ISE 2.0: ASA CLI TACACS+ 認証およびコマンド認可の設定例

Similar documents
NAC(CCA): ACS 5.x 以降を使用した Clean Access Manager での認証の設定

VRF のデバイスへの設定 Telnet/SSH アクセス

管理アカウントの TACACS+ 認証をサポートするための Cisco VPN 3000 コンセントレータの設定方法

RADIUS サーバを使用して NT のパスワード期限切れ機能をサポートするための Cisco VPN 3000 シリーズ コンセントレータの設定

Identity Services Engine ゲスト ポータルのローカル Web 認証の設定例

LEAP を使用して Cisco ワイヤレス クライアントを認証するための Funk RADIUS の設定

9.pdf

ローカル認証の設定例を含む WLC 5760/3850 Custom WebAuth

IPv6 リンクローカル アドレスについて

ISE 2.1 および AnyConnect 4.3 ポスチャ USB チェックの設定

設定例: 基本 ISDN 設定

ハンドシェイク障害または証明書検証エラーによる NGFW サービス モジュール TLS の中断

LDAP サーバと統合するための ISE の設定

Catalyst 9800 ワイヤレス コントローラ AP 許可 リスト

改訂履歴 版番号改訂日改訂者改訂内容 年 2 月 3 日ネットワールド 新規 I

FUI 機能付きの OCS サーバ URL リダイレクトの設定例

コンフィギュレーション ファイルのバックアップと復元

ログインおよび設定

FQDN を使用した ACL の設定

パスワード暗号化の設定

適応型セキュリティ アプライ アンスの設定

適応型セキュリティ アプライ アンスの設定

X.25 PVC 設定

Cisco CallManager および Cisco Unity でのパスワード変更の設定例

使用する前に

CEM 用の Windows ドメイン コントローラ上の WMI の設定

VPN の IP アドレス

UCCX 11.6 の Gmail の SocialMiner の統合

ACI のファースト LACP タイマーを設定して下さい

How to Install and Configure Panorama Panorama のインストールと設定 Panorama は Palo Alto Networks のサポートサイトからダウンロード可能な VMware イメージです 本書は Panorama のインストールと Panora

Crashinfo ファイルからの情報の取得

SQL Server または MSDE のバージョン、およびサービス パック レベルの確認

オペレーティング システムでの traceroute コマンドの使用

8021.X 認証を使用した Web リダイレクトの設定

ip nat outside source list コマンドを使用した設定例

WebView のハング:- java.lang.OutOfMemoryError

AP-700/AP-4000 eazy setup

ISDN を経由した PPP コールバックの設定

GenieATM 6300-T / 6200-T シリーズ 1. 基本的な機器オペレーションのために 1-1. 機器への接続 機器への接続方法は 以下の 2 通りがあります シリアルポートを使用してログインする LAN 経由で Telnet または SSH を使用して仮想 Interface からロ

パスワード暗号化の設定

コミュニケーション サービスの設定

Microsoft Word - FortiGate-iPhone_VPN_Setup-Guide_v1.0_J_ doc

索引

ISE の BYOD に使用する Windows サーバ AD 2012 の SCEP RA 証明書を更新する

PowerPoint Presentation

CUCM と VCS 間のセキュア SIP トランクの設定例

パススルー IPSecトンネル インターフェイスに AVC トラフィックを有効に する 回避策

NAC(CCA)4.x: LDAP を使用して、ユーザを特定のロールにマッピングする設定例

Nexus 1000V による UCS の MAC アドレスのトレース

CRA 2.2(1)の ICD の設定方法

RADIUS を使用した Windows 2008 NPS サーバ(Active Directory)に対する ASA VPN ユーザ認証の設定例

はじめに 注意事項 本資料に記載の内容は 弊社が特定の環境において 基本動作や接続動作を確認したものであり すべての環境で機能 性能 信頼性を保証するものではありません 商標一覧 RSA RSA ロゴ SecurID については RSA Security Inc. の米国およびその他の国における商標

改訂履歴 版番号改訂日改訂者改訂内容 年 2 月 12 日ネットワールド 新規 I

ユーザ アカウントの作成と管理

シスコ以外の SIP 電話機の設定

R76/Gaia ブリッジ構成設定ガイド

VPN 接続の設定

拡張LANE セットアップ - Dual Phy を使用した SSRP

シナリオ:サイトツーサイト VPN の設定

R80.10_Distributed_Config_Guide_Rev1

Microsoft PowerPoint - APM-VE(install).pptx

自動代替ルーティング設定

Windows GPO のスクリプトと Cisco NAC 相互運用性

AverCasterご利用ガイド

連絡先

自律アクセス ポイントでの Cisco IOS のアップグレード

アライドテレシス ディストリビューション・スイッチ AT-x600シリーズで実現するMicrosoft® NAP

Cisco Identity Services Engine の証明書更新に関する設定ガイド

ASA および Cisco IOS グループ ロック機能と AAA 属性および WebVPN の設定例

破損した CIMC ファームウェアの復旧

VPN クライアントと AnyConnect クライアントからローカル LAN へのアクセスの設定例

Cisco CallManager で SQL クエリーを使用したコール詳細レコードの検索

障害およびログの表示

Upload path ファイル送信先ディレクトリのパスを指定します ホームディレクトリに画像を送信する場合は空白のまま サブディレクトリに画像を送信する場合はディレクトリ名を指定します さらに下位のディレクトリを指定する場合は \ マークを利用します 例 ) ホームディレクトリ以下の camera

Catalyst 2948G-L3 スイッチの IP アップリンク リダイレクト設定

Catalyst 2948G-L3 と Catalyst 2900/3500XL または 2970 シリーズ スイッチ間での ISL トランクの設定

R80.10_FireWall_Config_Guide_Rev1

URoad-TEC101 Syslog Guide

シナリオ:DMZ の設定

ユーザ デバイス プロファイル エクス ポートの使用方法

任意の間隔での FTP 画像送信イベントの設定方法 はじめに 本ドキュメントでは AXIS ネットワークカメラ / ビデオエンコーダにおいて任意の間隔で画像を FTP サー バーへ送信するイベントの設定手順を説明します 設定手順手順 1:AXIS ネットワークカメラ / ビデオエンコーダの設定ページ

TECHNICAL GUIDE: ARCSERVE UDP APPLIANCE Arcserve UDP アプライアンス ハードウェアエラーの メール通知設定 2019 年 2 月 REV: 1.1

Upload path ファイル送信先ディレクトリのパスを指定します ホームディレクトリに画像を送信する場合は空白のまま サブディレクトリに画像を送信する場合はディレクトリ名を指定します さらに下位のディレクトリを指定する場合は \ マークを利用します 例 ) ホームディレクトリ以下の camera

Cisco Unity と Unity Connection Server の設定

OS5.2_SSLVPN設定手順書

Web 認証拡張機能簡易ドキュメント

株式会社スタッフ アンド ブレーン Rev 1.0 次世代ファイアウォール USG シリーズ設定例 iphone を利用した L2TP over IPSec VPN 接続 について 構成例 iphone を利用した L2TP over IPSec VPN 接続 インターネット 社内環境 USG 回線

実習 : 拡張 ACL の設定と確認 トポロジ 2014 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public. 1 / 9 ページ

Untitled

CiscoSecure NT 2.5 以降(RADIUS)を使用して VPN 5000 Client から VPN 5000 コンセントレータへの認証を行う方法

Catalyst 3750 シリーズ スイッチでの ISE トラフィック リダイレクション

Cisco IP Manager Assistant(IPMA)の設定およびトラブルシューティング

改訂履歴 版番号改訂日改訂者改訂内容 年 2 月 5 日ネットワールド 新規 I

VNX ファイル ストレージの管理

Cisco Start Firewall Cisco ASA 5506-X PAT(Port Address Translation) の設定 2016 年 3 月 23 日 第 1.1 版 株式会社ネットワールド

株式会社スタッフ アンド ブレーン Rev. 1.0 ZyWALL USG シリーズ設定例 Android を利用した L2TP over IPSec VPN 接続 について 構成例 Android を利用した L2TP over IPSec VPN 接続 インターネット 社内環境 回線終端装置 (

シングル サインオンとキャプティブ ポータル認証(On-Box Management)用に ASDM と Active Directory を設定する

WeChat 認証ベースのインターネット アクセス

ServerView ESXi CIM Provider / ServerView RAID Core Provider VMware vSphere ESXi 6.5 / 6.7 インストールガイド

リンク バンドル コマンド

Transcription:

ISE 2.0: ASA CLI TACACS+ 認証およびコマンド認可の設定例 目次 はじめに前提条件要件使用するコンポーネント設定ネットワーク図設定認証および認可のための ISE の設定ネットワークデバイスの追加ユーザ ID グループの設定ユーザの設定デバイス管理サービスの有効化 TACACS コマンドセットの設定 TACACS プロファイルの設定 TACACS 認可ポリシーの設定認証および認可のための Cisco ASA ファイアウォールの設定確認 Cisco ASA ファイアウォールの確認 ISE 2.0 の検証トラブルシューティング関連情報 Cisco サポートコミュニティ - 特集対話 概要 このドキュメントでは Identity Service Engine(ISE)2.0 以降を搭載した Cisco 適応型セキュリティアプライアンス (ASA) に TACACS+ 認証およびコマンド許可を設定する方法について説明します ISE は ユーザ マシン グループ エンドポイントなどのリソースを保存するためにローカル ID ストアを使用します 前提条件 要件 次の項目に関する知識が推奨されます ASA ファイアウォールが完全に機能していること ASA と ISE 間の接続 ISE サーバがブートストラップされていること

使用するコンポーネント このドキュメントの情報は 次のソフトウェアとハードウェアのバージョンに基づくものです Cisco Identity Service Engine 2.0 Cisco ASA ソフトウェアリリース 9.5(1) 本書の情報は 特定のラボ環境にあるデバイスに基づいて作成されたものです このドキュメントで使用するすべてのデバイスは 初期 ( デフォルト ) 設定の状態から起動しています 稼働中のネットワークで作業を行う場合 コマンドの影響について十分に理解したうえで作業してください ドキュメント表記の詳細は シスコテクニカルティップスの表記法 を参照してください 設定 この設定の目標は次のとおりです 内部 ID ストアを介して ssh ユーザを認証する ssh ユーザを認可して ユーザがログイン後に特権 EXEC モードに入るようにする 検証のため ISEに 実行されたコマンドを確認し 送信する ネットワーク図 設定

認証および認可のための ISE の設定 2 種類のユーザが作成されます administrator ユーザは ISE の Network Admins ローカル ID グループのメンバーです このユーザはすべての CLI 権限を持っています user ユーザは ISE の Network Maintenance Team ローカル ID グループのメンバーです このユーザは show コマンドと ping のみを実行できます ネットワークデバイスの追加 [Work Centers] > [Device Administration] > [Network Resources] > [Network Devices] を選択します [Add] をクリックします [Name] と [IP Address] を入力し [TACACS+ Authentication Settings] チェックボックスをオンにして [Shared Secret] に共有秘密キーを入力します ( 任意 ) デバイスのタイプ / ロケーションを指定できます ユーザ ID グループの設定 [Work Centers] > [Device Administration] > [User Identity Groups] に移動します [Add] をクリックします [Name] を入力し [Submit] をクリックします

同じ手順を繰り返して Network Maintenace Team ユーザ ID グループを設定します ユーザの設定 [Work Centers] > [Device Administration] > [Identities] > [Users] に移動します [Add] をクリックします [Name] と [Login Password] を入力し [User Group] を指定して [Submit] をクリックします

手順を繰り返して user ユーザを設定し Network Maintenace Team ローカル ID グループを割り当てます Enable Device Admin Service [Administration] > [System] > [Deployment] を選択します 必要なノードを選択します [Enable Device Admin Service] チェックボックスを選択し [Save] をクリックします

注 : TACACS 用に 別のライセンスをインストールする必要があります TACACS コマンドセットの設定 2 つのコマンドセットを設定します 1 つ目は administrator ユーザ用の PermitAllCommands で デバイスのすべてのコマンドを許可します 2 つ目は user ユーザ用の PermitPingShowCommands で show および ping コマンドのみを許可します 1. [Work Centers] > [Device Administration] > [Policy Results] > [TACACS Command Sets] を選択します [Add] をクリックします [Name] に PermitAllCommands と入力し [Permit any command that is not listed below] チェックボックスをオンにして [Submit] をクリックします

2. [Work Centers] > [Device Administration] > [Policy Results] > [TACACS Command Sets] を選択します [Add] をクリックします [Name] に PermitPingShowCommands と入力し [Add] をクリックして show ping および exit コマンドを許可します デフォルトでは [Arguments] を空白のままにするとすべての引数が含まれます [Submit] をクリックします

TACACS プロファイルの設定 1 つの TACACS プロファイルが設定されます 実際のコマンドの適用は コマンドセットを通じて行います [Work Centers] > [Device Administration] > [Policy Results] > [TACACS Profiles] を選択します [Add] をクリックします [Name] に ShellProfile と入力し [Default Privilege] チェックボックスをオンにして 値 15 を入力します [Submit] をクリックします TACACS 認可ポリシーの設定

デフォルトでは [Authentication Policy] は All_User_ID_Stores を指します これにはローカルストアも含まれているので 未変更のままにします [Work Centers] > [Device Administration] > [Policy Sets] > [Default] > [Authorization Policy] > [Edit] > [Insert New Rule Above] を選択します 2 つの認可ルールを設定します 1 つ目のルールは TACACS プロファイル ShellProfile とコマンドセット PermitAllCommands を Network Admins ユーザ ID グループのメンバーシップに基づいて割り当てます 2 つ目のルールは TACACS プロファイル ShellProfile とコマンドセット PermitPingShowCommands を Network Maintenance Team ユーザ ID グループのメンバーシップに基づいて割り当てます 認証および認可のための Cisco ASA ファイアウォールの設定 1. 次に示すように username コマンドを使用して フォールバックに対する全権限を持つローカルユーザを作成します

ciscoasa(config)# username cisco password cisco privilege 15 2. TACACS サーバの ISE を定義し インターフェイス プロトコル IP アドレス tacacs キーを指定します ciscoasa(config)# username cisco password cisco privilege 15 注 : サーバキーは ISE サーバで以前指定したものと一致している必要があります 3. 次に示すように aaa コマンドにより TACACS サーバの到達可能性をテストします ciscoasa# test aaa authentication ISE host 10.48.17.88 username administrator Krakow123 INFO: Attempting Authentication test to IP address <10.48.17.88> (timeout: 12 seconds) INFO: Authentication Successful 前のコマンドの出力では TACACS サーバが到達可能であり ユーザが正常に認証されたことを示しています 4. 次に示すように ssh に対する認証 EXEC 認可 コマンド許可を設定します aaa authorization exec authentication-server auto-enable により 自動的に特権 EXEC モードに入ります ciscoasa# test aaa authentication ISE host 10.48.17.88 username administrator Krakow123 INFO: Attempting Authentication test to IP address <10.48.17.88> (timeout: 12 seconds) INFO: Authentication Successful 注 : 上記のコマンドによって ISE で認証が実行され ユーザが直接に特権モードに入り コマンド認可が行われます 5. mgmt インターフェイスでの shh を許可します ciscoasa# test aaa authentication ISE host 10.48.17.88 username administrator Krakow123 INFO: Attempting Authentication test to IP address <10.48.17.88> (timeout: 12 seconds) INFO: Authentication Successful 確認 Cisco ASA ファイアウォールの確認 1. フルアクセスできるユーザ ID グループに属す administrator として ASA ファイアウォールに ssh します Network Admins グループが ISE で ShellProfile と PermitAllCommands コマンドセットにマッピングされます フルアクセスを確認するコマンドを実行します EKORNEYC-M-K04E:~ ekorneyc$ ssh administrator@10.48.66.202 administrator@10.48.66.202's password: Type help or '?' for a list of available commands. ciscoasa# ciscoasa# configure terminal ciscoasa(config)# crypto ikev1 policy 10 ciscoasa(config-ikev1-policy)# encryption aes ciscoasa(config-ikev1-policy)# exit

ciscoasa(config)# exit ciscoasa# 2. アクセス制限があるユーザ ID グループに属す user として ASA ファイアウォールに ssh します Network Maintenance グループが ISE で ShellProfile と PermitPingShowCommands コマンドセットにマッピングされます 任意のコマンドを実行して show と ping コマンドのみが発行されることを確認します EKORNEYC-M-K04E:~ ekorneyc$ ssh user@10.48.66.202 administrator@10.48.66.202's password: Type help or '?' for a list of available commands. ciscoasa# ciscoasa# show version include Software Cisco Adaptive Security Appliance Software Version 9.5(1) ciscoasa# ping 8.8.8.8 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 8.8.8.8, timeout is 2 seconds:!!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 20/24/30 ms ciscoasa# configure terminal Command authorization failed ciscoasa# traceroute 8.8.8.8 Command authorization failed ISE 2.0 の検証 1. [Operations] > [TACACS Livelog] を選択します 上記で行った試行が表示されていることを確認します 2. 赤色のレポートの [details] をクリックすると 以前実行して失敗したコマンドが表示されます

トラブルシューティング Error: Failed-Attempt: Command Authorization failed SelectedCommandSet 属性を調べて 認可ポリシーで予想どおりのコマンドセットが選択されていることを確認します 関連情報 テクニカルサポートとドキュメント Cisco Systems ISE 2.0 リリースノート ISE 2.0 ハードウェアインストールガイド ISE 2.0 アップグレードガイド ACS から ISE への移行ツールガイド ISE 2.0 Active Directory 統合ガイド " ISE 2.0 エンジン管理者ガイド

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック