Cisco Cisco Identity Services Engine 1.2 产品宣传页
さまざまな操作の実行に必要な Active Directory のアカウント権限
Cisco ISE マシン アカウント
脱退処理
参加操作
Active Directory との通信に使用され
る新しく作成された Cisco ISE マシン
アカウントには、次のアクセス許可
が必要です。
る新しく作成された Cisco ISE マシン
アカウントには、次のアクセス許可
が必要です。
•
自分のパスワードの変更
•
認証されるユーザ/マシンに対応
するユーザ/マシン オブジェク
トの読み取り
するユーザ/マシン オブジェク
トの読み取り
•
必要な情報(信頼ドメイン、代
替 UPN サフィックスなど)取
得のための Active Directory の一
部のクエリー
替 UPN サフィックスなど)取
得のための Active Directory の一
部のクエリー
• tokenGroups 属性の読み取り
Active Directory でマシン アカウント
を事前に作成できます。SAM の名前
が Cisco ISE アプライアンスのホスト
名と一致する場合、参加操作中に検
索して再利用する必要があります。
を事前に作成できます。SAM の名前
が Cisco ISE アプライアンスのホスト
名と一致する場合、参加操作中に検
索して再利用する必要があります。
複数の参加操作を実行すると、Cisco
ISE 内でそれぞれの参加に 1 つずつ
複数のマシン アカウントが操作され
ます。
ISE 内でそれぞれの参加に 1 つずつ
複数のマシン アカウントが操作され
ます。
脱退処理の実行に使用されるアカウ
ントには、次のアクセス許可が必要
です。
ントには、次のアクセス許可が必要
です。
• Active Directory の検索(Cisco
ISE マシン アカウントがすでに
存在するかどうかを確認するた
め)
存在するかどうかを確認するた
め)
•
ドメインからの Cisco ISE マシ
ン アカウントの削除
ン アカウントの削除
強制脱退(パスワードなしでの脱
退)を実行する場合、ドメインから
マシン アカウントは削除されませ
ん。
退)を実行する場合、ドメインから
マシン アカウントは削除されませ
ん。
参加操作の実行に使用されるアカウ
ントには、次のアクセス許可が必要
です。
ントには、次のアクセス許可が必要
です。
• Active Directory の検索(Cisco
ISE マシン アカウントがすでに
存在するかどうかを確認するた
め)
存在するかどうかを確認するた
め)
•
ドメインへの Cisco ISE マシン
アカウントの作成(マシンアカ
ウントが存在しない場合)
アカウントの作成(マシンアカ
ウントが存在しない場合)
•
新しいマシンアカウントに対す
る属性の設定(Cisco ISE マシン
アカウント パスワード、SPN、
dnsHostname など)
る属性の設定(Cisco ISE マシン
アカウント パスワード、SPN、
dnsHostname など)
参加操作を実行するために、ドメイ
ン管理者である必要はありません。
ン管理者である必要はありません。
参加操作または脱退処理に使用するクレデンシャルは、Cisco ISE に保存されません。 新しく
作成された Cisco ISE マシン アカウントのクレデンシャルのみが保存されます。
作成された Cisco ISE マシン アカウントのクレデンシャルのみが保存されます。
(注)
通信用に開く必要があるネットワーク ポート
注記
認証
ターゲット
ポート(リモート -
ローカル)
ローカル)
プロトコル
—
なし
DNS サーバ/AD ドメ
イン コントローラ
イン コントローラ
49152 以上の乱数
DNS(TCP/UDP)
7