2021-10-03 06:23 PM
ISEを使用してMAB認証をしていますが、これにプラスしてIPアドレスやホスト名(またはコンピュータ名)も認証、認可の条件に入れる事は可能でしょう?
外部にAD、RADIUS等ありません。
ISEのライセンスは基本しかございません。
ご回答宜しくお願い致します。
解決済! 解決策の投稿を見る。
2021-10-04 05:46 PM
こんにちは。
外部ADや外部LDAP/RADIUSサーバはないとの事なので、内部データベースにMACアドレスを登録されてMAB認証を使用されていると推察します。
NAD装置はCatalyst 2960や1000だと思うのですが、ISEとの通信に用いているプロトコルはRADIUSでしょうか?
であれば、認証または認可の条件にFramed-IP-Addressを指定することで制御できるのではないかと思います。
ホスト名については、プロファイリング設定においてどの機能を使って情報を収集されているか次第ですが、難しいかもしれません。
ライブログの詳細画面で、「Authentication Details」と「Other Attributes」がありますが、そこにホスト名は表示されていますでしょうか。
もし表示されているのであれば、左側の項目が認証/認可の条件として使用できる可能性がありますので、ポリシーセットの条件設定画面において、ライブラリからそれらしい項目を探してみては如何でしょうか。
あとは、出来れば802.1X認証を使用された方がより詳細な端末情報を採取できるので、条件設定・制御がやり易くなると思います。
蛇足ですが、ご使用されているISEの版数は2.x系でしょうか?それとも3.x系でしょうか?
ご利用環境の詳細情報を添えて投稿されると、より詳しい方からの回答が得られやすくなるかと思います。
ご参考にしていただければ幸いです。
2021-10-04 05:46 PM
こんにちは。
外部ADや外部LDAP/RADIUSサーバはないとの事なので、内部データベースにMACアドレスを登録されてMAB認証を使用されていると推察します。
NAD装置はCatalyst 2960や1000だと思うのですが、ISEとの通信に用いているプロトコルはRADIUSでしょうか?
であれば、認証または認可の条件にFramed-IP-Addressを指定することで制御できるのではないかと思います。
ホスト名については、プロファイリング設定においてどの機能を使って情報を収集されているか次第ですが、難しいかもしれません。
ライブログの詳細画面で、「Authentication Details」と「Other Attributes」がありますが、そこにホスト名は表示されていますでしょうか。
もし表示されているのであれば、左側の項目が認証/認可の条件として使用できる可能性がありますので、ポリシーセットの条件設定画面において、ライブラリからそれらしい項目を探してみては如何でしょうか。
あとは、出来れば802.1X認証を使用された方がより詳細な端末情報を採取できるので、条件設定・制御がやり易くなると思います。
蛇足ですが、ご使用されているISEの版数は2.x系でしょうか?それとも3.x系でしょうか?
ご利用環境の詳細情報を添えて投稿されると、より詳しい方からの回答が得られやすくなるかと思います。
ご参考にしていただければ幸いです。
2021-10-04 08:47 PM
返信ありがとうございます。
内部データベースによるMAB認証、NAD機器は9200シリーズをRADIUSプロトコルにて使用しています。
ライブログにはホスト名はでていないのでやはり難しそうですね。。。
IPアドレスの方が希望がありそうでよかったです。ご教示ありがとうございます。
802.1X使用したかったのですがユーザーが証明書インストール作業したくないとの事でこうなってしまいました。。。
基本ベースのみライセンスでプロファイルサービスも使用できず困っていました。。。
ISEのバージョンは2.7.0.356になります。
因みにプロファイルサービスを使用してエンドポイント情報を集める事ができえればホスト名(またはコンピュータ名)にての制御も実現できるでしょうか?
宜しくお願い致します。
2021-10-05 12:09 AM
こんばんは。
早速ご返信いただきましてありがとうございます。
有難い事に"解決承認"いただきましたので、ここから先は補足として回答させていただきます。
まず、Framed-IP-Addressで上手くいくかどうかは当方も試したことが無いので、貴殿の実環境/実機での検証をお願いします。
次に、802.1X認証ですが、ユーザー側に証明書が必要になるのはEAP/TLSですので、PEAPを選択いただければ、証明書なしでID/Passwordによる接続/認証が可能になります。当方の環境でも 802.1X認証とMAC認証を併用して使用していますが、クライアント側には証明書をインストールさせていません。
※厳密にはサーバー証明書のインストールがあった方が良いのですが、証明書の検証を行わない設定にすれば不要になります。
ライセンスについては基本のBASEしかないとなると、ご認識の通りプロファイルサービスは利用できませんね・・・
単純にMACアドレスのみの認証であればNetAttestのような他ベンダー製品の方が安価&簡単ですから、ISEだと使い方としてはちょっともったいない(役不足)です。
Cisco ISEが真価を発揮するのは、プロファイリングによる端末識別とそれを認証/認可の条件に出来ることや、pxGridを用いたDNA Center、Secure Network Analytics(旧Stealthwatch)との連携を行う場合、BYODや自己CAでの制御になりますので、ご予算的に可能であれば、Plusライセンスを購入されることを強く推奨します。※原則、BASEと同数のライセンス数が必要です。
プロファイリング機能が使えれば、例えばMABにおいては全てのMACを登録しなくても、端末がWorkStationかどうかを判別し、それ以外(プリンタやIP電話機など)はMACアドレス登録がなくても認証/認可を成功させるという条件が設定できるのでとても便利です。
最後に、「プロファイルサービスを使用してエンドポイント情報を集める事ができえればホスト名(またはコンピュータ名)にての制御も実現できるでしょうか?」というご質問ですが、当方では実績がありませんが、とても興味深いご質問です。
プロファイリングが有効になっている場合、端末属性の"host-name"や"client-fqdn"などでホスト名が見える事は見えるのですが、ではこれをポリシーセットの条件にどのように記述したら良いだろう???という別の問題が発生します。
ご存知の通り "属性" 演算子 "属性値"の組み合わせにしないといけないので、属性値となるホスト名の内部or外部データベースをどうやって割り当てるのか?と疑問が湧きますが、現時点では当方には答えが見出せません。
長くなり過ぎたのでこの辺にしたいと思います。
上記が少しでもご参考になれば幸いです。
エキスパートの回答、ステップバイステップガイド、最新のトピックなどお気に入りのアイデアを見つけたら、あとで参照できるように保存しましょう。
コミュニティは初めてですか?これらのヒントを活用してスタートしましょう。 コミュニティの活用方法 新メンバーガイド