Cisco Cisco Identity Services Engine 1.3 Dépliant
手順
ステップ 1
[管理(Administration)] > [ID の管理(Identity Management)] > [外部 ID ソース(External Identity Sources)]
> [Active Directory] を選択します。
ステップ 2
[高度な設定(Advanced Settings)] タブをクリックします。
ステップ 3
[ID 書き換え(Identity Rewrite)] セクションで、リライト ルールを適用してユーザ名を変更するのかど
うかを選択します。
うかを選択します。
ステップ 4
一致条件および書き換え結果を入力します。 表示されるデフォルト ルールを削除し、必要に応じてルー
ルを入力することができます。 Cisco ISE は、ポリシーを順番に処理します。要求ユーザ名に一致する最
初の条件が適用されます。 一致するトークン(角カッコで囲まれたテキスト)を使用して、元のユーザ
の要素を結果に転送できます。 いずれのルールにも一致しない場合、ID 名は変更されません。 [テスト
の起動(Launch Test)] ボタンをクリックすると、書き換え処理をプレビューできます。
ルを入力することができます。 Cisco ISE は、ポリシーを順番に処理します。要求ユーザ名に一致する最
初の条件が適用されます。 一致するトークン(角カッコで囲まれたテキスト)を使用して、元のユーザ
の要素を結果に転送できます。 いずれのルールにも一致しない場合、ID 名は変更されません。 [テスト
の起動(Launch Test)] ボタンをクリックすると、書き換え処理をプレビューできます。
ID 解決の設定
いくつかのタイプの ID には、プレフィクスまたはサフィックスなどのドメイン マークアップが含まれています。 たと
えば、ACME\jdoe のような NetBIOS ID では「ACME」がドメイン マークアップ プレフィクスで、jdoe@acme.com のよ
うな UPN ID では「acme.com」がドメイン マークアップ サフィックスになります。 ドメイン プレフィクスは、組織内
の Active Directory ドメインの NetBIOS(NTLM)名に一致し、ドメイン サフィックスは、組織内の Active Directory ド
メインの DNS 名または代替 UPN サフィックスに一致する必要があります。 たとえば、jdoe@gmail.com は、gmail.com
が Active Directory ドメインの DNS 名でないため、ドメイン マークアップなしとして処理されます。
えば、ACME\jdoe のような NetBIOS ID では「ACME」がドメイン マークアップ プレフィクスで、jdoe@acme.com のよ
うな UPN ID では「acme.com」がドメイン マークアップ サフィックスになります。 ドメイン プレフィクスは、組織内
の Active Directory ドメインの NetBIOS(NTLM)名に一致し、ドメイン サフィックスは、組織内の Active Directory ド
メインの DNS 名または代替 UPN サフィックスに一致する必要があります。 たとえば、jdoe@gmail.com は、gmail.com
が Active Directory ドメインの DNS 名でないため、ドメイン マークアップなしとして処理されます。
ID 解決の設定によって、重要な設定を構成して、Active Directory 導入環境に対応するようにセキュリティおよびパ
フォーマンス バランスを調整することができます。 これらの設定を使用すると、ドメイン マークアップのないユーザ
名およびホスト名の認証を調整できます。 Cisco ISE がユーザのドメインを認識しない場合、すべての認証ドメインで
ユーザを検索するように設定することができます。 ユーザが 1 つのドメインで検出されても、Cisco ISE は ID のあい
まいさがないことを保障するためにすべての応答を待ちます。 このプロセスは、ドメインの数、ネットワークの遅延、
負荷などによって時間がかかることがあります。
フォーマンス バランスを調整することができます。 これらの設定を使用すると、ドメイン マークアップのないユーザ
名およびホスト名の認証を調整できます。 Cisco ISE がユーザのドメインを認識しない場合、すべての認証ドメインで
ユーザを検索するように設定することができます。 ユーザが 1 つのドメインで検出されても、Cisco ISE は ID のあい
まいさがないことを保障するためにすべての応答を待ちます。 このプロセスは、ドメインの数、ネットワークの遅延、
負荷などによって時間がかかることがあります。
ID 解決の問題の回避
認証時にユーザおよびホストの完全修飾名(つまり、ドメイン マークアップ付き名前)を使用することを強く推奨し
ます。 たとえば、ユーザの UPN と NetBIOS 名およびホストの FQDN SPN などです。 複数の Active Directory アカウン
トが着信ユーザ名と一致する(たとえば、jdoe が jdoe@emea.acme.com および jdoe@amer.acme.com と一致する)などの
あいまいエラーが頻繁に発生する場合には、このことが特に重要になります。 場合によっては、完全修飾名の使用が
問題を解決する唯一の方法になります。 また、ユーザのパスワードが一意であることを保証するのみで十分な場合も
あります。 したがって、最初に一意の ID を使用すると、効率が向上し、パスワードのロックアウト問題の発生が少な
くなります。
ます。 たとえば、ユーザの UPN と NetBIOS 名およびホストの FQDN SPN などです。 複数の Active Directory アカウン
トが着信ユーザ名と一致する(たとえば、jdoe が jdoe@emea.acme.com および jdoe@amer.acme.com と一致する)などの
あいまいエラーが頻繁に発生する場合には、このことが特に重要になります。 場合によっては、完全修飾名の使用が
問題を解決する唯一の方法になります。 また、ユーザのパスワードが一意であることを保証するのみで十分な場合も
あります。 したがって、最初に一意の ID を使用すると、効率が向上し、パスワードのロックアウト問題の発生が少な
くなります。
24