Cisco Cisco Identity Services Engine 1.3 Dépliant

Cisco ISE 1.3 の Active Directory 設定

Cisco ISE 1.3 の Active Directory の主要機能

次に、Cisco ISE 1.3 の Active Directory の主要機能の一部を示します。

Multi-Join サポート

Cisco ISE では、Active Directory ドメインへの複数参加がサポートされます。 Cisco ISE では、最大 50 の Active Directory
参加がサポートされます。 Cisco ISE は、双方向信頼がなく、相互の信頼がゼロである複数の Active Directory ドメイン
と接続できます。 Active Directory のマルチドメイン参加は、各参加の独自のグループ、属性、および認可ポリシーを
持つ個別の Active Directory ドメインのセットで構成されます。

認証ドメイン

Cisco ISE が Active Directory ドメインに参加する場合、参加ポイントの信頼ドメインを自動的に検出します。 ただし、
ドメインのうち、認証および認可について Cisco ISE に関連しないものがある場合があります。 Cisco ISE では、認証お
よび認可について、信頼ドメインからドメインのサブセットを選択できます。 このドメインのサブセットは、認証ド
メインと呼ばれます。 認証する予定のユーザまたはマシンが存在するドメインを認証ドメインとして定義することを
推奨します。 認証ドメインを定義すると、ドメインをブロックし、これらのドメインでのユーザ認証を制限すること
によってセキュリティが強化されます。 また、ポリシーおよび認証に関係しないドメインをスキップできるため、パ
フォーマンスの最適化や、Cisco ISE による ID 検索操作の実行の効率化にも役立ちます。

ID 書き換え

この機能を使用すると、Cisco ISE は、認証のために Active Directory に送信する前にクライアントまたは証明書から受
信したユーザ名を変更できます。 たとえば、ユーザ名 jdoe@amer.acme.com を jdoe@acme.com に書き換えることができ
ます。 この機能を使用すると、修復しないと認証に失敗するユーザ名またはホスト名を修復できます。

また、証明書の ID を書き換えたり、不正にプロビジョニングされた証明書による要求を処理したりすることもできま
す。 非証明書ベース認証で取得されたか証明書内で取得されたかに関係なく、同じ ID のリライト ルールを着信ユーザ
名またはマシン名に適用できます。

あいまいな ID の解決

Cisco ISE が受信したユーザ名またはマシン名があいまいな（つまり、一意でない）場合、ユーザが認証しようとする
と問題が発生する可能性があります。 ユーザにドメイン マークアップがない場合や、複数のドメインに同じユーザ名
の ID が複数ある場合、ID のクラッシュが発生します。 たとえば、userA が domain1 に存在し、別の userA が domain2
に存在する場合です。 ID 解決の設定を使用して、このようなユーザの解決スコープを定義できます。 UPN または
NetBIOS などの修飾名を使用することを強く奨励します。 修飾名によって、あいまいさの可能性が低下し、遅延が減
少するため、パフォーマンスが向上します。