|
◆ Cisco Secure ACS - IEEE802.1X認証(ダイナミックVLANの設定)
それでは、認証(Authentication)だけでなく、認可(Authorization)の制御も行います。ここでは
"check1"というユーザ名のクライアントPCがアクセスしてきた場合、そのユーザ( check1 )のPCが
接続しているポートにvlan 100を割り当てるダイナミックVLANの設定例を紹介します。ダイナミック
VLANを適用するスイッチのポートのアクセスVLANは switchport access vlan 1 のデフォルトにします。
「Policy Elements」⇒「Authorization and Permissions」⇒「Authorization Profiles」でCreateを選択。
「General」のタブで、新たなAuthorization Profilesとして、ここでは"vlan100"というProfilesを作成します。
「Common Tasks」のタブの「VLAN ID/Name:」の項目で"Static"を選択し「Value」を"100"にします。
これで「Submit」を選択します。
次に、Access Policiesを作成。「Access Policies」⇒「Default Network Access」⇒「Authorization」で
Createではなく、先ず最初に「Customize」を選択します。
「Available」の項目に"Identity Group"という項目があるので、それを選択し「Selected」の項目に移行。
Customizeの終了後に"Create"を選択します。
「Name」には適当な名前を入力します。「Conditions(条件)」には、先ほどCustomizeで追加した
"Identity Group"にチェックして、vlan100を割り当てたいユーザの所属するグループを「Select」で
選択します。最後にこの条件に対する「 Results(結果) 」として、Authorization Profilesで作成した
vlan100のポリシーを選択して「OK」とします。
設定後に「Save Changes」を選択します。「Save Changes」で設定保存しないと正しく動作を行いません。
なお、Authorizationが動作しているかどうかは「Hit Count」という項目で判断できます。但しこのHit Count
はリアルタイムに反映されないので結果をすぐに知りたい場合、Hit Countのボタンで "Refresh"を行います。
|