TACACS+ デバイス管理
Cisco ISE は、ネットワークデバイスの設定の制御と監査を行うため、TACACS+ セキュリティプロトコルを使用したデバイス管理をサポートしています。ネットワークデバイスは、デバイス管理者の操作の認証および許可のために Cisco ISE にクエリを行うために設定され、Cisco ISE のアカウンティングメッセージを送信して操作をログに記録します。これによって、どのネットワーク デバイスに誰がアクセスできて関連するネットワーク設定を変更できるかについて、きめ細かい制御が容易になります。Cisco ISE 管理者は、コマンドセットやシェルプロファイルなどの TACACS 結果をデバイス管理アクセスサービスの認証ポリシールールで選択できるようにするポリシーセットを作成できます。Cisco ISE モニタリングノードでは、デバイス管理に関する高度なレポートが提供されます。[ワークセンター(Work Center)] メニューには、すべてのデバイス管理ページが含まれており、ISE 管理者の単一の始点として機能します。
Cisco ISE には、TACACS+ を使用するためのデバイス管理ライセンスが必要です。
デバイス管理については 2 つのタイプの管理者がいます。
-
デバイス管理者
-
Cisco ISE 管理者
デバイス管理者は、管理対象デバイスの設定と保守を実行するために、(通常は SSH を介して)スイッチ、ワイヤレスアクセスポイント、ルータ、ゲートウェイなどのネットワークデバイスにログインするユーザーです。Cisco ISE 管理者は、デバイス管理者がログインするデバイスの設定と調整のために Cisco ISE にログインします。
Cisco ISE にログインしてデバイス管理者の操作を制御する設定を行う Cisco ISE 管理者がこのドキュメントの対象読者です。Cisco ISE 管理者は、デバイス管理機能(Cisco ISE GUI で [メニュー(Menu)] アイコン()をクリックして次を選択します。[ワークセンター(Work centers)] > [デバイス管理(Device Administration)])を使用して、ネットワークデバイスの構成を制御および監査します。デバイスは、TACACS のセキュリティプロトコルを使用して Cisco ISE サーバーにクエリを行うように設定できます。Cisco ISE モニタリングノードでは、デバイス管理に関する高度なレポートが提供されます。Cisco ISE 管理者は、次のタスクを実行できます。
-
TACACS+ の詳細(共有秘密)によるネットワーク デバイスの設定。
-
内部ユーザーとしてのデバイス管理者の追加、および必要に応じてイネーブル パスワードの設定。
-
コマンド セットやシェル プロファイルなどの TACACS 結果をデバイス管理アクセス サービスの許可ポリシー ルールで選択できるようにするポリシー セットの作成。
-
デバイス管理者がポリシーセットに基づいてデバイスにアクセスできるようにするための Cisco ISE での TACACS サーバーの設定。
デバイス管理者は、Cisco ISE サーバーと通信するためのデバイスの設定タスクを実行します。デバイス管理者がデバイスにログインすると、デバイスは Cisco ISE サーバーにクエリを行い、次に内部または外部の ID ストアにクエリを行い、デバイス管理者の詳細を検証します。検証が Cisco ISE サーバーによって行われると、デバイスは、アカウンティングと監査の目的で、各セッションまたはコマンド許可操作の最終結果を Cisco ISE サーバーに通知します。
ISE 管理者は、TACACS および TACACS+ を使用してデバイスを管理できます。
(注) |
TACACS+ の操作を有効にするには、[管理(Administration)] > [システム(System)] > [展開(Deployment)] > [全般設定(General Settings)] ページの [デバイス管理サービスの有効化(Enable Device Admin Service)] チェックボックスをオンにする必要があります。このオプションは展開内の各 PSN で必ず有効にしてください。 TACACS+ プロトコルの既知の制限により、スイッチまたはルータと Cisco ISE 間のセキュアな接続を確立するため、IP セキュリティプロトコルが二者間に展開されていることを確認してください。 |
デバイス管理属性については、「ISE Device Administration Attributes」を参照してください。 ワイヤレス LAN コントローラ、Cisco IOS ネットワークデバイス、Cisco NX-OS ネットワークデバイス、およびネットワークデバイスの TACACS+ 設定については、「ISE Device Administration (TACACS+)」を参照してください。 |