キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
1141
閲覧回数
3
いいね!
4
返信

Cisco ISEでの認証時にクライアントのドメイン参加有無を条件とする事が出来るか。

有線・無線の802.1X認証においてCisco ISEを使用しています。

認証または認可時にクライアントPCがドメインに参加しているかどうかを条件判定に用いる事が出来るでしょうか。

具体的にはドメイン参加していれば許可し、非参加(ワークグループ)であれば拒否するという制御を行いたいです。

有識者あるいはご存じの方がおられましたら、ご回答いただけますと幸いです。

2 件の受理された解決策

受理された解決策

TUN88
Level 1
Level 1

お世話になります。すでに802.1X認証されていて、さらにクライアントマシン側もISEでの判定をさせたいということでしょうか?

もしそうでしたら、例えばEAP-TEAPを使って、ユーザとクライアントマシン両方の認証と認可をするなどいかがですか?

下記の記事に説明がありました。マシン側の認証のためにマシン証明書は必要になりますが、一つの手になればと。今回の場合だとマシン証明書をADで配布し、それ以外は拒否するなどでしょうか。

そうすれば

ADで配布したマシン証明書を持っているクライントマシンは許可=それ以外のWORKGROUP所属等のマシンは拒否

とできるように思います。

https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/eap-teap%E3%81%AB%E3%82%88%E3%82%8Beap-chaining/ta-p/4122192

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

元の投稿で解決策を見る

TUN88
Level 1
Level 1

EAP-TEAPは有線LANでも無線LANでも使えます。強いて言うとしたら、WIndowsは10はWindows Updateを当てていないと、クライアント側のサプリカントで対応していないです。

https://community.cisco.com/t5/security-knowledge-base/teap-for-windows-10-using-group-policy-and-ise-teap/ta-p/4134289

"All machines updated to Windows 10 Build 2004"

お返事頂いた、無線LANはPEAPで継続、Windows PCのみだけ判定という条件で考慮すると、例えば下記のようなことはできるかもしれないです。検証はしておきたいところですね。

●Windows PCかどうかの判定は、プロファイリング機能を使う

●有線LANクライアントはEAP-TEAPで認証・認可

●無線LANクライアントはEAP-TEAPでなく、PEAP+上記EAP-TEAPのマシン認証で使う、マシン証明書の有無で判定

●これら三つをカバーするように認可ルールを作成

 

元の投稿で解決策を見る

4件の返信4

TUN88
Level 1
Level 1

お世話になります。すでに802.1X認証されていて、さらにクライアントマシン側もISEでの判定をさせたいということでしょうか?

もしそうでしたら、例えばEAP-TEAPを使って、ユーザとクライアントマシン両方の認証と認可をするなどいかがですか?

下記の記事に説明がありました。マシン側の認証のためにマシン証明書は必要になりますが、一つの手になればと。今回の場合だとマシン証明書をADで配布し、それ以外は拒否するなどでしょうか。

そうすれば

ADで配布したマシン証明書を持っているクライントマシンは許可=それ以外のWORKGROUP所属等のマシンは拒否

とできるように思います。

https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/eap-teap%E3%81%AB%E3%82%88%E3%82%8Beap-chaining/ta-p/4122192

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

こんばんは。

ご回答ありがとうございます。

>すでに802.1X認証されていて、さらにクライアントマシン側もISEでの判定をさせたいということでしょうか?

はい。ご認識の通りです。

> 例えばEAP-TEAPを使って、ユーザとクライアントマシン両方の認証と認可をするなどいかがですか?

EAP-TEAPというのは使った事が無いのですが、有線LANでも使用できるのでしょうか。また、無線LANは現在PEAPを使用しているので、そこは変えたくないというのが要望です。

あと、端末はWindowsPCだけでなくLinuxやMac、iPhone/iPad、Androidなど多岐に渡るのですが、その中のWindowsPCの場合だけドメイン参加状態を判定させたいという難解な要件があります。

コンピュータ証明書による判定は知らなかったのでとても参考になります。自分でも調べてみたいと思います。

TUN88
Level 1
Level 1

EAP-TEAPは有線LANでも無線LANでも使えます。強いて言うとしたら、WIndowsは10はWindows Updateを当てていないと、クライアント側のサプリカントで対応していないです。

https://community.cisco.com/t5/security-knowledge-base/teap-for-windows-10-using-group-policy-and-ise-teap/ta-p/4134289

"All machines updated to Windows 10 Build 2004"

お返事頂いた、無線LANはPEAPで継続、Windows PCのみだけ判定という条件で考慮すると、例えば下記のようなことはできるかもしれないです。検証はしておきたいところですね。

●Windows PCかどうかの判定は、プロファイリング機能を使う

●有線LANクライアントはEAP-TEAPで認証・認可

●無線LANクライアントはEAP-TEAPでなく、PEAP+上記EAP-TEAPのマシン認証で使う、マシン証明書の有無で判定

●これら三つをカバーするように認可ルールを作成

 

詳細にご教授いただきましてありがとうございます。

実はWindows 7 などのレガシーOS端末がまだ残っていたりするので、EAP-TEAPの採用は難しそうです。

ただ、プロファイリングやマシン証明書を用いた認可フェーズでの制御については大変参考になりましたので、自分でも深堀してみたいと思います。