Cisco Secure ACS - result selection



 ◆ Cisco Secure ACS - Single result selection と Rule based result selection

 最後に、Single result selection と Rule based result selection について紹介します。今までの設定では
 Single result selection による実装だったので、ユーザデーターベースを内部(ACS)か、外部(AD)なのかを
 指定していました。内部指定の場合は、Internal Usersだけが参照されて、外部指定の場合、ADだけが参照
 されている状態でした。 Rule based result selection を実装することで、これらを組み合わせられます。



 ◆ Cisco Secure ACS - Rule based result selection の設定

 先ず、Rule based result selectionを選択します。警告メッセージが出ますが無視します。Internal Usersと
 ADのどちらを先にルールに持ってくるかですが、一般的にはユーザ数が多いADのルールを先に持ってきます。

    



 では合致ルールを作成していきましょう。IEEE802.1X認証時にクライアントPCから送信されるユーザ名と
 パスワード情報を、外部ADのデータベースにすでにあるユーザ名とパスワード情報に合致させるために、
 ユーザアカウントにドメイン名が含まれることを合致条件とします。その条件を具体的に見ていきましょう。

 「ユーザ名:cool パスワード:cisco ドメイン名:test.com」の情報をクライアントPC側で入力すると
 送信されてくる情報は「
cool@test.com」のようになります。従って"ADのユーザ"と認識させるためには
 「ユーザ名に test.com が含まれていることを条件」にすればよい、ということが分かります。

 では具体的な設定を見ていきます。先ずルール項目をCustomizeします。ルールをシンプルにするために
 Compound Condition を左側に移し System:UserName を右側に移します。

     


     


 次に以下のとおり条件 (Conditions) にドメイン名である"test"が含まれていたら、結果( Results ) には
 ADを見にいくと定義します。また、このADにユーザが存在しない場合( If user not found )は"Continue"
 とすることで、ACSに登録されている Internal Users を見に行かせるようにします。

     


 この内容でOKを選択すると、以下のとおりルール1に"AD1"というルールが作成されます。そしてルールの
 "1"に合致しなければ "Default" のルールを見に行くようになります。DefaultのルールはResultsにある通り
 ACS内部の"Internal Users"を見に行くというルール。最後に有効化のために"Save Changes"を選択します。

    



Cisco Secure ACS 設定

ネットワークエンジニアとして

Copyright (C) 2002-2019 ネットワークエンジニアとして All Rights Reserved.