|
◆ Cisco Secure ACS - Single result selection と Rule based result selection
最後に、Single result selection と Rule based result selection について紹介します。今までの設定では
Single result selection による実装だったので、ユーザデーターベースを内部(ACS)か、外部(AD)なのかを
指定していました。内部指定の場合は、Internal Usersだけが参照されて、外部指定の場合、ADだけが参照
されている状態でした。 Rule based result selection を実装することで、これらを組み合わせられます。
◆ Cisco Secure ACS - Rule based result selection の設定
先ず、Rule based result selectionを選択します。警告メッセージが出ますが無視します。Internal Usersと
ADのどちらを先にルールに持ってくるかですが、一般的にはユーザ数が多いADのルールを先に持ってきます。
では合致ルールを作成していきましょう。IEEE802.1X認証時にクライアントPCから送信されるユーザ名と
パスワード情報を、外部ADのデータベースにすでにあるユーザ名とパスワード情報に合致させるために、
ユーザアカウントにドメイン名が含まれることを合致条件とします。その条件を具体的に見ていきましょう。
「ユーザ名:cool パスワード:cisco ドメイン名:test.com」の情報をクライアントPC側で入力すると
送信されてくる情報は「cool@test.com」のようになります。従って"ADのユーザ"と認識させるためには
「ユーザ名に test.com が含まれていることを条件」にすればよい、ということが分かります。
では具体的な設定を見ていきます。先ずルール項目をCustomizeします。ルールをシンプルにするために
Compound Condition を左側に移し System:UserName を右側に移します。
次に以下のとおり条件 (Conditions) にドメイン名である"test"が含まれていたら、結果( Results
) には
ADを見にいくと定義します。また、このADにユーザが存在しない場合( If user not found )は"Continue"
とすることで、ACSに登録されている Internal Users を見に行かせるようにします。
この内容でOKを選択すると、以下のとおりルール1に"AD1"というルールが作成されます。そしてルールの
"1"に合致しなければ "Default" のルールを見に行くようになります。DefaultのルールはResultsにある通り
ACS内部の"Internal Users"を見に行くというルール。最後に有効化のために"Save Changes"を選択します。
|