購入する または契約更新する
購入する または契約更新する
キャンセル
提案をオンにする
自動提案では、入力時に可能な一致が提案されるので検索結果を素早く絞り込むことができます。
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
新しい記事を作成する
587
閲覧回数
5
いいね!
0
コメント

ISE: RBAC(Role Based Access Control) policy を使ったネットワークデバイスの閲覧制御の設定例

hidyano
Cisco Employee
Cisco Employee

‎2018-05-08 10:21 AM

 

1. はじめに

本ドキュメントは、RBAC(Role Based Access Control) Policy を利用して、例えば、ネットワークデバイスを設置先(ロケーション)毎にグループ化し、管理対象のネットワークデバイスを管理者毎に ISE GUI で閲覧可能にする手順を紹介しております。
なお、デフォルトの Network Device Group 名の "All Device Types"、および "All Locations" を使った RBAC については動作しません(こちらは、CSCvb55884 にて機能拡張として登録されており、今後、機能追加として修正された際にはご利用可能ですが、その機能追加されるまでの workaround の一例として紹介しております)。
また、こちらのドキュメントについては一例であり、もしご利用を検討される場合は事前に検証試験などで確認いただくことをおすすめいたします。

※ 本ドキュメントは、ISE 2.4.0.357 の環境を元に作成しております。

2. 手順

以下のようなネットワークデバイスが4台登録されている環境で、2 つの設置先(Tokyo Site と Osaka Site)にネットワークデバイスをグループ化します。管理者グループ毎で管理対象のネットワークデバイスのみが閲覧可能となるような ISE RBAC Policy の設定例を説明致します。20180427_CSC_ISE_RBAC-12.png

2-1. ネットワークデバイスグループ(NDG)の作成

  • ネットワークデバイスを分けるためのグループを作成します。
  • 今回の場合、"Managed_NDG" を親グループとして新規作成し、その配下に2つの子グループ("Tokyo Site" と "Osaka Site")を作成。
    20180427_CSC_ISE_RBAC-02.png
  • 親グループを作成の際は、[+ Add] をクリックして、Parent Group を "Add as root group" を選択して作成してください。
    20180427_CSC_ISE_RBAC-01.png
  • 子グループを作成の際は、[+ Add] をクリックして、Parent Group を作成した親グループ(本ドキュメントの場合は、"Managed_NDG") を選択して作成してください。
    20180427_CSC_ISE_RBAC-21.png

2-2. ネットワークデバイスをネットワークデバイスグループに割り当て

  • 2-1. で作成したネットワークデバイスグループに各ネットワークデバイスを割り当てます。
  • 以下に "FIREWALL_01" を親グループ "Managed_NDG" 配下の "Tokyo_Site" に割り当てた際の設定を例としてあげております。
    (Administration > Network Resources > Network Devices > Network Devices)
    20180427_CSC_ISE_RBAC-20.png
  • 本ドキュメントでは以下のように各ネットワークデバイスグループにそれぞれ2台のネットワークデバイスを割り当てております。
    (Administration > Network Resources > Network Device Groups > [対象のグループ名にチェック] > [Show group members])
    • グループ名 "Tokyo Site"
      20180427_CSC_ISE_RBAC-05.png
    • グループ名 "Osaka Site"
      20180427_CSC_ISE_RBAC-04.png

2-3. Administrator(管理者アカウント) と Admin Groups(管理者グループ) の作成

  • こちらは必須ではないですが、必要に応じて設定いただければと思います。

  • 本ドキュメントの例では、以下のように管理者アカウント(Administorator)と管理者グループ(Admin Groups)を作成して各管理者グループに管理者アカウントを割り当てた例をあげております。

    管理者グループ名 管理者アカウント名
    Tokyo Site Admins devadmin01
    Osaka Site Admins devadmin02

  • 管理者グループを作成
    20180427_CSC_ISE_RBAC-07.png

  • 管理者アカウントを追加して管理者グループに割り当て
    20180427_CSC_ISE_RBAC-06.png

2-4. Authorization(Permission および、Policy) の設定

  • Menu Access の Permission 設定(ネットワークデバイスグループ名 "Tokyo Site" および、"Osaka Site" 共通)
    (以下の例は、Administration > Network Resouces 配下のみメニューを表示するように設定)
    20180427_CSC_ISE_RBAC-19.png
  • ネットワークデバイスグループ名 "Tokyo Site" 用: Data Access の Permission 設定
    (以下の例は、Network Device Groups > Managed_NDG > Tokyo Site のみ Full Access 設定)
    20180427_CSC_ISE_RBAC-09.png
  • ネットワークデバイスグループ 名 "Osaka Site" 用: Data Access の Permission 設定
    (以下では、Network Device Groups > Managed_NDG > Osaka Site のみ Full Access 設定)
    20180427_CSC_ISE_RBAC-0820180427_CSC_ISE_RBAC-08.png
  • 各管理者グループ毎に RBAC Policy を作成
    • 2-4. で作成した Menu Access と Data Access の Permission と 2-3. で作成した管理者グループに割り当てます。
      (以下の例は、Menu Access は、共通の Permission で、Data Access のみ各管理者グループで分けるように設定)
    • グループ名 "Tokyo Site" 用:
      20180427_CSC_ISE_RBAC-10.png
    • グループ名 "Osaka Site" 用:
      20180427_CSC_ISE_RBAC-11.png

3. 確認

3-1. devadmin01(管理者グループ名: "Tokyo Site") でログインした場合


20180427_CSC_ISE_RBAC-13.png

3-2. devadmin02(管理者グループ名: "Osaka Site") でログインした場合


20180427_CSC_ISE_RBAC-14.png

Getting Started

検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう

シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします

Customers Also Viewed These Support Documents