータルデバイスの完全修飾ドメイン名（FQDN）を解決する DNS サーバを設定する必要があります。FQDN は、DNS の設定時に指定したホスト名と一致する必要があります。

ASA with FirePOWER Services および Firepower Threat Defense デバイスの場合、FQDN は、キャプティブポータルに使用されるルーテッドインターフェイスの IP アドレスに解決される必要があります。

キャプティブポータルサーバが認証接続に HTTP 基本認証、Kerberos、または NTLM を選択できるようにするには、[HTTP ネゴシエート（HTTP Negotiate）] を選択します。このタイプは AD レルムを選択するときにのみ使用できます。

（注）

選択する [レルム（Realm）] は、[HTTP ネゴシエート（HTTP Negotiate）] で Kerberos キャプティブポータルアクティブ認証を選択するために、[AD 参加ユーザ名（AD Join Username）] および [AD 参加パスワード（AD Join Password）] を使用して設定する必要があります。

（注）

[HTTP ネゴシエート（HTTP Negotiate）] キャプティブポータルを実行するアイデンティティルールを作成しようとしており、DNS 解決は設定済みである場合は、キャプティブポータルデバイスの完全修飾ドメイン名（FQDN）を解決する DNS サーバを設定する必要があります。キャプティブポータルに使用するデバイスの FQDN は、DNS の設定時に入力したホスト名と一致している必要があります。

ASA with FirePOWER Services デバイスの場合、FQDN は ASA FirePOWER モジュールの FQDN です。