Cisco Cisco Identity Services Engine 1.3 전단
サポートされるユーザ名の形式
次に、サポートされるユーザ名のタイプを示します。
• SAM(例:jdoe)
• NetBIOS プレフィクス付きの SAM(例:ACME\jdoe)
• UPN(例:jdoe@acme.com)
• Alt UPN(例:john.doe@acme.co.uk)
•
サブツリー(例:johndoe@finance.acme.com)
• SAM マシン(例:laptop$)
• NetBIOS プレフィクス付きのマシン(例:ACME\laptop$)
• FQDN DNS マシン(例:host/laptop.acme.com)
•
ホスト名のみのマシン(例:host/laptop)
Active Directory のパスワードベース認証
パスワード認証プロトコル(PAP)と Microsoft チャレンジ ハンドシェイク認証プロトコル(MS-CHAP)は、パスワー
ドベース認証です。 MS-CHAP クレデンシャルは、MS-RPC によってのみ認証できます。 Cisco ISE では PAP 認証に 2
つのオプション(MS-RPC および Kerberos)があります。 MS-RPC も Kerberos も同様にセキュアなオプションです。
PAP 認証の MS-RPC はデフォルトであり、次の理由から推奨されるオプションです。
ドベース認証です。 MS-CHAP クレデンシャルは、MS-RPC によってのみ認証できます。 Cisco ISE では PAP 認証に 2
つのオプション(MS-RPC および Kerberos)があります。 MS-RPC も Kerberos も同様にセキュアなオプションです。
PAP 認証の MS-RPC はデフォルトであり、次の理由から推奨されるオプションです。
• MS-CHAP との一貫性
•
より明確なエラー レポートの提供
• Active Directory とのより効率的な通信 MS-RPC の場合、Cisco ISE は参加しているドメインのみからドメイン コン
トローラに認証要求を送信し、そのドメイン コントローラが要求を処理します。
Kerberos の場合、Cisco ISE は、参加しているドメインからユーザのアカウント ドメインまで Kerberos のリフェラルに
従う必要があります(つまり、Cisco ISE は参加しているドメインからユーザのアカウント ドメインへの信頼パスにあ
るすべてのドメインと通信する必要があります)。
従う必要があります(つまり、Cisco ISE は参加しているドメインからユーザのアカウント ドメインへの信頼パスにあ
るすべてのドメインと通信する必要があります)。
Cisco ISE は、ユーザ名の形式を確認し、ドメイン マネージャを呼び出して適切な接続を検索します。 アカウント ドメ
インのドメイン コントローラが検出されたら、Cisco ISE はそれに対してユーザを認証しようとします。 パスワードが
一致すると、ユーザにネットワークへのアクセス権が付与されます。
インのドメイン コントローラが検出されたら、Cisco ISE はそれに対してユーザを認証しようとします。 パスワードが
一致すると、ユーザにネットワークへのアクセス権が付与されます。
パスワードベースのマシン認証は、マシン名がホスト/プレフィクス形式であることを除き、ユーザベース認証によく
似ています。 この形式(DNS ネームスペース)では、Cisco ISE はそのまま認証することはできません。認証する前
に、NetBIOS のプレフィクスが付いた SAM 形式に変換します。
似ています。 この形式(DNS ネームスペース)では、Cisco ISE はそのまま認証することはできません。認証する前
に、NetBIOS のプレフィクスが付いた SAM 形式に変換します。
18