NAC(CCA)4.x: LDAP を使用して、ユーザを特定のロールにマッピングする設定例

Similar documents
NAC(CCA): ACS 5.x 以降を使用した Clean Access Manager での認証の設定

RADIUS サーバを使用して NT のパスワード期限切れ機能をサポートするための Cisco VPN 3000 シリーズ コンセントレータの設定

管理アカウントの TACACS+ 認証をサポートするための Cisco VPN 3000 コンセントレータの設定方法

LEAP を使用して Cisco ワイヤレス クライアントを認証するための Funk RADIUS の設定

Cisco CallManager および Cisco Unity でのパスワード変更の設定例

連絡先

ローカルな Clean Access の設定

Cisco CallManager で SQL クエリーを使用したコール詳細レコードの検索

Windows GPO のスクリプトと Cisco NAC 相互運用性

目次 本書の概要... 3 QNAP で AD 環境を構築するネットワーク環境... 3 Active Directory ドメインコントローラ構築... 5 AD ユーザ作成 AD ユーザ単独作成 AD ユーザ複数作成 共有フォルダアクセス許可追加

VPN 接続の設定

電話機のファイル形式

LDAP サーバと統合するための ISE の設定

FQDN を使用した ACL の設定

ゲートウェイのファイル形式

SQL Server または MSDE のバージョン、およびサービス パック レベルの確認

レイヤ 3 アウトオブバンド(L3 OOB) の設定

ゲートウェイ ファイル形式

CRA 2.2(1)の ICD の設定方法

VNX ファイル ストレージの管理

障害およびログの表示

CEM 用の Windows ドメイン コントローラ上の WMI の設定

自動代替ルーティング設定

PowerPoint Presentation

VNX ファイル ストレージの管理

ローカル認証の設定例を含む WLC 5760/3850 Custom WebAuth

API サポート

ISE 2.0: ASA CLI TACACS+ 認証およびコマンド認可の設定例

AW-PCS認証設定手順1805

索引

VPN ユーザを管理し、RV016、RV042、RV042G および RV082 VPN ルータの速い VPN を設定して下さい

スケジューリングおよび通知フォーム のカスタマイズ

コミュニケーション サービスの設定

使用する前に

レポートでのデータのフィルタ

Microsoft Word JA_revH.doc

連絡先の管理

Identity Services Engine ゲスト ポータルのローカル Web 認証の設定例

R76/Gaia ブリッジ構成設定ガイド

Symantec AntiVirus の設定

VPN の IP アドレス

Cisco Unity 8.x サーバの名前の変更または 別のドメインへの Cisco Unity 8.x サーバの 移動

End Users

株式会社スタッフ アンド ブレーン Rev. 1.0 ZyWALL USG シリーズ設定例 Android を利用した L2TP over IPSec VPN 接続 について 構成例 Android を利用した L2TP over IPSec VPN 接続 インターネット 社内環境 回線終端装置 (

はじめに 本ドキュメントでは Salesforce 標準機能である 変更セット を使用して Visualforce ページ Apex クラスを Sandbox から本番環境に移行する手順を説明します 但し前提条件として Sandbox 本番環境共に SkyVisualEditor がインストールされ

ゲートウェイのファイル形式

設定例: 基本 ISDN 設定

IIS8でのクライアント証明書の設定方法

「Configuring Authentication」

Microsoft PowerPoint - APM-VE(install).pptx

UCCX 11.6 の Gmail の SocialMiner の統合

はじめに 注意事項 本資料に記載の内容は 弊社が特定の環境において 基本動作や接続動作を確認したものであり すべての環境で機能 性能 信頼性を保証するものではありません 商標一覧 RSA RSA ロゴ SecurID については RSA Security Inc. の米国およびその他の国における商標

株式会社スタッフ アンド ブレーン Rev 1.0 ZyWALL USG シリーズ設定例 Windows OS での VPN 接続 (L2TP over IPSec VPN 接続 ) について 構成例 Windows OS での VPN 接続 インターネット 社内環境 回線終端装置 (ONU) WA

WebView のハング:- java.lang.OutOfMemoryError

スポンサーのマニュアル

株式会社スタッフ アンド ブレーン Rev 1.0 次世代ファイアウォール USG シリーズ設定例 Windows OS での VPN 接続 (L2TP over IPSec VPN 接続 ) について 構成例 Windows OS での VPN 接続 インターネット 社内環境 USG 回線終端装置

TeamViewer マニュアル – Wake-on-LAN

Microsoft Exchange Server 2003/2007 と IM and Presence との統合

Cisco ViewMail for Microsoft Outlook クイックスタートガイド (リリース 8.5 以降)

Microsoft iSCSI Software Targetを使用したクラスタへの共有ディスク・リソースの提供

1. 一般設定 グローバル設定 ここでは 以下の 4 つのケースを想定し ファイルサーバーを設定する手順を紹介します 既に Windows ネットワーク上に存在するワークグループに参加する場合 Windows ネットワーク上に新たにワークグループを作成する場合 既に Windows ネットワーク上に

Avaya Communication Server と MeetingPlace サーバ間の MeetingPlace サーバ IP トランク グループの設定例

基本設定

Cisco Unified Communications Manager サーバ アドレスとユーザ名の自動的な入力

Intuit QuickBooks との統合

TeamViewer 9マニュアル – Wake-on-LAN

ユーザ デバイス プロファイルの ファイル形式

マルチ VRFCE PE-CE リンクのプロビジョ ニング

適応型セキュリティ アプライ アンスの設定

Net'Attest EPS設定例

Microsoft Word - SSL-VPN接続サービスの使い方

ServerView Resource Orchestrator V3.0 ネットワーク構成情報ファイルツール(Excel形式)の利用方法

Agentless_UID_Win2003_RevB

intra-mart Accel Platform

FUI 機能付きの OCS サーバ URL リダイレクトの設定例

適応型セキュリティ アプライ アンスの設定

電話機の基本的な管理手順

PowerPoint プレゼンテーション

ユーザ デバイス プロファイル エクス ポートの使用方法

Untitled

VRF のデバイスへの設定 Telnet/SSH アクセス

Mobile Access簡易設定ガイド

ハンドシェイク障害または証明書検証エラーによる NGFW サービス モジュール TLS の中断

SonicDICOM Cloud Connector インストール手順書 SonicDICOM Cloud Connector とは 検査装置が撮影した画像を自動的にクラウドへアップロー ドするためのソフトウェアです 1 前準備 クラウド上に PACS を作成する SonicDICOM Cloud

PowerPoint プレゼンテーション

索引

認証の設定

Microsoft Word - XOOPS インストールマニュアルv12.doc

ローカル認証でのVPN 3000 Concentrator PPTP の設定方法

レポートのデータへのフィルタの適用

連絡先リストの一括管理

ログインおよび設定

PC にソフトをインストールすることによって OpenVPN でセキュア SAMBA へ接続することができます 注意 OpenVPN 接続は仮想 IP を使用します ローカル環境にて IP 設定が被らない事をご確認下さい 万が一仮想 IP とローカル環境 IP が被るとローカル環境内接続が行えなくな

株式会社スタッフ アンド ブレーン Rev 1.0 次世代ファイアウォール USG シリーズ設定例 iphone を利用した L2TP over IPSec VPN 接続 について 構成例 iphone を利用した L2TP over IPSec VPN 接続 インターネット 社内環境 USG 回線

QualysGuard(R) Release Notes

ISE の BYOD に使用する Windows サーバ AD 2012 の SCEP RA 証明書を更新する

認証連携設定例 連携機器 アイ オー データ機器 BSH-GM シリーズ /BSH-GP08 Case IEEE802.1X EAP-PEAP(MS-CHAP V2)/EAP-TLS Rev2.0 株式会社ソリトンシステムズ

DELL Digital Locker 使用手順書 August 2016

パスワード管理

第 2 版

Transcription:

NAC(CCA)4.x: LDAP を使用して ユーザを特定のロールにマッピングする設定例 目次 概要前提条件要件使用するコンポーネント表記法バックエンドの Active Directory に対する認証 AD/LDAP の設定例属性または VLAN ID を使用したユーザとロールのマッピングマッピングルールの設定マッピングルールの編集トラブルシューティング関連情報 概要 このドキュメントでは ネットワークアドミッションコントロール (NAC) アプライアンスまたは Cisco Clean Access(CCA) の特定のロールにユーザをマッピングするための Lightweight Directory Access Protocol(LDAP) について説明します Cisco NAC アプライアンス ( 旧称 Cisco Clean Access) は 導入が容易な NAC 製品で ネットワークコンピューティングリソースにアクセスするすべてのデバイスでセキュリティポリシーのコンプライアンスを強化するために ネットワークインフラストラクチャを使用します ネットワーク管理者は NAC アプライアンスを使用して 有線 ワイヤレス およびリモートでアクセスするユーザおよびそのマシンを ネットワークにアクセスする前に認証 承認 評価 および修復することができます NAC アプライアンスは ラップトップ IP 電話 ゲームコンソールなどのネットワークデバイスがネットワークのセキュリティポリシーに準拠しているかどうかを確認し ネットワークへのアクセスを許可する前に 脆弱性を修復します 前提条件 要件 このドキュメントでは CCA Manager CCA Server LDAP サーバがインストールされ正常に動作していることを前提としています 使用するコンポーネント

このドキュメントの情報は 次のソフトウェアとハードウェアのバージョンに基づくものです Cisco NAC アプライアンス 3300 シリーズ :Clean Access Manager 4.0 Cisco NAC アプライアンス 3300 シリーズ :Clean Access Server 4.0 このドキュメントの情報は 特定のラボ環境にあるデバイスに基づいて作成されたものです このドキュメントで使用するすべてのデバイスは クリアな ( デフォルト ) 設定で作業を開始しています ネットワークが稼働中の場合は コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります 表記法 ドキュメント表記の詳細は シスコテクニカルティップスの表記法 を参照してください バックエンドの Active Directory に対する認証 Clean Access Manager の認証プロバイダータイプのいくつかは Active Directory(AD) サーバに対するユーザ認証に使用できます Active Directory サーバは Microsoft 社独自のディレクトリサービスです プロバイダータイプには Windows NT(NTLM) Kerberos LDAP( 優先 ) があります LDAP を使用して AD に接続する場合 通常は管理者権限または基本ユーザの特権を有するアカウントの DN に Search(Admin) Full DN( 識別名 ) を設定する必要があります 最初の共通名 (CN) エントリは AD 管理者 または読み取り権限を有するユーザである必要があります 検索フィルタ SAMAccountName は デフォルト AD スキーマのユーザログイン名です AD/LDAP の設定例 ここでは LDAP を使用して バックエンドの Active Directory との通信を設定する手順を示します 1. Active Directory Users and Computers 内で Domain Admin ユーザを作成します このユーザを Users フォルダに入れます 2. Active Directory Users and Computers の [Actions] メニューから [Find] を選択します 検索結果に 作成されたユーザの [Group Membership] カラムが表示されていることを確認します 検索結果には そのユーザ および Active Directory 内で関連付けられているグループメンバーシップが表示されるはずです この情報は Clean Access Manager への転送に必要となります 3. Clean Access Manager の Web コンソールから [User Management] > [Auth Servers] > [New Server] フォームに進みます 4. [Server Type] として [LDAP] を選択します 5. [Search(Admin) Full DN] フィールドと [Search Base Context] フィールドに Active Directory Users and Computers での検索結果を入力します 6. 以下のフィールドはいずれも この認証サーバを CAM 内で適切に設定するために必要なフィールドです [ServerURL]: ldap://192.168.137.10:389: ドメインコントローラの IP アドレスおよび LDAP リスニングポート [Search(Admin) Full DN]: CN=sheldon muir, CN=Users, DC=domainname, DC=com[Search Base Context]: DC=domainname, DC=com[Default Role]: 認証後にユーザに割り当てるデフォルトロールを選択します 説明 : 参考情報 [Provider Name]: CAM のユーザページの設定に使用される LDAP サーバ

の名前 [Search Password]: sheldon muir のドメインパスワード [Search Filter]: SAMAccountName=$user$ 7. [Add Server] をクリックします この時点で 認証テストが機能する必要があります 8. 認証テストを行うには 以下の手順に従います [User Management] > [Auth Servers] > [Auth Test] タブの [Provider] リストから 証明書をテストするプロバイダーを選択します 目的のプロバイダーが表示されない場合は そのプロバイダーが [List of Servers] タブに適切に設定されていることを確認してください ユーザのユーザ名とパスワード および必要に応じて LAN ID 値を入力します [Authenticate] をクリックします ウィンドウの下部にテスト結果が表示されます Authentication Successful: 任意のプロバイダータイプに対して 認証テストに成功した場合 [Result] に Authentication successful [Role] にユーザのロールが表示されます LDAP/RADIUS サーバの場合 認証に成功してマッピングルールが設定されると 認証サーバ (LDAP/RADIUS) が属性 / 値を返す場合にはマッピングルールに指定されている属性 / 値も表示されます 次に 例を示します Result: Authentication successful Role: <role name> Attributes for Mapping: <Attribute Name>=<Attribute value> Authentication Failed: 認証に失敗した場合 Authentication failed の結果とともに以下のメッセージが表示されます 属性または VLAN ID を使用したユーザとロールのマッピング [Mapping Rules] フォームを使用し 以下のパラメータに基づいてユーザをユーザロールにマッピングできます CAS の非信頼側からのユーザトラフィックの VLAN ID( すべての認証サーバタイプ ) LDAP および RADIUS 認証サーバからの認証属性 ( および Cisco VPN コンセントレータからの RADIUS 属性 ) たとえば 同じ IP サブネットに ネットワークアクセス権限の異なる 2 種類のユーザ集合 ( 無線の従業員と学生など ) がいる場合 LDAP サーバからの属性を使用して 各ユーザ集合を特定のユーザロールにマッピングできます さらに 一方のロールに対してはネットワークアクセスを許可し 他方のロールに対してはネットワークアクセスを拒否するトラフィックポリシーを作成できます Cisco NAC アプライアンスは 次に示されている順序でマッピングを実行します Cisco NAC アプライアンスでは Kerberos LDAP RADIUS の認証サーバのマッピングルールを定義する際に 複雑なブール式を指定できます マッピングルールは条件で構成されており ブール式を使用して複数のユーザ属性や複数の VLAN ID を組み合わせることにより ユーザとユーザロールをマッピングできます マッピングルールは VLAN ID の範囲に対して作成できます また 属性の照合では 大文字と小文字は区別されません これにより 複数の条件を柔軟に構成してマッピングルールを作ることができます マッピングルールは 認証プロバイダータイプ ルール式 ユーザをマッピングするユーザロールで構成されます ルール式は 特定のユーザロールとのマッピングのためにユーザパラメータが一致しなければならない条件および条件の組み合わせで構成されます 条件は 条件タイプ ソース属性名 演算子 および特定の属性が照合される属性値で構成されます マッピングルールを作成するには まずルール式を設定するための条件を追加 ( 保存 ) します ルール式を作成したら 特定のユーザロールの認証サーバにそのマッピングルールを追加できます

カスケード形式のマッピングルールを作成することも可能です ソースに複数のマッピングルールがある場合 これらのルールは マッピングルールリストに表示されている順番に評価されます 評価結果が最初に True になったマッピングルールのロールが使用されます 当てはまるルールが見つかれば その他のルールはテストされません どのルールも True にならない場合 その認証ソースのデフォルトロールが使用されます マッピングルールの設定 次の手順を実行します 1. [User Management] > [Auth Servers] > [Mapping Rules] の順番に進み 認証サーバの [Add Mapping Rule] リンクをクリックします [Add Mapping Rule] フォームが表示されます 2. マッピングルールの条件を設定する (A):[Provider Name]: この認証サーバタイプ用の [Mapping Rules] フォームのフィールドを設定します たとえば Kerberos Windows NT Windows NetBIOS SSO および S/Ident の認証サーバタイプの場合 このフォームで設定できるのは VLAN ID マッピングルールだけです RADIUS LDAP および Cisco VPN SSO 認証タイプの場合は このフォームで VLAN ID または属性のマッピングルールを設定できます [Condition Type]: マッピングルールを追加する前に まず条件を設定し 追加します( 図の手順 A ) ドロップダウンメニューからこれらのいずれかを選択し [Condition] フォームのフィールドを設定します [Attribute]:LDAP RADIUS Cisco VPN SSO の認証プロバイダーの場合のみです VLAN ID: すべての認証サーバタイプです VLAN ID の条件タイプの場合 ( 図を参照 ) このフィールドは [Property Name] と呼ばれます デフォルトでは VLAN ID の値で埋められています( 編集できないようになっています ) [Attribute Name]:LDAP サーバの場合 ( 図を参照 ) [Attribute Name] は テスト対象のソース属性を入力するテキストフィールドです 条件の作成で equals ignore case 演算子を選択していない場合 この名前を 認証ソースから渡される属性名と一致させる必要があります ( 大文字と小文字が区別されます ) [Attribute Value]: ソースの [Attribute Name]. に対してテストされる値を入力します [Operator (Attribute)]: ソース属性の文字列のテストを定義する演算子を選択します equals:[attribute Name] の値が [Attribute Value] と一致する場合に True になります not equals:[attribute Name] の値が [Attribute Value] と一致しない場合に True になります contains:[attribute Name] の値が [Attribute Value] を含む場合に True になります start with:[attribute Name] の値が [Attribute Value] で始まる場合に True になります end with:[attribute Name] の値が [Attribute Value] で終わる場合に True になります equals ignore case:[attribute Name] の値が [Attribute Value] と一致する場合に True になります 大文字と小文字は区別されません [Operator(VLAN ID)]:[Condition Type] として VLAN ID を選択した場合は 整数 VLAN ID に対するテスト条件の定義に使用する演算子を以下の中から 1 つ選択します equals:vlan ID が [Property Value] フィールドの VLAN ID と一致する場合に True になります not equals:vlan ID が [Property Value] フィールドの VLAN ID と一致しない場合に True になります belongs to:vlan ID が [Property Value] フィールドに設定した値の範囲内に含まれる場合に True になります 値は 複数のカンマで区切られた VLAN ID です VLAN ID の範囲は [2,5,7,100-128,556-520] のように ハイフン (-) で指定できます 入力できるのは 整数だけです 文字列は入力できません カッコの入力は任意です 例 :[Add Condition (Save Condition)]: 条件の設定を確認してから [Add Condition] をクリックし その条件をルール表現に追加します ( クリックしないと設定が保存されません ) 3. マッピングルールをロールに追加する (B): 条件を設定し追加した後にマッピングルールを追加します ( 図の手順 B ) [Role Name]: 条件を少なくとも 1 つ追加したら そのマッピングを適用するユーザロールをドロップダウンメニューから選択します [Priority]: ド

ロップダウンメニューからマッピングルールのテストの順番を決めるプライオリティを選択します 最初に True であると評価されたルールがユーザへのロール割り当てに使用されます [Rule Expression]: そのマッピングルール用の条件ステートメントの設定に役立つように 追加される最後の条件の内容がこのフィールドに表示されます 条件を追加したら すべての条件をルールに保存するために [Add Mapping Rule] をクリックしなければなりません [Description]: そのマッピングルールの説明です ( 任意 ) [Add Mapping(Save Mapping)]: 条件の追加が完了したら このボタンをクリックして そのロールのマッピングルールを作成します 特定のロールごとにマッピングを追加または保存しないと 行った設定および作成した条件は保存されません マッピングルールの編集 [Priority]: 設定後にマッピングルールのプライオリティを変更する場合は [User Management] > [Auth Servers] > [List of Servers] の該当エントリの横にある上 / 下矢印をクリックします プライオリティによって そのルールのテストの順番が決まります 最初に True であると評価されたルールがユーザへのロール割り当てに使用されます [Edit]: マッピングルールの変更またはルールからの条件の削除を行うには そのルールの横にある [Edit] ボタンをクリックします 複合条件を変更する場合 その下にある条件 ( それより後に作成されたもの ) は表示されません これは ループを回避するためです [Delete]: 個々のマッピングルールを削除するには 認証サーバのマッピングルールエントリの横にある [Delete] ボタンをクリックします マッピングルール内の条件を削除する場合は [Edit Mapping Rule] フォーム上の条件の横にある [Delete] ボタンをクリックします 複合ステートメント内の別のルールに依存している条件は 削除できません 個々の条件を削除するためには まず複合条件を削除する必要があります トラブルシューティング AD ユーザの CCA ユーザロールへのマッピングが機能しない場合は Attribute Names= memberof Operator=contains Attribute Value=( グループ名 ) 属性に基づいてユーザをロールにマッピングしていることを確認します 関連情報 Cisco NAC アプライアンスに関するサポートページ テクニカルサポートとドキュメント - Cisco Systems

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック