Cisco ISE - Mac Authentication Bypass



 ◆ Cisco ISE - MAB(MAC Authentication Bypass)の設定

 先ず、認証して許可するMACアドレスのグループを作成する必要があります。設定場所は以下の通りです。
 ここで「Add」を選択します。ちなみに、デフォルトでは以下のようなグループが存在します。

 



 ここでは「LAN-GROUP1」と設定します。

 


 以下の通り作成できていることを確認できます。

 


 次に、以下画面に移行しMACアドレスを登録します。「Groups」ではなくて「Identities」で設定します。

 


 MACアドレスを以下の形式で入力して、先ほど作成したグループ名を指定します。

 


 以下のようにMACアドレスからベンダーコードを導けない場合は「Unknown」と表示されます。

 


 一方、「00:00:00:11:11:11」というMACアドレスを登録するとベンダーコードからXeroxと分かるので
 以下のように「Xerox-Device」と表示されます。

 


 さて、これだけではMAB認証は動作しません。ISEでポリシーの設定が必要となります。なお、そのポリシーの
 設定前に「Administration」⇒「System」⇒「Settings」でPolicy SetsをEnabledにすることを推奨します。

 


 ◆ Cisco ISE - MAB(MAC Authentication Bypass)の設定 - ポリシー設定

 ポリシーではAuthenticationとAuthorizationの大きく2種類の設定があります。今回は有線LANにおける
 MAB認証のポリシー作成方法を紹介します。前提として必要のないポリシーは全て削除している状態です。
 ポリシーの設定場所は「Policy」⇒「Policy Sets」でDefaultの上にCreate Aboveでポリシーを作成します。

 


 @ ポリシー名とCondition(条件)を定義します。ここではポリシー名は「MAB_POLICY」として条件には
 有線LANにおけるMACアドレス認証を示す「Wired_MAB」を指定します。

 



 A Authentication Policyには、Identity Sourceに「Internal Endpoints」を参照するように指定します。

 


 作成完了後には以下のように表示されます。最小限の設定です。

 


 A 続いてAuthorization Policyの設定です。Authorization用の名前を適当に入力して合致する送信元を
 Identity Groupから選択します。今回はUserではなくEndpointなので「Endpoint Identity Groups」を選択し
 先ほど作成したMACアドレスグループを選択します。そして、Conditionには「Wired_MAB」を選択します。

 



 Permissionsには「PermitAccess」を選択して、最後に以下の画面の「Save」を押します。設定は以上です。

 



 認証結果は「Operation」⇒「Authentications」で確認できます。StatusがGreenのチェックマークが入って
 いれば認証は成功ですが、画面一番右端のイベントが以下の通り succeeded であるかを確認しましょう。

 

 画面が切れていて以下では表示されていませんが、Endpoint IDには認証/認可されたMACアドレスが表示。

 



Cisco ISE

ネットワークエンジニアとして

Copyright (C) 2002-2019 ネットワークエンジニアとして All Rights Reserved.