|
◆ Cisco ISE - MAB(MAC Authentication Bypass)の設定
先ず、認証して許可するMACアドレスのグループを作成する必要があります。設定場所は以下の通りです。
ここで「Add」を選択します。ちなみに、デフォルトでは以下のようなグループが存在します。
ここでは「LAN-GROUP1」と設定します。
以下の通り作成できていることを確認できます。
次に、以下画面に移行しMACアドレスを登録します。「Groups」ではなくて「Identities」で設定します。
MACアドレスを以下の形式で入力して、先ほど作成したグループ名を指定します。
以下のようにMACアドレスからベンダーコードを導けない場合は「Unknown」と表示されます。
一方、「00:00:00:11:11:11」というMACアドレスを登録するとベンダーコードからXeroxと分かるので
以下のように「Xerox-Device」と表示されます。
さて、これだけではMAB認証は動作しません。ISEでポリシーの設定が必要となります。なお、そのポリシーの
設定前に「Administration」⇒「System」⇒「Settings」でPolicy SetsをEnabledにすることを推奨します。
◆ Cisco ISE - MAB(MAC Authentication Bypass)の設定 - ポリシー設定
ポリシーではAuthenticationとAuthorizationの大きく2種類の設定があります。今回は有線LANにおける
MAB認証のポリシー作成方法を紹介します。前提として必要のないポリシーは全て削除している状態です。
ポリシーの設定場所は「Policy」⇒「Policy Sets」でDefaultの上にCreate Aboveでポリシーを作成します。
@ ポリシー名とCondition(条件)を定義します。ここではポリシー名は「MAB_POLICY」として条件には
有線LANにおけるMACアドレス認証を示す「Wired_MAB」を指定します。
A Authentication Policyには、Identity Sourceに「Internal Endpoints」を参照するように指定します。
作成完了後には以下のように表示されます。最小限の設定です。
A 続いてAuthorization Policyの設定です。Authorization用の名前を適当に入力して合致する送信元を
Identity Groupから選択します。今回はUserではなくEndpointなので「Endpoint Identity Groups」を選択し
先ほど作成したMACアドレスグループを選択します。そして、Conditionには「Wired_MAB」を選択します。
Permissionsには「PermitAccess」を選択して、最後に以下の画面の「Save」を押します。設定は以上です。
認証結果は「Operation」⇒「Authentications」で確認できます。StatusがGreenのチェックマークが入って
いれば認証は成功ですが、画面一番右端のイベントが以下の通り succeeded であるかを確認しましょう。
画面が切れていて以下では表示されていませんが、Endpoint IDには認証/認可されたMACアドレスが表示。
|