Sesiones de usuario concurrente máximas de la configuración sobre ISE 2.2

Introducción

Este documento describe cómo configurar la característica de las sesiones máximas introducida en el Identity Services Engine (ISE) 2.2. Las sesiones máximas ofrecen proporcionan una manera de controlar y de aplicar las sesiones vivas por el usuario o por el grupo de la identidad. Este documento está para las sesiones RADIUS, pero podría ser utilizado también para las sesiones TACACS.

Prerrequisitos

Requisitos

Cisco recomienda que tenga conocimiento sobre estos temas:

• Protocolo RADIUS
• configuración del 802.1x en el regulador del Wireless LAN (WLC)
• ISE y sus personajes (papeles)

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

• Versión 2.2 del motor del servicio de la identidad de Cisco
• Regulador 8.0.100.0 del Wireless LAN
• Switch 3750 15.2(3)E2 del Cisco Catalyst
• Máquina de Windows 7
• Teléfono de Android que ejecuta 6.0.1
• Teléfono de Android que ejecuta 5.0
• IOS 9.1 del iPad de Apple

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Información previa

La versión 2.2 ISE puede detectar y construir la directiva de la aplicación basada en la sesión concurrente de:

• Identificación del usuario - limite el número de sesiones por el usuario específico
• Grupo de la identidad - limite el número de sesiones por el grupo específico
• Usuario en un grupo - limite el número de sesiones por el usuario, eso pertenece al grupo específico

La aplicación y la cuenta de una sesión concurrente es únicas y manejadas por cada nodo del servicio de la directiva (PSN). No hay sincronización entre los PSN en términos de cuenta de sesiones. La característica de la sesión concurrente se implementa en el proceso del tiempo de ejecución y los datos se salvan solamente en la memoria. En caso del reinicio PSN, restauración de contadores de MaxSessions.

La cuenta de la sesión del usuario es sin diferenciación entre mayúsculas y minúsculas con respecto a los nombres de usuario y a la independiente del dispositivo de acceso a la red usados (mientras usted utiliza el mismo nodo PSN).

Diagrama de la red

Escenarios

Sesiones máximas por el usuario

Configuración

Navegue a la administración > al sistema > a las configuraciones > a las sesiones máximas, tal y como se muestra en de la imagen:

Para habilitar la característica, desmarque la sesión ilimitada por el checkbox del usuario, que se marca por abandono. En el máximo por las sesiones del usuario coloque el número de la configuración de sesiones que el usuario específico puede tener en cada PSN. En este ejemplo, se fija a 2.

Esta configuración afectan a los usuarios de las fuentes externas de la identidad (por ejemplo Active Directory) también.

Ejemplo:

Bob es el nombre de usuario de una cuenta del dominio de Active Directory que está conectado y unido a al servidor ISE. Configuran a las sesiones máximas de usuario con el valor 2, así que significa que ninguna sesión para lo mismo usuario más allá este número no está permitida (por el PSN).

Tal y como se muestra en de la imagen, el usuario Bob conecta con la máquina del teléfono y de Windows de Android con las mismas credenciales:




Se permiten ambas sesiones porque el límite de las sesiones máximas no se excede. Según el registro vivo del radio detallado, mostrado en la imagen:

El paso pasajero directiva de 22081 sesiones máximas proporciona la información que el control máximo de la sesión concurrente es acertado.

Una vez que la tercera conexión con otro dispositivo y las mismas credenciales se inicia, Bob recibe PermitAccess, pero el Access-Reject se envía al authenticator:

La sesión no se permite, aunque en el registro vivo del radio usted puede ver que golpea el perfil correcto de la autorización. Para marcar las sesiones vivas, navegue a las operaciones > al radio > las sesiones vivas:



En este caso, ambas sesiones tienen estatus comenzado, que indica que comienzo de las estadísticas llegaron en el ISE para la sesión. Es necesario recibir el radio que explica a la sesión máxima para trabajar correctamente, el estatus autenticado (sesión permitida, pero ningunas estadísticas) no se toma en la consideración durante la cuenta de sesiones:

Sesión máxima para el grupo

Configurar

Navegue a la administración > a System>Settings > a las sesiones máximas > al grupo:

Esta configuración aplica 2 sesiones como máximo para el grupo interno GroupTest2 de la identidad: Usted puede configurar el enforcment por el grupo solamente para los grupos internos.

Ejemplo:

Alicia, Pablo y Peter son los usuarios del almacén interno del usuario ISE, todos son miembros de GroupTest2 nombrado grupo. Según la configuración en este ejemplo, el valor máximo de las sesiones se fija a 2 basados en la membresía del grupo.

Pablo y Peter conectan con la red con sus credenciales del grupo interno nombrado GroupTest2:

Una vez que Alicia intenta conectar, el límite de MaxSessions por el grupo se aplica:

No se permite a Alicia conectar con la red porque el límite del grupo de la sesión máxima es consumido por Peter y Pablo:

Casos que ocurres sólo fuera de los parámetros de funcionamiento normales

Si configuran a las sesiones máximas del usuario, ambas características trabajan independetly. En este ejemplo, fijan a las sesiones máximas del usuario a 1 y fijan a la sesión máxima para el grupo a 2.

Peter debe ser permitido basó en la sesión máxima para el grupo (2 sesiones), pero debido a la configuración de las sesiones máximas de usuario (una sesión) él no puede conectar con la red:

Si el usuario es miembro de más configuran a de un grupo al mismo tiempo y a las sesiones máximas para el grupo para ellas, una vez que el ISE conectado aumenta el contador de la sesión máxima para el caché del grupo para cada grupo el usuario pertenece a.

En este ejemplo, Alicia y Pablo son miembros de GroupTest1 y de GroupTest2. El Veronica pertenece solamente a GroupTest1 y a Peter a GroupTest2

Fijan a la sesión máxima para el grupo a 2 para GroupTest1 y GroupTest2:

Cuando Alicia y Pablo están conectadas con la red, exceden los límites de sesión para ambos grupos. El Veronica, que pertenece solamente a GroupTest1 y a Peter, miembro de GroupTest2 no puede conectar debido a la sesión máxima para el grupo alcanzó el valor configurado máximo:

Sesiones máximas para el usuario en el grupo

Configurar

Navegue a la administración > al sistema > a las configuraciones > a las sesiones máximas > al grupo.



Esta configuración aplica 2 sesiones máximas para el grupo interno GroupTest2 de la identidad.

Ejemplo:

Alicia es miembro de GroupTest2:



Esta característica trabaja similar a la sesión máxima del usuario - el ISE limita el número de sesiones concurrentes que el usuario dentro del grupo interno especificado puede tener. Esta configuración afecta solamente al usuario, que pertenece al grupo configurado.

Alicia, como miembro del GroupTest2 puede tener 2 sesiones simultáneas, conecta una vez con el tercer dispositivo, las devoluciones PermitAccess ISE y el Access-Reject basado en la sesión máxima excedida para el usuario en el grupo:



Registros Radio-vivos detallados:

Si habilitan a las sesiones máximas del usuario también, después ambas características trabajan independientemente. Si un usuario Alicia es miembro del grupo GroupTest2 con la sesión máxima para el usuario en el grupo configurado para 2, y en las mismas sesiones máximas de usuario del tiempo se configura para permitir solamente una sesión por el usuario, las sesiones máximas de usuario toman la precedencia:

Cuando Alicia intenta conectar con el segundo dispositivo, el ISE vuelve el Access-Reject basado en el límite del usuario de la sesión máxima excedido:

La razón de niega podría ser control bajo el Vivo-registro detallado del radio. El límite del usuario de las sesiones máximas es la razón del error:

Sesión máxima para el grupo y sesión máxima para el usuario en ese grupo

Configurar

Navegue a la administración > al sistema > a las configuraciones > a las sesiones máximas > al grupo.

Esta configuración aplica a la sesión máxima de la sesión máxima 3 en el grupo interno GroupTest2 de la identidad y 2 para el usuario en ese grupo.

Ejemplo:

Alicia y Pablo son miembros de GroupTest2. Según la configuración en este ejemplo, el máximo de 3 sesiones se permite en GroupTest2. El ISE se asegura de que el único usuario pueda tener sesiones del máximo 2 dentro de este grupo.



Alicia conecta vía dos dispositivos, ambos puntos finales está conectada con la red:

Cuando Alicia está intentando conectar vía el tercer dispositivo, acceda se niega con la sesión máxima para el usuario en el límite del grupo excedido:

Si Pablo intenta acceder la red, él puede hacer así pues, puesto que la sesión máxima para el grupo GroupTest2 no es todavía llena:

Cuando Pablo intenta acceder la red a partir del segunda dispositivo, él falla porque él excedió el límite de la sesión máxima para el grupo (aunque él tiene solamente 1 sesión):





Como en los ejemplos anteriores, si usted habilita a las sesiones máximas del usuario, trabaja independientemente.

Límite de tiempo contrario

Configurar

Navegue a la administración > al sistema > a las configuraciones > a las sesiones máximas > límite de tiempo contrario.


El límite de tiempo contrario es la característica que especifica el intervalo de tiempo durante el cual la sesión se cuenta en términos de caché de la sesión máxima. Esta característica permite que usted especifique el tiempo después de lo cual la cancelación PSN la sesión del contador y permite las nuevas sesiones.

Para habilitar la característica, usted necesita desmarcar ilimitado - ningún limitcheckbox del tiempo que se marque por abandono. En el campo editable usted puede fijar la hora durante cuánto tiempo la sesión se debe tomar en la consideración en los contadores de MaxSession.

Tenga por favor presente que las sesiones después de que el tiempo configurado no sea disconnected o quitado de la base de datos de la sesión. Hay ningún termina Chane de la autorización (CoA) después del tiempo configurado.

Ejemplo:

Fijan a la sesión máxima de usuario para permitir solamente una sesión para el usuario:

Alicia conecta con la red usando el IPad en 11:00:34, la segunda autenticación sucede en 11:07 e incluso permiten a la sesión máxima del usuario que el valor es acceso excedido. Ambas autenticaciones son acertadas debido al límite de tiempo contrario.

Alicia intenta conectar con otro dispositivo, antes de 5 minutos de los pasos más recientes de la conexión satisfactoria, autenticación de los rechazos ISE:

Después de 5 minutos de la autenticación más reciente, Alicia podría conectar con la red con el dispositivo adicional.

En las sesiones vivas usted podría ver la sesión tres en el estado comenzado:

Característica y acceso de invitado de la sesión máxima

Autenticación Web central

Con una sesión configurada bajo característica de la sesión máxima de usuario, usted puede todavía conectar con el Guest1 explica ambas sesiones:

Para limitar el acceso de invitado, usted puede especificar los logines simultáneos máximos en la configuración del tipo del invitado.

Navegue a los centros de trabajo > al acceso de invitado > al portal y a los componentes > a los tipos del invitado y cambie la opción simultánea máxima de los logines, tal y como se muestra en de la imagen:

Autenticación Web local

Con una sesión configurada bajo sesión máxima de usuario usted no puede conectar:

Según los Vivo-registros del radio, el Guest1 siempre se autentica correctamente en términos de autenticación porta, una vez que el WLC envía el pedido de RADIUS con la segunda sesión para el Guest1, ISE niega el acceso debido a excede el límite del usuario:

Troubleshooting

Registros vivos del radio

El informe detallado del radio es un primer lugar para resolver problemas la característica de MaxSession.

Esta razón del error indica que el límite máximo global de la sesión del usuario está excedido para esta sesión/usuario, tal y como se muestra en de la imagen:

Esta razón del error indica que el límite de las sesiones máximas del grupo está excedido para esta sesión/usuario, tal y como se muestra en de la imagen:

Esta razón del error indica que el límite de las sesiones máximas de usuario del grupo está excedido para esta sesión/usuario.

El control del caché de MaxSession sucede después de la selección del perfil de la autorización:

Éxito:



Error:

Debugs ISE

Los registros de la sesión máxima están situados en prrt-server.log. Para recoger ésos, fije el Runtime-AAA componente al nivel de debug (navegue a la administración > al sistema > a la configuración del registro del registro > del debug > al PSN), tal y como se muestra en de la imagen:

Para obtener el archivo prrt-server.log navegue a las operaciones > al Troubleshooting > a la descarga registra > los registros PSN > del debug. Los registros de la sesión máxima se recogen en los debugs del punto final también (las operaciones > Troubleshoot>Diagnostic equipa > Genral equipa > debug del punto final).

Control de la sesión máxima del usuario pasajero correctamente:

2017-01-29 08:33:11,310 INFO   [Thread-83][] cisco.cpm.prrt.impl.PrRTLoggerImpl -:::::- SessionCache,INFO ,0x7fe858867700,cntx=0000001335,sesn=pgruszczise22/275051099/8,CPMSessionID=0a3e944f00000e7d588da8a0,user=Bob,CallingStationID=c0-4a-00-14-56-f4,SessionCache::onMaxSessionsAznEvent: current global configuration data: auditSessionTtl=[3600], maxUserSessions=[2],SessionCache.cpp:283
2017-01-29 08:33:11,311 INFO   [Thread-83][] cisco.cpm.prrt.impl.PrRTLoggerImpl -:::::- SessionCache,INFO ,0x7fe858867700,cntx=0000001335,sesn=pgruszczise22/275051099/8,CPMSessionID=0a3e944f00000e7d588da8a0,user=Bob,CallingStationID=c0-4a-00-14-56-f4,SessionCache::checkMaxSessions: user=[Bob] not found in cache due to first time authorization,SessionCache.cpp:1025
2017-01-29 08:33:11,311 DEBUG  [Thread-83][] cisco.cpm.prrt.impl.PrRTLoggerImpl -:::::- SessionCache,DEBUG,0x7fe858867700,cntx=0000001335,sesn=pgruszczise22/275051099/8,CPMSessionID=0a3e944f00000e7d588da8a0,user=Bob,CallingStationID=c0-4a-00-14-56-f4,SessionCache::onMaxSessionsAznEvent: sessionID=[0a3e944f00000e7d588da8a0]; user=[Bob] - checkMaxSessions passed,SessionCache.cpp:360
2017-01-29 08:33:11,311 INFO   [Thread-83][] cisco.cpm.prrt.impl.PrRTLoggerImpl -:::::- SessionCache,INFO ,0x7fe858867700,cntx=0000001335,sesn=pgruszczise22/275051099/8,CPMSessionID=0a3e944f00000e7d588da8a0,user=Bob,CallingStationID=c0-4a-00-14-56-f4,SessionCache::onMaxSessionsAznEvent: create a new session object sessionID=[0a3e944f00000e7d588da8a0]; user=[Bob],SessionCache.cpp:375

El ISE incrementa el SessionCounter solamente después que recibe el comienzo de las estadísticas para la sesión:

2017-01-29 08:33:11,619 DEBUG  [Thread-90][] cisco.cpm.prrt.impl.PrRTLoggerImpl -:::::- Radius,DEBUG,0x7fe858766700,cntx=0000001503,sesn=pgruszczise22/275051099/9,CPMSessionID=0a3e944f00000e7d588da8a0,CallingStationID=c0-4a-00-14-56-f4,FramedIPAddress=10.62.148.141,RADIUS PACKET:: Code=4(AccountingRequest) Identifier=0 Length=279
     [1] User-Name - value: [Bob] 
     [4] NAS-IP-Address - value: [10.62.148.79] 
     [5] NAS-Port - value: [1] 
     [8] Framed-IP-Address - value: [10.62.148.141] 
     [25] Class - value: [****] 
     [30] Called-Station-ID - value: [80-e0-1d-8b-72-00] 
     [31] Calling-Station-ID - value: [c0-4a-00-14-56-f4] 
     [32] NAS-Identifier - value: [WLC7] 
     [40] Acct-Status-Type - value: [Start] 
     [44] Acct-Session-Id - value: [588da8a0/c0:4a:00:14:56:f4/3789] 
     [45] Acct-Authentic - value: [RADIUS] 
     [55] Event-Timestamp - value: [1485678753] 
     [61] NAS-Port-Type - value: [Wireless - IEEE 802.11] 
     [64] Tunnel-Type - value: [(tag=0) VLAN] 
     [65] Tunnel-Medium-Type - value: [(tag=0) 802] 
     [81] Tunnel-Private-Group-ID - value: [(tag=0) 481] 
     [26] cisco-av-pair - value: [audit-session-id=0a3e944f00000e7d588da8a0] 
     [26] Airespace-Wlan-Id - value: [4] ,RADIUSHandler.cpp:2003

(...)	 

2017-01-29 08:33:11,654 DEBUG  [Thread-83][] cisco.cpm.prrt.impl.PrRTLoggerImpl -:::::- SessionCache,DEBUG,0x7fe858867700,cntx=0000001503,sesn=pgruszczise22/275051099/9,CPMSessionID=0a3e944f00000e7d588da8a0,user=Bob,CallingStationID=c0-4a-00-14-56-f4,FramedIPAddress=10.62.148.141,SessionCache::onAccountingStart: user=[Bob]; sessionID=[0a3e944f00000e7d588da8a0],SessionCache.cpp:537
2017-01-29 08:33:11,655 DEBUG  [Thread-83][] cisco.cpm.prrt.impl.PrRTLoggerImpl -:::::- SessionCache,DEBUG,0x7fe858867700,cntx=0000001503,sesn=pgruszczise22/275051099/9,CPMSessionID=0a3e944f00000e7d588da8a0,user=Bob,CallingStationID=c0-4a-00-14-56-f4,FramedIPAddress=10.62.148.141,SessionCache::incrementSessionCounters: user=[Bob] current user session count=[1],SessionCache.cpp:862

Error del control de la sesión máxima del usuario:

2017-01-29 08:37:00,534 INFO   [Thread-75][] cisco.cpm.prrt.impl.PrRTLoggerImpl -:::::- SessionCache,INFO ,0x7fe858a69700,cntx=0000005011,sesn=pgruszczise22/275051099/15,CPMSessionID=0a3e944f00000e7f588da966,user=Bob,CallingStationID=34-ab-37-60-63-88,SessionCache::onMaxSessionsAznEvent: current global configuration data: auditSessionTtl=[3600], maxUserSessions=[2],SessionCache.cpp:283
2017-01-29 08:37:00,535 INFO   [Thread-75][] cisco.cpm.prrt.impl.PrRTLoggerImpl -:::::- SessionCache,INFO ,0x7fe858a69700,cntx=0000005011,sesn=pgruszczise22/275051099/15,CPMSessionID=0a3e944f00000e7f588da966,user=Bob,CallingStationID=34-ab-37-60-63-88,SessionCache::checkMaxSessions: user=[Bob] is not authorized because current active user sessions=[2] >= max-user-sessions=[2],SessionCache.cpp:1010
2017-01-29 08:37:00,535 DEBUG  [Thread-75][] cisco.cpm.prrt.impl.PrRTLoggerImpl -:::::- SessionCache,DEBUG,0x7fe858a69700,cntx=0000005011,sesn=pgruszczise22/275051099/15,CPMSessionID=0a3e944f00000e7f588da966,user=Bob,CallingStationID=34-ab-37-60-63-88,SessionCache::onMaxSessionsAznEvent: sessionID=[0a3e944f00000e7f588da966]; user=[Bob] - checkMaxSessions failed,SessionCache.cpp:341
2017-01-29 08:37:00,535 DEBUG  [Thread-75][] cisco.cpm.prrt.impl.PrRTLoggerImpl -:::::- RadiusAuthorization,DEBUG,0x7fe858a69700,cntx=0000005011,sesn=pgruszczise22/275051099/15,CPMSessionID=0a3e944f00000e7f588da966,user=Bob,CallingStationID=34-ab-37-60-63-88,RadiusAuthorization::onResponseMaxSessionsAznEvent return from SessionCache,RadiusAuthorization.cpp:371