Cisco Cisco Identity Services Engine 1.2 产品宣传页
Active Directory データベースから Cisco ISE マシン アカウントを削除するには、ここで指定す
る Active Directory クレデンシャルにドメインからマシン アカウントを削除するアクセス許可
が必要です。
る Active Directory クレデンシャルにドメインからマシン アカウントを削除するアクセス許可
が必要です。
(注)
ステップ 4
Active Directory クレデンシャルがない場合は、[使用可能なクレデンシャルなし(No Credentials Available)]
チェックボックスをオンにして、[OK] をクリックします。
[クレデンシャルなしでドメインを脱退(Leave domain without credentials)] チェックボックスをオンにす
ると、プライマリ Cisco ISE ノードが Active Directory ドメインを脱退します。 Active Directory 管理者は、
参加させるときに Active Directory で作成されたマシン アカウントを手動で削除する必要があります。
チェックボックスをオンにして、[OK] をクリックします。
[クレデンシャルなしでドメインを脱退(Leave domain without credentials)] チェックボックスをオンにす
ると、プライマリ Cisco ISE ノードが Active Directory ドメインを脱退します。 Active Directory 管理者は、
参加させるときに Active Directory で作成されたマシン アカウントを手動で削除する必要があります。
認証ドメインの設定
Cisco ISE が参加しているドメインには、信頼関係がある他のドメインに対して可視性があります。 デフォルトでは、
Cisco ISE はこれらすべての信頼ドメインの認証を許可するように設定されています。 Active Directory 導入環境との相
互作用を認証ドメインのサブセットに限定できます。 認証ドメインを設定すると、選択したドメインに対してのみ認
証が実行されるように、各参加ポイントに特有のドメインを選択できます。 認証ドメインを使用すると、参加ポイン
トから信頼されているすべてのドメインではなく、選択したドメインからのユーザのみが Cisco ISE で認証されるよう
になるため、セキュリティが向上します。 また、認証ドメインは検索領域(つまり、着信ユーザ名または ID に一致す
るアカウントを検索する領域)を制限するため、認証要求処理のパフォーマンスも向上し、遅延も減少します。 これ
は、着信ユーザ名または ID にドメイン マークアップ(プレフィクスまたはサフィックス)が含まれていない場合に特
に重要です。 これらの理由から、認証ドメインを設定することをベスト プラクティスとして強く推奨します。
互作用を認証ドメインのサブセットに限定できます。 認証ドメインを設定すると、選択したドメインに対してのみ認
証が実行されるように、各参加ポイントに特有のドメインを選択できます。 認証ドメインを使用すると、参加ポイン
トから信頼されているすべてのドメインではなく、選択したドメインからのユーザのみが Cisco ISE で認証されるよう
になるため、セキュリティが向上します。 また、認証ドメインは検索領域(つまり、着信ユーザ名または ID に一致す
るアカウントを検索する領域)を制限するため、認証要求処理のパフォーマンスも向上し、遅延も減少します。 これ
は、着信ユーザ名または ID にドメイン マークアップ(プレフィクスまたはサフィックス)が含まれていない場合に特
に重要です。 これらの理由から、認証ドメインを設定することをベスト プラクティスとして強く推奨します。
手順
ステップ 1
[管理(Administration)] > [ID の管理(Identity Management)] > [外部 ID ソース(External Identity Sources)]
> [Active Directory] を選択します。
ステップ 2
[認証ドメイン(Authentication Domains)] タブをクリックします。
テーブルに、信頼ドメインのリストが表示されます。 デフォルトでは、Cisco ISE はすべての信頼ドメイ
ンに対して認証を許可します。
テーブルに、信頼ドメインのリストが表示されます。 デフォルトでは、Cisco ISE はすべての信頼ドメイ
ンに対して認証を許可します。
ステップ 3
指定したドメインのみを許可するには、[すべての Active Directory ドメインを認証に使用(Use all Active
Directory domains for authentication)] チェックボックスをオフにします。
Directory domains for authentication)] チェックボックスをオフにします。
ステップ 4
認証を許可するドメインの隣のチェックボックスをオンにして、[選択の有効化(Enable Selected)] をク
リックします。 [認証(Authenticate)] 列で、このドメインのステータスが [可(Yes)] に変わります。
選択したドメインを無効にすることもできます。
リックします。 [認証(Authenticate)] 列で、このドメインのステータスが [可(Yes)] に変わります。
選択したドメインを無効にすることもできます。
ステップ 5
[使用できないドメインの表示(Show Unusable Domains)] をクリックして、使用できないドメインのリ
ストを表示します。 使用できないドメインは、単方向の信頼、選択的認証などの理由から Cisco ISE が
認証に使用できないドメインです。
ストを表示します。 使用できないドメインは、単方向の信頼、選択的認証などの理由から Cisco ISE が
認証に使用できないドメインです。
11