De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.
Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.
Dit document beschrijft hoe de functie Maximum aantal sessies moet worden geconfigureerd die in Identity Services Engine (ISE) 2.2 is geïntroduceerd.
Cisco raadt kennis van de volgende onderwerpen aan:
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
De functie Maximum aantal sessies biedt een manier om live sessies per gebruiker of per identiteitsgroep te controleren en af te dwingen. Dit document is voor RADIUS-sessies, maar het kan ook worden gebruikt voor de TACACS-sessies.
ISE versie 2.2 kan handhavingsbeleid detecteren en ontwikkelen op basis van de gelijktijdige sessie van:
Handhaving en telling van een gelijktijdige sessie is uniek en wordt beheerd door elk Policy Service Node (PSN). Er is geen synchronisatie tussen de PSNs in termen van sessietelling. De functie Gelijktijdige sessie wordt geïmplementeerd in het runtime-proces en gegevens worden alleen in het geheugen opgeslagen. In het geval van opnieuw opstarten PSN, MaxSessions tellers teruggesteld.
Het aantal gebruikerssessies is hoofdlettergevoelig met betrekking tot gebruikersnamen en onafhankelijk van het gebruikte netwerktoegangsapparaat (zolang u dezelfde PSN-knooppunt gebruikt).
Ga naar Beheer > Systeem > Instellingen > Max. sessies zoals in de afbeelding:
Schakel de optie Onbeperkte sessie per gebruiker uit, dat standaard is ingeschakeld. In het veld Maximum per gebruikerssessie kunt u het aantal sessiesespecifieke gebruikers configureren dat op elke PSN kan worden uitgevoerd. In dit voorbeeld is de instelling 2.
Gebruikers van Externe Identiteitsbronnen (bijvoorbeeld Active Directory) worden ook door deze configuratie beïnvloed.
Bob is de gebruikersnaam van een account uit het Active Directory-domein dat is verbonden met en aangesloten op de ISE-server. Maximale aantal sessies van de gebruiker is ingesteld op waarde 2, wat betekent dat een sessie voor dezelfde gebruiker buiten dit aantal niet is toegestaan (per PSN).
Zoals in de afbeelding wordt getoond, maakt gebruiker Bob verbinding met Android Phone en Windows machine met dezelfde referenties:
Beide sessies zijn toegestaan omdat de maximale sessielimiet niet wordt overschreden. Zie gedetailleerde Radius Live log, getoond in de afbeelding:
22081 stap Max. sessiebeleid doorgegeven informatie dat Maximum aantal gelijktijdige sessiecontrole succesvol is.
Zodra de derde verbinding met een ander apparaat en dezelfde referenties wordt gestart, ontvangt Bob PermitAccess, maar Access-Reject wordt naar de verificator verzonden:
Sessie is niet toegestaan, ook al kunt u in het live-logbestand van Radius zien dat dit het juiste autorisatieprofiel heeft. Om de live sessies te controleren, navigeer je naar Operations > Radius > Live Sessions:
In dit geval hebben beide sessies de status Started, wat aangeeft dat de accounting start op ISE is gearriveerd voor de sessie. Het is noodzakelijk om de Radius-accounting voor Max Session te ontvangen om goed te werken, status geverifieerd (sessie toegestaan, maar geen accounting) wordt niet in aanmerking genomen tijdens het tellen van de sessie:
Navigeren naar Beheer > Systeem>Instellingen > Max. sessies > Groep:
Deze configuratie dwingt 2 sessies af als een maximum voor de interne identiteitsgroep GroupTest2: U kunt de handhaving per groep alleen configureren voor de interne groepen.
Alice, Pablo en Peter zijn de gebruikers van de Interne ISE-gebruikerswinkel. Ze zijn allemaal lid van de groep met de naam GroupTest2. Zoals in de configuratie in dit voorbeeld, wordt de maximumwaarde van sessies ingesteld op 2 op basis van het groepslidmaatschap.
Pablo en Peter maken verbinding met het netwerk met hun referenties van de Interne Groep met de naam GroupTest2:
Zodra Alice probeert verbinding te maken, wordt de MaxSessions-limiet per groep gehandhaafd:
Alice mag geen verbinding maken met het netwerk omdat de maximale sessiegrens door Peter en Pablo wordt opgebruikt:
Als de Maximale aantal sessies van de gebruiker is ingesteld, werken beide functies onafhankelijk. In dit voorbeeld wordt de maximale gebruikerssessie ingesteld op 1 en de maximale sessie voor groep op 2.
Peter is toegestaan op basis van de Maximum Session for Group (2 sessies), maar vanwege de configuratie van de User Max Sessions (één sessie) heeft hij geen verbinding met het netwerk:
Als de gebruiker tegelijkertijd lid is van meer dan één groep en de Max Sessions for Group voor hen is geconfigureerd, wanneer er eenmaal verbinding is, verhoogt ISE de teller van Max Session voor Group cache voor elke groep waartoe de gebruiker behoort.
In dit voorbeeld zijn Alice en Pablo lid van zowel GroupTest1 als GroupTest2. Veronica behoort alleen tot GroupTest1 en Peter tot GroupTest2
Max. sessie voor groep is ingesteld op 2 voor GroupTest1 en GroupTest2:
Wanneer Alice en Pablo zijn verbonden met het netwerk, overschrijden ze de sessielimieten voor beide groepen. Veronica, die alleen tot GroupTest1 en Peter behoort, lid van GroupTest2 kan geen verbinding maken vanwege Max Session voor Group die de maximaal geconfigureerde waarde heeft bereikt:
Ga naar Beheer > Systeem > Instellingen > Max. sessies > Groep.
Bij deze configuratie worden maximaal 2 sessies afgedwongen voor Interne Identiteitsgroep GroupTest2.
Alice is lid van GroupTest2:
Deze functie werkt vergelijkbaar met de Maximale sessie van de gebruiker - ISE beperkt het aantal gelijktijdige sessies dat de gebruiker binnen de opgegeven interne groep kan hebben. Deze configuratie heeft alleen invloed op de gebruiker, die tot de geconfigureerde groep behoort.
Alice, als lid van de GroupTest2, kan 2 gelijktijdige sessies hebben. Wanneer verbinding is gemaakt met het derde apparaat, retourneert ISE de toegangsrechten en de toegangsrechten-afwijzing op basis van de maximale sessie die is overschreden voor gebruiker in groep:
Gedetailleerde Radius-Live logs:
Als de Maximale aantal sessies van de gebruiker ook is ingeschakeld, werken beide functies onafhankelijk van elkaar. Als een gebruiker Alice lid is van de groep GroupTest2 met Maximale sessie voor gebruiker in groep geconfigureerd voor 2, en in dezelfde tijd Gebruiker Max Sessies is geconfigureerd om slechts één sessie per gebruiker toe te staan, Gebruiker Max Sessies nemen voorrang:
Wanneer Alice probeert verbinding te maken met het tweede apparaat, geeft ISE access-reject terug op basis van de maximale sessielimiet die is overschreden:
De reden voor de ontkenning kan worden gecontroleerd onder het gedetailleerde Radius Live-Log. Max. gebruikerslimiet voor sessies is de reden voor een fout:
Ga naar Beheer > Systeem > Instellingen > Max. sessies > Groep.
Deze configuratie dwingt de maximale sessie van 3 in Interne identiteitsgroep GroupTest2, en 2 maximale sessie voor Gebruiker in die groep af.
Alice en Pablo zijn lid van GroupTest2. Zoals per configuratie in dit voorbeeld, worden maximum 3 sessies toegestaan in GroupTest2. ISE zorgt ervoor dat één gebruiker maximaal 2 sessies kan hebben binnen deze groep.
Alice verbindt via twee apparaten. Beide endpoints zijn verbonden met het netwerk:
Wanneer Alice probeert verbinding te maken via een derde apparaat, wordt de toegang geweigerd met de maximale sessielimiet voor gebruiker in groep overschreden:
Als Pablo probeert toegang te krijgen tot het netwerk, kan hij dit doen omdat Max Session for Group, GroupTest2, nog niet vol is:
Wanneer Pablo probeert toegang te krijgen tot het netwerk vanaf het tweede apparaat, mislukt hij omdat hij de Max Session-limiet voor groep heeft overschreden (ook al heeft hij maar 1 sessie):
Zoals in eerdere voorbeelden werkt het onafhankelijk als u de maximale gebruikerssessies inschakelt.
Navigeer naar Beheer > Systeem > Instellingen > Max. sessies > Tegentijdslimiet.
De tijdslimiet van de teller is de eigenschap die het tijdinterval specificeert waarin de sessie wordt geteld in termen van het maximale sessiecache. Met deze functie kunt u het tijdstip aangeven waarna PSN de sessie van de teller verwijdert en nieuwe sessies toestaat.
Om de functie in te schakelen, moet u Unlimited uitschakelen - geen time limitcheckbox die standaard is ingeschakeld. In het bewerkbare veld kunt u instellen hoe lang de sessie in aanmerking wordt genomen in de tellers van MaxSession.
Houd in gedachten dat sessies na ingestelde tijd niet worden losgekoppeld of verwijderd uit de sessiedatabank. Er is geen Terminate Chain of Authorisation (CoA) na gevormde tijd.
Maximale gebruikerssessie is ingesteld op slechts één sessie voor gebruiker toestaan:
Alice maakt verbinding met het netwerk met behulp van de IPad op 11:00:34, de tweede verificatie gebeurt op 11:07, en zelfs als de maximale sessiewaarde van de gebruiker wordt overschreden, is toegang toegestaan. Beide verificaties zijn succesvol vanwege de tijdslimiet van de teller.
Alice probeert verbinding te maken met een ander apparaat binnen 5 minuten na de laatste succesvolle verbinding, ISE weigert verificatie:
5 minuten na de laatste verificatie kon Alice verbinding maken met het netwerk met extra apparaat.
Op de live sessies, kon je alle drie de sessies zien in de staat gestart:
Met één sessie ingesteld onder de functie Maximale sessie gebruiker, kunt u nog steeds verbinding maken met de Guest1-account voor beide sessies:
Om de toegang van de Gast te beperken, kunt u de Maximum gelijktijdige logins in de configuratie van het Type van Gast specificeren.
Navigeren naar werkcentra > Gasttoegang > Portal en componenten > Gasttypes en wijzigen Maximum aantal gelijktijdige logins optie, zoals getoond in de afbeelding:
Als u één sessie hebt ingesteld onder Maximale gebruikerssessie, kunt u geen verbinding maken met:
Zoals in de Radius Live-logs, is de Guest1 altijd correct geverifieerd in termen van de portal authenticatie. Zodra WLC het RADIUS-verzoek met de tweede sessie voor de Guest1 verstuurt, ontkent ISE de toegang vanwege overschrijding van de gebruikerslimiet:
Gedetailleerd Radius-rapport is de allereerste plaats voor probleemoplossing in de MaxSession-functie.
Deze reden voor de storing geeft aan dat de algemene maximale sessielimiet voor de gebruiker voor deze sessie/gebruiker is overschreden, zoals in de afbeelding wordt weergegeven:
Deze reden voor de storing geeft aan dat de limiet van Group Max Sessions voor deze sessie/gebruiker is overschreden, zoals in het afbeelding wordt weergegeven:
Deze reden voor fouten geeft aan dat de maximale sessielimiet van de gebruiker van de groep is overschreden voor deze sessie/gebruiker.
De controle van MaxSession cache gebeurt na de selectie van het autorisatieprofiel:
Succes:
Falen:
Max. sessielogboeken bevinden zich in het poortserver.log. Om die te verzamelen, stelt u de runtime-AAA-component in op DEBUG-niveau ( navigeren naar Beheer > Systeem > Vastlegging > Debug Log Configuration > PSN), zoals in de afbeelding:
Om File port-server.log te verkrijgen, navigeer naar Operations > Probleemoplossing > Downloadlogs > PSN > Debug logs. Max. sessielogboeken worden ook verzameld in de Endpoint Debugs (Operations > Probleemoplossing > Diagnostische tools > Algemene tools > EndPoint Debug).
Maximale aantal sessies van gebruiker correct doorgegeven:
2017-01-29 08:33:11,310 INFO [Thread-83][] cisco.cpm.prrt.impl.PrRTLoggerImpl -:::::- SessionCache,INFO ,0x7fe858867700,cntx=0000001335,sesn=pgruszczise22/275051099/8,CPMSessionID=0a3e944f00000e7d588da8a0,user=Bob,CallingStationID=c0-4a-00-14-56-f4,SessionCache::onMaxSessionsAznEvent: current global configuration data: auditSessionTtl=[3600], maxUserSessions=[2],SessionCache.cpp:283 2017-01-29 08:33:11,311 INFO [Thread-83][] cisco.cpm.prrt.impl.PrRTLoggerImpl -:::::- SessionCache,INFO ,0x7fe858867700,cntx=0000001335,sesn=pgruszczise22/275051099/8,CPMSessionID=0a3e944f00000e7d588da8a0,user=Bob,CallingStationID=c0-4a-00-14-56-f4,SessionCache::checkMaxSessions: user=[Bob] not found in cache due to first time authorization,SessionCache.cpp:1025 2017-01-29 08:33:11,311 DEBUG [Thread-83][] cisco.cpm.prrt.impl.PrRTLoggerImpl -:::::- SessionCache,DEBUG,0x7fe858867700,cntx=0000001335,sesn=pgruszczise22/275051099/8,CPMSessionID=0a3e944f00000e7d588da8a0,user=Bob,CallingStationID=c0-4a-00-14-56-f4,SessionCache::onMaxSessionsAznEvent: sessionID=[0a3e944f00000e7d588da8a0]; user=[Bob] - checkMaxSessions passed,SessionCache.cpp:360 2017-01-29 08:33:11,311 INFO [Thread-83][] cisco.cpm.prrt.impl.PrRTLoggerImpl -:::::- SessionCache,INFO ,0x7fe858867700,cntx=0000001335,sesn=pgruszczise22/275051099/8,CPMSessionID=0a3e944f00000e7d588da8a0,user=Bob,CallingStationID=c0-4a-00-14-56-f4,SessionCache::onMaxSessionsAznEvent: create a new session object sessionID=[0a3e944f00000e7d588da8a0]; user=[Bob],SessionCache.cpp:375
ISE verhoogt de SessionCounter pas nadat het de accounting start voor de sessie heeft ontvangen:
2017-01-29 08:33:11,619 DEBUG [Thread-90][] cisco.cpm.prrt.impl.PrRTLoggerImpl -:::::- Radius,DEBUG,0x7fe858766700,cntx=0000001503,sesn=pgruszczise22/275051099/9,CPMSessionID=0a3e944f00000e7d588da8a0,CallingStationID=c0-4a-00-14-56-f4,FramedIPAddress=10.62.148.141,RADIUS PACKET:: Code=4(AccountingRequest) Identifier=0 Length=279 [1] User-Name - value: [Bob] [4] NAS-IP-Address - value: [10.62.148.79] [5] NAS-Port - value: [1] [8] Framed-IP-Address - value: [10.62.148.141] [25] Class - value: [****] [30] Called-Station-ID - value: [80-e0-1d-8b-72-00] [31] Calling-Station-ID - value: [c0-4a-00-14-56-f4] [32] NAS-Identifier - value: [WLC7] [40] Acct-Status-Type - value: [Start] [44] Acct-Session-Id - value: [588da8a0/c0:4a:00:14:56:f4/3789] [45] Acct-Authentic - value: [RADIUS] [55] Event-Timestamp - value: [1485678753] [61] NAS-Port-Type - value: [Wireless - IEEE 802.11] [64] Tunnel-Type - value: [(tag=0) VLAN] [65] Tunnel-Medium-Type - value: [(tag=0) 802] [81] Tunnel-Private-Group-ID - value: [(tag=0) 481] [26] cisco-av-pair - value: [audit-session-id=0a3e944f00000e7d588da8a0] [26] Airespace-Wlan-Id - value: [4] ,RADIUSHandler.cpp:2003 (...) 2017-01-29 08:33:11,654 DEBUG [Thread-83][] cisco.cpm.prrt.impl.PrRTLoggerImpl -:::::- SessionCache,DEBUG,0x7fe858867700,cntx=0000001503,sesn=pgruszczise22/275051099/9,CPMSessionID=0a3e944f00000e7d588da8a0,user=Bob,CallingStationID=c0-4a-00-14-56-f4,FramedIPAddress=10.62.148.141,SessionCache::onAccountingStart: user=[Bob]; sessionID=[0a3e944f00000e7d588da8a0],SessionCache.cpp:537 2017-01-29 08:33:11,655 DEBUG [Thread-83][] cisco.cpm.prrt.impl.PrRTLoggerImpl -:::::- SessionCache,DEBUG,0x7fe858867700,cntx=0000001503,sesn=pgruszczise22/275051099/9,CPMSessionID=0a3e944f00000e7d588da8a0,user=Bob,CallingStationID=c0-4a-00-14-56-f4,FramedIPAddress=10.62.148.141,SessionCache::incrementSessionCounters: user=[Bob] current user session count=[1],SessionCache.cpp:862
Maximale aantal sessiecontroles per gebruiker:
2017-01-29 08:37:00,534 INFO [Thread-75][] cisco.cpm.prrt.impl.PrRTLoggerImpl -:::::- SessionCache,INFO ,0x7fe858a69700,cntx=0000005011,sesn=pgruszczise22/275051099/15,CPMSessionID=0a3e944f00000e7f588da966,user=Bob,CallingStationID=34-ab-37-60-63-88,SessionCache::onMaxSessionsAznEvent: current global configuration data: auditSessionTtl=[3600], maxUserSessions=[2],SessionCache.cpp:283 2017-01-29 08:37:00,535 INFO [Thread-75][] cisco.cpm.prrt.impl.PrRTLoggerImpl -:::::- SessionCache,INFO ,0x7fe858a69700,cntx=0000005011,sesn=pgruszczise22/275051099/15,CPMSessionID=0a3e944f00000e7f588da966,user=Bob,CallingStationID=34-ab-37-60-63-88,SessionCache::checkMaxSessions: user=[Bob] is not authorized because current active user sessions=[2] >= max-user-sessions=[2],SessionCache.cpp:1010 2017-01-29 08:37:00,535 DEBUG [Thread-75][] cisco.cpm.prrt.impl.PrRTLoggerImpl -:::::- SessionCache,DEBUG,0x7fe858a69700,cntx=0000005011,sesn=pgruszczise22/275051099/15,CPMSessionID=0a3e944f00000e7f588da966,user=Bob,CallingStationID=34-ab-37-60-63-88,SessionCache::onMaxSessionsAznEvent: sessionID=[0a3e944f00000e7f588da966]; user=[Bob] - checkMaxSessions failed,SessionCache.cpp:341 2017-01-29 08:37:00,535 DEBUG [Thread-75][] cisco.cpm.prrt.impl.PrRTLoggerImpl -:::::- RadiusAuthorization,DEBUG,0x7fe858a69700,cntx=0000005011,sesn=pgruszczise22/275051099/15,CPMSessionID=0a3e944f00000e7f588da966,user=Bob,CallingStationID=34-ab-37-60-63-88,RadiusAuthorization::onResponseMaxSessionsAznEvent return from SessionCache,RadiusAuthorization.cpp:371
Revisie | Publicatiedatum | Opmerkingen |
---|---|---|
2.0 |
29-Jun-2023 |
Toegevoegd Alt Text.
Bijgewerkt PII, Inleiding, Branding Vereisten, Machinevertaling, Spelling en het Formatteren. |
1.0 |
23-Mar-2017 |
Eerste vrijgave |