Cisco Cisco Identity Services Engine 1.3 전단
ID アルゴリズムの解決
ID に関しては、パスワードが入力されているかどうか、任意のドメイン マークアップが ID に存在するかどうかに関
係なく、IDのタイプに基づいて、さまざまなアルゴリズムがユーザまたはマシンオブジェクトの検索に使用されます。
次に、Cisco ISE がさまざまな ID タイプの解決に使用するさまざまなアルゴリズムを示します。
係なく、IDのタイプに基づいて、さまざまなアルゴリズムがユーザまたはマシンオブジェクトの検索に使用されます。
次に、Cisco ISE がさまざまな ID タイプの解決に使用するさまざまなアルゴリズムを示します。
ID が設定済みの ID リライト ルールに従って書き換えられている場合、ID 解決は書き換えら
れた ID に適用されます。
れた ID に適用されます。
(注)
SAM 名の解決
• ID が SAM 名(ドメイン マークアップのないユーザ名またはマシン名)の場合、Cisco ISE は各参加ポイントの
フォレストを(1 回)検索して ID を探します。 一意に一致した場合、Cisco ISE はドメインまたは一意の名前を特
定し、AAA フローに進みます。
定し、AAA フローに進みます。
• SAM 名が一意ではなく、Cisco ISE が EAP-TLS などのパスワードのないプロトコルを使用するように設定されて
いる場合、適切なユーザを検索する他の基準がないため、Cisco ISE は「あいまいな ID」エラーで認証に失敗しま
す。 ただし、ユーザ証明書が Active Directory に存在する場合、Cisco ISE はバイナリ比較を使用して ID を解決し
ます。
す。 ただし、ユーザ証明書が Active Directory に存在する場合、Cisco ISE はバイナリ比較を使用して ID を解決し
ます。
• PAP などのパスワードベースのプロトコル、または MSCHAP を使用するように Cisco ISE が設定されている場合、
Cisco ISE は引き続きパスワードを確認します。 一意に一致した場合、Cisco ISE は AAA フローに進みます。 ただ
し、パスワードが同じアカウントが複数ある場合、Cisco ISE は「あいまいな ID」エラーで認証に失敗します。
し、パスワードが同じアカウントが複数ある場合、Cisco ISE は「あいまいな ID」エラーで認証に失敗します。
ユーザ名の競合を回避する必要があります。 これにより、効率およびセキュリティが向上するだけでなく、アカウン
トがロックされることも防止されます。 たとえば、パスワードが異なる 2 つの「Chris」が存在し、Cisco ISE は SAM
名の「Chris」のみを受信するとします。 このシナリオでは、Cisco ISE は正しいアカウントを特定する前に、SAM 名
が「Chris」である両方のアカウントを試行し続けます。 このような場合、Active Directory は間違ったパスワードの試
行によっていずれかのアカウントをロックする可能性があります。 このため、一意のユーザ名またはドメイン マーク
アップ付きのユーザ名を使用するようにしてください。 また、各 Active Directory ドメインに特定のネットワーク デバ
イスを使用する場合、ID 書き換えを使用して SAM 名を認定できます。
トがロックされることも防止されます。 たとえば、パスワードが異なる 2 つの「Chris」が存在し、Cisco ISE は SAM
名の「Chris」のみを受信するとします。 このシナリオでは、Cisco ISE は正しいアカウントを特定する前に、SAM 名
が「Chris」である両方のアカウントを試行し続けます。 このような場合、Active Directory は間違ったパスワードの試
行によっていずれかのアカウントをロックする可能性があります。 このため、一意のユーザ名またはドメイン マーク
アップ付きのユーザ名を使用するようにしてください。 また、各 Active Directory ドメインに特定のネットワーク デバ
イスを使用する場合、ID 書き換えを使用して SAM 名を認定できます。
UPN の解決
• ID が UPN 場合、Cisco ISE は各フォレストのグローバル カタログを検索して、その UPN ID との一致を確認しま
す。 一意に一致した場合、Cisco ISE は AAA フローに進みます。 同じ UPN の参加ポイントが複数あり、パスワー
ドが入力されていないか、適切なアカウントの特定に役立たない場合、Cisco ISE は「あいまいな ID」エラーで認
証に失敗します。
ドが入力されていないか、適切なアカウントの特定に役立たない場合、Cisco ISE は「あいまいな ID」エラーで認
証に失敗します。
•
また、Cisco ISE は、UPN である ID にユーザのメール属性の照合も許可します。つまり、「identity=matching UPN
or email」を検索します。 一部のユーザは、実際の基盤となる UPN ではなく、電子メール名を使用して(多くの
場合、証明書経由で)ログインします。このことは、IDが電子メールアドレスと同じ形式の場合に、暗黙的に行
われます。
or email」を検索します。 一部のユーザは、実際の基盤となる UPN ではなく、電子メール名を使用して(多くの
場合、証明書経由で)ログインします。このことは、IDが電子メールアドレスと同じ形式の場合に、暗黙的に行
われます。
35