Cisco Cisco Identity Services Engine 1.3 전단
• ID が ACME\[IDENTITY] と一致する場合、ACME2\[IDENTITY] に書き換えます。
結果は ACME2\jdoe になります。 このルールによって、Cisco ISE は、特定のプレフィクスを含むすべてのユーザ
名を代替プレフィクスに変更します。
名を代替プレフィクスに変更します。
• ID が [ACME]\jdoe.USA と一致する場合、[IDENTITY]@[ACME].com に書き換えます。
結果は jdoe\ACME.com になります。 このルールによって、Cisco ISE は、ドットの後のレルム(この場合は国)
を削除し、適切なドメインと置き換えます。
を削除し、適切なドメインと置き換えます。
• ID が E=[IDENTITY] と一致する場合、[IDENTITY] に書き換えます。
結果は jdoe になります。 これは、ID が証明書から取得され、フィールドは電子メール アドレスで、Active Directory
は件名で検索するように設定されている場合に作成できるルールの例です。 このルールによって、Cisco ISE は、
「E=」を削除します。
は件名で検索するように設定されている場合に作成できるルールの例です。 このルールによって、Cisco ISE は、
「E=」を削除します。
• ID が E=[EMAIL],[DN] と一致する場合、[DN] に書き換えます。
このルールは、証明書の件名を E=jdoe@acme.com、CN=jdoe、DC=acme、DC=com から純粋な DN、CN=jdoe、
DC=acme、DC=com に変換します。 これは、ID が証明書の件名から取得され、Active Directory は DN でユーザを
検索するように設定されている場合に作成できるルールの例です。 このルールによって、Cisco ISE は、電子メー
ルのプレフィクスを削除し、DN を生成します。
DC=acme、DC=com に変換します。 これは、ID が証明書の件名から取得され、Active Directory は DN でユーザを
検索するように設定されている場合に作成できるルールの例です。 このルールによって、Cisco ISE は、電子メー
ルのプレフィクスを削除し、DN を生成します。
次に、ID のリライト ルールの記述でよく発生する間違いをいくつか示します。
• ID が [DOMAIN]\[IDENTITY] と一致する場合、[IDENTITY]@DOMAIN.com に書き換えます。
結果は jdoe@DOMAIN.com になります。 このルールでは、ルールの書き換え側に角カッコ [] の [DOMAIN] があ
りません。
りません。
• ID が DOMAIN\[IDENTITY] と一致する場合、[IDENTITY]@[DOMAIN].com に書き換えます。
ここでも、結果は jdoe@DOMAIN.com になります。 このルールでは、ルールの評価側に角カッコ [] の [DOMAIN]
がありません。
がありません。
ID のリライト ルールは、常に、Active Directory の参加ポイントのコンテキスト内で適用されます。 認証ポリシーの結
果としてスコープが選択されていても、リライト ルールは各 Active Directory の参加ポイントに適用されます。 EAP-TLS
を使用する場合、これらのリライト ルールは証明書から取得される ID にも適用されます。
果としてスコープが選択されていても、リライト ルールは各 Active Directory の参加ポイントに適用されます。 EAP-TLS
を使用する場合、これらのリライト ルールは証明書から取得される ID にも適用されます。
ID 書き換えの有効化
この設定タスクは任意です。 この設定タスクを実行すると、あいまいな ID エラーなどのさま
ざまな理由のために発生する認証エラーを減らすことができます。
ざまな理由のために発生する認証エラーを減らすことができます。
(注)
はじめる前に
Active Directory ドメインに Cisco ISE を参加させる必要があります。
23