Introducción
Este documento describe cómo configurar la versión 9.2.1 adaptante del dispositivo de seguridad de Cisco (ASA) para posture a los usuarios de VPN contra el Cisco Identity Services Engine (ISE) sin la necesidad de un nodo en línea de la postura (IPN).
Prerequisites
Requisitos
Cisco recomienda que tenga conocimiento sobre estos temas:
- Conocimiento básico de la configuración CLI ASA y de la configuración VPN del Secure Socket Layer (SSL)
- Conocimiento básico de la configuración del VPN de acceso remoto en el ASA
- Conocimiento básico del ISE y de los servicios de la postura
Componentes Utilizados
La información que contiene este documento se basa en estas versiones de software:
- Versiones de software 9.2.1 de Cisco ASA y posterior
- Versión 7 de Microsoft Windows con la versión 3.1 del Cliente de movilidad Cisco AnyConnect Secure
- Versión 1.2 de Cisco ISE con corrección 5 o más adelante
Antecedentes
El cambio de los soportes RADIUS de la Versión de ASA 9.2.1 de Cisco de la autorización (CoA) (RFC 5176). Esto permite posturing de los usuarios de VPN contra Cisco ISE sin la necesidad de un IPN. Después de que un usuario de VPN abra una sesión, el ASA reorienta el tráfico de la Web al ISE, donde está aprovisionado el usuario con un agente del Network Admission Control (NAC) o el agente de la red. El agente realiza los controles específicos en la máquina del usuario para determinar su conformidad contra un conjunto configurado de las reglas de la postura, tales como operating system (OS), correcciones, reglas del antivirus, del servicio, de la aplicación, o del registro.
Los resultados de la validación de la postura entonces se envían al ISE. Si la máquina es denuncia juzgada, después el ISE puede enviar un CoA RADIUS al ASA con el nuevo conjunto de las directivas de la autorización. Después de la validación acertada de la postura y del CoA, no prohiben el usuario el acceso a los recursos internos.
Configurar
Diagrama de la red y flujo de tráfico

Aquí está el flujo de tráfico, como se ilustra en el diagrama de la red:
- El usuario remoto utiliza Cisco Anyconnect para el acceso VPN al ASA.
- El ASA envía un pedido de acceso RADIUS para ese usuario al ISE.
- Que la petición golpea la directiva nombró ASA92-posture en el ISE. Como consecuencia, se vuelve el perfil de la autorización ASA92-posture. El ISE envía un access-accept RADIUS con dos pares de valor de atributo de Cisco:
- url-redirect-acl=redirect - éste es el nombre de la lista de control de acceso (ACL) que se define localmente en el ASA, que decide al tráfico que debe ser reorientado.
- url-redirect=https://ise2.test-cisco.com:8443/guestportal/gateway?sessionId=xx&action=cpp - éste es el URL al cual el usuario remoto debe ser reorientado.
Tip: Los servidores del Domain Name System (DNS) que se asignan a los clientes VPN deben poder resolver el nombre de dominio completo (FQDN) que se vuelve en la reorientación URL. Si los filtros VPN se configuran para restringir el acceso en el nivel de grupo de túnel, asegúrese de que el grupo de cliente pueda acceder el servidor ISE en el puerto configurado (TCP 8443 en este ejemplo).
- El ASA envía un paquete del comienzo de la Estadística-petición RADIUS y recibe una respuesta. Esto es necesario para enviar todos los detalles con respecto a la sesión al ISE. Estos detalles incluyen el session_id, el IP Address externo del cliente VPN, y la dirección IP del ASA. El ISE utiliza el session_id para identificar esa sesión. El ASA también envía la información de la cuenta interina periódica, donde está el Framed-IP-direccionamiento la mayoría del atributo importante con el IP que es asignado al cliente por el ASA (10.10.10.10 en este ejemplo).
- Cuando el tráfico del usuario de VPN hace juego el ACL local-definido (reoriente), se reorienta a https://ise2.test-cisco.com:8443. El dependiente sobre la configuración, el ISE provisions el agente del NAC o el agente de la red.
- Después de que el agente esté instalado en la máquina del cliente, realiza automáticamente los controles específicos. En este ejemplo, busca para el archivo de c:\test.txt. También envía un informe de la postura al ISE, que puede incluir los intercambios múltiples con el uso del protocolo SWISS y vira TCP/UDP hacia el lado de babor 8905 para acceder el ISE.
- Cuando el ISE recibe el informe de la postura del agente, procesa las reglas de la autorización de nuevo. Esta vez, el resultado de la postura se sabe y se golpea otra regla. Envía un paquete CoA RADIUS:
- Si el usuario es obediente, después el nombre a ACL descargable (DACL) que permite el acceso total se envía (la regla ASA92-compliant de AuthZ).
- Si el usuario es no obediente, después un nombre DACL que el acceso limitado los permisos se envía (la regla ASA92-noncompliant de AuthZ).
Note: El CoA RADIUS se confirma siempre; es decir, el ASA envía una respuesta al ISE para confirmar.
- El ASA quita el cambio de dirección. Si no hace el DACLs ocultar, debe enviar un pedido de acceso para descargarlos del ISE. El DACL específico se asocia a la sesión de VPN.
- La próxima vez que eso que el usuario de VPN intenta acceder la página web, puede acceder todos los recursos que sean permitidos por el DACL que está instalado en el ASA.
Si el usuario no es obediente, sólo se concede el acceso limitado.
Note: Este modelo de flujo diferencia de la mayoría de los escenarios que utilicen el CoA RADIUS. Para las autenticaciones atadas con alambre/inalámbricas del 802.1x, el CoA RADIUS no incluye ninguna atributos. Acciona solamente la segunda autenticación en la cual todos los atributos, tales como DACL, se asocian. Para la postura ASA VPN, no hay segunda autenticación. Todo el los atributos se vuelven en el CoA RADIUS. La sesión de VPN es activa y no es posible cambiar la mayor parte de las configuraciones del usuario de VPN.
Configuraciones
Utilice esta sección para configurar el ASA y el ISE.
ASA
Aquí está la configuración básica ASA para el acceso de Cisco AnyConnect:
ip local pool POOL 10.10.10.10-10.10.10.100 mask 255.255.255.0
interface GigabitEthernet0/0
nameif outside
security-level 0
ip address xxxx 255.255.255.0
!
interface GigabitEthernet0/1
nameif inside
security-level 100
ip address 192.168.111.10 255.255.255.0
aaa-server ISE protocol radius
aaa-server ISE (inside) host 10.48.66.74
key cisco
webvpn
enable outside
anyconnect-essentials
anyconnect image disk0:/anyconnect-win-3.1.02040-k9.pkg 1
anyconnect enable
tunnel-group-list enable
group-policy GP-SSL internal
group-policy GP-SSL attributes
vpn-tunnel-protocol ikev1 ikev2 ssl-client ssl-clientless
tunnel-group RA type remote-access
tunnel-group RA general-attributes
address-pool POOL
authentication-server-group ISE
default-group-policy GP-SSL
tunnel-group RA webvpn-attributes
group-alias RA enable
Para la integración ASA con la postura ISE, asegúrese de que usted:
- Configure el servidor del Authentication, Authorization, and Accounting (AAA) para la autorización dinámica para validar el CoA.
- Configure las estadísticas como un grupo de túnel para enviar a los detalles de la sesión de VPN hacia el ISE.
- Configure las estadísticas interinas que enviarán la dirección IP asignada al usuario y ponga al día periódicamente el estatus de la sesión en el ISE
- Configure la reorientación ACL, que decide a si se permiten el DNS y el tráfico ISE. El resto del tráfico HTTP se reorienta al ISE para la postura.
Aquí está el ejemplo de configuración:
access-list redirect extended deny udp any any eq domain
access-list redirect extended deny ip any host 10.48.66.74
access-list redirect extended deny icmp any any
access-list redirect extended permit tcp any any eq www
aaa-server ISE protocol radius
authorize-only
interim-accounting-update periodic 1
dynamic-authorization
aaa-server ISE (inside) host 10.48.66.74
key cisco
tunnel-group RA general-attributes
address-pool POOL
authentication-server-group ISE
accounting-server-group ISE
default-group-policy GP-SSL
ISE
Complete estos pasos para configurar el ISE:
- Navegue a la administración > a los recursos de red > a los dispositivos de red y agregue el ASA como dispositivo de red:

- Navegue a la directiva > a los resultados > a la autorización > ACL descargable y configure el DACL de modo que permita el acceso total. La configuración del ACL predeterminado permite todo el tráfico IP en el ISE:

- Configure un ACL similar que proporcione el acceso limitado (para los usuarios no obedientes).
- Navegue a la directiva > a los resultados > a la autorización > a los perfiles de la autorización y configure el perfil de la autorización nombrado ASA92-posture, que reorienta a los usuarios para la postura. Marque la casilla de verificación del cambio de dirección de la red, seleccione el aprovisionamiento del cliente de la lista desplegable, y asegúrese que reorienta aparece en el campo ACL (que el ACL está definido localmente en el ASA):

- Configure el perfil de la autorización nombrado ASA92-compliant, que debe volver solamente el PERMIT_ALL_TRAFFIC nombrado DACL que proporciona el acceso total para los usuarios obedientes:

- Configure un perfil similar de la autorización nombrado ASA92-noncompliant, que debe volver el DACL con el acceso limitado (para los usuarios no obedientes).
- Navegue a la directiva > a la autorización y configure las reglas de la autorización:
- Cree una regla que permita el acceso total si los resultados de la postura son obedientes. El resultado es la directiva ASA92-compliant de la autorización.
- Cree una regla que permita el acceso limitado si los resultados de la postura son no obedientes. El resultado es la directiva ASA92-noncompliant de la autorización.
- Asegure eso si ningunas de las dos reglas anteriores se golpean, entonces la regla predeterminada vuelve el ASA92-posture, que fuerza un cambio de dirección en el ASA.

- Las reglas de la autenticación predeterminada marcan el Nombre de usuario en el almacén interno de la identidad. Si esto se debe cambiar (llegado el Active Directory (AD), por ejemplo), después navega a la directiva > a la autenticación y realiza el cambio:

- Navegue a la directiva > al aprovisionamiento del cliente y configure las reglas del aprovisionamiento. Éstas son las reglas que deciden al tipo de agente que debe ser aprovisionado. En este ejemplo, solamente una regla sencilla existe, y el ISE selecciona el agente del NAC para todos los sistemas de Microsoft Windows:

Cuando los agentes no están en el ISE, es posible descargarlos:

- En caso necesario, usted puede navegar a la administración > al sistema > a las configuraciones > al proxy y configurar el proxy para el ISE (acceder Internet).
- Configure las reglas de la postura, que verifican la configuración del cliente. Usted puede configurar las reglas que marcan:
- archivos - existencia, versión, fecha
- clave de registro, valor, existencia
- nombre del proceso de la aplicación, funcionamiento, no ejecutándose
- servicio - mantenga el nombre, funcionamiento, no ejecutándose
- antivirus - más de 100 vendedores soportados, versión, cuando las definiciones son actualizadas
- antispyware - más de 100 vendedores soportados, versión, cuando las definiciones son actualizadas
- condición compuesta - mezcla de todos
- el Diccionario personalizado condiciona - el uso la mayor parte de los diccionarios ISE
- En este ejemplo, solamente se realiza un control simple de la existencia del archivo. Si el archivo de c:\test.txt está presente en la máquina del cliente, es acceso total obediente y permitido. Navegue a la directiva > a las condiciones > a las condiciones del archivo y configure la condición del archivo:

- Navegue a la directiva > a los resultados > a la postura > a los requisitos y cree un requisito. Este requisito debe ser cumplido cuando se satisface la condición anterior. Si no es, después se ejecuta la acción de la corrección. Pudo haber muchos tipos de acciones de la corrección disponibles, pero en este ejemplo, se utiliza el más simple: se visualiza un mensaje específico.

Note: En las circunstancias normales, la acción de la corrección del archivo puede ser utilizada (el ISE proporciona el archivo transferible).
- Navegue a la directiva > a la postura y utilice el requisito que usted creó en el paso anterior (file_requirement Nombrado) en las reglas de la postura. La única regla de la postura requiere que todos los sistemas de Microsoft Windows resuelvan el file_requirement. Si se cumple este requisito, después la estación es obediente; si no se resuelve, después la estación es no obediente.

Nueva valoración periódica
Por abandono, la postura es un evento de una sola vez. Sin embargo, hay a veces una necesidad de marcar la conformidad del usuario y de ajustar periódicamente el acceso a los recursos basados en los resultados. Esta información se avanza vía el protocolo SWISS (agente del NAC) o se codifica dentro de la aplicación (agente de la red).
Complete estos pasos para marcar la conformidad del usuario:
- Navegue a la administración > a las configuraciones > a la postura > a las nuevas valoraciones y habilite la nueva valoración global (por la configuración de grupo de la identidad):

- Cree una condición de la postura que haga juego todas las nuevas valoraciones:

- Cree una condición similar que haga juego solamente las evaluaciones iniciales:

Ambas condiciones se pueden utilizar en las reglas de la postura. La primera regla hace juego solamente las evaluaciones iniciales y segunda hace juego todas las evaluaciones subsiguientes:

Verificación
Para confirmar que su configuración trabaja correctamente, asegúrese de que estos pasos estén completados según lo descrito:
- El usuario de VPN conecta con el ASA.
- El ASA envía un pedido de RADIUS y recibe una respuesta con la URL-reorientación y los atributos URL-reorientar-ACL:

- Los registros ISE indican que la autorización hace juego el perfil de la postura (la primera entrada de registro):

- El ASA agrega una reorientación a la sesión de VPN:
aaa_url_redirect: Added url redirect:https://ise2.test-cisco.com:8443/
guestportal/gateway?sessionId=c0a8700a0000900052b840e6&action=cpp
acl:redirect for 10.10.10.10
- El estatus de la sesión de VPN en el ASA muestra que la postura está requerida y reorienta el tráfico HTTP:
ASA# show vpn-sessiondb detail anyconnect
Session Type: AnyConnect Detailed
Username : cisco Index : 9
Assigned IP : 10.10.10.10 Public IP : 10.147.24.61
Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License : AnyConnect Essentials
Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)RC4 DTLS-Tunnel: (1)AES128
Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA1 DTLS-Tunnel: (1)SHA1
Bytes Tx : 16077 Bytes Rx : 19497
Pkts Tx : 43 Pkts Rx : 225
Pkts Tx Drop : 0 Pkts Rx Drop : 0
Group Policy : GP-SSL Tunnel Group : RA
Login Time : 14:55:50 CET Mon Dec 23 2013
Duration : 0h:01m:34s
Inactivity : 0h:00m:00s
VLAN Mapping : N/A VLAN : none
Audt Sess ID : c0a8700a0000900052b840e6
Security Grp : 0
AnyConnect-Parent Tunnels: 1
SSL-Tunnel Tunnels: 1
DTLS-Tunnel Tunnels: 1
AnyConnect-Parent:
Tunnel ID : 9.1
Public IP : 10.147.24.61
Encryption : none Hashing : none
TCP Src Port : 50025 TCP Dst Port : 443
Auth Mode : userPassword
Idle Time Out: 30 Minutes Idle TO Left : 28 Minutes
Client OS : win
Client Type : AnyConnect
Client Ver : Cisco AnyConnect VPN Agent for Windows 3.1.02040
Bytes Tx : 5204 Bytes Rx : 779
Pkts Tx : 4 Pkts Rx : 1
Pkts Tx Drop : 0 Pkts Rx Drop : 0
SSL-Tunnel:
Tunnel ID : 9.2
Assigned IP : 10.10.10.10 Public IP : 10.147.24.61
Encryption : RC4 Hashing : SHA1
Encapsulation: TLSv1.0 TCP Src Port : 50044
TCP Dst Port : 443 Auth Mode : userPassword
Idle Time Out: 30 Minutes Idle TO Left : 28 Minutes
Client OS : Windows
Client Type : SSL VPN Client
Client Ver : Cisco AnyConnect VPN Agent for Windows 3.1.02040
Bytes Tx : 5204 Bytes Rx : 172
Pkts Tx : 4 Pkts Rx : 2
Pkts Tx Drop : 0 Pkts Rx Drop : 0
DTLS-Tunnel:
Tunnel ID : 9.3
Assigned IP : 10.10.10.10 Public IP : 10.147.24.61
Encryption : AES128 Hashing : SHA1
Encapsulation: DTLSv1.0 UDP Src Port : 63296
UDP Dst Port : 443 Auth Mode : userPassword
Idle Time Out: 30 Minutes Idle TO Left : 29 Minutes
Client OS : Windows
Client Type : DTLS VPN Client
Client Ver : Cisco AnyConnect VPN Agent for Windows 3.1.02040
Bytes Tx : 5669 Bytes Rx : 18546
Pkts Tx : 35 Pkts Rx : 222
Pkts Tx Drop : 0 Pkts Rx Drop : 0
ISE Posture:
Redirect URL : https://ise2.test-cisco.com:8443/guestportal/gateway?
sessionId=c0a8700a0000900052b840e6&action=cpp
Redirect ACL : redirect
- Reorientan al cliente que inicia el tráfico HTTP que hace juego la reorientación ACL al ISE:
aaa_url_redirect: Created proxy for 10.10.10.10
aaa_url_redirect: Sending url redirect:https://ise2.test-cisco.com:8443/
guestportal/gateway?sessionId=c0a8700a0000900052b840e6&action=cpp
for 10.10.10.10
- Reorientan al cliente al ISE para la postura:

- El agente del NAC está instalado. Después de que el agente del NAC esté instalado, descarga las reglas de la postura vía el protocolo SWISS y realiza los controles para determinar la conformidad. El informe de la postura entonces se envía al ISE.

- El ISE recibe el informe de la postura, evalúa de nuevo las reglas de la autorización, y (si es necesario) cambia el estatus de autorización y envía un CoA. Esto se puede verificar en ise-psc.log:
cisco.cpm.posture.runtime.PostureHandlerImpl -:cisco:c0a8700a0000900052b840e6
:::- Decrypting report
cisco.cpm.posture.runtime.PostureManager -:cisco:c0a8700a0000900052b840e6
:::- User cisco belongs to groups NAC Group:NAC:IdentityGroups:User Identity
Groups:Employee,NAC Group:NAC:IdentityGroups:An
cisco.cpm.posture.runtime.PostureManager -:cisco:c0a8700a0000900052b840e6
:::- Posture report token for endpoint mac 08-00-27-CD-E8-A2 is Healthy
cisco.cpm.posture.runtime.PostureManager -:cisco:c0a8700a0000900052b840e6
:::- Posture state is compliant for endpoint with mac 08-00-27-CD-E8-A2
cisco.cpm.posture.runtime.PostureCoA -:cisco:c0a8700a0000900052b840e6
:::- Posture CoA is triggered for endpoint [null] with session
[c0a8700a0000900052b840e6]
- El ISE envía un CoA RADIUS que incluya el session_id y el nombre DACL que permite el acceso total:

Esto se refleja en los registros ISE:
- La primera entrada de registro está para la autenticación inicial que vuelve el perfil de la postura (con el cambio de dirección).
- Se puebla la segunda entrada de registro después de que se reciba el informe SUIZO obediente.
- La tercera entrada de registro se puebla cuando se envía el CoA, junto con la confirmación (descrita como autorización dinámica tenida éxito).
- Se crea la entrada de registro final cuando el ASA descarga el DACL.

- Los debugs en el ASA muestran que el CoA está recibido y la reorientación está quitada. El ASA descarga el DACLs si es necesario:
ASA# Received RAD_COA_REQUEST
RADIUS packet decode (CoA-Request)
Radius: Value (String) =
41 43 53 3a 43 69 73 63 6f 53 65 63 75 72 65 2d | ACS:CiscoSecure-
44 65 66 69 6e 65 64 2d 41 43 4c 3d 23 41 43 53 | Defined-ACL=#ACS
41 43 4c 23 2d 49 50 2d 50 45 52 4d 49 54 5f 41 | ACL#-IP-PERMIT_A
4c 4c 5f 54 52 41 46 46 49 43 2d 35 31 65 66 37 | LL_TRAFFIC-51ef7
64 62 31 | db1
Got AV-Pair with value audit-session-id=c0a8700a0000900052b840e6
Got AV-Pair with value ACS:CiscoSecure-Defined-ACL=
#ACSACL#-IP-PERMIT_ALL_TRAFFIC-51ef7db1
aaa_url_redirect: Deleted url redirect for 10.10.10.10
- Después de la sesión de VPN, Cisco tiene el DACL solicitado (acceso total) el usuario:
ASA# show vpn-sessiondb detail anyconnect
Session Type: AnyConnect Detailed
Username : cisco Index : 9
Assigned IP : 10.10.10.10 Public IP : 10.147.24.61
Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License : AnyConnect Essentials
Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)RC4 DTLS-Tunnel: (1)AES128
Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA1 DTLS-Tunnel: (1)SHA1
Bytes Tx : 94042 Bytes Rx : 37079
Pkts Tx : 169 Pkts Rx : 382
Pkts Tx Drop : 0 Pkts Rx Drop : 0
Group Policy : GP-SSL Tunnel Group : RA
Login Time : 14:55:50 CET Mon Dec 23 2013
Duration : 0h:05m:30s
Inactivity : 0h:00m:00s
VLAN Mapping : N/A VLAN : none
Audt Sess ID : c0a8700a0000900052b840e6
Security Grp : 0
AnyConnect-Parent Tunnels: 1
SSL-Tunnel Tunnels: 1
DTLS-Tunnel Tunnels: 1
AnyConnect-Parent:
Tunnel ID : 9.1
Public IP : 10.147.24.61
Encryption : none Hashing : none
TCP Src Port : 50025 TCP Dst Port : 443
Auth Mode : userPassword
Idle Time Out: 30 Minutes Idle TO Left : 24 Minutes
Client OS : win
Client Type : AnyConnect
Client Ver : Cisco AnyConnect VPN Agent for Windows 3.1.02040
Bytes Tx : 5204 Bytes Rx : 779
Pkts Tx : 4 Pkts Rx : 1
Pkts Tx Drop : 0 Pkts Rx Drop : 0
SSL-Tunnel:
Tunnel ID : 9.2
Assigned IP : 10.10.10.10 Public IP : 10.147.24.61
Encryption : RC4 Hashing : SHA1
Encapsulation: TLSv1.0 TCP Src Port : 50044
TCP Dst Port : 443 Auth Mode : userPassword
Idle Time Out: 30 Minutes Idle TO Left : 24 Minutes
Client OS : Windows
Client Type : SSL VPN Client
Client Ver : Cisco AnyConnect VPN Agent for Windows 3.1.02040
Bytes Tx : 5204 Bytes Rx : 172
Pkts Tx : 4 Pkts Rx : 2
Pkts Tx Drop : 0 Pkts Rx Drop : 0
Filter Name : #ACSACL#-IP-PERMIT_ALL_TRAFFIC-51ef7db1
DTLS-Tunnel:
Tunnel ID : 9.3
Assigned IP : 10.10.10.10 Public IP : 10.147.24.61
Encryption : AES128 Hashing : SHA1
Encapsulation: DTLSv1.0 UDP Src Port : 63296
UDP Dst Port : 443 Auth Mode : userPassword
Idle Time Out: 30 Minutes Idle TO Left : 29 Minutes
Client OS : Windows
Client Type : DTLS VPN Client
Client Ver : Cisco AnyConnect VPN Agent for Windows 3.1.02040
Bytes Tx : 83634 Bytes Rx : 36128
Pkts Tx : 161 Pkts Rx : 379
Pkts Tx Drop : 0 Pkts Rx Drop : 0
Filter Name : #ACSACL#-IP-PERMIT_ALL_TRAFFIC-51ef7db1
Note: El ASA quita siempre las reglas de la reorientación, incluso cuando el CoA no tiene ningún DACL asociado.
Troubleshooting
Esta sección proporciona la información que usted puede utilizar para resolver problemas su configuración.
Debugs en el ISE
Navegue a la administración > a la configuración del registro del registro > del debug para habilitar los debugs. Cisco recomienda que usted habilita los debugs temporales para:
- SUIZO
- Expedición directa (NSF)
- NSF-sesión
- Disposición
- Postura
Ingrese este comando en el CLI para ver los debugs:
ise2/admin# show logging application ise-psc.log tail count 100
Navegue a las operaciones > a los informes > al ISE señala > los puntos finales y los usuarios > los detalles de la postura evaluación para ver los informes de la postura:

En la postura más página de la evaluación del detalle, allí es nombre de la directiva con un nombre del requisito se visualice que, junto con los resultados:

Debugs en el ASA
Usted puede habilitar estos debugs en el ASA:
- el debug aaa URL-reorienta
- debug aaa authorization
- dinámico-autorización del radio del debug
- el radio del debug decodifica
- usuario de RADIUS Cisco del debug
Debugs para el agente
Para el agente del NAC, es posible recolectar los debugs con el embalador del registro de Cisco, que se inicia del GUI o con el CLI: CCAAgentLogPackager.app.

Tip: Usted puede decodificar los resultados con la herramienta del Centro de Asistencia Técnica (TAC).
Para extraer los registros para el agente de la red, navegue a estas ubicaciones:
- C: > documento y configuraciones > <user> > Configuraciones locales > temporeros > webagent.log (decodificado con la herramienta del TAC)
- C: > documento y configuraciones > <user> > Configuraciones locales > temporeros > webagentsetup.log
Note: Si los registros no están en estas ubicaciones, después verifique la variable de entorno de los TEMPOREROS.
Error de la postura del agente del NAC
Si la postura falla, presentan el usuario con la razón:

Entonces no prohiben el usuario las acciones de la corrección si se configuran:
Información Relacionada