comparação do estilo da postura ise para pre e cargo 2 · comparação do estilo da postura ise...

Comparação do estilo da postura ISE para pre ecargo 2.2 Índice

IntroduçãoPré-requisitosRequisitosComponentes UtilizadosInformações de ApoioFluxo pre ISE 2.2 da posturaFluxo da postura em ISE 2.2ConfigurarDiagrama de RedeConfiguraçõesConfiguração do abastecimento do clientePolíticas e condições da posturaConfigurar o portal do abastecimento do clienteConfigurar perfis e políticas da autorizaçãoVerificarTroubleshootingInformação geralTroubleshooting dos problemas comunsProblemas relacionados SSOPesquise defeitos a seleção da política de abastecimento do clientePesquise defeitos o processo da postura

Introdução

Este documento descreve a funcionalidade nova que é adicionada no motor do serviço daidentidade (ISE) 2.2. Reserva apoiar um fluxo da postura sem nenhum tipo do apoio dareorientação no dispositivo do acesso de rede (NAD) ou no ISE. Para compreender melhor afuncionalidade nova, este documento contém comparação detalhada entre o fluxo da postura preem versões ISE 2.2 e em ISE 2.2.

Pré-requisitos

Requisitos

A Cisco recomenda que você tenha conhecimento destes tópicos:

Fluxo da postura no ISE●

Configuração de componentes da postura no ISE●

Configuração adaptável da ferramenta de segurança (ASA) para a postura sobre o VirtualPrivate Networks (VPN)

●

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

Versão 2.2 de Cisco ISE●

Cisco ASAv com software 9.6(2)●

As informações neste documento foram criadas a partir de dispositivos em um ambiente delaboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com umaconfiguração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impactopotencial de qualquer comando.

Informações de Apoio

A postura é um componente central de Cisco ISE. A postura como um componente pode serrepresentada por três elementos principais:

ISE como uma distribuição e um ponto de decisão da configuração das normas. Daperspectiva do administrador no ISE você configura as políticas da postura (quecircunstâncias exatas devem ser estadas conformes para marcar o dispositivo como umcomplacente corporativo), as políticas de abastecimento do cliente (que agente de softwaredeve ser instalado em que tipos de dispositivos) e políticas da autorização (que tipo daspermissões deve ser atribuído, depende em cima de seu estado da postura).

1.

Dispositivo do acesso de rede como um ponto do reforço de política. Na autorização reallateral NAD as limitações são aplicadas na época da autenticação de usuário. O ISE comoum ponto da política fornece parâmetros de autorização como o Access Control Listtransferido ACL (dACL) /VLAN/Redirect-URL/Redirect (ACL). Tradicionalmente, para que apostura aconteça, NADs é exigido para apoiar a reorientação (para instruir o usuário ou oagente de software que o nó ISE deve ser contactado) e a mudança da autorização (CoA)reauthenticate o usuário depois que o estado da postura do valor-limite é determinado.

2.

Agente de software como o ponto do levantamento de dados e da interação com utilizadorfinal. Cisco ISE usa três tipos de agente de software: Módulo da postura de AnyConnect,agente NAC, agente da Web. O agente recebe a informação sobre exigências da postura doISE e fornece o relatório ao ISE em relação ao estado da exigência.

3.

Note: Este documento é baseado no módulo da postura de Anyconnect que é único queapoia a postura inteiramente sem reorientação.

Quando você considera pre a postura do fluxo ISE 2.2 confia em NADs não somente para aautenticação de usuário e a restrição de acesso mas também para o abastecimento dainformação ao agente de software sobre o nó específico ISE que tem que ser contactado. Ainformação sobre o nó ISE é retornada ao agente de software como parte do processo deredirecionamento.

Historicamente, o apoio da reorientação no NAD ou no lado ISE era uma exigência chave para aaplicação da postura. Na exigência ISE 2.2 apoiar a reorientação é eliminado para oabastecimento do cliente da inicial e o processo da postura.

Abastecimento do cliente sem redirectioin- em ISE 2.2 você pode alcançar o portal doabastecimento do cliente (CPP) diretamente através do nome de domínio totalmente qualificadoportal (FQDN). Isto é similar à maneira que você alcança o portal do patrocinador ou o portal deMyDevice.

O processo da postura sem reorientação durante o instalation do agente da informação portalCPP sobre server ISE salvar no lado do cliente que torna uma comunicação direta possível.

Fluxo pre ISE 2.2 da postura

Esta é uma explicação passo a passo do fluxo do módulo da postura de Anyconnect ISE antes deISE 2.2

Etapa 1. A autenticação é uma primeira etapa do fluxo, ele poderia ser dot1x, MAB ou VPN.

Etapa 2. O ISE precisa de selecionar a política da authentication e autorização para o usuário. Naencenação da postura a política selecionada da autorização tem que conter uma referência aoestado da postura, que inicialmente deve ser desconhecido ou não aplicável. Para cobrir amboisto os casos, circunstância com o complacente desigual do estado da postura podem ser usados.

O perfil selecionado da autorização tem que conter a informação sobre a reorientação:

A reorientação da Web para o exemplo da postura, tipo da reorientação da Web deve serespecificada como o abastecimento do cliente (postura).

●

Esta seção ACL precisa de conter o nome ACL que é configurado no lado NAD. Este ACL éusado para instruir o NAD que o tráfego deve contornear a reorientação e que deverealmente ser reorientado.

●

DACL- pode ser usado junto com reorienta a lista de acesso mas você deve manter-se namente que as Plataformas diferentes processam DACL e reorientam ACL na ordem diferente.

●

Por exemplo: O processo DACL ASA sempre antes reorienta o ACL. Ao mesmo tempo algumasplataformas do switch processam o da mesma forma como o ASA e o outro processo dasplataformas do switch reorientam o ACL primeiramente, e uma verificação mais atrasadaDACL/Interface ACL se o tráfego for deixado cair ou permitido.

Note: Depois que você permite a opção da reorientação da Web no perfil da autorização, oportal do alvo para a reorientação tem que ser selecionado.

Etapa 3. O ISE retorna a aceitação de acesso com atributos da autorização. Reoriente a URL ematributos da autorização é gerado automaticamente pelo ISE. Contém aqueles componentes:

FQDN do nó ISE em que a autenticação aconteceu. O FQDN em alguns casos dinâmicopode ser overwritten pela configuração de perfil da autorização (IP/Host estáticoname/FQDN) na seção da reorientação da Web. Se o valor estático é devido apontar aomesmo nó ISE onde a autenticação foi processada. Em caso do equilibrador da carga (LB)este FQDN pode apontar a LB VIP mas somente caso que quando o LB é configurado paraamarrar junto o raio e as conexões SSL.

●

Mova o valor de porta é obtido da configuração portal do alvo.●

A identificação da sessão este valor é tomada pelo ISE do ID de sessão da auditoria dospares do AV Cisco apresentado na solicitação de acesso. O valor próprio é geradodinamicamente pelo NAD.

●

Identificador portal identificação de um portal do alvo no lado ISE.●

Etapa 4. O NAD aplica a política da autorização à sessão. Adicionalmente, se DACL éconfigurado, é índice é pedido antes que as políticas da autorização estejam aplicadas.

Considerações importantes:

Todo o dispositivo de NADs- deve localmente ter configurado o ACL com o mesmo nome queesse recebido na aceitação de acesso como o reorientar-ACL.

●

O endereço IP de Um ou Mais Servidores Cisco ICM NT dos interruptores do cliente deve ser●

apresentado na saída do comando dos detalhes da relação da sessão da autenticação damostra aplicar com sucesso a reorientação e os ACL. O endereço IP cliente é aprendidopelos recursos de tracking do dispositivo IP (IPDT).

Etapa 5. O cliente envia o pedido DNS para o FQDN que é incorporado ao navegador da Web.Nesta fase o tráfego DNS deve contornear a reorientação e o endereço IP de Um ou MaisServidores Cisco ICM NT correto deve ser retornado pelo servidor DNS.

Etapa 6. O cliente envia TCP SYN ao endereço IP de Um ou Mais Servidores Cisco ICM NT queé recebido na resposta DNS. O endereço IP de origem no pacote é IP de cliente, endereço IP dedestino é um IP do recurso pedido. A porta do destino iguala 80, à exceção dos casos quando oproxy HTTP direto é configurado no navegador da Web do cliente.

A etapa 7.NAD intercepta o pedido do cliente e prepara o pacote SYN-ACK com o IP da fonteigual ao IP pedido do recurso, IP de destino igual ao IP de cliente, porta de origem igual a 80.


NADs deve ter o server HTTP que é executado na porta em que o cliente envia pedidos. Àrevelia é a porta 80.

●

Se os usos do cliente dirigem o servidor de Web do proxy HTTP, no server HTTP NAS deveser executado na porta de proxy. Esta encenação é fora do espaço deste documento.

●

Nos casos quando o NAD não tem um endereço IP local na sub-rede de cliente SYN-ACK éenviado com tabela de roteamento NAD (sobre a interface de gerenciamento geralmente).Nesta encenação o pacote é distribuído sobre a infraestrutura L3 e deve ser distribuído paratrás para o cliente por um dispositivo L3 ascendente. Se o dispositivo L3 é um firewallstateful, a exceção adicional precisa de ser dada para tal roteamento asymetric.

●

Etapa 8. O cliente termina o cumprimento de três vias TCP pelo ACK.

Etapa 9. O HTTP GET para o recurso do alvo é enviado por um cliente.

Etapa 10. Os retornos NAD reorientam a URL ao cliente com código 302 HTTP (página movida),em algum NADs reorientam podem ser retornados dentro da mensagem da APROVAÇÃO HTTP200 no encabeçamento do lugar.

Etapa 11. O cliente envia o pedido DNS para o FQDN de reorienta a URL. O FQDN deve sersolucionável no lado do servidor DNS.

Etapa 12. A conexão SSL sobre a porta recebida dentro reorienta a URL é estabelecida (padrão8443). Esta conexão é protegida pelo certificado portal do lado ISE. O portal do abastecimento docliente (CPP) é apresentado ao usuário.

A etapa 13.Before que fornece a opção da transferência ao cliente, ISE tem que escolher apolítica do abastecimento do cliente do alvo (CP). O sistema da operação (OS) do clientedetectado do agente de usuário do navegador, a outra informação exigida para a seleção dapolítica CPP é recuperado da sessão da autenticação (como grupos AD/LDAP e tão um). O ISEsabe que sessão do alvo do ID de sessão apresentado dentro reorienta a URL.

Etapa 14. O link assistente da transferência da instalação de rede (NSA) é retornado ao cliente. Ocliente transfere o aplicativo.

Note: Normalmente você pôde ver que o NSA como parte de BYOD flui para Windows eAndroid mas também este aplicativo pode ser usado para instalar Anyconnect ou seuscomponentes do ISE.

A etapa 15.User executa o aplicativo NSA.

Etapa 16. O NSA envia a primeira prova de descoberta - HTTP /auth/discovery ao gatewaypadrão. O NSA espera a reorientar-URL em consequência.

Note: Para conexões sobre o VPN em dispositivos do MAC OS esta ponta de prova éignorada porque o MAC OS não tem o gateway padrão no adaptador de VPN.

A etapa 17.NSA envia em segundo a ponta de prova se primeira uma falha. Em segundo a pontade prova é um HTTP GET /auth/discovery a enroll.cisco.com. Este FQDN tem que ser comsucesso solucionável pelo servidor DNS. No cenário VPN com túnel em divisão, o tráfego aenroll.cisco.com precisa de ser distribuído através do túnel.

Etapa 18. Se algumas das pontas de prova sucedem, o NSA estabelece a conexão SSL sobre aporta 8905 com a informação obtida da reorientar-URL. Esta conexão é protegida pelo certificadoISE admin. Dentro desta conexão o NSA transfere Anyconnect.


Antes de ISE 2.2 libere uma comunicação SSL sobre a porta 8905 é uma exigência para apostura.

●

Para evitar o portal de advertência do certificado e os Certificados admin tem que serconfiada no lado do cliente.

●

Na multi-relação ISE as disposições conectam outro que G0 pode ser limitado ao FQDNdiferente do sistema FQDN (que usa o comando CLI do host IP). Isto pôde causar problemascom assunto Name(SN)/validação alternativa nome do assunto (SAN). Porque o clientepoderia ser reorientado ao FQDN da relação G1 por exemplo mas para o certificado de 8905comunicações com sistema FQDN é retornado que não pôde combinar ao FQDN reorientadentro a URL. Como uma solução para esta encenação que você pôde considerar adicionarFQDNs das interfaces adicionais em campos do certificado SAN admin, ou você pode usar oconvite no certificado admin.

●

O processo da postura da etapa 19.Anyconnect é lançado.

Começos do módulo da postura em qualqueras um situações:

Após a instalação●

Após a alteração de status da interface de rede (Up/Down)●

Após a mudança do valor do gateway padrão●

Após o evento do início de uma sessão do usuário de sistema,●

Etapa 20. Nesta fase o módulo da postura de Anyconnect inicia a detecção do servidor dapolítica. Isto é realizado com séries ou pontas de prova que são enviadas ao mesmo tempo pelomódulo da postura:

Ponta de prova 1 - O HTTP obtém /auth/discovery ao IP do gateway padrão. Você deverecordar que os dispositivos do MAC OS não têm o gateway padrão no adaptador de VPN. Oresultado esperado para a ponta de prova é reorientar-URL.

●

Ponta de prova 2 - HTTP GET /auth/discovery a enroll.cisco.com. Este FQDN precisa de sercom sucesso solucionável pelo servidor DNS. No cenário VPN com túnel em divisão, otráfego a enroll.cisco.com tem que ser distribuído através do túnel. O resultado esperado para

●

a ponta de prova é reorientar-URL.

Ponta de prova 3 - O HTTP obtém /auth/discovery ao host da descoberta. O valor do host dadescoberta é retornado do ISE durante a instalação no perfil da postura AC. O resultadoesperado para a ponta de prova é reorientar-URL.

●

Ponta de prova 4 - HTTP GET /auth/status sobre o SSL na porta 8905 ao PSN previamenteconectado. Este pedido contém a informação sobre o cliente IPs e MAC alista para a consultada sessão no lado ISE. Este proble não presneted durante a primeira tentativa da postura. Aconexão é protegida pelo certificado ISE admin. Em consequência desta ponta de prova oISE pode retornar o ID de sessão de volta ao cliente se nó onde a ponta de prova aterrada éo mesmo nó onde o usuário foi autenticado.

●

Note: Em consequência desta ponta de prova, a postura pode ser feita com sucesso mesmosem reorientação de trabalho sob algumas circunstâncias. A postura bem sucedida semreorientação exige esse PSN atual que autenticou a sessão deve ser o mesmo que o PSNcom sucesso conectado precedente. Mantenha na mente que a postura bem sucedida ISE2.2 prévios sem reorientação é um pouco exceção do que uma regra.

As próximas etapas descrevem o processo da postura caso que quando reoriente a URL érecebida (fluxo identificado por meio de letra a) em consequência de uma das pontas de prova:

Etapa 21. O módulo da postura estabelece a conexão ao abastecimento URL de utilização portaldo cliente recuperado durante a fase da descoberta. Nesta fase o ISE faz a validação da políticade abastecimento do cliente que usa mais uma vez a informação da sessão autenticada.

A política de abastecimento do cliente da etapa 22.If é detectada, retornos ISE reorienta à porta8905.

Etapa 23. O agente estabelece a conexão ao ISE sobre a porta 8905. Durante esta conexão oISE retorna URL para o perfil da postura, o módulo da conformidade e as atualizações doanyconnect.

Transferência da configuração de módulo da postura da etapa 24.AC do ISE.

Transferência e instalação da etapa 25.Updates se for necessário.

O módulo da etapa 26.Posture recolhe a informação inicial sobre o sistema (como a versão deOS, produtos de segurança instalados, sua versão da definição). Nesta fase o módulo da posturaenvolve OPSWAT API para recolher o infromation sobre produtos de segurança. Os dadosrecolhidos são enviados ao ISE. Como uma resposta a este pedido ISE fornece a lista dasexigências da postura. A lista das exigências é selecionada em consequência do processamentoda política da postura. Para combinar a versão de OS correta do dispositivo da política, dos usosISE (presente no pedido) e o valor do ID de sessão para escolher outros atributos requerido(grupos AD/LDAP). O valor do ID de sessão é enviado pelo cliente também.

Etapa 27. Nesta etapa o cliente envolve atendimentos OPSWAT e o outro mecanismo paraverificar exigências da postura. O relatório final com exigências alista e seu estado é enviado aoISE. O ISE precisa de fazer a decisão final sobre o staus da conformidade do valor-limite. Se omercado do valor-limite como não complacente neste grupo da etapa de ações da remediação éretornado. Para o valor-limite complacente o ISE escreve o status de conformidade na sessão epõe também o último timestamp da postura aos atributos do valor-limite se o aluguer da postura éconfigurado. O resultado da postura é enviado para trás ao valor-limite. Caso que quando otempo da reavaliação da postura (PRA) para o PRA pôs pelo ISE neste pacote também.

Na encenação NON-complacente leve em conta aqueles pontos:

Algumas ações da remediação (como o mensagem de texto do indicador, a remediação dolink, a remediação do arquivo e a outro) são executadas pelo agente próprio da postura.

●

A outra remediação datilografa (como o AV. O as, WSUS, SCCM) exigem uma comunicaçãodo opswat API entre o agente da postura e o produto do alvo. Nesta postura da encenação oagente apenas envia o pedido da remediação ao produto. Remidiation próprio é feito porprodutos de segurança diretamente.

●

Note: Caso que quando os produtos de segurança tiverem que se comunicar com osrecursos externos (server interno/externo da atualização) você precisa de se assegurar deque esta comunicação esteja permitida em Redirect-ACL/DACL.

A etapa 28.ISE envia o pedido COA ao NAD que deve provocar a autenticação nova para ousuário. O NAD deve confirmar este pedido por COA ACK. Mantenha na mente que para oimpulso COA do caso VPN é usada, assim que nenhum pedido de autenticação novo é enviado.Em lugar do ASA remove os parâmetros de autorização precedentes (reoriente a URL, reorientamo ACL, o DACL) da sessão e aplica parâmetros novos do pedido COA.

Pedido de autenticação de Stpe 29.New para o usuário.


Tipicamente para Cisco NAD o reauth COA é usado pelo ISE, e este instrui o NAD parainiciar o pedido de autenticação novo com ID de sessão precedente.

●

No lado ISE o mesmo valor do ID de sessão é uma indicação que que recolha previamenteatributos de sessão deva ser reutilizada (estado da queixa em nosso caso) e o perfil novo daautorização baseado naqueles atributos deve ser atribuído.

●

Em caso do ID de sessão mude esta conexão é tratado como um processo novo e completoda postura é reiniciado.

●

Para evitar a re-postura em cada ID de sessão mude o aluguer da postura pode ser usado.Nesta encenação a informação sobre o estado da postura é armazenada nos atributos dovalor-limite que fica no ISE mesmo se o ID de sessão obtém mudado.

●

A política da autorização da etapa 30.New é selecionada no lado ISE baseado no estado dapostura.

Etapa 31. A aceitação de acesso com atributos novos da autorização é enviada ao NAD.

O fluxo seguinte descreve a encenação quando reoriente a URL não é recuperado (identificadopor meio de letra b) por toda a ponta de prova da postura e PSN previamente conectado esteveperguntado pela última ponta de prova. Todas as etapas aqui são exatamente as mesmas que nocaso com reoriente a URL exceto a repetição que é retornada pelo PSN em consequência daponta de prova 4. Se esta ponta de prova aterrou no mesmo PSN que é um proprietário para asessão atual do authenitcation, a repetição contém o valor do ID de sessão que é usado maistarde pelo agente da postura para terminar o processo. Caso que quando o final do cabeçalhoconectado precedente não é o mesmo que o proprietário da sessão atual, a consulta da sessãofalha e a resposta vazia está retornada ao módulo da postura. Como um resultado final disto,

nenhum mensagem Detected Message do servidor da política é retornado ao utilizador final.

Fluxo da postura em ISE 2.2

O ISE 2.2 apoia o estilo velho e novo simultaneamente. Esta é a explicação detalhada para ofluxo novo:

A etapa 1.Authentication é uma primeira etapa do fluxo, ele poderia ser dot1x, MAB ou VPN.

A etapa 2.ISE tem que selecionar a política da authentication e autorização para o usuário. Naencenação da postura a política selecionada da autorização precisa de conter uma referência aoestado da postura, que inicialmente deve ser desconhecido ou não aplicável. Para cobrir amboisto os casos, circunstância com o complacente desigual do estado da postura podem serusados. Para a postura sem a reorientação não há nenhuma necessidade de usar nenhumaconfiguração da reorientação da Web no perfil da autorização. Você pôde ainda considerar usarum DACL ou um espaço aéreo ACL para limitar o acesso de usuário na fase quando o estado dapostura não está disponível.

A etapa 3.ISE retorna a aceitação de acesso com atributos da autorização.

Etapa 4. Se o nome DACL é retornado na aceitação de acesso, o NAD inicia a transferência doíndice DACL e aplica o perfil da autorização à sessão depois que é obtido.

Etapa 5. A aproximação nova supõe que a reorientação não é possível assim que o usuárioprecisa de incorporar manualmente o FQDN do portal do abastecimento do cliente. O FQDN doportal CPP precisa de ser definido na configuração portal no sdie ISE. Da perspectiva do servidorDNS o Um-registro precisa de apontar ao server ISE com o papel PSN permitido.

Etapa 6. O cliente envia o HTTP obtém ao FQDN do portal do abastecimento do cliente, estepedido é analisado gramaticalmente no lado ISE e o portal completo URL é retornado de volta aocliente.

A conexão da etapa 7.SSL sobre a porta recebida dentro reorienta a URL é estabelecida (padrão8443). Esta conexão é protegida pelo certificado portal do lado ISE. O portal do abastecimento docliente (CPP) é apresentado ao usuário.

Etapa 8. Nesta etapa dois os eventos acontecem no ISE:

Único sinal sobre (SSO) - O ISE tenta à autenticação bem sucedida precedente da consulta.O ISE usa o endereço IP de origem do pacote como um filtro da busca para sessões vivas doraio.

●

Note: A sessão é recuperada baseou na harmonia entre o IP da fonte no pacote e quadro oendereço IP de Um ou Mais Servidores Cisco ICM NT na sessão. O endereço IP de Um ouMais Servidores Cisco ICM NT do Framed é recuperado normalmente pelo ISE dasatualizações provisórias da contabilidade, assim que exige-se para ter a contabilidadepermitida no lado NAD. Também você deve recordar que o SSO é somente possível no nóque possui a sessão. Se por exemplo a sessão é autenticada em PSN 1 mas em FQDNpróprio aponta ao mecanismo PSN2 SSO falha.

Consulta da política de abastecimento do cliente - em caso do SSO bem sucedido, o ISEpode usar dados da sessão e do agente de usuário autenticados do navegador cliente. Emcaso do SSO mal sucedido o usuário tem que fornecê-la credenciais e depois que ainformação de autenticação de usuário está recuperada das lojas internas e externos daidentidade (grupos AD/LDAP/Internal), pode ser usado para a verificação da política deabastecimento do cliente.

●

Note: Devido ao erro CSCvd11574 você pôde ver o erro na altura da seleção da política deabastecimento do cliente para não o caso SSO quando o usuário externo é um membro dosgrupos múltiplos AD/LDAP adicionados na configuração externo da loja da identidade.

Etapa 9. Depois que a seleção ISE da política de abastecimento do cliente indica a transferênciaURL do agente ao usuário. Depois que você clica sobre a transferência NSA, o aplicativo estáempurrado para o usuário. O nome de arquivo NSA contém o FQDN do portal CPP.

A etapa 10.At esta etapa NSA executa pontas de prova para estabelecer a conexão ao ISE. Duaspontas de prova são as clássicas, e terceira uma é projetado permitir a descoberta ISE nosambientes sem reorientação URL.

O NSA envia a primeira prova de descoberta - HTTP /auth/discovery ao gateway padrão. ONSA espera a reorientar-URL em consequência.

●

O NSA envia em segundo a ponta de prova se primeira uma falha. Em segundo a ponta deprova é um HTTP GET /auth/discovery a enroll.cisco.com. Este FQDN tem que ser comsucesso solucionável pelo servidor DNS. No cenário VPN com túnel em divisão, o tráfego aenroll.cisco.com tem que ser distribuído através do túnel.

●

O NSA envia a terceira ponta de prova sobre a porta portal CPP ao FQDN do portal doabastecimento do cliente. Este pedido contém a informação sobre o ID de sessão portal quepermite que o ISE identifique que recursos têm que ser provided.n

●

Etapa 11. O NSA transfere Anyconnect e/ou os módulos específicos. O processo da transferênciaé feito sobre a porta do portal do abastecimento do cliente.

https://bst.cloudapps.cisco.com/bugsearch/bug/CSCvd11574

Etapa 12. Em ISE 2.2, o processo da postura é dividido em duas fases. A primeira fase contém ogrupo de provas de descoberta tradicionais da postura para apoiar a compatibilidade retrógradacom disposições que retransmite na URL reorienta.

Etapa 13. A primeira fase contém todas as provas de descoberta tradicionais da postura. Paraobter mais detalhes sobre as pontas de prova satisfazem reveem etapa 20 pre no fluxo dapostura ISE 2.2.

A etapa 14.Stage dois contém duas provas de descoberta que permite que o módulo da posturaAC estabeleça a conexão ao PSN onde a sessão é autenticada nos ambientes onde areorientação não é apoiada. Durante a fase duas todas as pontas de prova são sequenciais.

Ponta de prova 1 - Durante o primeiro módulo da postura da ponta de prova AC tentaestabelecer com o IP/FQDNs do “da lista Call Home”. A lista dos alvos para a ponta de provatem que ser configurada no perfil da postura AC no lado ISE. Você pode definir IPs/FQDNsseparado por vírgulas, com dois pontos que você pode definir o número de porta para cadadestino do Call Home. Esta porta precisa de ser igual à porta em que o portal doabastecimento do cliente é corridas. No lado que do cliente sobre server do Call Home éencontrado em ISEPostureCFG.xml, este arquivo pode ser encontrada no dobrador - apostura segura do cliente da mobilidade de C:\ProgramData\Cisco\Cisco AnyConnect \ ISE \

●

O alvo do Call Home não pôde possuir a sessão e nesta fase a consulta do proprietário da sessãoprecisa de acontecer. O módulo da postura instrui o ISE para começar a consulta do proprietáriousando o alvo especial URL - /auth/ng-discovery, o pedido contém também o cliente IPs e MACalista. Depois que esta mensagem é recebida pela consulta da sessão PSN é primeira feita

localmente. Se a sessão não é encontrada o PSN inicia a pergunta do nó MNT. Este pedidocontém o clint IPs/MAC alista, em consequência o FQDN do proprietário deve ser obtido do MNT.Após este PSN retorna o FQDN do proprietário de volta ao cliente. O pedido seguinte do cliente éenviado ao FQDN do proprietário da sessão com AUTH/estado na URL e na lista de IPs e deMAC.

Ponta de prova 2 - Nesta fase o módulo da postura tenta PSN FQDNs que são ficadassituados em ConnectionData.xml. Você pode encontrar este arquivo no user> <current \AppData \ Local \ Cisco de C:\Users\ \ Cliente de mobilidade Cisco AnyConnect Secure \.Retrievs do módulo da postura este arquivo na época da primeira tentativa da postura. Oarquivo contém a lista de FQDN ISE PSN. O índice da lista pôde dinamicamente seratualizado durante a tentativa de conexão seguinte. O objetivo do fim da ponta de prova éobter o FQDN do proprietário da sessão atual. A aplicação é idêntica sondar 1 com a únicadiferença na seleção do destino da ponta de prova.

●

O arquivo próprio está ficado situado no dobrador do usuário atual caso que o dispositivo é usadopor usuários múltiplos. O usuário diferente não pode usar a informação deste arquivo. Isto pôdeconduzir usuários ao problema da galinha e do ovo nos ambientes sem reorientação quando osalvos do Call Home não são especificados.

Etapa 15. Depois que a informação sobre o proprietário da sessão é obtida, todas as etapassubsequentes são idênticas pre ao fluxo ISE 2.2.

Configurar

Para este documento, ASAv é usado como um dispositivo do acesso de rede. Todos os testessão conduzidos com postura sobre o VPN. A configuração ASA para a postura sobre o apoio VPNé fora do espaço do documento, refere para mais detalhes: Postura da versão ASA 9.2.1 VPNcom exemplo de configuração ISE

Diagrama de Rede

A topologia acima é usada nos testes. Com ASA ele possível simular facilmente a encenaçãoquando o mecanismo SSO para o portal do abastecimento do cliente falhar no lado PSN, devido

https://www.cisco.com/c/pt_br/support/docs/security/adaptive-security-appliance-asa-software/117693-configure-ASA-00.html

https://www.cisco.com/c/pt_br/support/docs/security/adaptive-security-appliance-asa-software/117693-configure-ASA-00.html

aos recursos NAT. Em caso do fluxo regular da postura sobre o VPN, o SSO os trabalhosmultarem o seno NAT não está reforçado normalmente para VPN IPs quando os usuários entramna rede corporativa.

Configurações

Configuração do abastecimento do cliente

Estas são as etapas para preparar a configuração de Anyconnect.

Etapa 1. Transferência do pacote de Anyconnect. O pacote próprio de Anyconnect não estádisponível para a transferência direta do ISE assim que antes que você comece, assegura-se deque o AC esteja disponível em seu PC. Este link pode ser usado para a transferência AC - http://cisco.com/go/anyconnect neste pacote do documento anyconnect-win-4.4.00243-webdeploy-k9.pkg é usado.

Etapa 2. A fim transferir arquivos pela rede o pacote AC ao ISE, navegue à política > aoselementos da política > aos resultados > ao abastecimento > ao Resourcesand do cliente cliqueadicionam. Escolha recursos de agente do disco local. Na nova janela escolha Cisco forneceupacotes, o clique consulta e seleciona o pacote AC em seu PC.

O clique submete-se para terminar a importação.

Etapa 3. O módulo da conformidade tem que ser transferido arquivos pela rede ao ISE. Nomesmo clique da página adicionar e escolha recursos de agente do local de Cisco. Na lista derecursos você deve verificar um módulo da conformidade. Para este módulo da conformidade deAnyConnectComplianceModuleWindows 4.2.508.0 do documento é usado.

Etapa 4. Agora o perfil da postura AC tem que ser criado. Clique adicionam e escolhem o perfil doagente NAC ou da postura de Anyconnect.

http://www.cisco.com/go/anyconnect

Escolha o tipo do perfil. AnyConnect se seja usado para esta encenação. ●

Especifique o nome de perfil. Navegue para posture a seção de protocolo do perfil●

Especifique regras do nome do servidor, este campo não pode estar vazio. O campo podeconter o FQDN com convite que restringe a conexão de módulo da postura AC aos PSN donamespace apropriado. Põe a estrela se qualquer FQDN for permitido.

●

Os nomes e os IPs especificados aqui estão no uso durante a fase 2 da descoberta dapostura. Você pode separar nomes pelo número de porta do coma também pode seradicionado após FQDN/IP usando dois pontos.

●

Note: Mantenha na mente que a presença de endereços de Call Home é crítica para PCmultiusuários. Reveja por favor etapa 14. no cargo ISE 2.2 do fluxo da postura.

Configuração da etapa 5.Create AC. Navegue à política > aos elementos da política > aosresultados > ao abastecimento > aos recursos do cliente e o clique adiciona, a seguir seleciona aconfiguração de AnyConnect.

Selecione o pacote AC.●

Forneça o nome de configuração AC.●

Escolha a versão do módulo da conformidade.●

Selecione o perfil da configuração da postura AC da lista de drop-down.●

Etapa 6. Configurar a política de abastecimento do cliente. Navegue à política > ao abastecimentodo cliente. Em caso da configuração inicial você pode encher valores vazios na políticaapresentada com os padrões. Em você precise de adicionar a política a configuração existente dapostura, para navegar à política que pode ser reutilizada e escolhido a duplicata acima ou aduplicar abaixo. A política brandnew pode igualmente ser criada.

Este é o exemplo da política usada no documento.

Escolha sua configuração AC na seção do resultado. Mantenha na mente, isso em caso da falhaISE SSO pode ter somente atributos do início de uma sessão ao portal. Isto atribui é limitado àinformação que pode ser recuperada sobre o usuário das lojas internas e externos da identidade.Neste documento, o grupo AD é usado como uma circunstância na política de abastecimento docliente.

Políticas e condições da postura

A verificação simples da postura é usada. O ISE é configurado para verificar o estado do serviçodo defensor do indicador no lado do dispositivo final. Os cenários de vida reais podem ser muitomais complicados mas as etapas da configuração geral são as mesmas.

Etapa 1. Crie a condição da postura. As condições da postura são ficadas situadas na política >nos elementos > nas condições > na postura da política. Escolha o tipo de condição dapostura. Abaixo de você pode encontrar o exemplo da condição do serviço que deve verificar se oserviço de Windows Defender está sendo executado.

Configuração das exigências da etapa 2.Posture. Navegue à política > aos elementos > aosresultados > à postura > às exigências da política. Este é um exemplo para a verificação do

defensor do indicador:

Escolha sua condição da postura na exigência nova e especifique a ação da remediação.

Etapa 3. Configuração das normas da postura. Navegue à política > à postura. Abaixo de vocêpode encontrar o exemplo da política usado para este documento. A política tem a exigência deWindows Defender atribuída como imperativo e contém somente o nome do grupo externo ADcomo uma circunstância.

Configurar o portal do abastecimento do cliente

Para a postura sem reorientação, a configuração do portal do abastecimento do cliente tem queser editada. Navegue à administração > ao Gerenciamento portal > ao cliente que do dispositivoProvisioningYou pode usar o portal do padrão ou criar seus próprios. O mesmo portal pode serusado para ambos postura com e sem a reorientação.

Aqueles ajustes devem ser editados na configuração portal para a encenação da NON-reorientação:

Na autenticação, especifique a sequência da fonte da identidade que deve ser usada se oSSO não pode encontrar a sessão para o usuário.

●

De acordo com a lista selecionada da sequência da fonte da identidade de grupos disponíveisé povoado. Neste momento você precisa de selecionar os grupos que são autorizados para oinício de uma sessão portal.

●

O FQDN do portal do abastecimento do cliente tem que ser especificado. Este FQDN deveser solucionável a ISE PSN IPs. Os usuários devem ser instruídos especificar o FQDN nonavegador da Web durante a primeira tentativa de conexão.

●

Configurar perfis e políticas da autorização

Acesso inicial para o cliente quando o estado da postura não for necessidades disponíveis de serrestringido. Isto podia ser conseguido nas formas múltiplas:

Atribuição DACL - durante a fase do acesso restrito DACL pode ser atribuído ao usuário paralimitar o acesso. Esta aproximação pode ser usada para dispositivos de acesso da redeCisco.

●

Atribuição de VLAN - antes que o usuário bem sucedido da postura possa ser posto emVLAN restrito, esta aproximação deve trabalhar muito bem para quase todo o vendedor NAD.

●

ID de filtro do raio - com este atributo, o ACL definido localmente no NAD pode ser atribuídoao usuário com estado desconhecido da postura. Porque este é um atributo do padrão RFC,esta aproximação deve trabalhar bem para todos os vendedores NAD.

●

Etapa 1. Configurar DACL. Desde que este exemplo é baseado no ASA, um NAD DACL pode serusado. Para cenários de vida reais você pôde considerar o VLAN ou o ID de filtro como opçõespossíveis.

A fim criar DACL navegue à política > aos elementos > aos resultados > à autorização da política> clique carregável de ACLsand adicionam

Durante estado desconhecido da postura pelo menos aquelas permissões devem ser fornecidas:

Tráfego DNS●

Tráfego DHCP●

Tráfego ao ISE PSN a que o FQDN do portal CPP indica●

Tráfego aos server da remediação se necessário●

Este é um exemplo de DACL sem server da remediação:

Etapa 2. Configurar o perfil da autorização.

Para a postura dois perfis da autorização são exigidos como de costume. Primeiro um deveconter qualquer tipo das limitações do acesso de rede (perfil com o DACL usado neste exemplo).Este perfil pode ser aplicado às autenticações para que o estado da postura não é igual acomplacente. O segundo perfil da autorização pôde conter apenas acces da licença e pode seraplicado para a sessão com iguais do estado da postura a complacente.

Para criar o perfil da autorização navegue à política > aos elementos da política > aos resultados> à autorização > aos perfis da autorização.

Exemplo do perfil do acesso restrito

Neste exemplo, o perfil PermitAccess do padrão ISE é usado para a sessão após a verificação destatus bem sucedida da postura.

Etapa 3. Configurar a política da autorização. Durante políticas desta autorização de etapa doisdeve ser criado. Um para combinar o pedido de autenticação inicial com o estado desconhecidoda postura e em segundo um atribuir o acesso direto após o processo bem sucedido da postura.

Éum exemplo de políticas simples da autorização para este caso

A configuração da política de autenticação não é parte de este documento mas você devemanter-se na mente que antes da política da autorização processar a autenticação bem sucedida

tem que acontecer.

Verificar

A verificação básica do fluxo pode consistir em três etapas principais:

Etapa 1. Verificação do fluxo da autenticação

Autenticação inicial. Para esta etapa você pode estar interessado na validação que o perfilda autorização foi aplicado. Se o perfil inesperado da autorização foi aplicado por favorinvestigue relatório detalhado da autenticação. Você pode abrir este relatório clicando nalupa na coluna dos detalhes. Você pode comparar atributos em relatório detalhado daautenticação com a condição na política da autorização que você espera combinar.

1.

Evento da transferência DACL. Esta corda está apresentada somente no caso quando operfil da autorização selecionado para a autenticação inicial contém o nome DACL.

2.

Autenticação portal - esta etapa no fluxo indica que o mecanismo SSO não situou a sessãodo usuário. Isto pôde acontecer devido às razões múltiplas:O NAD não é configurado para enviar mensagens da contabilidade ou o endereço IP de Umou Mais Servidores Cisco ICM NT do Framed não está atual nelas.O FQDN do portal CPPfoi resolvido ao IP do nó ISE diferente do nó onde a autenticação da inicial foiprocessada.Cliente situado atrás do NAT.

3.

Os dados de sessão mudam, neste estado de sessão do exemplo particular mudaram dedesconhecido a complacente.

4.

COA ao dispositivo do acesso de rede. Este COA deve ser bem sucedido empurrar aautenticação nova do lado NAD e a atribuição nova da política da autorização no ladoISE. Se o COA falhou você pode abrir relatório detalhado para investigar a razão. A maioriade problemas comuns com COA podem ser: Intervalo COA - em tal caso um ou outro PSNque enviou o pedido não é configurado como um cliente COA no lado NAD, ou o COA que opedido foi deixado cair em algum lugar na maneira.COA ACK negativo - indique que o COAesteve recebido pelo NAD mas devido à operação COA do algum motivo não pode serconfirmado. Para este relatório detalhado da encenação deve conter mais explicaçãodetalhada.

5.

Porque o ASA foi usado como um NAD para este exemplo, você pode não ver nenhum pedido daautenticação subsequente para o usuário. Isto acontece dívida que o fato ISE usa o impulso COApara o ASA que evita o interuption do serviço VPN. Em tal encenação, o COA próprio contémparâmetros de autorização novos, assim que o reauthentication não é precisado.

Verificação da seleção da política de abastecimento da etapa 2.Client - Para isto você pode

executar um relatório no ISE que pode o ajudar a compreender que políticas de abastecimento docliente eram aplicadas para o usuário.

Navegue ao valor-limite das operações > dos relatórios e aos usuários > ao abastecimento docliente e execute o relatório para a data que você precisa

Com este relatório que você pode verificar que política de abastecimento do cliente era seleta etambém em caso da falha, razões deve ser apresentado na coluna da razão da falha.

Verificação do relatório da etapa 3.Posture - Navegue ao valor-limite das operações > dosrelatórios e aos usuários > à avaliação da postura pelo valor-limite.

Você pode abrir relatório detalhado de aqui para que cada evento particular verifique por exemploa que ID de sessão este relatório pertence, que as exigências exatas da postura foramselecionadas pelo ISE para o valor-limite e também o estado para cada exigência.

Troubleshooting

Informação geral

Para o processo da postura que pesquisa defeitos, aqueles componentes ISE têm que serpermitidos dentro debugam nos Nós ISE onde o processo da postura pode acontecer:

cliente-webapp - responsável componente para o abastecimento do agente. Arquivos deregistro guest.log e ise-psc.log do alvo.

●

guestacess - responsável componente para a consulta portal do proprietário do componentee da sessão do abastecimento do cliente (quando o pedido vier lesar o PSN). Arquivo deregistro do alvo - guest.log.

●

abastecimento - responsável componente para o processamento da política deabastecimento do cliente. Arquivo de registro do alvo - guest.log.

●

postura - todos os eventos relacionados da postura. Arquivo de registro do alvo - ise-psc.log.●

Para o lado do cliente pesquisá-lo defeitos pode usar-se:

acisensa.log - No caso da falha do abastecimento do cliente no lado do cliente este arquivo écriado no mesmo dobrador a que o NSA foi transferido (o diretório das transferências para

●

Windows normalmente),AnyConnect_ISEPosture.txt - Este arquivo pode ser encontrado no pacote do DARDO nomódulo da postura de Cisco AnyConnect ISE do diretório. Toda a informação sobre adescoberta ISE PSN e as etapas gerais do fluxo da postura são registradas neste arquivo.

●

Troubleshooting dos problemas comuns

Problemas relacionados SSO

Em caso do SSO bem sucedido você pôde ver estas mensagens em ise-psc.log, este grupo demensagens indica que a consulta da sessão terminou com sucesso e a autenticação no portalpode ser saltada.

2016-11-09 15:07:35,951 DEBUG [http-bio-10.48.30.40-8443-exec-12][]

cisco.cpm.posture.runtime.PostureRuntimeFactory -::::- looking for Radius session with input

values : sessionId: null, MacAddr: null, ipAddr: 10.62.145.121


cisco.cpm.posture.runtime.PostureRuntimeFactory -::::- looking for session using session ID:

null, IP addrs: [10.62.145.121], mac Addrs [null]


cisco.cpm.posture.runtime.PostureRuntimeFactory -::::- looking for session using IP

10.62.145.121


cisco.cpm.posture.runtime.PostureRuntimeFactory -::::- nasPortType = 5


cisco.cpm.posture.runtime.PostureRuntimeFactory -::::- nasPortType equal to 5 ( 5 is virtual

NAS_PORT_TYPE for VPN ). Found a VPN session null using ip address 10.62.145.121


cisco.cpm.posture.runtime.PostureRuntimeFactory -::::- Found session c0a801010002600058232bb8

using ipAddr 10.62.145.121

Você pode usar o endereço IP de Um ou Mais Servidores Cisco ICM NT do valor-limite como umachave de busca para encontrar esta informação.

Um bit mais tarde no log do convidado você deve ver que a autenticação esteve saltada:


guestaccess.flowmanager.step.cp.CPInitStepExecutor -::- SessionInfo is not null and session

AUTH_STATUS = 1


com.cisco.ise.portalSessionManager.PortalSession -::- Putting data in PortalSession with key and

value: Radius.Session c0a801010002600058232bb8


com.cisco.ise.portalSessionManager.PortalSession -::- Putting data in PortalSession with key :

Radius.Session


guestaccess.flowmanager.step.cp.CPInitStepExecutor -::- Login step will be skipped, as the

session =c0a801010002600058232bb8 already established for mac address null , clientIPAddress

10.62.145.121


cpm.guestaccess.flowmanager.processor.PortalFlowProcessor -::- After executeStepAction(INIT),

returned Enum: SKIP_LOGIN_PROCEED

Em caso de não trabalhar o arquivo de registro ISE-psc SSO contém a informação sobre a falhade consulta da sessão:



values : sessionId: null, MacAddr: null, ipAddr: 10.62.145.44



null, IP addrs: [10.62.145.44], mac Addrs [null]


cisco.cpm.posture.runtime.PostureRuntimeFactory -::::- looking for session using IP 10.62.145.44


cisco.cpm.posture.runtime.PostureRuntimeFactory -::::- nasPortType = null


cisco.cpm.posture.runtime.PostureRuntimeFactory -::::- nasPortType == null or is not a virtual

NAS_PORT_TYPE ( 5 ).


cisco.cpm.posture.runtime.PostureRuntimeFactory -::::- No Radius session found

Em guest.log em tal caso você deve ver a autenticação de usuário completa no portal:


cpm.guestaccess.flowmanager.step.StepExecutor -::- Find Next Step=LOGIN


cpm.guestaccess.flowmanager.step.StepExecutor -::- Step : LOGIN will be visible!


cpm.guestaccess.flowmanager.step.StepExecutor -::- Returning next step =LOGIN

2017-02-23 17:59:00,780 INFO [http-bio-10.48.17.249-8443-exec-2][]

cpm.guestaccess.flowmanager.step.StepExecutor -::- Radius Session ID is not set, assuming in

dry-run mode

Em caso das falhas de autenticação no portal você precisa de centrar-se sobre a verificação daconfiguração portal - que a loja da identidade é no uso? Que grupos são autorizados para o iníciode uma sessão?

Pesquise defeitos a seleção da política de abastecimento do cliente

Em caso das falhas das políticas de abastecimento do cliente ou da política incorreta processá-lopode verificar o arquivo de guest.log para mais detalhes:


guestaccess.flowmanager.step.guest.ClientProvStepExecutor -:user1:- In Client Prov : userAgent

=Mozilla/5.0 (Windows NT 6.1; WOW64; rv:51.0) Gecko/20100101 Firefox/51.0, radiusSessionID=null,

idGroupName=S-1-5-21-70538695-790656579-4293929702-513, userName=user1, isInUnitTestMode=false


cpm.guestaccess.common.utils.OSMapper -:user1:- UserAgent : Mozilla/5.0 (Windows NT 6.1; WOW64;

rv:51.0) Gecko/20100101 Firefox/51.0


cpm.guestaccess.common.utils.OSMapper -:user1:- Client OS: Windows 7 (All)


guestaccess.flowmanager.step.guest.ClientProvStepExecutor -:user1:- Retrieved OS=Windows 7 (All)


guestaccess.flowmanager.step.guest.ClientProvStepExecutor -:user1:- Updating the idGroupName to

NAC Group:NAC:IdentityGroups:S-1-5-21-70538695-790656579-4293929702-513


guestaccess.flowmanager.step.guest.ClientProvStepExecutor -:user1:- User Agent/Radius Session is

empty or in UnitTestMode


guestaccess.flowmanager.step.guest.ClientProvStepExecutor -:user1:- Calling

getMatchedPolicyWithNoRedirection for user=user1


guestaccess.flowmanager.step.guest.ClientProvStepExecutor -:user1:- CP Policy Status =SUCCESS,

needToDoVlan=false, CoaAction=NO_COA

Na primeira corda você pode ver como a informação sobre a sessão é injetada no motor daseleção da política, em caso de nenhum fósforo da política ou do fósforo que incorreto da políticavocê pode comparar atributos de aqui com sua configuração das normas do abastecimento docliente. A última corda indica o estado da seleção da política.

Pesquise defeitos o processo da postura

No lado do cliente você deve estar interessado em pontas de prova da investigação e em seusresultados. Este é um exemplo da ponta de prova bem sucedida da fase 2:







rv:51.0) Gecko/20100101 Firefox/51.0

















Nesta fase o PSN retorna à informação AC sobre o proprietário da sessão, você pode vermensagens deste par mais tarde:







rv:51.0) Gecko/20100101 Firefox/51.0

















Os proprietários da sessão retornam ao agente toda a informação requerida:







rv:51.0) Gecko/20100101 Firefox/51.0

















Do lado PSN você pode centrar-se sobre aquelas mensagens em guest.log quando você esperaque a solicitação inicial veio ao nó que não possui a sessão:


cisco.cpm.client.posture.NextGenDiscoveryServlet -::- Got http request from 10.62.145.44 user

agent is: Mozilla/4.0 (compatible; WINDOWS; 1.2.1.6.1.48; AnyConnect Posture Agent v.4.4.00243)


cisco.cpm.client.posture.NextGenDiscoveryServlet -::- mac_list from http request ==>

00:0B:7F:D0:F8:F4,00:0B:7F:D0:F8:F4


cisco.cpm.client.posture.NextGenDiscoveryServlet -::- iplist from http request ==>

172.16.31.12,10.62.145.95


cisco.cpm.client.posture.NextGenDiscoveryServlet -::- Session id from http request -

req.getParameter(sessionId) ==> null


cpm.client.provisioning.utils.ProvisioningUtil -::- the input ipAddress from the list currently

being processed in the for loop ==> 172.16.31.12


cpm.client.provisioning.utils.ProvisioningUtil -::- the input ipAddress from the list currently

being processed in the for loop ==> 10.62.145.95


cisco.cpm.client.posture.NextGenDiscoveryServlet -::- Found Client IP null and corresponding mac

address null

2017-02-23 17:59:56,369 ERROR [http-bio-10.48.17.249-8443-exec-10][]

cpm.client.provisioning.utils.ProvisioningUtil -::- Session Info is null


cisco.cpm.client.posture.NextGenDiscoveryServlet -::- Not able to find a session for input

values - sessionId : null, Mac addresses : [00:0B:7F:D0:F8:F4, 00:0B:7F:D0:F8:F4], client Ip :

[172.16.31.12, 10.62.145.95]


cisco.cpm.client.posture.NextGenDiscoveryServlet -::- clientMac is null/ empty, will go over the

mac list to query MNT for active session


cisco.cpm.client.posture.NextGenDiscoveryServlet -::- Performing MNT look up for macAddress ==>

00-0B-7F-D0-F8-F4


cisco.cpm.client.posture.NextGenDiscoveryServlet -::- Performed MNT lookup, found session 0 with

session id c0a801010009e00058af0f7b


cpm.client.provisioning.utils.ProvisioningUtil -::- getting NIC name for skuchere-ise22-

cpp.example.com


cpm.client.provisioning.utils.ProvisioningUtil -::- local interface 0 addr 10.48.17.249 name

eth0


cpm.client.provisioning.utils.ProvisioningUtil -::- Nic name for local host: skuchere-ise22-

cpp.example.com is: eth0


cpm.client.provisioning.utils.ProvisioningUtil -::- getting host FQDN or IP for host skuchere-

ise22-2 NIC name eth0


cpm.client.provisioning.utils.ProvisioningUtil -::- hostFQDNOrIP for host skuchere-ise22-2 nic

eth0 is skuchere-ise22-2.example.com


cisco.cpm.client.posture.NextGenDiscoveryServlet -::- PDP with session of 00-0B-7F-D0-F8-F4 is

skuchere-ise22-2, FQDN/IP is: skuchere-ise22-2.example.com


cisco.cpm.client.posture.NextGenDiscoveryServlet -::- Redirecting the request to new URL:

https://skuchere-ise22-2.example.com:8443/auth/status


cisco.cpm.client.posture.NextGenDiscoveryServlet -::- Session info is null. Sent an http

response to 10.62.145.44.


cpm.client.provisioning.utils.ProvisioningUtil -::- header X-ISE-PDP-WITH-SESSION value is

skuchere-ise22-2.example.com


cpm.client.provisioning.utils.ProvisioningUtil -::- header Location value is https://skuchere-

ise22-2.example.com:8443/auth/status

Aqui você pode ver esse PSN primeiramente tentar encontrar localmente a sessão, e após opedido dos novatos da falha ao MNT usando a lista IPs e MAC para encontrar o proprietário dasessão.

Um pouco mais tarde você deve ver o pedido do cliente no PSN correto:



null, IP addrs: [172.16.31.12, 10.62.145.95], mac Addrs [00:0B:7F:D0:F8:F4, 00:0B:7F:D0:F8:F4]


cisco.cpm.posture.runtime.PostureRuntimeFactory -::::- looking for session using IP 172.16.31.12


cisco.cpm.posture.runtime.PostureRuntimeFactory -::::- nasPortType = 5


cisco.cpm.posture.runtime.PostureRuntimeFactory -::::- nasPortType equal to 5 ( 5 is virtual

NAS_PORT_TYPE for VPN ). Found a VPN session null using ip address 172.16.31.12


cisco.cpm.posture.runtime.PostureRuntimeFactory -::::- Found session c0a801010009e00058af0f7b

using ipAddr 172.16.31.12

Como uma próxima etapa PSN executa a consulta da política de abastecimento do cliente paraesta sessão:


com.cisco.cpm.swiss.SwissServer -::::- null or empty value for hostport obtained from

SwissServer : getHostNameBySession()



values : sessionId: c0a801010009e00058af0f7b, MacAddr: 00-0b-7f-d0-f8-f4, ipAddr: 172.16.31.12



c0a801010009e00058af0f7b, IP addrs: [172.16.31.12], mac Addrs [00-0b-7f-d0-f8-f4]


cisco.cpm.posture.runtime.PostureRuntimeFactory -::::- Found session using sessionId

c0a801010009e00058af0f7b


cisco.cpm.posture.runtime.PosturePolicyUtil -::::- User user1 belongs to groups NAC

Group:NAC:IdentityGroups:Endpoint Identity Groups:Profiled:Workstation,NAC

Group:NAC:IdentityGroups:Any


com.cisco.cpm.swiss.SwissServer -::::- null or empty value for hostport obtained from

SwissServer : getHPortNumberBySession()


cisco.cpm.posture.util.AgentUtil -::::- Increase MnT counter at

CP:ClientProvisioning.ProvisionedResource.AC-44-Posture

Na próxima etapa você pode ver o processo de seleção das exigências da postura. Naextremidade da lista da etapa de exigências preparou-se e retornou-se ao agente:


cisco.cpm.posture.runtime.PostureHandlerImpl -:user1:::- About to query posture policy for user

user1 with endpoint mac 00-0b-7f-d0-f8-f4


cisco.cpm.posture.runtime.PostureManager -:user1:::- agentCMVersion=4.2.508.0,

agentType=AnyConnect Posture Agent, groupName=OESIS_V4_Agents -> found agent group with

displayName=4.x or later


cisco.cpm.posture.runtime.PosturePolicyUtil -:user1:::- User user1 belongs to groups NAC




cisco.cpm.posture.runtime.PosturePolicyUtil -:user1:::- About to retrieve posture policy

resources for os 7 Professional, agent group 4.x or later and identity groups [NAC

Group:NAC:IdentityGroups:Endpoint Identity Groups:Profiled:Workstation, NAC

Group:NAC:IdentityGroups:Any]


cisco.cpm.posture.runtime.PosturePolicyUtil -:user1:::- Evaluate resourceId NAC

Group:NAC:Posture:PosturePolicies:WinDefend by agent group with FQN NAC

Group:NAC:AgentGroupRoot:ALL:OESIS_V4_Agents


cisco.cpm.posture.runtime.PosturePolicyUtil -:user1:::- The evaluation result by agent group for

resourceId NAC Group:NAC:Posture:PosturePolicies:WinDefend is Permit



Group:NAC:Posture:PosturePolicies:WinDefend by OS group with FQN NAC

Group:NAC:OsGroupRoot:ALL:WINDOWS_ALL:WINDOWS_7_ALL:WINDOWS_7_PROFESSIONAL_ALL


cisco.cpm.posture.runtime.PosturePolicyUtil -:user1:::- stealth mode is 0


cisco.cpm.posture.runtime.PosturePolicyUtil -:user1:::- The evaluation result by os group for




Group:NAC:Posture:PosturePolicies:WinDefend by Stealth mode NSF group with FQN NAC

Group:NAC:StealthModeStandard


cisco.cpm.posture.runtime.PosturePolicyUtil -:user1:::- Procesing obligation with posture policy

resource with id NAC Group:NAC:Posture:PosturePolicies:WinDefend


cisco.cpm.posture.runtime.PosturePolicyUtil -:user1:::- Found obligation id

urn:cisco:cepm:3.3:xacml:response-qualifier for posture policy resource with id NAC

Group:NAC:Posture:PosturePolicies:WinDefend


cisco.cpm.posture.runtime.PosturePolicyUtil -:user1:::- Found obligation id PostureReqs for

posture policy resource with id NAC Group:NAC:Posture:PosturePolicies:WinDefend


cisco.cpm.posture.runtime.PosturePolicyUtil -:user1:::- Posture policy resource id WinDefend has

following associated requirements []


cpm.posture.runtime.agent.AgentXmlGenerator -:user1:::- policy enforcemnt is 0


cpm.posture.runtime.agent.AgentXmlGenerator -:user1:::- simple condition: [Name=WinDefend,

Descriptionnull, Service Name=WinDefend, Service Operator=Running, Operating Systems=[Windows

All], Service Type=Daemon, Exit code=0]


cpm.posture.runtime.agent.AgentXmlGenerator -:user1:::- check type is Service


cisco.cpm.posture.runtime.PostureHandlerImpl -:user1:::- NAC agent xml <?xml version="1.0"

encoding="UTF-8"?><cleanmachines>

<version>ISE: 2.2.0.470</version>

<encryption>0</encryption>

<package>

<id>10</id>

<name>WinDefend</name>

<description>Enable WinDefend</description>

<version/>

<type>3</type>

<optional>0</optional>

<action>3</action>

<check>

<id>WinDefend</id>

<category>3</category>

<type>301</type>

<param>WinDefend</param>

<operation>running</operation>

</check>

<criteria>(WinDefend)</criteria>

</package>

</cleanmachines>

Mais tarde, você pode ver que o relatório da postura esteve recebido pelo PSN:































































<package>

<id>10</id>



<version/>

<type>3</type>


<action>3</action>

<check>

<id>WinDefend</id>


<type>301</type>



</check>


</package>

</cleanmachines>

No fim do fluxo o ISE marca o valor-limite como complacente e inicia o COA:

<package>

<id>10</id>



<version/>

<type>3</type>


<action>3</action>

<check>

<id>WinDefend</id>


<type>301</type>



</check>


</package>

</cleanmachines>

comparação do estilo da postura ise para pre e cargo 2 · comparação do estilo da postura ise...

Documents