ISE 2.1 で EasyConnect を設定する

ISE 2.1 で EasyConnect を設定する

目次

概要 前提条件 要件 使用するコンポーネント 背景説明 EasyConnect 機能情報 EasyConnect プロセスフロー EasyConnect 機能制限 ISE の設定 アクティブ ディレクトリに ISE 2.1 に加入して下さい 許可プロファイルを設定して下さい EasyConnect を設定して下さい 識別マッピングを設定して下さい スイッチの設定 確認 スイッチ

Identity Services Engine MS アクティブ ディレクトリ トラブルシューティング ISE のデバッグ 典型的な問題 問題 1.アクティブ ディレクトリは表示イベント 4768 ではないです 問題 2。 識別マッピングからの AD に接続できません 問題 3.安全なアクセス ルールは引き起こされません

概要

この資料に識別 サービス エンジン（ISE）で EasyConnect 認証を 2.1 設定する方法を記述され ています。 ISE は外部識別記憶装置としてユーザ、マシン、グループおよび属性のようなリソー スを保存するのに Microsoft Active Directory （AD）を使用します。  

Eugene Korneychuk および Harisha Gunna によって貢献される、Cisco TAC エンジニア。

前提条件

要件

この資料はスイッチ、AD、ISE および Windows 7 ワークステーション間に完全な IP接続がある と仮定します。 ISE サーバはブートストラップされます。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。 Cisco 識別 サービス エンジン 2.1

●

IOS ® ソフトウェア リリース 15.0(1)SE2 が付いている Cisco 3750X スイッチ

●

Microsoft Windows Server 2008 R2

● Microsoft Windows 7 ワークステーション ●

背景説明

EasyConnect 機能情報

EasyConnect は 802.1X と同じような、設定すること容易ポートベース認証を提供します。 EasyConnect はアクティブ ディレクトリからの認証について学び、アクティブなネットワークセ ッションにセッション トラッキングを提供します。 セッション ディレクトリ通知は PxGrid と送 達することができます。 EasyConnect および 802.1X は両方同じ ポートで設定することができます各サービスのための別 の ISE ポリシーがなければなりません。

EasyConnect は Availabilty 高いモードでサポートされます。 WMI のための PSN を捧げることを 推奨します。 最良の方法は 2 PSN を持つことです– 1 つはアクティブであり、第 2 はスタンバイ にあります。 PSN すべては DC からデータを受け取りますが、1 つだけはと同時にマスター設定され、MnT に イベントを転送する。 PSN はアクティブな 1 つを選び、失敗の発生時に自動的にスタンバイの 促進の例を処理します。 PassievID マネジメント サービスによってプライマリように PSN の選 挙のプロセスは透過的です。

EasyConnect プロセスフロー

スイッチは PSN に認証要求を送信 する MAB のために設定されます。 PSN はアクティブ ディレ クトリとユーザを認証する可能にする制限されたアクセスと答えます。 クライアントを認証する PSN は MNT に MAB auth、RADIUS 説明開始および暫時停止についての情報を転送します。 プ ライマリ PSN （これは認証 PSN ではないかもしれません。 これは PassiveId マネジメント サ ービスによってプライマリ） MnT に WMI Auth イベントを転送するように選ばれる PSN です。 すべてのデータが MnT によってセッション ディレクトリで収集され、マージされれば、CoA に NAD を転送し、許可のためのユーザを再評価する PSN の認証への MnT プロキシ CoA 要求。

EasyConnect 機能制限

EasyConnect は BYOD 使用例と使用することができません。 ● Ciscoデバイスだけサポートします。 ● エンド ポイント ログオフ イベントはサポートされません。 ● AD を受動識別 サービスをサポートするために設定するためにこのリンクを参照して下さい: 受動 識別 サービスをサポートするアクティブ ディレクトリ必要条件 権限は AD ユーザがドメイン Admin グループの一部のとき、そして AD ユーザが一部 fo ドメイ ン Admin グループでなければ異なっています。

ISE の設定

アクティブ ディレクトリに ISE 2.1 に加入して下さい

1. [Administration] > [Identity Management] > [External Identity Sources] > [Active Directory] > [Add] を選択します。 [Join Point Name]、[Active Directory Domain] を入力し、[Submit] をクリッ クします。

2. この Active Directory ドメインにすべての ISE ノードを参加させる確認プロンプトが表示され たら、[Yes] をクリックします。

3. [AD User Name] と [Password] を入力し、[OK] をクリックします。

ISE でのドメイン アクセスに必要な AD アカウントには、次のいずれかが必要です。 対応するドメインのドメイン ユーザ権限にワークステーションを追加。 ● コンピュータ オブジェクトを作成するか、または ISE コンピュータ・アカウントがドメイン かに ISE マシンに加入する前に作成される対応するコンピュータ コンテナーのコンピュータ オブジェクト権限を削除して下さい。 ● ヒント： ISE アカウントのロックアウト ポリシーを無効にし、不正なパスワードがこのア カウントに使用された場合に、管理者にアラートを送信するように AD インフラストラクチ ャを設定することを推奨します。 誤ったパスワードが入力された場合、ISE は必要なとき にマシン アカウントを作成または変更しないため、多くの場合すべての認証が拒否されま

す。

4. 『Close』 をクリック するため完了されるように現れられてもしオペレーション ステータスを 、ノード ステータス検討して下さい。

5. AD のステータスは [Operational] になります。

6. [Groups] > [Add] > [Select Groups From Directory] > [Retrieve Groups] を選択します。 許可ポ リシーで参照されるべき必須 AD グループのための SELECT チェックボックス。

注: ユーザ hargadmin はドメイン ユーザ AD グループのメンバーです。 reassesment が作 られた後、ドメイン ユーザ メンバシップは許可状態で使用されます。

 7. 取得された AD グループを保存するために『SAVE』 をクリック して下さい。 許可プロファイルを設定して下さい 1. 制限されたアクセス ポリシー > 結果のための許可プロファイルを作成して下さい、許可 > 許 可プロファイルを選択し、LimitedAccess と指名される新しいものを追加して下さい a）受動識別トラッキングがあるようにボックスを確認して下さい b) DACL 名前を追加し、廃棄リストから制限されたアクセス DACL を選択しま DNS、DHCP、 ISE および DC アクセスを許可します c) Save

2. 他の望ましいアクセスのための許可プロファイルを作成し、保存して下さい。  他の許可プロ ファイルでイネーブルになっているためにトラッキングする受動 Idenitty のための必要がちょう ど最初のアクセスありません。 EasyConnect を設定して下さい 1. ポリシーサーバの識別マッピングを有効に して下さい。 ナビゲート しましたり、全般設定の 下でノードをおよび、イネーブル イネーブル識別マッピングは Administration > 配備に選択しま す。

2. ポリシー セットを作成して下さい。 ナビゲート し、Ezconnect は指名されるポリシー > ポリ シー セットに新しいポリシー セットを作成します。 それからそれらのポリシーを追加して下さ い: a) EzconnectAuth と指名される条件 Wired_MAB で認証 ポリシーを作成して下さい。 b) Domain_Users と指名される承認ポリシーを状態 AD 作成して下さい: ExternalGroups は example.com/Users/Domain ユーザに匹敵します。 c) Ezconnect_Limited と指名される承認ポリシーを条件 Wired_MAB 作成して下さい。 制限されたアクセスの結果として、AD に与えられるべきですアクセスして下さい。

識別マッピングを設定して下さい

Administration > PassiveID > AD ドメインコントローラへのナビゲート。 [Add] をクリックしま す。 全般設定では DC の表示名、ドメイン FQDN およびホスト FQDN を区分して下さい、入力 して下さい。 信任状では DC のユーザ名 および パスワードを区分して下さい、入力して下さい 。 [Save] をクリックします。 更新済表は DCS のリストに含まれている新しく定義された DC と 表示されます。 Status カラムは DC の異なる状態を示します。 （オプション） DC 接続 設定を『Verify』 をクリック することクリックして特定のドメインへの 接続をテストして下さい。 このテストは DC への接続が健全であることを確認します。 ただし Cisco ISE がログオンにユーザ情報を取出すことができるかどうか確認しません。 [Save] をクリックします。

スイッチの設定

この設定はスイッチがポート FastEthernet1/0/23 で接続されるクライアントのための MAB 認証 を行うようにします。

aaa new-model !

aaa group server radius ISE-group server name PSN1

server name PSN2 !

aaa authentication dot1x default group ISE-group aaa authorization network default group ISE-group aaa accounting update newinfo

aaa accounting dot1x default start-stop group ISE-group

!

aaa server radius dynamic-author

client 10.201.228.86 server-key 7 0822455D0A16 client 10.201.228.87 server-key 7 094F471A1A0A

!

interface FastEthernet1/0/23 switchport access vlan 903 switchport mode access authentication order mab

authentication port-control auto mab

dot1x pae authenticator spanning-tree portfast

!

radius-server vsa send accounting radius-server vsa send authentication !

radius server PSN1

address ipv4 10.201.228.86 auth-port 1812 acct-port 1813 key 7 13061E010803

!

radius server PSN2

address ipv4 10.201.228.87 auth-port 1812 acct-port 1813 key 7 00071A150754

確認

スイッチ

Switch#show authentication sessions interface fastEthernet 1/0/23 details Interface: FastEthernet1/0/23

MAC Address: 3c97.0e52.3fd3 IPv6 Address: Unknown

IPv4 Address: 10.229.20.122 User-Name: admin

Status: Authorized Domain: DATA

Oper host mode: single-host Oper control dir: both

Session timeout: N/A

Common Session ID: 0AE514F000000017011140BC Acct Session ID: 0x00000009

Handle: 0xFC000007 Current Policy: POLICY_Fa1/0/23

Local Policies:

Service Template: DEFAULT_LINKSEC_POLICY_SHOULD_SECURE (priority 150)

Method status list:

Method State

mab Authc Success

Identity Services Engine

ISE は複数のレポートを示す必要があります。 ログは一番下ものから始まって記述されています: 1. マシンは MAB によって認証されます。 制限されたアクセス許可プロファイルは、icmp を可能 にする、dns、AD へのアクセス割り当てられます;

2. 限られた特権の DACL は NAD にダウンロードされます;

3. ISE はユーザの WMI （AD のユーザ名マッピングへの IP が理由で）および AD グループによ って AD からの LDAP によってユーザ名を学びます。 承認規則および ISE によって学ばれる新し いデータ一致が状態あるので、CoA は始められます。

4. CoA ユーザの結果として admin は安全なアクセス許可プロファイルを得ます。 ライブ ログ スクリーン ショット

MS アクティブ ディレクトリ

イベント ビューア 4768 および 4769 イベントからそれはです正常なユーザ認証の結果見るはず です。

ISE のデバッグ

検討することはコンポーネント PassiveID のデバッグ レベルに WMI のための PSN を、変更しま すロギングをログオンします

passiveid-mgmt.log ファイルはどの PSN がプライマリように選ばれるか示します。

psn1-21/admin# sh logging application passiveid-mgmt.log tail

2016-07-04 21:34:15,856 INFO [admin-http-pool187][] cisco.cda.mgmt.rest.ADProb eElectionManager- PassiveID Management Service :: The node 'psn2-21.example.com'

was selected as primary.

2016-07-04 21:34:15,856 INFO [admin-http-pool187][] cisco.cda.mgmt.rest.ADProb eElectionManager- PassiveID Management Service :: This node (psn1-21.example.com

) was selected as standby.

上に基づいて、MAB auth のためにログ検討されなければなりませんのための psn2-21 ログを WMI Auth および psn1-21 が NAD からの AUTH 要求を処理しているので、psn1-21 見る必要が あります。

psn2-21 ファイルからの passiveid.log は WMI auth イベントの詳細を説明します

psn2-21/admin# sh logging application passiveid.log tail

, Identity Mapping.dc-domainname = example.com , Identity Mapping.dc-connection-type = Current events , Identity Map

ping.dc-name = ez_example , Identity Mapping.dc-host = win-e78u0frcjd6.example.com/10.201.228.91 ,

2016-07-04 21:42:00,592 DEBUG [Thread-10][] com.cisco.cpm.cda- Received login event. Identity Mapping.ticket = instance of __InstanceCreationEvent { SECURITY_DESCRIPTOR = {1, 0, 20, 128, 96, 0, 0, 0, 112, 0, 0, 0, 0, 0, 0, 0, 20, 0, 0, 0, 2, 0, 76, 0, 3, 0, 0, 0, 0, 0, 20, 0, 69, 0, 15, 0, 1, 1, 0, 0, 0, 0, 0, 5, 18, 0, 0, 0, 0, 0, 24, 0, 69, 0, 0, 0, 1, 2, 0, 0, 0, 0, 0, 5, 32, 0, 0, 0, 32, 2, 0, 0, 0, 0, 24, 0, 65, 0, 0, 0, 1, 2, 0, 0, 0, 0, 0, 5, 32, 0, 0, 0, 61, 2, 0, 0, 1, 2, 0, 0, 0, 0, 0, 5, 32, 0, 0, 0, 32, 2, 0, 0, 1, 1, 0, 0, 0, 0, 0, 5, 18, 0, 0, 0}; TargetInstance = instance of Win32_NTLogEvent { Category = 14339;

CategoryString = "Kerberos Authentication Service"; ComputerName = "WIN-E78U0FRCJD6.example.com"; EventCode = 4768;

EventIdentifier = 4768; EventType = 4;

InsertionStrings = {"hargadmin", "EXAMPLE", 21-4290790397-2086052146-77444135-1113", "krbtgt", "S-1-5-21-4290790397-2086052146-77444135-502", "0x40810010", "0x0", "0x12", "2", "::ffff:10.201.228.104", "56060", "", "", " "}; Logfile = "Security"; \nAdditional Informatio60ffff:10.201.228.10452146-77444135-502requested.

\nPre-authentication types, ticket options, encryption types and result codes are defined in RFC 4120.";

RecordNumber = 372847;

SourceName = "Microsoft-Windows-Security-Auditing"; TimeGenerated = "20160704214131.733498-000";

TimeWritten = "20160704214131.733498-000"; Type = "Audit Success";

};

TIME_CREATED = "131121420933871015"; };

, Identity Mapping.dc-domainname = example.com , Identity Mapping.dc-connection-type = Current events , Identity Map

ping.dc-name = ez_example , Identity Mapping.event-user-name = hargadmin , Identity Mapping.dc-host = win-e78u0frcjd6

.example.com/10.201.228.91 , Identity Mapping.server = psn2-21 , Identity

Mapping.event-ip-address = 10.201.228.104 ,

2016-07-04 21:42:01,510 DEBUG [Thread-15][] com.cisco.cpm.cda- Forwarded login event to ISE

session directory. Ident

ity Mapping.dc-domainname = example.com , Identity Mapping.event-user-name = hargadmin , Identity Mapping.dc-host = w

in-e78u0frcjd6.example.com/10.201.228.91 , Identity Mapping.server = psn2-21 , Identity Mapping.event-ip-address = 10

.201.228.104 ,

psn1-21 （からのパケットキャプチャ MAB 要求を処理している） PSN。 パケットキャプチャは MnT ノードに frowarded MAB auth およびアカウンティング パケットのための syslog データを 示します。

psn2-21 （PassiveID Mangement サービスによってプライマリ選ばれる PSN）からのパケットキ ャプチャ。 このキャプチャは MnT に WMI auth パス syslog ヒントを転送するプライマリ PSN を示します

典型的な問題

問題 1.アクティブ ディレクトリは表示イベント 4768 ではないです

それの後ろに複数の原因がある場合もあります: 1. 制限されたアクセス DACL の中では PC がアクティブ ディレクトリに接触するようにする従っ てこのイベントは生成されますようにして下さい; 2. 監査ポリシーが corrrectly 設定される、従って対応するログはイベント ビューアで表示されま したり、セクションを示しますようにして下さい この資料の監査ポリシーの設定。

問題 2。 識別マッピングからの AD に接続できません

表示されるエラーは次のとおりです: 「接続「は Fibi.example.com」識別マッピング アクティブ ノードでテストされました。 「AD」への接続は失敗しました。 マシンに接続することが不可能チェックして下さい DC 状態を」 このエラーは AD で必要なすべての設定が正しく設定されることを Administrator2 ユーザ向けの 十分な特権を持たなければ、注意深く確認します見られます。

問題 3.安全なアクセス ルールは引き起こされません

1. 持っています AD に接続の成功を、対応するログインをチェックできます識別マッピング レポ ート確認して下さい:

2. スイッチの debug radius とそれを確認できることをように Framed-IP-Address 属性 resevied NAD からして下さい;