Cisco Cisco Identity Services Engine 1.2 产品宣传页
次の作業
Active Directory のユーザ グループを設定します。
サポートされるグループ タイプ
Cisco ISE では、次のセキュリティ グループ タイプがサポートされています。
•
ユニバーサル
•
グローバル
•
組み込み
組み込みグループには、ドメインで一意のセキュリティ ID(SID)がありません。これを解決するために、Cisco
ISE はグループが属する SID にドメイン名を使用してプレフィクスを付けます。
ISE はグループが属する SID にドメイン名を使用してプレフィクスを付けます。
Cisco ISE は、AD 属性の tokenGroups を使用して、ユーザのグループ メンバーシップを評価します。 Cisco ISE マシン
アカウントには、tokenGroups 属性を読み取るためのアクセス許可が必要です。 この属性には、ユーザがメンバーであ
る可能性がある最初の約 1015 グループを含めることができます(実際の数は Active Directory 設定によって異なり、
Active Directory を再設定することで増やすことができます)。ユーザが属するグループの数がこれを超える場合、Cisco
アカウントには、tokenGroups 属性を読み取るためのアクセス許可が必要です。 この属性には、ユーザがメンバーであ
る可能性がある最初の約 1015 グループを含めることができます(実際の数は Active Directory 設定によって異なり、
Active Directory を再設定することで増やすことができます)。ユーザが属するグループの数がこれを超える場合、Cisco
ISE ではポリシー ルールの最初の 1015 個までを使用します。
Active Directory のユーザ グループの設定
Active Directory のユーザ グループを、認可ポリシーで使用できるように設定する必要があります。 内部的に、Cisco
ISE では、グループ名のあいまいさの問題の解決や、グループ マッピングの改善に役立てるために、セキュリティ ID
(SID)を使用します。 SID は、正確なグループ割り当ての一致を実現します。
(SID)を使用します。 SID は、正確なグループ割り当ての一致を実現します。
手順
ステップ 1
[管理(Administration)] > [ID の管理(Identity Management)] > [外部 ID ソース(External Identity Sources)]
> [Active Directory] を選択します。
ステップ 2
[グループ(Groups)] タブをクリックします。
ステップ 3
次のいずれかを実行します。
a) [追加(Add)] > [ディレクトリからグループを選択(Select Groups From Directory)] を選択し、既存
のグループを選択します。
b) [追加(Add)] > [グループの追加(Add Group)] を選択し、手動でグループを追加します。 グループ
名と SID の両方を指定するかグループ名のみを指定して、[SID の取得(Fetch SID)] を押します。
ユーザ インターフェイスにログインするためのグループ名には、二重引用符(")を使用しないでくだ
さい。
さい。
ステップ 4
グループを手動で選択している場合は、フィルタを使用して検索できます。たとえば、フィルタ基準と
して admin* と入力し、[グループの取得(Retrieve Groups)] をクリックすると、admin で始まるユーザ
して admin* と入力し、[グループの取得(Retrieve Groups)] をクリックすると、admin で始まるユーザ
12