Cisco Identity Services Engine(ISE)は、Cisco TrustSec ソリューションに認証と認可インフラストラクチャを提供する、Cisco の次世代のポリシー サーバです。この他に、次の 2 つの重要なサービスを提供します。
最初のサービスは、Cisco ISE がさまざまな情報ソースから受領した属性に基づいて、エンドポイントのデバイス タイプを自動的にプロファイリングする手段を提供することです。このサービス(プロファイラと呼ばれる)は、Cisco NAC Profiler アプライアンスが以前提供していたものに相当する機能を備えます。
Cisco ISEが提供するもう1つの重要なサービスは、エンドポイントのコンプライアンスをスキャンすることです。たとえば、AV/ASソフトウェアのインストールとその定義ファイルの有効性(ポスチャと呼ばれます)をスキャンします。このポスチャ機能はこれまで、Cisco NAC アプライアンスでのみ提供されていました。
Cisco ISE は同等レベルの機能を提供し、これは 802.1X 認証メカニズムに統合されます。
ワイヤレス LAN コントローラ(WLC)が統合された Cisco ISE は、Appleの iDevice(iPhone、iPad、および iPod)、Android ベースのスマートフォンなどのようなモバイル デバイスのプロファイリング メカニズムを提供できます。802.1X のユーザ向けに、Cisco ISE はプロファイリングやポスチャ スキャンのような同等レベルのサービスを提供できます。Cisco ISE のゲスト サービスも、Web 認証要求を認証のために Cisco ISE へリダイレクトすることによって、Cisco WLC と統合できます。
このドキュメントでは、既知のエンドポイントとユーザ ポリシーに基づいて差別化アクセスを提供するといった、Bring Your Own Device(BYOD; 個人所有デバイスの持ち込み)向けのワイヤレス ソリューションを紹介します。本書は BYOD の完全なソリューションを提供するものではなく、ダイナミック アクセスの簡単なユース ケースを示す役割があります。その他の設定例では、ISE スポンサー ポータルを使用することなどが含まれます。このポータルでは、特権ユーザがワイヤレス ゲスト アクセスをプロビジョニングするためにゲストのスポンサーとなることができます。
このドキュメントに特有の要件はありません。
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
ソフトウェア バージョン 7.2.103 のシスコ ワイヤレス LAN コントローラ 2504 または 2106
Catalyst 3560:8 ポート
WLC 2504
Identity Services Engine 1.0MR(VMware サーバ イメージ バージョン)
Windows 2008 Server(VMwareイメージ):512 M、20 GBディスク
Active Directory
DNS
DHCP
証明書サービス
ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。
この設定により、WLC は ISE RADIUS サーバから到達する URL リダイレクションの AV ペアを見つけることができます。これは、RADIUS NAC 設定が有効になっているインターフェイスに接続されている WLAN のみが対象となります。URL リダイレクションのための Cisco AV ペアを受信すると、クライアントは POSTURE_REQD 状態に入ります。これは基本的に、コントローラ内部の WEBAUTH_REQD 状態と同じです。
ISE RADIUS サーバは、クライアントが Posture_Compliant であると判断した場合、CoA 再認証を発行します。Session_ID はそれらを結びつけるために使用されます。この新しい AuthC(再認証)があると、URL リダイレクト AV ペアは送信されません。URL リダイレクト AV ペアがないため、WLC はクライアントがもはやポスチャを必要としなくなったことを理解します。
RADIUS NAC 設定が有効でないと、WLC は URL リダイレクト VSA を無視します。
CoA-ReAuth:RFC 3576設定で有効になります。再認証機能は、以前にサポートされていた既存の CoA コマンドに追加されました。
RADIUS NAC 設定は CoA を機能させるために必要ですが、この機能からは相互に排他的です。
プレポスチャACL:クライアントがPOSTURE_REQ状態の場合、WLCのデフォルトの動作では、DHCP/DNSを除くすべてのトラフィックがブロックされます。プレポスチャ ACL(url-redirect-acl AV-Pair で呼び出される)がクライアントに適用され、ACL の許可対象にクライアントが到達できます。
事前認証ACLとVLANオーバーライド:隔離VLANまたはアクセスVLANと異なるAuthC VLANは、7.0MR1ではサポートされていません。ポリシー サーバから VLAN を設定すると、セッション全体の VLAN となります。最初の AuthZ の後、VLAN の変更は不要です。
次の図は、クライアントがバックエンド サーバと NAC ポスチャ検証で認証されたときに交換されるメッセージの詳細を示します。
クライアントは dot1x 認証を使用して認証を行います。
RADIUS の Access Accept では、ポート 80 のリダイレクトされた URL と、許可される IP アドレスとポート、または隔離 VLAN を含むプレ認証 ACL が伝達されます。
クライアントは Access Accept で提供された URL にリダイレクトされ、ポスチャ検証が実施されるまで、新しい状態に入ります。この状態のクライアントが ISE サーバと通信し、ISE NAC サーバで設定されたポリシーに対して自身を検証します。
クライアント上のNACエージェントがポスチャ検証(ポート80へのトラフィック)を開始:エージェントがHTTPディスカバリ要求をポート80に送信し、コントローラがアクセスアクセプトで提供されたURLにリダイレクトします。ISE は、クライアントが到達しようと試みていることを認識し、クライアントに直接応答します。このようにして、クライアントは ISE サーバ IP について学習し、その後はクライアントが ISE サーバと直接通信します。
ACL がこのトラフィックを許可するように設定されているため、WLC はこのトラフィックを許可します。VLAN のオーバーライド時には、ISE サーバに到達できるようにトラフィックはブリッジされます。
ISE クライアントが評価を完了すると、再認証サービスを持つ RADIUS CoA-Req が WLC に送信されます。これによってクライアントの再認証が始まります(EAP-START を送信することにより)。再認証が成功すると、ISE は新しい ACL(あれば)を使用して Access Accept を送信し、URL リダイレクトまたはアクセス VLAN は行われません。
WLC は RFC 3576 に従って CoA-Req と Disconnect-Req をサポートします。WLC は RFC 5176 に従って再認証サービスの CoA-Req をサポートする必要があります。
ダウンロード可能な ACL の代わりに、事前設定された ACL が WLC で使用されます。ISE サーバは、コントローラですでに設定されている ACL 名のみを送信します。
この設計は、VLAN と ACL の両方のケースで機能します。VLAN のオーバーライドの場合、ポート 80 のみをリダイレクトし、隔離 VLAN の残りのトラフィックを許可(ブリッジ)します。ACL では、Access Accept で受信したプレ認証 ACL が適用されます。
次の図は、この機能フローを視覚的に表したものです。
Cisco ISE プロファイラ サービスは、企業ネットワークへの適切なアクセスを確保および維持するために、デバイス タイプにかかわらず、ネットワーク上のすべての接続されたエンドポイントの機能を、検出、検索、および決定するための機能を提供します。主にネットワーク上のすべてのエンドポイントの属性を収集し、エンドポイントをそのプロファイルに従って分類します。
プロファイラは、ここに示されているコンポーネントで構成されています。
センサーには、さまざまなプローブが含まれています。プローブはネットワーク アクセス デバイスに対してクエリを実行することでネットワーク パケットをキャプチャし、エンドポイントから収集された属性と属性値をアナライザに転送します。
アナライザは、設定済みのポリシーと ID グループを使用してエンドポイントを評価し、収集された属性と属性値を照合します。これにより、エンドポイントを指定されたグループに分類し、一致したプロファイルを持つエンドポイントを Cisco ISE データベースに保存します。
モバイル デバイスの検出では、デバイスの適切な識別のため、これらのプローブの組み合わせを使用することが推奨されます。
RADIUS(Calling-Station-ID):MACアドレス(OUI)を提供します
DHCP(ホスト名):ホスト名 – デフォルトのホスト名にはデバイスタイプを含めることができます。例:jsmith-ipad
DNS(逆IPルックアップ):FQDN:デフォルトのホスト名にデバイスタイプを含めることができる
HTTP(User-Agent):特定のモバイルデバイスタイプの詳細
この iPad の例では、プロファイラは Web ブラウザ情報を User-Agent 属性および要求メッセージの他の HTTP 属性から取得し、エンドポイント属性のリストに追加します。
MS の Active Directory(AD)は簡単な概念実証では必要ありません。ISE は、アクセス制御およびきめ細かいポリシー制御のためのユーザ アクセスの差別化を含む、唯一の ID ストアとして使用できます。
AD 統合を使用する ISE 1.0 のリリースにより、ISE は認証ポリシーで AD グループを使用できるようになりました。ISE の内部ユーザ ストアを使用すると(AD 統合を使用せず)、グループをデバイスの ID グループと一緒にポリシーで使用することができません(特定されたバグであり、ISE 1.1 で解決予定)。そのため、デバイス ID グループに加えて使用する場合は、従業員や請負業者といった個々のユーザのみを区別することができます。
次のステップを実行します。
ブラウザウィンドウを開き、https://ISE の IP アドレスに移動します。
[Administration] > [Identity Management] > [Identities] の順に移動します。
[Users]、[Add](Network Access User)をクリックします。これらのユーザ値を入力し、Employee グループに割り当てます。
[Name(名前)]:employee
パスワード:XXXX
[Submit] をクリックします。
[Name(名前)]:contractor
パスワード:XXXX
両方のアカウントが作成されていることを確認します。
ISE への RADIUS 要求を開始するすべてのデバイスが、ISE で定義されている必要があります。これらのネットワーク デバイスは、IP アドレスに基づいて定義されます。ISE のネットワーク デバイスの定義では IP アドレスの範囲を指定できるため、複数の実際のデバイスを表すように定義できます。
RADIUS の通信に必要なものに限らず、ISE のネットワーク デバイスの定義は、SNMP および SSH などの他の ISE/デバイス通信の設定が含まれます。
ネットワーク デバイスの定義の別の重要な側面は、デバイスの適切なグループ化によってこのグループ化をネットワーク アクセス ポリシーで利用できるようにすることです。
この演習では、ラボで必要なデバイスの定義が設定されています。
次のステップを実行します。
ISE から、[Administration] > [Network Resources] > [Network Devices] に移動します。
[Network Devices]から、[Add] をクリックします。IP アドレスを入力し、[Authentication Setting] にチェックを入れ、[Shared Secret] に ‘cisco’ と入力します。
WLC エントリを保存し、リスト上のコントローラを確認します。
ISE は、802.1x ワイヤレス クライアントを認証するように設定し、ID ストアとして Active Directory を使用する必要があります。
次のステップを実行します。
ISE から、[Policy] > [Authentication] に移動します。
[Dot1x] > [Wired_802.1X](-)をクリックして展開します。
歯車アイコンをクリックして、[Add Condition from Library](ライブラリから条件を追加)します。
条件選択ドロップダウンから、[Compound Condition] > [Wireless_802.1X] を選択します。
[Express] 条件を [OR] に設定します。
allow protocol オプションの後を展開し、デフォルトの [Internal Users] を承認します(デフォルト)。
他はすべてデフォルトのままとします。[Save] をクリックして更新を完了します。
Cisco 2500 ワイヤレス LAN コントローラの導入ガイドは、Cisco 2500 シリーズ ワイヤレス コントローラ導入ガイド [英語] でも入手できます。
スタートアップ ウィザードを使用したコントローラの設定
(Cisco Controller) Welcome to the Cisco Wizard Configuration Tool Use the '-' character to backup Would you like to terminate autoinstall? [yes]: yes AUTO-INSTALL: process terminated -- no configuration loaded System Name [Cisco_d9:24:44] (31 characters max): ISE-Podx Enter Administrative User Name (24 characters max): admin Enter Administrative Password (3 to 24 characters): Cisco123 Re-enter Administrative Password: Cisco123 Management Interface IP Address: 10.10.10.5 Management Interface Netmask: 255.255.255.0 Management Interface Default Router: 10.10.10.1 Management Interface VLAN Identifier (0 = untagged): 0 Management Interface Port Num [1 to 4]: 1 Management Interface DHCP Server IP Address: 10.10.10.10 Virtual Gateway IP Address: 1.1.1.1 Mobility/RF Group Name: ISE Network Name (SSID): PODx Configure DHCP Bridging Mode [yes][NO]: no Allow Static IP Addresses [YES][no]: no Configure a RADIUS Server now? [YES][no]: no Warning! The default WLAN security policy requires a RADIUS server. Please see documentation for more details. Enter Country Code list (enter 'help' for a list of countries) [US]: US Enable 802.11b Network [YES][no]: yes Enable 802.11a Network [YES][no]: yes Enable 802.11g Network [YES][no]: yes Enable Auto-RF [YES][no]: yes Configure a NTP server now? [YES][no]: no Configure the ntp system time now? [YES][no]: yes Enter the date in MM/DD/YY format: mm/dd/yy Enter the time in HH:MM:SS format: hh:mm:ss Configuration correct? If yes, system will save it and reset. [yes][NO]: yes Configuration saved! Resetting system with new configuration... Restarting system.
ネイバー スイッチの設定
コントローラは、ネイバー スイッチ上のイーサネット ポート(Fast Ethernet 1)に接続されます。ネイバー スイッチ ポートは 802.1Q トランクとして設定され、トランク上のすべての VLAN を許可します。ネイティブ VLAN 10 では、WLC の管理インターフェイスが接続できます。
802.1Q スイッチ ポートの設定は次のとおりです。
switchport switchport trunk encapsulation dot1q switchport trunk native VLAN 10 switchport mode trunk end
ワイヤレス エンドポイントの 802.1X と CoA 機能を有効にするため、ISE を WLC に追加する必要があります。
次のステップを実行します。
ブラウザを開き、(セキュア HTTP を使用して)[pod WLC] > [https://wlc] に接続します。
[Security] > [Authentication] > [New] の順に移動します。
次の値を入力してください。
[Server IP Address(サーバIPアドレス)]:10.10.10.70(割り当てを確認)
共有秘密:cisco
RFC 3576(CoA)のサポート:有効(デフォルト)
その他すべて:デフォルト
[Apply] をクリックして、次に進みます。
[RADIUS Accounting] > [add NEW] を選択します。
次の値を入力してください。
[Server IP Address]:10.10.10.70
共有秘密:cisco
その他すべて:デフォルト
[Apply] をクリックして、WLC の設定を保存します。
WLC の新しいダイナミック インターフェイスを追加し、従業員 VLAN にそれをマッピングするには、次の手順を実行します。
WLC から、[Controller] > [Interfaces] に移動します。次に、[New] をクリックします。
WLC から、[Controller] > [Interfaces] に移動します。次の内容を入力します。
[Interface Name]:Employee
VLAN ID:11
従業員インターフェイスに次を入力します。
ポート番号:1
[VLAN Identifier]:11
IPアドレス:10.10.11.5
ネットマスク:255.255.255.0
ゲートウェイ:10.10.11.1
DHCP:10.10.10.10
従業員の動的なインターフェイスが新たに作成されたことを確認します。
WLC の新しいダイナミック インターフェイスを追加し、ゲスト VLAN にそれをマッピングするには、次の手順を実行します。
WLC から、[Controller] > [Interfaces] に移動します。次に、[New] をクリックします。
WLC から、[Controller] > [Interfaces] に移動します。次の内容を入力します。
[Interface Name]:Guest
VLAN ID:12
ゲスト インターフェイスに次を入力します。
ポート番号:1
[VLAN Identifier]:12
IPアドレス:10.10.12.5
ネットマスク:255.255.255.0
ゲートウェイ:10.10.12.1
DHCP:10.10.10.10
ゲスト インターフェイスが追加されたことを確認します。
WLC の最初のブートストラップからデフォルト WLAN が作成される場合があります。その場合、それを変更するか、ガイドの指示どおりにワイヤレス 802.1X 認証をサポートする新しい WLAN を作成します。
次のステップを実行します。
WLC から [WLAN] > [Create New] に移動します。
WLAN で以下を入力します。
[Profile Name(プロファイル名)]:pod1x
SSID:同じ
WLAN の設定 > [General] タブでは、次の手順を使用します。
[Radio Policy]:All
インターフェイス/グループ:管理
その他すべて:デフォルト
[WLAN] > [Security] タブ > [Layer 2] では、次を設定します。
Layer 2 Security:WPA+WPA2
WPA2ポリシー/暗号化:有効/AES
[Auth Key Mgmt]:802.1X
[WLAN] > [Security] タブ > [AAA Servers] では、次を設定します。
Radio Server Overwrite Interface: Disabled
認証/アカウンティングサーバ:有効
サーバ1:10.10.10.70
[WLAN] > [Advanced] タブでは、次を設定します。
[Allow AAA Override]:[Enabled]
[NAC State(NAC状態)]:[Radius NAC(半径NAC)](選択済み)
[WLAN] > [General] タブ > [Enable WLAN](チェックボックス)に戻ります。
従業員とゲストのインターフェイスが有効か、簡単にチェックする必要があります。WLAN に関連付ける任意のデバイスを使用して、WLAN インターフェイスの割り当てを変更します。
WLC から [WLAN] > [WLANs] に移動します。クリックして、先ほどの作業で作成された安全な SSID を編集します。
[Interface/Interface Group] を [Employee] に変更し、[Apply] をクリックします。
適切に設定されていると、デバイスは従業員 VLAN(10.10.11.0/24)から IP アドレスを受信します。この例では、新しい IP アドレスを取得する iOS デバイスを示しています。
先ほどのインターフェイスを確認したら、WLAN のインターフェイスの割り当てを [Guest] に変更し、[Apply] をクリックします。
適切に設定されていると、デバイスはゲスト VLAN(10.10.12.0/24)から IP アドレスを受信します。この例では、新しい IP アドレスを取得する iOS デバイスを示しています。
重要:インターフェイスの割り当てを元の管理に戻します。
[Apply] をクリックして、WLC の設定を保存します。
iPhone、iPad、または iPod などの iOS デバイスを使用して認証された SSID 経由で、WLC に社内ユーザ(または統合された AD ユーザ)を関連付けます。該当しない手順は飛ばしてください。
iOS デバイスで、WLAN の設定に移動します。Wi-Fi を有効にし、前のセクションで作成された 802.1X 対応の SSID を選択します。
次の情報を入力して接続します。
ユーザ名:従業員(社内 – 従業員)または請負業者(社内 – 請負業者)
パスワード:XXXX
クリックして ISE 証明書を受け入れます。
iOS デバイスが管理(VLAN10)インターフェイスから IP アドレスを取得していることを確認します。
[WLC] > [Monitor] > [Clients] で、使用状況、状態および EAP のタイプを含むエンドポイント情報を確認します。
同様に、クライアント情報が [ISE] > [Monitor] > [Authentication] で提供されます。
セッションの詳細情報をドリル ダウンするには、[Details] アイコンをクリックします。
ポスチャ リダイレクト ACL は WLC で設定されます。ここで ISE を使用してポスチャのためにクライアントが制限されます。実際には、ACL は最低でも ISE 間のトラフィックを許可します。必要に応じてこの ACL にオプション ルールを追加できます。
[WLC] > [Security] > [Access Control Lists] > [Access Control Lists] の順に移動します。[New] をクリックします。
ACL の名前を入力します(ACL-POSTURE-REDIRECT)。
新しい ACL で [Add New Rule] をクリックします。ACL シーケンス #1 に次の値を設定します。最後に、[Apply] をクリックします
出典:Any
宛先:IPアドレス10.10.10.70、255.255.255.255
プロトコル:任意
アクション:許可
シーケンスが追加されたことを確認します。
[Add New Rule] をクリックします。ACL シーケンス #2 に次の値を設定します。最後に、[Apply] をクリックします
送信元:IPアドレス10.10.10.70、255.255.255.255
宛先:任意
プロトコル:任意
アクション:許可
シーケンスが追加されたことを確認します。
ACL シーケンス #3 に次の値を設定します。最後に、[Apply] をクリックします
出典:Any
宛先:任意
プロトコル:UDP
送信元ポート:DNS
宛先ポート:任意
アクション:許可
シーケンスが追加されたことを確認します。
[Add New Rule] をクリックします。ACL シーケンス #4 に次の値を設定します。最後に、[Apply] をクリックします
出典:Any
宛先:任意
プロトコル:UDP
送信元ポート:任意
宛先ポート:DNS
アクション:許可
シーケンスが追加されたことを確認します。
現在の WLC 設定を保存します。
エンドポイントを効果的にプロファイルするには、ISE をプローブとして設定する必要があります。デフォルトでは、これらのオプションはディセーブルです。このセクションでは、ISE をプローブとして設定する方法を示します。
ISE 管理画面から、[Administration] > [System] > [Deployment] に移動します。
[ISE] を選択します。[Edit ISE host] をクリックします。
[Edit Node] ページから、[Profiling Configuration] を選択して次を設定します。
DHCP:Enabled、All(またはdefault)
DHCPSPAN:有効、すべて(またはデフォルト)
HTTP:有効、すべて(またはデフォルト)
RADIUS:Enabled、N/A
DNS:有効、該当なし
デバイス(iPhone/iPad/Droid/Mac など)を再び関連付けます。
ISE のエンドポイントの ID を確認します。[Administration] > [Identity Management] > [Identities] の順に移動します。[Endpoints] をクリックし、プロファイリングされたものを一覧表示します。
注:最初のプロファイルはRADIUSプローブからのものです。
ISE はそのままの状態でもさまざまなエンドポイント プロファイルのライブラリを提供します。複数のデバイスのプロファイルを有効にするには、次の手順を実行します。
ISE から、[Policy] > [Profiling] に移動します。
左ペインから、[Profiling Policies] を展開します。
[Apple Device] > [Apple iPad] をクリックし、次のように設定します。
[Policy Enabled]:[Enabled]
[一致するIDグループの作成(Create Matching Identity Group)]:オン
[Apple Device] > [Apple iPhone] をクリックし、次のように設定します。
[Policy Enabled]:[Enabled]
[一致するIDグループの作成(Create Matching Identity Group)]:オン
[Android] をクリックし、次のように設定します。
[Policy Enabled]:[Enabled]
[一致するIDグループの作成(Create Matching Identity Group)]:オン
ポスチャ リダイレクトの認証ポリシーを設定し、新しいデバイスが ISE にリダイレクトされて適切な検出およびプロファイリングを行えるようにするには、次の手順を実行します。
ISE から、[Policy] > [Policy Elements] > [Results] に移動します。
[Authorization] を展開します。[Authorization Profiles](左ペイン)をクリックし、[Add] をクリックします。
以下のように認証ポリシーを作成します。
[Name]:Posture_Remediation
[Access Type]:Access_Accept
共通ツール:
Posture Discovery、有効化
Posture Discovery、ACL ACL-POSTURE-REDIRECT
[Submit] をクリックして、この作業を完了します。
新しい認証プロファイルを追加されたことを確認します。
従業員用の認証プロファイルを追加すると、ISE は割り当てられた属性を持つアクセスを認証し、許可できるようになります。この場合は従業員 VLAN 11 が割り当てられます。
次のステップを実行します。
ISE から、[Policy] > [Results] に移動します。[Authorization] を展開し、[Authorization Profiles] をクリックして [Add] をクリックします。
従業員認証プロファイルに次を入力します。
[Name(名前)]:Employee_Wireless
共通タスク:
VLAN、有効
VLAN、サブ値 11
[Submit] をクリックして、この作業を完了します。
従業員の認証プロファイルが新たに作成されたことを確認します。
請負業者用の認証プロファイルを追加すると、ISE は割り当てられた属性を持つアクセスを認証し、許可できるようになります。この場合は請負業者 VLAN 12 が割り当てられます。
次のステップを実行します。
ISE から、[Policy] > [Results] に移動します。[Authorization] を展開し、[Authorization Profiles] をクリックして [Add] をクリックします。
従業員認証プロファイルに次を入力します。
[Name(名前)]:Employee_Wireless
共通タスク:
VLAN、有効
VLAN、サブ値 12
[Submit] をクリックして、この作業を完了します。
請負業者の認証プロファイルが新たに作成されたことを確認します。
新しいデバイスが最初にネットワークに参加すると、そのデバイスに関する情報はほとんどありません。そのため、アクセスを許可する前に不明なエンドポイントを特定できるように、管理者は適切なポリシーを作成することになります。この演習では、ポスチャ評価のために新しいデバイスがISEにリダイレクトされ(モバイルデバイスはエージェントレスであるため、プロファイリングだけが関連します)、エンドポイントがISEキャプティブポータルにリダイレクトされて識別されるように、認証ポリシーが作成されます。
次のステップを実行します。
ISE から、[Policy] > [Authorization] に移動します。
プロファイリング済みの Cisco IP Phone のポリシーがあります。これはカスタマイズ前の状態です。これをポスチャ ポリシーとして編集します。
このポリシーに次の値を入力します。
[Rule Name(ルール名)]:Posture_Remediation
[Identity Groups]:任意
[その他の条件(Other Conditions)] > [新規作成(Create New)]:(詳細)セッション> [ポスチャステータス(PostureStatus)]
PostureStatus > Equals: Unknown
アクセス許可を次のように設定します。
[Permissions] > [Standard]:Posture_Remediation
[Save] をクリックします。
注:また、使いやすさを向上させるために、カスタムポリシー要素を作成することもできます。
ISE がポスチャ ポリシーに基づいて新しいデバイスを正常にプロファイリングしていることを示すため、簡単なデモを実施できます。
ISE から、[Administration] > [Identity Management] > [Identities] の順に移動します。
[Endpoints] をクリックします。デバイス(この例では iPhone)を関連付けて、接続します。
エンドポイントのリストを更新します。どの情報が入力されるか確認します。
エンドポイント デバイスから、次を参照してください。
URL:http://www(または10.10.10.10)
デバイスがリダイレクトされます。証明書のプロンプトが表示されたら、承認します。
モバイル デバイスが完全にリダイレクトされたら、ISE からエンドポイント リストを再度更新します。変更内容を観察します。先ほどのエンドポイント(たとえば、Apple-Device)が ‘Apple-iPhone’ などに変更しているはずです。この理由は、キャプティブ ポータルにリダイレクトされるプロセスの一環として、HTTP プローブが効果的に User-Agent 情報を取得するためです。
ポスチャ認証のテストが正常に終了したら、既知のデバイスおよびユーザ ロール(このシナリオでは従業員と請負業者)別の異なる VLAN の割り当てによる、従業員と請負業者の差別化アクセスをサポートするポリシーの作成を続行します。
次のステップを実行します。
[ISE] > [Policy] > [Authorization] に移動します。
[Posture Remediation] ポリシー/ラインの上に新しいルールを追加/挿入します。
このポリシーに次の値を入力します。
[Rule Name]:Employee
[IDグループ(Identity Groups)](展開):[エンドポイントIDグループ(Endpoint Identity Groups)]
エンドポイントIDグループ:プロファイル済み
プロファイル:Android、Apple-iPad、またはApple-iPhone
追加のデバイス タイプを指定するには、[+] をクリックしてより多くのデバイスを追加します(必要に応じて)。
エンドポイントIDグループ:プロファイル済み
プロファイル:Android、Apple-iPad、またはApple-iPhone
このポリシーの次のアクセス許可の値を入力します。
その他の条件(展開):新しい条件の作成(詳細オプション)
条件>式(リストから): InternalUser > Name
InternalUser > Name: employee
ポスチャ セッションのコンプライアンス条件を追加する:
[Permissions] > [Profiles] > [Standard: Employee_Wireless]
[Save] をクリックします。ポリシーが正常に追加されたことを確認します。
引き続き請負業者ポリシーを追加します。このドキュメントでは、プロセスを迅速に進めるため、ポリシーを複製します(または手動で設定することもできます)。
[Employee policy] > [Actions] から、[Duplicate Below] をクリックします。
このポリシー(複製コピー)の次のフィールドを編集します。
[Rule Name(ルール名)]:Contractor
[その他の条件(Other Conditions)] > [内部ユーザ(InternalUser)] > [名前(Name)]: contractor
権限:Contractor_Wireless
[Save] をクリックします。先ほどの複製したコピー(または新規ポリシー)が正しく設定されていることを確認します。
ポリシーをプレビューするには、[Policy-at-a-Glance] をクリックします。
[Policy at A Glance] ビューは、ポリシーを一目で把握できるように見やすく表示します。
認証プロファイルおよびポリシーで差別化アクセスの準備ができたら、テストを行います。単一の保護された WLAN では、従業員には従業員 VLAN が割り当てられ、請負業者には請負業者 VLAN が割り当てられます。次の例では 1 台の Apple iPhone/iPad を使用します。
次のステップを実行します。
保護された WLAN(POD1x)にモバイル デバイスを接続し、次のクレデンシャルを使用します。
ユーザ名:employee
パスワード:XXXXX
[Join] をクリックします。従業員に VLAN 11(従業員 VLAN)が割り当てられたことを確認します。
[Forget this Network] をクリックします。[Forget] をクリックして確定します。
WLC に移動し、既存のクライアント接続を削除します(前の手順で同じものが使用されている場合)。[Monitor] > [Clients] > [MAC address] に移動し、[Remove] をクリックします。
前のクライアント セッションをクリアするもう 1 つの確実な方法は、WLAN を無効化してから有効にすることです。
[WLC] > [WLANs] > [WLAN] に移動し、編集する WLAN をクリックします。
[Enabled] > [Apply] のチェックを外します(無効化する)。
[Enabled] > [Apply] のチェックボックスをオンにします(再度有効化する)。
モバイル デバイスに戻ります。次のクレデンシャルを使用して、同じ WLAN に再度接続します。
ユーザ名:contractor
パスワード:XXXX
[Join] をクリックします。請負業者のユーザに VLAN 12(請負業者/ゲスト VLAN)が割り当てられたことを確認します。
ISE のリアルタイムのログ ビューは [ISE] > [Monitor] > [Authorizations] で確認できます。個々のユーザ(従業員、請負業者)が、異なる VLAN で差別化された認証プロファイル(Employee_Wireless vs Contractor_Wireless)を取得していることがわかります。
ゲスト WLAN を追加し、ゲストが ISE スポンサー ゲスト ポータルにアクセスできるようにするには、次の手順を実行します。
WLC から [WLANs] > [WLANs] > [Add New] に移動します。
新しいゲスト WLAN に次を入力します。
[Profile Name(プロファイル名)]:pod1guest
SSID:pod1guest
[Apply] をクリックします。
ゲスト WLAN > [General] タブに次を入力します。
ステータス:無効
[Interface/Interface Group]:Guest
[WLAN] > [Security] > [Layer2] に移動し、次を入力します。
レイヤ2セキュリティ:なし
[WLAN] > [Security] > [Layer3] タブに移動し、次を入力します。
レイヤ3セキュリティ:なし
Webポリシー:有効
[Web Policy]サブ値:認証
事前認証ACL:ACL-POSTURE-REDIRECT
Web認証タイプ:外部(外部サーバにリダイレクト)
URL:https://10.10.10.70:8443/guestportal/Login.action
[Apply] をクリックします。
WLC 設定を保存したことを確認します。
これで、ゲスト WLAN の設定をテストできるようになりました。ゲストは ISE のゲスト ポータルにリダイレクトされるはずです。
次のステップを実行します。
iPhone などの iOS デバイスから、[Wi-Fi Networks] > [Enable] に移動します。次に、POD ゲスト ネットワークを選択します。
iOS デバイスは、ゲスト VLAN(10.10.12.0/24)からの有効な IP アドレスを示している必要があります。
Safari ブラウザを開いて次の URL に接続します。
URL:http://10.10.10.10
Web 認証のリダイレクトが表示されます。
ISE ゲスト ポータル ページに到達するまで、[Continue] をクリックします。
次のサンプル スクリーンショットは、[Guest Portal Login] での iOS デバイスを示します。ここから、WLAN と ISE のゲスト ポータルの正しい設定が有効であることが確認できます。
ISE はゲストのスポンサーとなることができるように設定できます。この場合、内部または AD ドメイン(統合されている場合)ユーザがゲスト アクセスのスポンサーとなれるように、ISE ゲスト ポリシーを設定することになります。また、スポンサーがゲスト パスワードを閲覧(オプション、このラボで有益)できるように ISE を設定することもできます。
次のステップを実行します。
従業員ユーザを SponsorAllAccount グループに追加します。これを行うには、グループに直接移動する方法と、ユーザを編集してグループを割り当てる方法とがあります。この例では、[Administration] > [Identity Management] > [Groups] > [User Identity Groups] に移動します。次に、[SponsorAllAccount] をクリックして従業員ユーザを追加します。
[Administration] > [Guest Management] > [Sponsor Groups] に移動します。
[Edit] をクリックして、[SponsorAllAccounts] を選択します。
[Authorization Levels] を選択し、次のように設定します。
ゲストパスワードの表示:はい
[Save] をクリックして、この作業を完了します。
先ほど、適切なゲスト ポリシーとグループを設定して AD ドメインのユーザが一時的なゲストのスポンサーとなることを許可しました。次に、スポンサー ポータルにアクセスし、一時的なゲスト アクセスを作成します。
次のステップを実行します。
ブラウザから、http://<ise ip>:8080/sponsorportal/またはhttps://<ise ip>:8443/sponsorportal/のいずれかのURLに移動します。その後、次の情報を使用してログインします。
ユーザ名:aduser(Active Directory)、employee(内部ユーザ)
パスワード:XXXX
[Sponsor] ページから、[Create Single Guest User Account] をクリックします。
一時的なゲストに、次の情報を追加します。
名:必須(Samなど)
姓:必須(例:Jones)
[Group Role]:Guest
時間プロファイル: DefaultOneHour
[Time Zone(タイムゾーン)]:Any/Default
[Submit] をクリックします。
ゲスト アカウントが先ほどのエントリに基づいて作成されます。パスワードはハッシュ *** ではなく表示される(先ほどの演習から)ことに注意してください。
このウィンドウは閉じず、ゲストのユーザ名とパスワードを表示させておきます。このページはゲスト ポータルへのログインをテストするために使用します(次へ)。
AD ユーザ/スポンサーによって新しいゲスト アカウントが作成されたら、ゲスト ポータルとアクセスをテストできます。
次のステップを実行します。
優先デバイス(この場合は Apple iOS/iPad)で、ポッド ゲスト SSID に接続し、IP アドレス/接続製を確認します。
ブラウザを使用して、http://www への移動を試みます。
ゲスト ポータルのログイン ページにリダイレクトされます。
先ほどの演習で作成したゲスト アカウントを使用してログインします。
成功すると、アクセプタブル ユース ポリシー ページが表示されます。
[Accept terms and conditions] にチェックを付け、[Accept] をクリックします。
元の URL が入力され、エンドポイントがゲストとしてアクセスが許可されます。
ISE との安全な通信のため、通信が認証関係か、ISE 管理に関するものかどうかを決定します。たとえば、ISE Web UI を使用する設定では、X.509 証明書と証明書信頼チェーンを設定して、非対称暗号化を有効にする必要があります。
次のステップを実行します。
有線接続された PC から、https://AD/certsrv にブラウザ ウィンドウを開きます。
注:セキュアHTTPを使用します。
注:ISEにアクセスするには、Mozilla FirefoxまたはMS Internet Explorerを使用します。
administrator/Cisco123 としてログインします。
[Download a CA certificate, certificate chain, or CRL] をクリックします。
[Download CA certificate] をクリックし、保存します(保存した場所をメモしておきます)。
ブラウザ ウィンドウで https://<Pod-ISE> を開きます。
[Administration] > [System] > [Certificates] > [Certificates Authority Certificates] に移動します。
[Certificate Authority Certificates] 操作を選択し、先ほどダウンロードした CA 証明書を参照します。
[Trust for client with EAP-TLS] を選択し、送信します。
CA がルート CA として追加され、信頼されていることを確認します。
ブラウザから、[Administration] > [System] > [Certificates] > [Certificates Authority Certificates] に移動します。
[Add] > [Generate Certificate Signing Request] をクリックします。
次の値を送信します。
[Certificate Subject]:CN=ise.corp.rf-demo.com
キーの長さ:2048
ISE のプロンプトで、CSR ページで CSR を使用できることが表示されます。[OK] をクリックします。
ISE CSR ページから CSR を選択し、[Export] をクリックします。
任意の場所にファイルを保存します(たとえば、[Downloads] など)。
ファイルは *.pem として保存されます。
CSR ファイルを探し、メモ帳/ワードパッド/TextEdit のいずれかを使用して編集します。
コンテンツをコピーします([all] > [Copy] を選択)。
ブラウザ ウィンドウで https://<Pod-AD>/certsrv を開きます。
[Request a certificate] をクリックします。
クリックして [Advanced certificate request] を送信します。
CSR のコンテンツを [Saved Request] フィールドに貼り付けます。
証明書テンプレートとして [Web Server] サーバを選択し、[Submit] をクリックします。
[DER encoded] を選択し、[Download certificate] をクリックします。
既知の場所にファイルを保存します(たとえば、[Downloads])。
[Administration] > [System] > [Certificates] > [Certificates Authority Certificates] に移動します。
[Add] > [Bind CA signed Certificate] をクリックします。
先ほどダウンロードした CA 証明書を参照してください。
[Protocol EAP] と [Management Interface] の両方を選択し、[Submit] をクリックします。
CA がルート CA として追加され、信頼されていることを確認します。
ISE はユーザ/マシンの認証のため、または認証情報やユーザ属性を取得するために Active Directory(AD)と直接通信できます。AD と通信するには、ISE は AD ドメインに「参加」する必要があります。この演習では、ISE を AD ドメインに参加させ、AD との通信が正しく動作していることを確認します。
次のステップを実行します。
ISE を AD ドメインに参加させるには、ISE から [Administration] > [Identity Management] > [External Identity Sources] に移動します。
左ペイン(External Identity Sources)から、[Active Directory] を選択します。
右側で [Connection] タブを選択し、次を入力します。
ドメイン名:corp.rf-demo.com
[IDストア名(Identity Store Name)]:AD1
[Test Connection] をクリックします。AD ユーザ名(aduser/Cisco123)を入力し、[OK] をクリックします。
[Test Status] が [Test Succeeded] を示していることを確認します。
[Show Detailed Log] を選択し、トラブルシューティングに役立つ詳細情報を確認します。[OK] をクリックして、次に進みます。
[Save Configuration] をクリックします。
[Join] をクリックします。AD ユーザ名(administrator/Cisco123)を入力し、[OK] をクリックします。
[Join Operation] ステータスが [Succeeded] と表示されていることを確認したら、[OK] をクリックして続行します。
[Server Connection] ステータスは [CONNECTED] と表示されます。このステータスが変更されたらいつでも、[Test Connection] をクリックすることで AD の動作に関する問題をトラブルシューティングすることができます。
AD グループを追加すると、ISE ポリシーに対してよりきめ細かい制御を行えるようになります。たとえば、AD グループを、従業員や請負業者のグループなどの機能的役割別に差別化することができます。ポリシーがユーザにのみ限定されていた以前の ISE 1.0 の演習では、これに関連するバグは発生していません。
このラボでは、ドメイン ユーザや従業員のグループのみを使用します。
次のステップを実行します。
ISE から、[Administration] > [Identity Management] > [External Identity Sources] の順に移動します。
[Active Directory] > [Groups] タブを選択します。
[+Add] をクリックし、[Select Groups From Directory] を選択します。
次に表示されるウィンドウ(Select Directory Groups)で、ドメイン(corp rf demo.com)およびフィルタ(*)のデフォルトを承認します。次に、[Retrieve Groups] をクリックします。
[Domain Users] と [Employee] グループのチェックボックスを選択します。完了したら、[OK] をクリックします。
グループがリストに追加されたことを確認します。
デフォルトでは、ISE は認証ストアに内部ユーザを使用するように設定されています。AD が追加されると、ISE が認証を確認するために使用する AD を含めるように、優先順位別の順序を作成することができます。
次のステップを実行します。
ISE から、[Administration] > [Identity Management] > [Identity Source Sequences] の順に移動します。
[+Add] をクリックして、新しい順序を追加します。
新しい名前AD_Internalを入力します。[Selected] フィールドに使用可能なすべてのソースを追加します。次に、AD1 がリストの先頭に移動するように、必要に応じて順序を並べ替えます。[Submit] をクリックします。
順序がリストに追加されたことを確認します。
ISE は、AD ドメイン ユーザがゲスト アクセスのスポンサーとなることができるように、ゲストがポリシーのスポンサーとなるように設定できます。
次のステップを実行します。
ISE から、[Administration] > [Guest Management] > [Settings] の順に移動します。
[Sponsor] を展開し、[Authentication Source] をクリックします。次に、Identity Store Sequence として [AD_Internal] を選択します。
AD_Internal を Identity Store Sequence として確定します。[Save] をクリックします。
[Administration] > [Guest Management] > [Sponsor Group Policy] に移動します。
最初のルールの上部に新しいポリシーを挿入します(右側の [Actions] アイコンをクリック)。
新しいスポンサー グループ ポリシーに対して、次を作成します。
[Rule Name(ルール名)]:Domain Users
[Identity Groups]:任意
その他の条件: (新規作成/詳細) > AD1
AD1:外部グループ
[AD1 External Groups] > [Equals] > corp.rf-demo.com/Users/Domain Users
スポンサー グループでは、次のように設定します。
スポンサーグループ:SponsorAllAccounts
[Administration] > [Guest Management] > [Sponsor Groups] に移動します。
[Edit] > [SponsorAllAccounts] を選択します。
[Authorization Levels] を選択し、次のように設定します。
ゲストパスワードの表示:はい
SPAN の設定:ISE の管理/プローブ インターフェイスは、WLC 管理インターフェイスに隣接する L2 です。スイッチは、SPAN、および従業員やゲスト インターフェイス VLAN などの他のインターフェイス向けに設定できます。
Podswitch(config)#monitor session 1 source vlan10 , 11 , 12 Podswitch(config)#monitor session 1 destination interface Fa0/8 ISE virtual probe interface.
Apple Mac OS X ワイヤレス ラップトップを使用して、内部ユーザ(または統合された AD ユーザ)として認証された SSID 経由で WLC に関連付けます。該当しない手順は飛ばしてください。
Mac で、WLAN の設定に移動します。Wi-Fi を有効にし、前の演習で作成した 802.1X 対応の POD SSID を選択し、接続します。
接続するには、次の情報を入力します。
ユーザ名:aduser(ADを使用している場合)、employee(内部 – 従業員)、contractor(内部 – 請負業者)
パスワード:XXXX
802.1X:自動
TLS証明書:なし
この時点では、ラップトップが接続されないことがあります。加えて、ISE は次のように失敗したイベントをスローできます。
Authentication failed :12514 EAP-TLS failed SSL/TLS handshake because of an unknown CA in the client certificates chain
[System Preference] > [Network] > [Airport] > [802.1X] 設定に移動し、新しい POD SSID/ WPA プロファイル認証を次のように設定します。
TLS:無効
PEAP:Enabled
TTLS:Disabled
EAP-FAST:無効
[OK] をクリックして続行し、設定を保存します。
[ネットワーク] 画面で、適切な SSID + 802.1X WPA プロファイルを選択し、[Connect] をクリックします。
ユーザ名およびパスワードを入力するように要求される場合があります。AD ユーザとパスワード(aduser/XXXX)を入力し、[OK] をクリックします。
クライアントは、有効な IP アドレスを持つ PEAP 経由で [Connected] と示されているはずです。
Windows XP ワイヤレス ラップトップを使用して、内部ユーザ(または統合された AD ユーザ)として認証された SSID 経由で WLC に関連付けます。該当しない手順は飛ばしてください。
次のステップを実行します。
ラップトップで、WLAN の設定に移動します。Wi-Fi を有効にし、前の演習で作成した 802.1X 対応の POD SSID に接続します。
Wi-Fi インターフェイスのネットワーク プロパティにアクセスします。
[Wireless Networks] タブに移動します。ポッド SSID ネットワーク プロパティ > [Authentication] タブ > [EAP] タイプ = [Protected EAP(PEAP)] を選択します。
[EAP Properties] をクリックします。
次の設定を行います。
サーバー証明書の検証:無効
[Authentication Method]:Secured password(EAP-MSCHAP v2)
すべてのウィンドウで[OK] をクリックし、この設定タスクを完了します。
Windows XP クライアントから、ユーザ名とパスワードの入力が求められます。この例では、aduser/XXXX です。
ネットワーク接続、IP アドレスの割り当て(v4)を確認します。
Windows 7 ワイヤレス ラップトップを使用して、内部ユーザ(または統合された AD ユーザ)として認証された SSID 経由で WLC に関連付けます。
ラップトップで、WLAN の設定に移動します。Wi-Fi を有効にし、前の演習で作成した 802.1X 対応の POD SSID に接続します。
ワイヤレス マネージャにアクセスし、新しい POD ワイヤレス プロファイルを編集します。
次の設定を行います。
[Authentication Method]:PEAP
資格情報を記憶する…:無効
サーバー証明書の検証(詳細設定):無効
[Authentication Method (adv. Setting)]:EAP-MSCHAP v2
[Automatically use my Windows logon...]:無効
改定 | 発行日 | コメント |
---|---|---|
1.0 |
21-Mar-2012 |
初版 |