Cisco Cisco Identity Services Engine 1.3 전단
証明書ベースの認証の Active Directory 証明書の取得
Cisco ISE では、EAP-TLS プロトコルを使用するユーザおよびマシン認証のための証明書取得がサポートされています。
Active Directory 上のユーザまたはマシン レコードには、バイナリ データ型の証明書属性が含まれています。 この証明
書属性に 1 つ以上の証明書を含めることができます。 Cisco ISE は、この属性を userCertificate として識別します。この
属性に他の名前を設定することはできません。 Cisco ISE は、この証明書を取得してバイナリ比較の実行に使用します。
書属性に 1 つ以上の証明書を含めることができます。 Cisco ISE は、この属性を userCertificate として識別します。この
属性に他の名前を設定することはできません。 Cisco ISE は、この証明書を取得してバイナリ比較の実行に使用します。
証明書認証プロファイルは、証明書の取得に使用される Active Directory ユーザをルックアップするためにユーザ名を
取得するフィールドを特定します([サブジェクトの別名(Subject Alternative Name)(SAN)]、[共通名(Common
Name)] など)。 Cisco ISE は証明書を取得した後、この証明書とクライアント証明書とのバイナリ比較を実行します。
複数の証明書を受信した場合、Cisco ISE は証明書を比較して一致するかどうかをチェックします。 一致している場合、
ユーザまたはマシンの認証が成功します。
取得するフィールドを特定します([サブジェクトの別名(Subject Alternative Name)(SAN)]、[共通名(Common
Name)] など)。 Cisco ISE は証明書を取得した後、この証明書とクライアント証明書とのバイナリ比較を実行します。
複数の証明書を受信した場合、Cisco ISE は証明書を比較して一致するかどうかをチェックします。 一致している場合、
ユーザまたはマシンの認証が成功します。
証明書認証プロファイルの追加
Extensible Authentication Protocol-Transport Layer Security(EAP-TLS)証明書ベースの認証方式を使用する場合は、証明
書認証プロファイルを作成する必要があります。 従来のユーザ名とパスワードの方法で認証する代わりに、Cisco ISE
はクライアントから受信した証明書とサーバの証明書を比較し、ユーザの信頼性を検証します。
書認証プロファイルを作成する必要があります。 従来のユーザ名とパスワードの方法で認証する代わりに、Cisco ISE
はクライアントから受信した証明書とサーバの証明書を比較し、ユーザの信頼性を検証します。
はじめる前に
スーパー管理者またはシステム管理者である必要があります。
手順
ステップ 1
[管理(Administration)] > [ID の管理(Identity Management)] > [外部 ID ソース(External Identity Sources)]
> [証明書認証プロファイル(Certificate Authentication Profile)] > [追加(Add)] を選択します。
ステップ 2
証明書認証プロファイルの名前と説明(任意)を入力します。
ステップ 3
ドロップダウン リストから ID ストアを選択します。
基本の証明書チェックに ID ソースは必要ありません。 証明書のバイナリ比較チェックが必要な場合は、
ID ソースを選択する必要があります。 Active Directory を ID ソースとして選択している場合は、サブ
ジェクト名、共通名、およびサブジェクトの別名(すべての値)を使用してユーザを検索できます。
基本の証明書チェックに ID ソースは必要ありません。 証明書のバイナリ比較チェックが必要な場合は、
ID ソースを選択する必要があります。 Active Directory を ID ソースとして選択している場合は、サブ
ジェクト名、共通名、およびサブジェクトの別名(すべての値)を使用してユーザを検索できます。
ステップ 4
[証明書属性(Certificate Attribute)] または [証明書のサブジェクト名または代替名の属性(Any Subject
or Alternative Name Attributes in the Certificate)] から ID の使用を選択できます。 これは、ログでルック
アップに使用されます。
アップに使用されます。
[証明書のサブジェクト名または代替名の属性(Any Subject or Alternative Name Attributes in the Certificate)]
を選択すると、Active Directory UPN はログのユーザ名として使用され、証明書のすべてのサブジェクト
名および代替名でユーザの検索が試行されます。 このオプションは、Active Directory を ID ソースとし
て選択した場合にのみ使用できます。
を選択すると、Active Directory UPN はログのユーザ名として使用され、証明書のすべてのサブジェクト
名および代替名でユーザの検索が試行されます。 このオプションは、Active Directory を ID ソースとし
て選択した場合にのみ使用できます。
ステップ 5
[クライアント証明書と ID ストア内の証明書の照合(Match Client Certificate Against Certificate In Identity
Store)] を使用するタイミングを選択します。 この場合、ID ソースを選択する必要があります(LDAP
または Active Directory)。Active Directory を選択すると、ID のあいまいさを解決するためにのみ証明書
を照合することを選択できます。
または Active Directory)。Active Directory を選択すると、ID のあいまいさを解決するためにのみ証明書
を照合することを選択できます。
19