TACACS+ デバイス管理
Cisco ISE は、ネットワーク デバイスの設定を制御および監査するための Terminal Access Controller Access-Control System(TACACS+)のセキュリティ プロトコルを使用したデバイス管理をサポートしています。ネットワーク デバイスは、デバイス管理者の操作の認証および認可のために ISE にクエリを行うために設定され、ISE のアカウンティング メッセージを送信して操作をログに記録します。これによって、どのネットワーク デバイスに誰がアクセスできて関連するネットワーク設定を変更できるかについて、きめ細かい制御が容易になります。ISE 管理者は、コマンド セットやシェル プロファイルなどの TACACS 結果をデバイス管理アクセス サービスの許可ポリシー ルールで選択できるようにするポリシー セットを作成できます。ISE モニタリング ノードでは、デバイス管理に関する高度なレポートが提供されます。[ワークセンター(Work Center)] メニューには、すべてのデバイス管理ページが含まれており、ISE 管理者の単一の始点として機能します。
ISE には、TACACS+ を使用するためのデバイス管理ライセンスが必要です。
デバイス管理については 2 つのタイプの管理者がいます。
-
デバイス管理者
-
ISE 管理者
デバイス管理者は、管理対象デバイスの設定と保守を実行するために、(通常は SSH を介して)スイッチ、ワイヤレス アクセス ポイント、ルータ、ゲートウェイなどのネットワーク デバイスにログインするユーザです。ISE 管理者は、デバイス管理者がログインするデバイスの設定と調整のために ISE にログインします。
ISE にログインしてデバイス管理者の操作を制御する設定を行う ISE 管理者がこのドキュメントの対象読者です。ISE 管理者は、デバイス管理機能([ワーク センター(Work centers)] > [デバイス管理(Device Administration)])を使用して、ネットワーク デバイスの設定を制御および監査します。デバイスは、Terminal Access Controller Access-Control System(TACACS)のセキュリティ プロトコルを使用して ISE サーバにクエリを行うように設定できます。ISE モニタリング ノードでは、デバイス管理に関する高度なレポートが提供されます。ISE 管理者は、次のタスクを実行できます。
-
TACACS+ の詳細(共有秘密)によるネットワーク デバイスの設定。
-
内部ユーザとしてのデバイス管理者の追加、および必要に応じてイネーブル パスワードの設定。
-
コマンド セットやシェル プロファイルなどの TACACS 結果をデバイス管理アクセス サービスの許可ポリシー ルールで選択できるようにするポリシー セットの作成。
-
デバイス管理者がポリシー セットに基づいてデバイスにアクセスできるようにするための ISE での TACACS サーバの設定。
デバイス管理者は、ISE サーバと通信するためのデバイスの設定タスクを実行します。デバイス管理者がデバイスにログインすると、デバイスは ISE サーバにクエリを行い、次に内部または外部の ID ストアにクエリを行い、デバイス管理者の詳細を検証します。検証が ISE サーバによって行われると、デバイスは、アカウンティングと監査の目的で、各セッションまたはコマンド許可操作の最終結果を ISE サーバに通知します。
ISE 管理者は、TACACS および Cisco ISE 2.0 以降のリリースを使用してデバイスを管理できます。デバイス管理に関連する設定は、Cisco Secure Access Control System(ACS)サーバのバージョン 5.5、5.6、5.7 および 5.8 から移行することもできます。これ以前のバージョンの場合は、移行の前に 5.5 または 5.6 にアップグレードする必要があります。
(注) |
TACACS+ の操作をイネーブルにするには、[管理(Administration)] > [システム(System)] > [展開(Deployment)] > [全般設定(General Settings)] ページの [デバイス管理サービスの有効化(Enable Device Admin Service)] チェックボックスをオンにする必要があります。このオプションは展開内の各 PSN で必ず有効にしてください。 |
(注) |
Cisco ISE では、既存の基本またはモビリティ ライセンスに加えて TACACS+ サービスを使用するには、デバイス管理ライセンスが必要です。デバイス管理ライセンスは永久ライセンスです。以前のリリースから Cisco ISE リリース 2.0 以降にアップグレードして、TACACS+ サービスを有効にするには、個別のアドオン ライセンスとしてデバイス管理ライセンスを発注する必要があります。Device Administration ライセンスの数は、展開内のデバイス管理ノード数と同じである必要があります。 |
デバイス管理属性については、「ISE Device Administration Attributes」を参照してください。 ワイヤレス LAN コントローラ、IOS ネットワーク デバイス、Cisco NX-OS ネットワーク デバイス、およびネットワーク デバイスの TACACS+ 設定については、「ISE Device Administration (TACACS+)」を参照してください。 |