ISE 2.0 の設定： AD グループ メンバーシップに基づく IOS TACACS+ 認証およびコマンド認可の設定例 目次

はじめに前提条件要件使用するコンポーネント設定ネットワーク図設定認証および認可のための ISE の設定ISE 2.0 の Active Directory への参加ネットワーク デバイスの追加デバイス管理サービスの有効化TACACS コマンド セットの設定TACACS プロファイルの設定TACACS 認可ポリシーの設定認証および認可のための Cisco IOS ルータの設定確認Cisco IOS ルータ の検証ISE 2.0 の検証トラブルシューティング関連情報Cisco サポート コミュニティ - 特集対話

概要

このドキュメントでは、Identity Services Engine（ISE）2.0 以降において、ユーザの MicrosoftActive Directory（AD）グループ メンバーシップに基づき、TACACS+ 認証およびコマンド認可を設定する方法について説明します。 ISE は、ユーザ、マシン、グループ、および属性などのリソースを保存するための外部 ID ストアとして AD を使用します。

前提条件

要件

次の項目に関する知識が推奨されます。

 IOS ルータが完全に動作している●

ルータと ISE 間の接続。●

ISE サーバがブートストラップされ、Microsoft AD に接続できる●

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

Cisco Identity Service Engine 2.0●

Cisco IOS® ソフトウェア リリース 15.4(3)M3●

Microsoft Windows Server 2012 R2●

本書の情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、初期（デフォルト）設定の状態から起動しています。 稼働中のネットワークで作業を行う場合、コマンドの影響について十分に理解したうえで作業してください。 

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

設定

この設定の目標は次のとおりです。

AD 経由の telnet ユーザを認証する●

Telnet ユーザを認可し、ログイン後に特権 EXEC モードを与える●

検証のため ISEに、実行されたコマンドを確認し、送信する●

ネットワーク図

設定

認証および認可のための ISE の設定

ISE 2.0 の Active Directory への参加

1. [Administration] > [Identity Management] > [External Identity Sources] > [Active Directory] >[Add] を選択します。 [Join Point Name]、[Active Directory Domain] を入力し、[Submit] をクリックします。

2. この Active Directory ドメインにすべての ISE ノードを参加させる確認プロンプトが表示されたら、[Yes] をクリックします。

3. [AD User Name] と [Password] を入力し、[OK] をクリックします。

ISE でのドメイン アクセスに必要な AD アカウントには、次のいずれかが必要です。

対応するドメインのドメイン ユーザ権限にワークステーションを追加する●

ISE マシンをドメインに追加する前に ISE マシンのアカウントが作成される、対象のコンピュータ コンテナに対する、コンピュータ オブジェクトを作成する権限またはコンピュータオブジェクトを削除する権限。

●

注: ISE アカウントのロックアウト ポリシーを無効にし、不正なパスワードがこのアカウントに使用された場合に、管理者にアラートを送信するように AD インフラストラクチャを設定することを推奨します。 誤ったパスワードが入力された場合、ISE は必要なときにマシン アカウントを作成または変更しないため、多くの場合すべての認証が拒否されます。

4. [Operation Status] を確認し、[Node Status] に [Completed] が表示されていたら、[Close] をクリックします。

5. AD のステータスは [Operational] になります。

6. [Groups] > [Add] > [Select Groups From Directory] > [Retrieve Groups] を選択します。 次の図に示すように、[Network Admins] AD グループと [Network Maintenance Team] AD グループのチェックボックスをオンにします。

注: ユーザ admin は、Network Admins AD グループのメンバーです。 このユーザにはフルアクセス権限が与えられます。 このユーザは、Network Maintenance Team AD グループのメンバーになります。 このユーザは show コマンドだけを実行できます。

 7. 取得した AD グループを保存するには、[Save] をクリックします。

ネットワーク デバイスの追加

[Work Centers] > [Device Administration] > [Network Resources] > [Network Devices] を選択します。 [Add] をクリックします。 [Name]、[IP Address] を入力し、[TACACS AuthenticationSettings] チェックボックスを選択し、[Shared Secret key] を入力します。

Enable Device Admin Service

[Administration] > [System] > [Deployment] を選択します。 必要なノードを選択します。 [EnableDevice Admin Service] チェックボックスを選択し、[Save] をクリックします

注: TACACS 用に、別のライセンスをインストールする必要があります。

TACACS コマンド セットの設定

2 つの コマンド セットを設定します。 1 つ目はユーザ admin 用の PermitAllCommands で、デバイスのすべてのコマンドを許可します。 2 つ目はユーザ user 用の PermitShowCommands で、show コマンドのみを許可します。

1. [Work Centers] > [Device Administration] > [Policy Results] > [TACACS Command Sets] を選択します。 [Add] をクリックします。 [Name] に [PermitAllCommands] を入力し、ここには表示されていない [Permit any command] チェックボックスを選択し、[Submit] をクリックします。

 2. [Work Centers] > [Device Administration] > [Policy Results] > [TACACS Command Sets] を選択します。 [Add] をクリックします。 [Name] に [PermitShowCommands] を入力し、[Add] をクリックし、show および exit コマンドを許可します。 デフォルトで引数が空白のままの場合、すべての引数が含まれます。 [Submit] をクリックします。 

TACACS プロファイルの設定

1 つの TACACS プロファイルを設定します。 TACACS プロファイルは、ACS のシェル プロファイルと同じ概念です。 実際のコマンドの適用は、コマンド セットを通じて行います。 [WorkCenters] > [Device Administration] > [Policy Results] > [TACACS Profiles] を選択します。 [Add]をクリックします。 [Name] に [ShellProfile] を入力し、[Default Privilege] チェックボックスを選択し、15 を入力します。 [Submit] をクリックします。

TACACS 認可ポリシーの設定

デフォルトで認証ポリシーは All_User_ID_Stores を指し、これは AD を含むため、未変更のままにします。

[Work Centers] > [Device Administration] > [Policy Sets] > [Default] > [Authorization Policy] > [Edit]> [Insert New Rule Above] を選択します。

 2 つの認可ルールを設定します。1 つ目のルールは、TACACS プロファイルの ShellProfile とコマンド セットの PermitAllCommands を、Network Admins AD グループ メンバーシップに基づい

て割り当てます。 2 つ目のルールは、TACACS プロファイルの ShellProfile とコマンド セットのPermitShowCommands を、Network Maintenance Team AD グループ メンバーシップに基づいて割り当てます。

認証および認可のための Cisco IOS ルータの設定

認証と認可のために Cisco IOS ルータを設定するには、次の手順を実行します。

1. 次に示すように、フォールバックの完全な権限を持つローカル ユーザを username コマンドで作成します。

username cisco privilege 15 password cisco

2. aaa new-model を有効にします。 TACACS サーバ ISE を指定し、ISE_GROUP グループに配置します。

aaa new-model

tacacs server ISE

 address ipv4 10.48.17.88

 key cisco

aaa group server tacacs+ ISE_GROUP

 server name ISE

注: サーバ キーは ISE サーバで以前指定したものと一致している必要があります。

3. 次に示すように、aaa コマンド により、TACACS サーバの到達可能性をテストします。

Router#test aaa group tacacs+ admin Krakow123 legacy

Attempting authentication test to server-group tacacs+ using tacacs+

User was successfully authenticated.

前のコマンドの出力では、TACACS サーバが到達可能であり、ユーザが正常に認証されたことを示しています。

4. ログインを設定し、認証を有効にし、次に示すように、EXEC とコマンド認可を使用します。

Router#test aaa group tacacs+ admin Krakow123 legacy

Attempting authentication test to server-group tacacs+ using tacacs+

User was successfully authenticated.

注: 作成された方式リストは AAA とし、これはライン vty に割り当てることで、後で使用します。

5. ライン vty 0.4 に方式リストを割り当てます。

Router#test aaa group tacacs+ admin Krakow123 legacy

Attempting authentication test to server-group tacacs+ using tacacs+

User was successfully authenticated.

確認

Cisco IOS ルータ の検証

1. AD のフル アクセス グループに属する admin として Cisco IOS ルータに Telnet 接続します。Network Admins グループは、ISE で設定される ShellProfile と PermitAllCommands コマンド セットにマッピングされる AD グループです。 フル アクセスを確認するコマンドを実行します。

Username:admin

Password:

Router#conf t

Enter configuration commands, one per line.  End with CNTL/Z.

Router(config)#crypto isakmp policy 10

Router(config-isakmp)#encryption aes

Router(config-isakmp)#exit

Router(config)#exit

Router#

2. AD の制限付きアクセス グループに属する user として Cisco IOS ルータに Telnet 接続します。 Network Maintenance Team グループは、ISE で設定される ShellProfile とPermitShowCommands コマンド セットにマッピングされる AD グループです。 show コマンドのみ発行されることを確認するコマンドを実行します。

Username:user

Password:

Router#show ip interface brief | exclude unassigned

Interface                  IP-Address      OK? Method Status                Protocol

GigabitEthernet0/0         10.48.66.32     YES NVRAM  up                    up      

Router#ping 8.8.8.8

Command authorization failed.

Router#configure terminal

Command authorization failed.

Router#show running-config | include hostname

hostname Router

Router#

ISE 2.0 の検証

1. [Operations] > [TACACS Livelog] を選択します。 上記で行った試行が表示されていることを確認します。

2. 赤色のレポートの [details] をクリックすると、以前実行して失敗したコマンドが表示されます。

トラブルシューティング

Error: 13025 Command failed to match a Permit rule

認可ポリシーで予測されるコマンド セットが選択されていることを確認するため、SelectedCommandSet 属性を確認します。

関連情報

テクニカル サポートとドキュメント – Cisco Systems

ISE 2.0 リリース ノート

ISE 2.0 ハードウェア インストール ガイド

ISE 2.0 アップグレード ガイド

ACS から ISE への移行ツール ガイド

ISE 2.0 Active Directory 統合ガイド"

ISE 2.0 エンジン管理者ガイド