Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.
Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.
Ce document décrit comment configurer et dépanner le déploiement du connecteur ISE PIC (Passive Identity Connector) Identity Services Engine avec le fournisseur Active Directory Windows Management Instrumentation (AD WMI). ISE PIC est une version ISE légère qui se concentre sur les fonctions d'ID passif.
ISE PIC est une solution d'ID unique pour toute la gamme de solutions de sécurité Cisco qui utilise uniquement l'identité passive. Cela signifie que l'autorisation ou les politiques ne peuvent pas être configurées sur ISE PIC. Il prend en charge différents fournisseurs (agents, WMI, Syslog, API) et peut être intégré via l'API REST. Il peut interroger des points de terminaison (l'utilisateur est-il connecté ? Le terminal est-il toujours connecté ?)
Cisco vous recommande de prendre connaissance des rubriques suivantes :
Cisco Identity Service Engine
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
La quantité maximale de noeuds dans le déploiement PIC ISE est de 2. Cet exemple montre comment configurer le déploiement PIC ISE pour la haute disponibilité, de sorte que 2 machines virtuelles (VM) soient utilisées. Dans un déploiement ISE PIC, les noeuds peuvent avoir des rôles : Primaire et Secondaire. Dans ce seul noeud peut être principal à la fois et les rôles ne peuvent être modifiés manuellement que via l'interface utilisateur graphique. En cas de défaillance principale, toutes les fonctionnalités sont toujours exécutées sur Secondaire, sauf pour l'interface utilisateur. Seule la promotion manuelle vers Primary active l'interface utilisateur.
Cet exemple montre comment configurer le fournisseur WMI pour Active Directory. WMI consiste en un ensemble d'extensions du modèle de pilote Windows qui fournit une interface de système d'exploitation par laquelle les composants instrumentés fournissent des informations et des notifications. WMI est la mise en oeuvre par Microsoft des normes WBEM (Web-Based Enterprise Management) et CIM (Common Information Model) du Distributed Management Task Force (DMTF).
Note: Pour plus d'informations sur WMI, consultez le site officiel de Microsoft : À propos de WMI
Les informations contenues dans le document utilisent la configuration réseau illustrée dans l'image :
Sur ISE PIC, il n'est possible que d'activer/de désactiver les sondes de point de terminaison. Le noeud principal interroge tous les points de terminaison, le noeud secondaire est réservé à la haute disponibilité.
Toute la chaîne de certificats de votre autorité de certification (CA) doit être installée dans un magasin de confiance ISE. Connectez-vous à l'interface utilisateur graphique PIC d'ISE et accédez à Certificates > Certificates Management > Trusted Certificates. Cliquez sur Importer et sélectionnez le certificat de votre CA à partir de votre PC.
Comme le montre l'image, cliquez sur Soumettre pour enregistrer les modifications. Répétez cette étape pour tous les certificats de la chaîne. Répétez également les étapes sur le noeud secondaire.
Option 1. Certificats déjà générés par CA avec clé privée.
Accédez à Certificates > Certificates Management > System Certificates et cliquez sur Import. Sélectionnez Fichier de certificat et Fichier de clé privée, entrez le champ Mot de passe si la clé privée est chiffrée.
Comme indiqué dans les options de vérification de l'image Utilisation :
Note: Étant donné que le PIC ISE est basé sur le code ISE et peut facilement être converti en ISE complète avec les licences appropriées, toutes les options d'utilisation sont disponibles. Les rôles tels que EAP Authentication, RADIUS DTLS, SAML et Portal ne sont pas utilisés par ISE PIC.
Cliquez sur Submit pour installer le certificat. Répétez également cette procédure sur un noeud secondaire.
Note: Tous les services du noeud PIC ISE redémarrent après l'importation du certificat de serveur.
Option 2. Générez une demande de signature de certificat (CSR), signez-la avec CA et liez-vous sur ISE.
Accédez à la page Certificates > Certificates Management > Certificate Signing Requests et cliquez sur Generate Certificate Signing Requests (CSR).
Sélectionnez le noeud et l'utilisation, saisissez les autres champs si nécessaire :
Cliquez sur Generate. Une nouvelle fenêtre apparaît avec une option pour Exporter CSR généré :
Cliquez sur Exporter, enregistrez le fichier *.pem généré et signez-le avec CA. Une fois le CSR signé, revenez à la page Certificates > Certificates Management > Certificate Signing Requests, sélectionnez votre CSR et cliquez sur Bind Certificate :
Sélectionnez le certificat qui a été signé avec votre autorité de certification et cliquez sur Soumettre pour appliquer les modifications :
Tous les services du noeud PIC ISE redémarrent après avoir cliqué sur Soumettre pour installer le certificat.
ISE PIC permet d'avoir 2 noeuds dans un déploiement pour la haute disponibilité. Il n'est pas nécessaire d'avoir une confiance bidirectionnelle des certificats (par rapport au déploiement ISE habituel). Afin d'ajouter un noeud secondaire au déploiement, accédez à Administration > Deployment page sur votre noeud PIC ISE principal, comme illustré dans l'image :
Entrez le nom de domaine complet (FQDN) du noeud secondaire, les informations d'identification de l'administrateur de ce noeud et cliquez sur Enregistrer. Si le noeud PIC ISE principal n'est pas en mesure de vérifier le certificat d'administrateur du deuxième noeud, il demande une confirmation avant d'installer ce certificat dans un magasin de confiance.
Dans ce cas, cliquez sur Importer le certificat et continuer afin de joindre le noeud au déploiement. Vous devez recevoir une notification indiquant que le noeud a été ajouté avec succès. Tous les services du noeud secondaire redémarrent.
Dans les 10 à 20 minutes, les noeuds doivent être synchronisés et l'état du noeud doit changer de
ISE PIC utilise Windows Management Instrumentation (WMI) pour collecter des informations sur les sessions d'AD et agit comme une communication Pub/Sub, ce qui signifie :
Afin de joindre la PIC ISE au domaine, accédez à Providers > Active Directory et cliquez sur Add:
Renseignez les champs Nom du point de jointure et Domaine Active Directory et cliquez sur Soumettre pour enregistrer les modifications. Le nom du point de jointure est un nom utilisé uniquement dans le PIC ISE. Le domaine Active Directory est le nom du domaine dans lequel le PIC ISE doit être joint et il doit pouvoir être résolu avec le serveur DNS configuré sur le PIC ISE.
Après la création de Join Point ISE PIC doit vous demander si vous souhaitez joindre des noeuds au domaine. Cliquez sur Yes. Une fenêtre doit s'afficher pour vous permettre de fournir des informations d'identification pour rejoindre le domaine :
Renseignez les champs Administrateur de domaine et Mot de passe, puis cliquez sur OK.
Même si le champ est appelé Administrateur de domaine, il n'est pas nécessaire d'utiliser l'utilisateur administrateur pour rejoindre le PIC ISE au domaine. Cet utilisateur doit disposer de privilèges suffisants pour créer et supprimer des comptes d'ordinateurs dans le domaine, ou modifier les mots de passe des comptes d'ordinateurs précédemment créés. Les autorisations de compte Active Directory requises pour effectuer diverses opérations sont disponibles dans ce document.
Cependant, il est nécessaire d'utiliser les informations d'identification de l'administrateur de domaine lors de la jointure si vous souhaitez utiliser WMI. L'option WMI de configuration requiert :
Note: Les informations d'identification de magasin sont toujours activées sur ISE PIC car elles sont requises pour les sondes de point de terminaison et la configuration WMI. ISE les stocke en interne.
Comme l'illustre l'image, le PIC ISE affiche le résultat de l'opération dans une nouvelle fenêtre :
Vérifier et régler les autorisations de l'utilisateur sur AD selon le document : Guide d'installation et d'administration d'ISE-PIC (Passive Identity Connector) Identity Services Engine :
Pour Windows 2008 R2, Windows 2012 et Windows 2012 R2, le groupe Admin du domaine ne dispose pas par défaut d'un contrôle complet sur certaines clés de Registre du système d'exploitation Windows. L'administrateur Active Directory doit accorder à l'utilisateur Active Directory des autorisations de contrôle total sur la clé de Registre suivante
Sur la page du domaine AD, accédez à l'onglet PassiveID et cliquez sur Ajouter des contrôleurs de domaine, comme illustré dans l'image :
Une nouvelle fenêtre apparaît et ISE charge une liste de tous les contrôleurs de domaine disponibles. Sélectionnez les contrôleurs de domaine dans lesquels vous souhaitez configurer WMI et cliquez sur OK pour enregistrer les modifications, comme illustré dans l'image :
Les contrôleurs de domaine sélectionnés sont ajoutés à la liste des contrôleurs de domaine PassiveID. Sélectionnez vos contrôleurs de domaine et cliquez sur le bouton Config WMI :
La PIC ISE affiche un message indiquant que le processus de configuration est en cours :
Au bout de quelques minutes, il affiche un message indiquant que WMI est correctement configuré sur certains contrôleurs de domaine :
L'état du déploiement peut être vérifié de plusieurs manières :
Accédez à Administration > Page Déploiement pour vérifier l'état actuel du déploiement :
À partir de cette page, le noeud secondaire peut être désinscrit si nécessaire. La synchronisation manuelle peut être démarrée et l'état de synchronisation peut être vérifié.
Sur une page PIC ISE principale, il y a un dashlet appelé Abonnés. Avec ce dashlet, vous pouvez vérifier l'état actuel de vos noeuds PIC ISE, comme illustré dans l'image :
ISE PIC crée 2 abonnés pour chaque noeud - admin et mnt. Tous doivent être en état Online, ce qui signifie que les noeuds sont accessibles et opérationnels.
La page des abonnés est une version étendue du dashlet des abonnés de la page d'accueil de ISE PIC. Cette page affiche tous les noeuds pxGrid associés, mais l'état des noeuds PIC ISE peut également être vérifié ici :
ISE PIC permet également de surveiller le résumé de l'état des noeuds. Ce dashlet se trouve à l'adresse Accueil > Tableau de bord > Supplémentaire :
La latence d'authentification est toujours de 0 ms, car le PIC ISE n'effectue aucune authentification/autorisation.
Les statuts des fournisseurs, leur quantité et leur nombre de sessions trouvées peuvent être vérifiés lorsque vous accédez à Accueil > Page Tableau de bord :
Des informations détaillées sur toutes les sessions utilisateur trouvées sont disponibles à la page Sessions en direct :
Il contient des informations telles que :
Pour résoudre les problèmes de déploiement et de réplication, consultez ces fichiers journaux :
Afin d'activer les débogages, accédez à Administration > Logging > Debug Log Configuration :
Ces débogages sont écrits dans le fichier Replication.log. Voici un exemple de processus de réplication normal :
2017-02-24 10:11:06,893 INFO [pool-215-thread-1][] cisco.cpm.deployment.replication.PublisherImpl -::::- Calling the publisher job from clusterstate processor
2017-02-24 10:11:06,893 DEBUG [pool-214-thread-1][] cisco.cpm.deployment.replication.PublisherImpl -::::- Started executing publisher job
2017-02-24 10:11:06,894 DEBUG [pool-214-thread-1][] cisco.cpm.deployment.replication.PublisherImpl -::::- Number of messages with no sequence number is 0
2017-02-24 10:11:06,894 DEBUG [pool-214-thread-1][] cisco.cpm.deployment.replication.PublisherImpl -::::- Finished executing publisher job
2017-02-24 10:11:06,895 DEBUG [pool-214-thread-1][] api.services.persistance.dao.ChangeDataDaoImpl -::::- Data returned in getMinMaxBySequence method=[id=[63ce2fe0-f8cd-11e6-b0ad-005056991a2e],startTime=[0],endTime=[0],applied=[false],data length=[794],sequenceNumber=[502]2017-02-22 08:06:10.782]
2017-02-24 10:11:06,895 DEBUG [pool-214-thread-1][] api.services.persistance.dao.ChangeDataDaoImpl -::::- Data returned in getMinMaxBySequence method=[id=[3ded93c0-fa70-11e6-b684-005056990fbb],startTime=[0],endTime=[0],applied=[false],data length=[794],sequenceNumber=[1600]2017-02-24 10:04:26.364]
2017-02-24 10:11:06,895 DEBUG [pool-214-thread-1][] cisco.cpm.deployment.replication.ClientNodeProxy -::::- Calling setClusterState(name: ise22-pic-1, minSequence: 502, sequence: 1600, active: {ise22-pic-1-5015})
2017-02-24 10:11:06,896 INFO [pool-214-thread-1][] cisco.cpm.deployment.replication.PublisherImpl -::::- Finished sending the clusterState !!!
2017-02-24 10:11:06,899 DEBUG [pool-216-thread-1][] cisco.cpm.deployment.replication.NodeStateMonitorImpl -:::NodeStateMonitor:- MonitorJob starting
2017-02-24 10:11:06,901 DEBUG [pool-216-thread-1][] cisco.cpm.deployment.replication.ClientNodeProxy -:::NodeStateMonitor:- Calling getNodeStates()
2017-02-24 10:11:06,904 INFO [pool-216-thread-1][] cisco.cpm.deployment.replication.NodeStateMonitorImpl -:::NodeStateMonitor:- Nodes in distrubution: {ise22-pic-2=nodeName: ise22-pic-2, status: SYNC COMPLETED, transientStatus: , lastStatusTime: 1487927436906, seqNumber: 1600, createTime: 2017-02-24 10:04:26.364} --- Nodes in cluster: [name: ise22-pic-2, Address: ise22-pic-2-38077, sequence: 1600, createtime: 2017-02-24 10:04:26.364]
2017-02-24 10:11:06,904 DEBUG [pool-216-thread-1][] cisco.cpm.deployment.replication.NodeStateMonitorImpl -:::NodeStateMonitor:- Adding [ nodeName: ise22-pic-2, status: SYNC COMPLETED, transientStatus: , lastStatusTime: 1487927436906, seqNumber: 1600, createTime: 2017-02-24 10:04:26.364 ] to liveDeploymentMembers
2017-02-24 10:11:06,905 DEBUG [pool-216-thread-1][] api.services.persistance.dao.ChangeDataDaoImpl -:::NodeStateMonitor:- Data returned in getMinMaxBySequence method=[id=[63ce2fe0-f8cd-11e6-b0ad-005056991a2e],startTime=[0],endTime=[0],applied=[false],data length=[794],sequenceNumber=[502]2017-02-22 08:06:10.782]
2017-02-24 10:11:06,905 DEBUG [pool-216-thread-1][] api.services.persistance.dao.ChangeDataDaoImpl -:::NodeStateMonitor:- Data returned in getMinMaxBySequence method=[id=[3ded93c0-fa70-11e6-b684-005056990fbb],startTime=[0],endTime=[0],applied=[false],data length=[794],sequenceNumber=[1600]2017-02-24 10:04:26.364]
2017-02-24 10:11:06,905 INFO [pool-216-thread-1][] cisco.cpm.deployment.replication.NodeStateMonitorImpl -:::NodeStateMonitor:- Primary node current status minmum sequence[ 1600 ], cluster state: [ name: ise22-pic-1, minSequence: 502, sequence: 1600, active: {ise22-pic-1-5015} ]
2017-02-24 10:11:06,905 DEBUG [pool-216-thread-1][] cisco.cpm.deployment.replication.NodeStateMonitorImpl -:::NodeStateMonitor:- Processing node state [ name: ise22-pic-2, Address: ise22-pic-2-38077, sequence: 1600, createtime:2017-02-24 10:04:26.364 ]
2017-02-24 10:11:06,905 DEBUG [pool-216-thread-1][] cisco.cpm.deployment.replication.NodeStateMonitorImpl -:::NodeStateMonitor:- ise22-pic-2 - [ nodeName: ise22-pic-2, status: SYNC COMPLETED, transientStatus: , lastStatusTime: 1487927436906, seqNumber: 1600, createTime: 2017-02-24 10:04:26.364 ]
2017-02-24 10:11:06,905 DEBUG [pool-216-thread-1][] cisco.cpm.deployment.replication.NodeStateMonitorImpl -:::NodeStateMonitor:- Adding nodeName: ise22-pic-2, status: SYNC COMPLETED, transientStatus: , lastStatusTime: 1487927436906, seqNumber: 1600, createTime: 2017-02-24 10:04:26.364 to liveJGroupMembers
2017-02-24 10:11:06,905 INFO [pool-216-thread-1][] cisco.cpm.deployment.replication.NodeStateMonitorImpl -:::NodeStateMonitor:- No Of deployedNodes: [ 1 ], No Of liveJGroupNodes: [ 1 ], deadOrSyncInPrgMembersExist: [ false ], latestMinSequence: [ 502 ]
2017-02-24 10:11:06,905 DEBUG [pool-216-thread-1][] cisco.cpm.deployment.replication.NodeStateMonitorImpl -:::NodeStateMonitor:- deadOrSyncInPrgMembersExist =[false], minSequence=[1598],clusterState=[502]
Message de ise-psc.log :
2017-02-24 10:19:36,902 INFO [pool-216-thread-1][] api.services.persistance.dao.DistributionDAO -:::NodeStateMonitor:- Host Name: ise22-pic-2, DB 'SEC_REPLICATIONSTATUS' = SYNC COMPLETED, Node Persona: SECONDARY, ReplicationStatus obj status: SYNC_COMPLETED
Si le noeud secondaire devient inaccessible, il s'affiche à la page Administration > Deployment :
ise-psc.log contient le message suivant :
2017-02-24 10:43:21,587 INFO [admin-http-pool155][] admin.restui.features.deployment.DeploymentIDCUIApi -::::- Replication status for node ise22-pic-2 = NODE NOT REACHABLE
Ce message explique ce qui n'est pas accessible, par exemple, le noeud ne répond pas à la requête ping :
2017-02-24 11:03:53,359 INFO [counterscheduler-call-1][] cisco.cpm.infrastructure.utils.GenericUtil -::::- Received pingNode response : Node is reachable
Mesures à prendre : vérifiez si le nom de domaine complet (FQDN) du noeud canonique est résolvable, vérifiez la connectivité réseau de base entre les noeuds.
Si les applications ne sont pas en état d'exécution sur le noeud secondaire ou s'il existe un pare-feu entre les noeuds, ise-psc.log peut afficher ces messages :
2017-02-24 11:08:14,656 INFO [Thread-10][] com.cisco.epm.util.NodeCheck -::::- Now checking against secondary pap ise22-pic-2 2017-02-24 11:08:14,656 INFO [Thread-10][] com.cisco.epm.util.NodeCheckHelper -::::- inside getHostConfigRemoteServer 2017-02-24 11:08:14,766 WARN [Thread-10][] deployment.client.cert.validator.HttpsCertPathValidatorImpl -::::- Error while connecting to host: ise22-pic-2.vkumov.local. java.net.ConnectException: Connection refused 2017-02-24 11:08:14,871 WARN [Thread-10][] com.cisco.epm.util.NodeCheckHelper -::::- Unable to retrieve the host config from standby pap java.net.ConnectException: Connection refused 2017-02-24 11:08:14,871 WARN [Thread-10][] com.cisco.epm.util.NodeCheckHelper -::::- returning null from getHostConfigRemoteServer 2017-02-24 11:08:14,871 INFO [Thread-10][] com.cisco.epm.util.NodeCheck -::::- remotePrimaryConfig.getNodeRoleStatus() NULL 2017-02-24 11:08:14,871 INFO [Thread-10][] com.cisco.epm.util.NodeCheck -::::- remoteClusterInfo.getDeploymentName NULL
Actions à entreprendre : vérifier l'état de l'application sur le noeud secondaire, vérifier la connectivité réseau si toutes les connexions sont autorisées entre les noeuds.
Pour dépanner Active Directory WMI, recherchez ces fichiers :
Et les débogages utiles peuvent être activés dans Administration > Logging > Debug Log Configuration :
ET:
Voici un exemple d'une nouvelle session apprise de passive-wmi.log avec débogages activés :
2017-02-24 11:36:22,584 DEBUG [Thread-11][] com.cisco.idc.dc-probe- New login event retrieved from Domain Controller. Identity Mapping.ticket = instance of __InstanceCreationEvent { SECURITY_DESCRIPTOR = {1, 0, 20, 128, 96, 0, 0, 0, 112, 0, 0, 0, 0, 0, 0, 0, 20, 0, 0, 0, 2, 0, 76, 0, 3, 0, 0, 0, 0, 0, 20, 0, 69, 0, 15, 0, 1, 1, 0, 0, 0, 0, 0, 5, 18, 0, 0, 0, 0, 0, 24, 0, 69, 0, 0, 0, 1, 2, 0, 0, 0, 0, 0, 5, 32, 0, 0, 0, 32, 2, 0, 0, 0, 0, 24, 0, 65, 0, 0, 0, 1, 2, 0, 0, 0, 0, 0, 5, 32, 0, 0, 0, 61, 2, 0, 0, 1, 2, 0, 0, 0, 0, 0, 5, 32, 0, 0, 0, 32, 2, 0, 0, 1, 1, 0, 0, 0, 0, 0, 5, 18, 0, 0, 0}; TargetInstance = instance of Win32_NTLogEvent { Category = 14339; CategoryString = "Kerberos Authentication Service"; ComputerName = "MainDC.vkumov.local"; EventCode = 4768; EventIdentifier = 4768; EventType = 4; InsertionStrings = {"Administrator", "vkumov.local", "S-1-5-21-2952046201-2792970045-1866348404-500", "krbtgt", "S-1-5-21-2952046201-2792970045-1866348404-502", "0x40810010", "0x0", "0x12", "2", "::1", "0", "", "", ""}; Logfile = "Security"; Message = "A Kerberos authentication ticket (TGT) was requested. \n \nAccount Information: \n\tAccount Name:\t\tAdministrator \n\tSupplied Realm Name:\tvkumov.local \n\tUser ID:\t\t\tS-1-5-21-2952046201-2792970045-1866348404-500 \n \nService Information: \n\tService Name:\t\tkrbtgt \n\tService ID:\t\tS-1-5-21-2952046201-2792970045-1866348404-502 \n \nNetwork Information: \n\tClient Address:\t\t::1 \n\tClient Port:\t\t0 \n \nAdditional Information: \n\tTicket Options:\t\t0x40810010 \n\tResult Code:\t\t0x0 \n\tTicket Encryption Type:\t0x12 \n\tPre-Authentication Type:\t2 \n \nCertificate Information: \n\tCertificate Issuer Name:\t\t \n\tCertificate Serial Number:\t \n\tCertificate Thumbprint:\t\t \n \nCertificate information is only provided if a certificate was used for pre-authentication. \n \nPre-authentication types, ticket options, encryption types and result codes are defined in RFC 4120."; RecordNumber = 918032; SourceName = "Microsoft-Windows-Security-Auditing"; TimeGenerated = "20170224103621.575178-000"; TimeWritten = "20170224103621.575178-000"; Type = "Audit Success"; }; TIME_CREATED = "131324061825752057"; }; , Identity Mapping.dc-domainname = vkumov.local , Identity Mapping.dc-connection-type = Current events , Identity Mapping.dc-name = MainDC.vkumov.local , Identity Mapping.dc-host = MainDC.vkumov.local/10.48.26.52 , 2017-02-24 11:36:22,587 DEBUG [Thread-11][] com.cisco.idc.dc-probe- Replaced local IP. Identity Mapping.ticket = instance of __InstanceCreationEvent { SECURITY_DESCRIPTOR = {1, 0, 20, 128, 96, 0, 0, 0, 112, 0, 0, 0, 0, 0, 0, 0, 20, 0, 0, 0, 2, 0, 76, 0, 3, 0, 0, 0, 0, 0, 20, 0, 69, 0, 15, 0, 1, 1, 0, 0, 0, 0, 0, 5, 18, 0, 0, 0, 0, 0, 24, 0, 69, 0, 0, 0, 1, 2, 0, 0, 0, 0, 0, 5, 32, 0, 0, 0, 32, 2, 0, 0, 0, 0, 24, 0, 65, 0, 0, 0, 1, 2, 0, 0, 0, 0, 0, 5, 32, 0, 0, 0, 61, 2, 0, 0, 1, 2, 0, 0, 0, 0, 0, 5, 32, 0, 0, 0, 32, 2, 0, 0, 1, 1, 0, 0, 0, 0, 0, 5, 18, 0, 0, 0}; TargetInstance = instance of Win32_NTLogEvent { Category = 14339; CategoryString = "Kerberos Authentication Service"; ComputerName = "MainDC.vkumov.local"; EventCode = 4768; EventIdentifier = 4768; EventType = 4; InsertionStrings = {"Administrator", "vkumov.local", "S-1-5-21-2952046201-2792970045-1866348404-500", "krbtgt", "S-1-5-21-2952046201-2792970045-1866348404-502", "0x40810010", "0x0", "0x12", "2", "::1", "0", "", "", ""}; Logfile = "Security"; Message = "A Kerberos authentication ticket (TGT) was requested. \n \nAccount Information: \n\tAccount Name:\t\tAdministrator \n\tSupplied Realm Name:\tvkumov.local \n\tUser ID:\t\t\tS-1-5-21-2952046201-2792970045-1866348404-500 \n \nService Information: \n\tService Name:\t\tkrbtgt \n\tService ID:\t\tS-1-5-21-2952046201-2792970045-1866348404-502 \n \nNetwork Information: \n\tClient Address:\t\t::1 \n\tClient Port:\t\t0 \n \nAdditional Information: \n\tTicket Options:\t\t0x40810010 \n\tResult Code:\t\t0x0 \n\tTicket Encryption Type:\t0x12 \n\tPre-Authentication Type:\t2 \n \nCertificate Information: \n\tCertificate Issuer Name:\t\t \n\tCertificate Serial Number:\t \n\tCertificate Thumbprint:\t\t \n \nCertificate information is only provided if a certificate was used for pre-authentication. \n \nPre-authentication types, ticket options, encryption types and result codes are defined in RFC 4120."; RecordNumber = 918032; SourceName = "Microsoft-Windows-Security-Auditing"; TimeGenerated = "20170224103621.575178-000"; TimeWritten = "20170224103621.575178-000"; Type = "Audit Success"; }; TIME_CREATED = "131324061825752057"; }; , Identity Mapping.dc-domainname = vkumov.local , Identity Mapping.dc-connection-type = Current events , Identity Mapping.probe = WMI , Identity Mapping.event-local-ip-address = ::1 , Identity Mapping.dc-name = MainDC.vkumov.local , Identity Mapping.dc-host = MainDC.vkumov.local/10.48.26.52 , Identity Mapping.server = ise22-pic-2 , Identity Mapping.event-ip-address = 10.48.26.52 , 2017-02-24 11:36:22,589 DEBUG [Thread-11][] com.cisco.idc.dc-probe- Received login event. Identity Mapping.ticket = instance of __InstanceCreationEvent { SECURITY_DESCRIPTOR = {1, 0, 20, 128, 96, 0, 0, 0, 112, 0, 0, 0, 0, 0, 0, 0, 20, 0, 0, 0, 2, 0, 76, 0, 3, 0, 0, 0, 0, 0, 20, 0, 69, 0, 15, 0, 1, 1, 0, 0, 0, 0, 0, 5, 18, 0, 0, 0, 0, 0, 24, 0, 69, 0, 0, 0, 1, 2, 0, 0, 0, 0, 0, 5, 32, 0, 0, 0, 32, 2, 0, 0, 0, 0, 24, 0, 65, 0, 0, 0, 1, 2, 0, 0, 0, 0, 0, 5, 32, 0, 0, 0, 61, 2, 0, 0, 1, 2, 0, 0, 0, 0, 0, 5, 32, 0, 0, 0, 32, 2, 0, 0, 1, 1, 0, 0, 0, 0, 0, 5, 18, 0, 0, 0}; TargetInstance = instance of Win32_NTLogEvent { Category = 14339; CategoryString = "Kerberos Authentication Service"; ComputerName = "MainDC.vkumov.local"; EventCode = 4768; EventIdentifier = 4768; EventType = 4; InsertionStrings = {"Administrator", "vkumov.local", "S-1-5-21-2952046201-2792970045-1866348404-500", "krbtgt", "S-1-5-21-2952046201-2792970045-1866348404-502", "0x40810010", "0x0", "0x12", "2", "::1", "0", "", "", ""}; Logfile = "Security"; Message = "A Kerberos authentication ticket (TGT) was requested. \n \nAccount Information: \n\tAccount Name:\t\tAdministrator \n\tSupplied Realm Name:\tvkumov.local \n\tUser ID:\t\t\tS-1-5-21-2952046201-2792970045-1866348404-500 \n \nService Information: \n\tService Name:\t\tkrbtgt \n\tService ID:\t\tS-1-5-21-2952046201-2792970045-1866348404-502 \n \nNetwork Information: \n\tClient Address:\t\t::1 \n\tClient Port:\t\t0 \n \nAdditional Information: \n\tTicket Options:\t\t0x40810010 \n\tResult Code:\t\t0x0 \n\tTicket Encryption Type:\t0x12 \n\tPre-Authentication Type:\t2 \n \nCertificate Information: \n\tCertificate Issuer Name:\t\t \n\tCertificate Serial Number:\t \n\tCertificate Thumbprint:\t\t \n \nCertificate information is only provided if a certificate was used for pre-authentication. \n \nPre-authentication types, ticket options, encryption types and result codes are defined in RFC 4120."; RecordNumber = 918032; SourceName = "Microsoft-Windows-Security-Auditing"; TimeGenerated = "20170224103621.575178-000"; TimeWritten = "20170224103621.575178-000"; Type = "Audit Success"; }; TIME_CREATED = "131324061825752057"; }; , Identity Mapping.dc-domainname = vkumov.local , Identity Mapping.dc-connection-type = Current events , Identity Mapping.probe = WMI , Identity Mapping.event-local-ip-address = ::1 , Identity Mapping.dc-name = MainDC.vkumov.local , Identity Mapping.event-user-name = Administrator , Identity Mapping.dc-host = MainDC.vkumov.local/10.48.26.52 , Identity Mapping.server = ise22-pic-2 , Identity Mapping.event-ip-address = 10.48.26.52 ,
Exemple de vérification du point de terminaison à partir de passive-endpoint.log (dans ce cas, le point de terminaison n'était pas accessible à partir de ISE) :
2017-02-23 13:48:29,298 INFO [EndPointProbe-Workers-Check-2][] com.cisco.idc.endpoint-probe- [PsExec-10.48.26.51] is User=vkumov.local/Administrator Still There ? ... 2017-02-23 13:48:32,335 INFO [EndPointProbe-Workers-Check-2][] com.cisco.idc.endpoint-probe- [PsExec-10.48.26.51] Identity check result is - > Endpoint UNREACHABLE
Si l'utilisateur utilisé pour joindre le PIC ISE au domaine ne dispose pas des autorisations suffisantes, le PIC ISE émet une erreur lors de la configuration WMI :
Les débogages appropriés se trouvent dans le fichier ad_agent.log (le niveau du journal Active Directory doit être défini sur DEBUG) :
26/02/2017 19:15:45,VERBOSE,139954093012736,SMBGSSContextNegotiate: state = 1,lwio/server/smbcommon/smbkrb5.c:460 26/02/2017 19:15:45,VERBOSE,139956055955200,Session 0x7f49bc001430 is eligible for reaping,lwio/server/rdr/session2.c:290 26/02/2017 19:15:45,VERBOSE,139954101405440,Error at ../../lsass/server/auth-providers/ad-open-provider/provider-main.c:7503 [code: C0000022],lsass/server/auth-providers/ad-open-provider/provider-main.c:7503 26/02/2017 19:15:45,VERBOSE,139954101405440,Extended Error code: 60190 (symbol: LW_ERROR_ISEEXEC_CP_OPEN_REMOTE_FILE),lsass/server/auth-providers/ad-open-provider/provider-main.c:7627 26/02/2017 19:15:45,VERBOSE,139954101405440,Error at ../../lsass/server/auth-providers/ad-open-provider/provider-main.c:7628 [code: C0000022],lsass/server/auth-providers/ad-open-provider/provider-main.c:7628 26/02/2017 19:15:45,VERBOSE,139954101405440,Error code: 5 (symbol: ERROR_ACCESS_DENIED),lsass/server/auth-providers/ad-open-provider/provider-main.c:7782 26/02/2017 19:15:45,VERBOSE,139954101405440,Error code: 5 (symbol: ERROR_ACCESS_DENIED),lsass/server/auth-providers/ad-open-provider/provider-main.c:7855 26/02/2017 19:15:45,VERBOSE,139954101405440,Error code: 5 (symbol: ERROR_ACCESS_DENIED),lsass/server/api/api2.c:2713 26/02/2017 19:15:45,VERBOSE,139956064347904,(session:ee880a4e15e682f4-08401b84f371a140) Dropping: LWMSG_STATUS_PEER_CLOSE,lwmsg/src/peer-task.c:625 26/02/2017 19:15:50,VERBOSE,139956055955200,RdrSocketRelease(0x7f496800b6e0, 38): socket is eligible for reaping,lwio/server/rdr/socket.c:2239
Actions à entreprendre : Rejoindre les noeuds PIC ISE au domaine avec des informations d'identification d'administrateur de domaine ou ajouter l'utilisateur utilisé pour l'opération de jointure au groupe Administrateurs de domaine dans AD.