こんばんは。
早速ご返信いただきましてありがとうございます。
有難い事に"解決承認"いただきましたので、ここから先は補足として回答させていただきます。
まず、Framed-IP-Addressで上手くいくかどうかは当方も試したことが無いので、貴殿の実環境/実機での検証をお願いします。
次に、802.1X認証ですが、ユーザー側に証明書が必要になるのはEAP/TLSですので、PEAPを選択いただければ、証明書なしでID/Passwordによる接続/認証が可能になります。当方の環境でも 802.1X認証とMAC認証を併用して使用していますが、クライアント側には証明書をインストールさせていません。
※厳密にはサーバー証明書のインストールがあった方が良いのですが、証明書の検証を行わない設定にすれば不要になります。
ライセンスについては基本のBASEしかないとなると、ご認識の通りプロファイルサービスは利用できませんね・・・
単純にMACアドレスのみの認証であればNetAttestのような他ベンダー製品の方が安価&簡単ですから、ISEだと使い方としてはちょっともったいない(役不足)です。
Cisco ISEが真価を発揮するのは、プロファイリングによる端末識別とそれを認証/認可の条件に出来ることや、pxGridを用いたDNA Center、Secure Network Analytics(旧Stealthwatch)との連携を行う場合、BYODや自己CAでの制御になりますので、ご予算的に可能であれば、Plusライセンスを購入されることを強く推奨します。※原則、BASEと同数のライセンス数が必要です。
プロファイリング機能が使えれば、例えばMABにおいては全てのMACを登録しなくても、端末がWorkStationかどうかを判別し、それ以外(プリンタやIP電話機など)はMACアドレス登録がなくても認証/認可を成功させるという条件が設定できるのでとても便利です。
最後に、「プロファイルサービスを使用してエンドポイント情報を集める事ができえればホスト名(またはコンピュータ名)にての制御も実現できるでしょうか?」というご質問ですが、当方では実績がありませんが、とても興味深いご質問です。
プロファイリングが有効になっている場合、端末属性の"host-name"や"client-fqdn"などでホスト名が見える事は見えるのですが、ではこれをポリシーセットの条件にどのように記述したら良いだろう???という別の問題が発生します。
ご存知の通り "属性" 演算子 "属性値"の組み合わせにしないといけないので、属性値となるホスト名の内部or外部データベースをどうやって割り当てるのか?と疑問が湧きますが、現時点では当方には答えが見出せません。
長くなり過ぎたのでこの辺にしたいと思います。
上記が少しでもご参考になれば幸いです。
