Configurez les sessions d'utilisateur simultané maximum sur ISE 2.2

Introduction

Ce document décrit comment configurer la fonctionnalité introduite maximum de sessions dans le Cisco Identity Services Engine (ISE) 2.2. La caractéristique maximum de sessions fournit une manière de contrôler et imposer des sessions vivantes par utilisateur ou par groupe d'identité. Ce document est pour des sessions de RADIUS, mais il pourrait être aussi bien utilisé pour les sessions TACACS.

Conditions préalables

Exigences

Cisco vous recommande de prendre connaissance des rubriques suivantes :

• Protocole RADIUS
• configuration de 802.1x sur le contrôleur LAN Sans fil (WLC)
• ISE et ses Person (rôles)

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

• Version 2.2 d'engine de gestion d'identité de Cisco
• Contrôleur LAN Sans fil 8.0.100.0
• Commutateur Cisco Catalyst 3750 15.2(3)E2
• Ordinateur de Windows 7
• Téléphone d'Android exécutant 6.0.1
• Téléphone d'Android exécutant 5.0
• IOS 9.1 d'iPad d'Apple

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

L'information générale

La version 2.2 ISE peut détecter et établir la stratégie d'application basée sur la session simultanée de :

• Identité de l'utilisateur - nombre de limite de sessions par utilisateur spécifique
• Groupe d'identité - limitez le nombre de sessions par groupe spécifique
• Utilisateur dans un groupe - limitez le nombre de sessions par utilisateur, cela appartient au groupe spécifique

L'application et le compte d'une session simultanée est seul et géré par chaque noeud de service de stratégie (le RPC). Il n'y a aucune synchronisation entre le PSNs en termes de comptage des sessions. La caractéristique de session simultanée est mise en application dans le processus d'exécution et des données sont enregistrées seulement dans la mémoire. En cas de reprise RPC, remise de compteurs de MaxSessions.

Le comptage des sessions d'utilisateur est ne distinguant pas majuscules et minuscules en ce qui concerne les noms d'utilisateur et l'indépendant du périphérique d'accès au réseau utilisés (tant que vous utilisez le même noeud RPC).

Diagramme du réseau

Scénarios

Sessions maximum par utilisateur

Configuration

Naviguez vers la gestion > le système > les configurations > des sessions maximum, suivant les indications de l'image :

Pour activer la caractéristique, décochez la session illimitée par case à cocher d'utilisateur, qui est vérifiée par défaut. Dans le maximum par champ de sessions d'utilisateur configurez le nombre de sessions l'utilisateur que spécifique peut avoir sur chaque RPC. Dans cet exemple, il est placé à 2.

Des utilisateurs des sources extérieures d'identité (par exemple Répertoire actif) sont aussi bien affectés par cette configuration.

Exemple

Bob est le nom d'utilisateur d'un compte du domaine de Répertoire actif qui est connecté et joint au serveur ISE. Des sessions maximum d'utilisateur est configurées avec la valeur 2, ainsi il signifie qu'on ne permet aucune session pour le même utilisateur au delà de ce nombre (par RPC).

Suivant les indications de l'image, l'utilisateur Bob se connecte au téléphone et à l'ordinateur Windows d'Android avec les mêmes qualifications :




On permet les deux sessions parce que la limite maximum de sessions n'est pas dépassée. Selon le log vivant détaillé de Radius, affiché dans l'image :

La stratégie maximum de 22081 sessions passée étape fournit les informations qui le contrôle maximum de session simultanée est réussi.

Une fois que la troisième connexion avec un autre périphérique et les mêmes qualifications est initiée, Bob reçoit PermitAccess, mais l'Access-anomalie est envoyée à l'authentificateur :

On ne permet pas la session, quoique dans le log vivant de Radius vous puissiez voir qu'il frappe le profil correct d'autorisation. Afin de vérifier les sessions vivantes, naviguez vers des exécutions > Radius > des sessions vivantes :



Dans ce cas, chacun des deux sessions ont un état commencé, qui indique que début de comptabilité est arrivée sur ISE pour la session. Il est nécessaire de recevoir Radius expliquant la session maximum pour fonctionner correctement, l'état authentifié (session permise, mais aucune comptabilité) n'est pas pris en compte pendant le comptage des sessions :

Session maximum pour le groupe

Configurer

Naviguez vers la gestion > le System>Settings > les sessions > le groupe maximum :

Cette configuration impose 2 sessions comme maximum pour le groupe interne GroupTest2 d'identité : Vous pouvez configurer l'enforcment par groupe seulement pour les groupes internes.

Exemple

Alice, Pablo et Peter sont les utilisateurs de la mémoire interne d'utilisateur ISE, tous sont des membres de GroupTest2 nommé par groupe. Selon la configuration dans cet exemple, la valeur maximale des sessions est placée à 2 basés sur l'adhésion à des associations.

Pablo et Peter se connectent au réseau à leurs qualifications du groupe interne nommé GroupTest2 :

Une fois que des essais d'Alice à connecter, limite de MaxSessions par groupe est imposés :

On ne permet pas à Alice pour se connecter au réseau parce que la limite maximum de session group est utilisée par Peter et Pablo :

Cas faisants le coin

Si des sessions maximum d'utilisateur est configurées, les deux caractéristiques fonctionnent independetly. Dans cet exemple, des sessions maximum d'utilisateur est placées à 1 et la session maximum pour le groupe est placée à 2.

On devrait permettre à Peter basé sur la session maximum pour le groupe (2 sessions), mais en raison de la configuration maximum de sessions d'utilisateur (une session) il ne se connecte pas au réseau :

Si l'utilisateur est membre de plus d'un groupe en même temps et les sessions maximum pour le groupe est configuré pour eux, une fois qu'ISE connecté augmente le compteur de la session maximum pour le cache de groupe pour chaque groupe l'utilisateur appartient à.

Dans cet exemple, Alice et Pablo sont des membres de GroupTest1 et de GroupTest2. Le Veronica appartient seulement à GroupTest1 et à Peter à GroupTest2

La session maximum pour le groupe est placée à 2 pour GroupTest1 et GroupTest2 :

Quand Alice et Pablo sont connectés au réseau, elles dépassent les limites de session pour les deux groupes. Le Veronica, qui appartient seulement à GroupTest1 et à Peter, membre de GroupTest2 ne peuvent pas se connecter en raison de la session maximum pour le groupe a atteint la valeur configurée par maximum :

Sessions maximum pour l'utilisateur dans le groupe

Configurer

Naviguez vers la gestion > le système > les configurations > les sessions > le groupe maximum.



Cette configuration impose les sessions maximum 2 pour le groupe interne GroupTest2 d'identité.

Exemple

Alice est membre de GroupTest2 :



Cette caractéristique fonctionne semblable à la session maximum d'utilisateur - ISE limite le nombre de sessions simultanées que l'utilisateur dans le groupe interne spécifié peut avoir. Cette configuration affecte seulement l'utilisateur, qui appartient au groupe configuré.

Alice, en tant que membre du GroupTest2 peut avoir 2 sessions simultanées, se connecte une fois au troisième périphérique, aux retours PermitAccess ISE et à l'Access-anomalie basée sur la session maximum dépassée pour l'utilisateur dans le groupe :



Logs RADIUS-vivants détaillés :

Si des sessions maximum d'utilisateur est aussi bien activées, alors les deux caractéristiques fonctionnent indépendamment. Si un utilisateur Alice est membre du groupe GroupTest2 avec la session maximum pour l'utilisateur dans le groupe configuré pour 2, et en mêmes sessions maximum d'utilisateur de temps est configuré pour permettre seulement une session par utilisateur, les sessions maximum d'utilisateur ont la priorité :

Quand les essais d'Alice à connecter au deuxième périphérique, ISE renvoie l'Access-anomalie basée sur la limite maximum d'utilisateur de session dépassée :

La raison pour refusent pourrait être contrôle sous le Vivant-log détaillé de Radius. La limite maximum d'utilisateur de sessions est la raison de la panne :

Session maximum pour la session de groupe et de maximum pour l'utilisateur dans ce groupe

Configurer

Naviguez vers la gestion > le système > les configurations > les sessions > le groupe maximum.

Cette configuration impose la session maximum de 3 dans le groupe interne GroupTest2 d'identité et la session de 2 maximum pour l'utilisateur dans ce groupe.

Exemple

Alice et Pablo sont des membres de GroupTest2. Selon la configuration dans cet exemple, on permet le maximum de 3 sessions dans GroupTest2. ISE s'assure que le seul utilisateur peut avoir des sessions du maximum 2 dans ce groupe.



Alice se connecte par l'intermédiaire de deux périphériques, les deux points finaux sont connectées au réseau :

Quand Alice essaye de se connecter par l'intermédiaire du troisième périphérique, accédez à est refusé avec la session maximum pour l'utilisateur dans la limite de groupe dépassée :

Si les essais de Pablo pour accéder au réseau, il peut faire ainsi, puisque la session maximum pour le groupe GroupTest2 n'est pas encore pleine :

Quand les essais de Pablo pour accéder au réseau du deuxième périphérique, il échoue parce qu'il a dépassé la limite maximum de session pour le groupe (quoiqu'il a seulement 1 session) :





Comme dans les exemples précédents, si vous activez des sessions maximum d'utilisateur, cela fonctionne indépendamment.

Contre- délai

Configurer

Naviguez vers la gestion > le système > les configurations > des sessions > délai maximum de compteur.


Le contre- délai est la caractéristique qui spécifie l'intervalle de temps pendant lequel la session est comptée en termes de cache maximum de session. Cette caractéristique te permet pour spécifier le temps après quoi l'effacement RPC la session du compteur et permet de nouvelles sessions.

Pour activer la caractéristique, vous devez décocher illimité - aucun limitcheckbox de temps qui est vérifié par défaut. Dans le domaine editable vous pouvez placer l'heure pendant combien de temps la session devrait être prise en compte dans les compteurs de MaxSession.

Maintenez s'il vous plaît dans l'esprit que des sessions après que le temps configuré ne soient pas déconnectés ou soient enlevés de la base de données de session. Il y a aucun terminent Chane de l'autorisation (CoA) après temps configuré.

Exemple

La session maximum d'utilisateur est placée pour permettre seulement une session pour l'utilisateur :

Alice se connecte au réseau utilisant l'IPad à 11:00:34, la deuxième authentification se produit à 11:07 et même l'utilisateur la valeur que maximum de session est accès dépassé est permis. Les deux authentifications sont réussies en raison du contre- délai.

Les essais d'Alice à connecter à un autre périphérique, avant 5 minutes de la dernière connexion réussie passe, ISE rejette l'authentification :

Après 5 minutes de la dernière authentification, Alice pourrait se connecter au réseau au périphérique supplémentaire.

Sur les sessions vivantes vous pourriez voir chacune des session trois dans l'état commencé :

Caractéristique et accès invité maximum de session

Authentification Web centrale

L'une session étant configuré sous la caractéristique maximum de session d'utilisateur, vous pouvez encore se connecter au Guest1 expliquez chacun des deux sessions :

Afin de limiter l'accès invité, vous pouvez spécifier les procédures de connexion simultanées maximum dans la configuration de type d'invité.

Naviguez vers des centres de travail > l'accès invité > le portail et des composants > des types d'invité et changez l'option simultanée maximum de procédures de connexion, suivant les indications de l'image :

Authentification Web locale

L'une session étant configuré sous la session maximum d'utilisateur vous ne pouvez pas se connecter :

Selon les Vivant-logs de Radius, le Guest1 toujours est correctement authentifié en termes d'authentification portaile, une fois que WLC envoie la demande RADIUS avec la deuxième session pour le Guest1, ISE refuse l'accès en raison de dépasse la limite d'utilisateur :

Dépanner

Logs vivants de Radius

L'état détaillé de Radius est un tout premier endroit pour dépanner la caractéristique de MaxSession.

Cette raison de panne indique que la limite maximum globale de session d'utilisateur est dépassée pour ces session/utilisateur, suivant les indications de l'image :

Cette raison de panne indique que la limite maximum de sessions de groupe est dépassée pour ces session/utilisateur, suivant les indications de l'image :

Cette raison de panne indique que la limite maximum de sessions d'utilisateur de groupe est dépassée pour ces session/utilisateur.

Le contrôle du cache de MaxSession se produit après sélection de profil d'autorisation :

Succès :



Panne :

Debugs ISE

Les logs maximum de session se trouvent dans prrt-server.log. Afin de collecter ceux, placez le délai d'exécution-AAA composant POUR DÉBUGGER de niveau (naviguez vers la gestion > le système > en se connectant > configuration de log de debug > RPC), suivant les indications de l'image :

Afin d'obtenir le fichier prrt-server.log naviguez vers des exécutions > dépannent > téléchargement se connecte > des logs RPC > de debug. Des logs maximum de session sont aussi bien collectés dans les debugs de point final (les exécutions > le Troubleshoot>Diagnostic usine > Genral usine > debug de point final).

Contrôle maximum de session d'utilisateur correctement passé :

2017-01-29 08:33:11,310 INFO   [Thread-83][] cisco.cpm.prrt.impl.PrRTLoggerImpl -:::::- SessionCache,INFO ,0x7fe858867700,cntx=0000001335,sesn=pgruszczise22/275051099/8,CPMSessionID=0a3e944f00000e7d588da8a0,user=Bob,CallingStationID=c0-4a-00-14-56-f4,SessionCache::onMaxSessionsAznEvent: current global configuration data: auditSessionTtl=[3600], maxUserSessions=[2],SessionCache.cpp:283
2017-01-29 08:33:11,311 INFO   [Thread-83][] cisco.cpm.prrt.impl.PrRTLoggerImpl -:::::- SessionCache,INFO ,0x7fe858867700,cntx=0000001335,sesn=pgruszczise22/275051099/8,CPMSessionID=0a3e944f00000e7d588da8a0,user=Bob,CallingStationID=c0-4a-00-14-56-f4,SessionCache::checkMaxSessions: user=[Bob] not found in cache due to first time authorization,SessionCache.cpp:1025
2017-01-29 08:33:11,311 DEBUG  [Thread-83][] cisco.cpm.prrt.impl.PrRTLoggerImpl -:::::- SessionCache,DEBUG,0x7fe858867700,cntx=0000001335,sesn=pgruszczise22/275051099/8,CPMSessionID=0a3e944f00000e7d588da8a0,user=Bob,CallingStationID=c0-4a-00-14-56-f4,SessionCache::onMaxSessionsAznEvent: sessionID=[0a3e944f00000e7d588da8a0]; user=[Bob] - checkMaxSessions passed,SessionCache.cpp:360
2017-01-29 08:33:11,311 INFO   [Thread-83][] cisco.cpm.prrt.impl.PrRTLoggerImpl -:::::- SessionCache,INFO ,0x7fe858867700,cntx=0000001335,sesn=pgruszczise22/275051099/8,CPMSessionID=0a3e944f00000e7d588da8a0,user=Bob,CallingStationID=c0-4a-00-14-56-f4,SessionCache::onMaxSessionsAznEvent: create a new session object sessionID=[0a3e944f00000e7d588da8a0]; user=[Bob],SessionCache.cpp:375

ISE incrémente le SessionCounter seulement après qu'il reçoit le début de comptabilité pour la session :

2017-01-29 08:33:11,619 DEBUG  [Thread-90][] cisco.cpm.prrt.impl.PrRTLoggerImpl -:::::- Radius,DEBUG,0x7fe858766700,cntx=0000001503,sesn=pgruszczise22/275051099/9,CPMSessionID=0a3e944f00000e7d588da8a0,CallingStationID=c0-4a-00-14-56-f4,FramedIPAddress=10.62.148.141,RADIUS PACKET:: Code=4(AccountingRequest) Identifier=0 Length=279
     [1] User-Name - value: [Bob] 
     [4] NAS-IP-Address - value: [10.62.148.79] 
     [5] NAS-Port - value: [1] 
     [8] Framed-IP-Address - value: [10.62.148.141] 
     [25] Class - value: [****] 
     [30] Called-Station-ID - value: [80-e0-1d-8b-72-00] 
     [31] Calling-Station-ID - value: [c0-4a-00-14-56-f4] 
     [32] NAS-Identifier - value: [WLC7] 
     [40] Acct-Status-Type - value: [Start] 
     [44] Acct-Session-Id - value: [588da8a0/c0:4a:00:14:56:f4/3789] 
     [45] Acct-Authentic - value: [RADIUS] 
     [55] Event-Timestamp - value: [1485678753] 
     [61] NAS-Port-Type - value: [Wireless - IEEE 802.11] 
     [64] Tunnel-Type - value: [(tag=0) VLAN] 
     [65] Tunnel-Medium-Type - value: [(tag=0) 802] 
     [81] Tunnel-Private-Group-ID - value: [(tag=0) 481] 
     [26] cisco-av-pair - value: [audit-session-id=0a3e944f00000e7d588da8a0] 
     [26] Airespace-Wlan-Id - value: [4] ,RADIUSHandler.cpp:2003

(...)	 

2017-01-29 08:33:11,654 DEBUG  [Thread-83][] cisco.cpm.prrt.impl.PrRTLoggerImpl -:::::- SessionCache,DEBUG,0x7fe858867700,cntx=0000001503,sesn=pgruszczise22/275051099/9,CPMSessionID=0a3e944f00000e7d588da8a0,user=Bob,CallingStationID=c0-4a-00-14-56-f4,FramedIPAddress=10.62.148.141,SessionCache::onAccountingStart: user=[Bob]; sessionID=[0a3e944f00000e7d588da8a0],SessionCache.cpp:537
2017-01-29 08:33:11,655 DEBUG  [Thread-83][] cisco.cpm.prrt.impl.PrRTLoggerImpl -:::::- SessionCache,DEBUG,0x7fe858867700,cntx=0000001503,sesn=pgruszczise22/275051099/9,CPMSessionID=0a3e944f00000e7d588da8a0,user=Bob,CallingStationID=c0-4a-00-14-56-f4,FramedIPAddress=10.62.148.141,SessionCache::incrementSessionCounters: user=[Bob] current user session count=[1],SessionCache.cpp:862

Panne maximum de contrôle de session d'utilisateur :

2017-01-29 08:37:00,534 INFO   [Thread-75][] cisco.cpm.prrt.impl.PrRTLoggerImpl -:::::- SessionCache,INFO ,0x7fe858a69700,cntx=0000005011,sesn=pgruszczise22/275051099/15,CPMSessionID=0a3e944f00000e7f588da966,user=Bob,CallingStationID=34-ab-37-60-63-88,SessionCache::onMaxSessionsAznEvent: current global configuration data: auditSessionTtl=[3600], maxUserSessions=[2],SessionCache.cpp:283
2017-01-29 08:37:00,535 INFO   [Thread-75][] cisco.cpm.prrt.impl.PrRTLoggerImpl -:::::- SessionCache,INFO ,0x7fe858a69700,cntx=0000005011,sesn=pgruszczise22/275051099/15,CPMSessionID=0a3e944f00000e7f588da966,user=Bob,CallingStationID=34-ab-37-60-63-88,SessionCache::checkMaxSessions: user=[Bob] is not authorized because current active user sessions=[2] >= max-user-sessions=[2],SessionCache.cpp:1010
2017-01-29 08:37:00,535 DEBUG  [Thread-75][] cisco.cpm.prrt.impl.PrRTLoggerImpl -:::::- SessionCache,DEBUG,0x7fe858a69700,cntx=0000005011,sesn=pgruszczise22/275051099/15,CPMSessionID=0a3e944f00000e7f588da966,user=Bob,CallingStationID=34-ab-37-60-63-88,SessionCache::onMaxSessionsAznEvent: sessionID=[0a3e944f00000e7f588da966]; user=[Bob] - checkMaxSessions failed,SessionCache.cpp:341
2017-01-29 08:37:00,535 DEBUG  [Thread-75][] cisco.cpm.prrt.impl.PrRTLoggerImpl -:::::- RadiusAuthorization,DEBUG,0x7fe858a69700,cntx=0000005011,sesn=pgruszczise22/275051099/15,CPMSessionID=0a3e944f00000e7f588da966,user=Bob,CallingStationID=34-ab-37-60-63-88,RadiusAuthorization::onResponseMaxSessionsAznEvent return from SessionCache,RadiusAuthorization.cpp:371