La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.
Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).
In questo documento viene descritto come configurare e risolvere i problemi relativi alla distribuzione di Identity Services Engine Passive Identity Connector (ISE PIC) con il provider WMI Active Directory. ISE PIC è una versione leggera di ISE che si concentra sulle funzionalità dell'ID passivo.
ISE PIC è una soluzione a ID singolo per tutte le soluzioni Cisco Security Portfolio che utilizza solo identità passiva. Ciò significa che l'autorizzazione o le policy non possono essere configurate su ISE PIC. Supporta diversi provider (Agents, WMI, Syslog, API) e può essere integrato tramite l'API REST. Può eseguire query sugli endpoint. L'utente ha eseguito l'accesso? L'endpoint è ancora connesso?)
Cisco raccomanda la conoscenza di base dei seguenti argomenti:
Cisco Identity Service Engine
Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
Il numero massimo di nodi nella distribuzione ISE PIC è 2. Nell'esempio viene mostrato come configurare la distribuzione ISE PIC per l'alta disponibilità, in modo da utilizzare 2 macchine virtuali (VM). In un'implementazione ISE PIC, i nodi possono avere i seguenti ruoli: Primario e secondario. In questo caso, solo un nodo può essere primario alla volta e i ruoli possono essere modificati solo manualmente tramite GUI. In caso di errore primario, tutte le funzionalità vengono ancora eseguite su Secondario ad eccezione di UI. Solo la promozione manuale a principale consente di attivare l'interfaccia utente.
In questo esempio viene illustrato come configurare il provider WMI per Active Directory. WMI è costituito da un insieme di estensioni del modello di driver di Windows che fornisce un'interfaccia del sistema operativo tramite la quale i componenti instrumentati forniscono informazioni e notifiche. WMI è l'implementazione Microsoft degli standard WBEM (Web-Based Enterprise Management) e CIM (Common Information Model) della Distributed Management Task Force (DMTF).
Nota: Ulteriori informazioni su WMI sono disponibili sul sito ufficiale di Microsoft: Informazioni su WMI
Le informazioni contenute nel documento utilizzano le impostazioni di rete mostrate nell'immagine:
Con ISE PIC, è possibile solo abilitare/disabilitare le sonde per endpoint. Il nodo primario esegue una query su tutti gli endpoint. Il nodo secondario è solo per la disponibilità elevata.
È necessario installare la catena completa di certificati dell'Autorità di certificazione (CA) nell'archivio attendibile ISE. Effettuare il login alla GUI ISE PIC e selezionare Certificati > Gestione certificati > Certificati attendibili. Fare clic su Importa e selezionare il certificato della CA dal PC.
Come mostrato nell'immagine, fare clic su Submit (Invia) per salvare le modifiche. Ripetere questo passaggio per tutti i certificati della catena. Ripetere i passaggi anche sul nodo secondario.
Opzione 1. Certificati già generati da CA insieme alla chiave privata.
Passare a Certificati > Gestione certificati > Certificati di sistema e fare clic su Importa. Selezionare File certificato e File chiave privata, immettere il campo Password se la chiave privata è crittografata.
Come mostrato nell'immagine, controllare le opzioni di utilizzo:
Nota: Poiché ISE PIC è basato su codice ISE e può essere facilmente convertito in ISE completo di tutte le funzionalità con le licenze appropriate, sono disponibili tutte le opzioni di utilizzo. ISE PIC non utilizza ruoli quali Autenticazione EAP, RADIUS DTLS, SAML e Portal.
Fare clic su Invia per installare il certificato. Ripetere questa procedura anche su un nodo secondario.
Nota: Tutti i servizi sul nodo ISE PIC vengono riavviati dopo l'importazione del certificato del server.
Opzione 2. Generare la richiesta di firma del certificato (CSR), firmarla con CA e associarsi all'ISE.
Passare alla pagina Certificati > Gestione certificati > Richieste di firma del certificato e fare clic su Genera richieste di firma del certificato (CSR).
Selezionare il nodo e l'utilizzo, immettere gli altri campi, se necessario:
Fare clic su Genera. Viene visualizzata una nuova finestra con l'opzione Esporta CSR generato:
Fare clic su Esporta, salvare il file *.pem generato e firmarlo con CA. Dopo aver firmato CSR, tornare alla pagina Certificati > Gestione certificati > Richieste di firma del certificato, selezionare il CSR e fare clic su Associa certificato:
Selezionare il certificato firmato con la CA e fare clic su Invia per applicare le modifiche:
Tutti i servizi sul nodo ISE PIC vengono riavviati dopo aver fatto clic su Submit (Invia) per installare il certificato.
ISE PIC prevede 2 nodi in un'implementazione per l'alta disponibilità. Non è necessario avere un trust bidirezionale tra certificati (rispetto alla normale distribuzione ISE). Per aggiungere un nodo secondario alla distribuzione, passare alla pagina Amministrazione > Distribuzione sul nodo principale ISE PIC, come mostrato nell'immagine:
Immettere il nome di dominio completo (FQDN) del nodo secondario, le credenziali di amministratore del nodo e fare clic su Salva. Nel caso in cui il nodo primario ISE PIC non sia in grado di verificare il certificato di amministratore del secondo nodo, richiede la conferma prima di installare il certificato nell'archivio attendibile.
In questo caso, fare clic su Importa certificato e procedere per aggiungere il nodo alla distribuzione. È consigliabile ricevere una notifica che avvisa che il nodo è stato aggiunto correttamente. Tutti i servizi nel nodo secondario vengono riavviati.
Entro 10-20 minuti i nodi devono essere sincronizzati e lo stato del nodo deve essere modificato da
ISE PIC utilizza Strumentazione gestione Windows (WMI) per raccogliere informazioni sulle sessioni da AD e opera come una community Pub/Sub, il che significa:
Per aggiungere ISE PIC al dominio, selezionare Provider > Active Directory, quindi fare clic su Add (Aggiungi):
Compilare i campi Nome punto di join e Dominio Active Directory e fare clic su Invia per salvare le modifiche. Nome punto di join è un nome utilizzato solo in ISE PIC. Dominio Active Directory è il nome del dominio a cui deve essere aggiunto ISE PIC e deve essere risolvibile con il server DNS configurato su ISE PIC.
Dopo la creazione di Join Point ISE PIC dovrebbe chiedere se si desidera aggiungere nodi al dominio. Fare clic su Sì. Viene visualizzata una finestra che consente di fornire le credenziali per l'aggiunta al dominio:
Compilare i campi Domain Administrator e Password e fare clic su OK.
Anche se il campo è denominato Domain Administrator, non è necessario utilizzare l'utente amministratore per aggiungere l'ISE PIC al dominio. L'utente deve disporre di privilegi sufficienti per creare e rimuovere account computer nel dominio o per modificare le password per account computer creati in precedenza. In questo documento sono disponibili le autorizzazioni per account di Active Directory necessarie per eseguire diverse operazioni.
È tuttavia necessario utilizzare le credenziali di Domain Administrator durante l'aggiunta se si desidera utilizzare WMI. L'opzione Config WMI richiede:
Nota: Store Credentials è sempre abilitato su ISE PIC poiché è richiesto per le sonde per endpoint e la configurazione WMI. ISE le memorizza internamente,
Come mostrato nell'immagine, ISE PIC mostra il risultato dell'operazione in una nuova finestra:
Verificare e ottimizzare le autorizzazioni per l'utente in Active Directory per il documento: Guida all'installazione e amministrazione di Identity Services Engine Passive Identity Connector (ISE-PIC):
Per impostazione predefinita, in Windows 2008 R2, Windows 2012 e Windows 2012 R2 il gruppo Domain Admin non dispone del controllo completo su determinate chiavi del Registro di sistema nel sistema operativo Windows. L'amministratore di Active Directory deve concedere all'utente di Active Directory autorizzazioni di controllo completo per la chiave del Registro di sistema seguente
Nella pagina Dominio Active Directory passare alla scheda ID passivo e fare clic su Aggiungi controller di dominio, come mostrato nell'immagine:
Viene visualizzata una nuova finestra e ISE carica un elenco di tutti i controller di dominio disponibili. Selezionare i controller di dominio in cui configurare WMI e fare clic su OK per salvare le modifiche, come mostrato nell'immagine:
I controller di dominio selezionati vengono aggiunti all'elenco dei controller di dominio con ID passivo. Selezionare i controller di dominio e fare clic sul pulsante Configura WMI:
ISE PIC visualizza un messaggio indicante che è in corso un processo di configurazione:
Dopo alcuni minuti viene visualizzato un messaggio che indica che WMI è stato configurato correttamente nei controller di dominio selezionati:
È possibile controllare lo stato della distribuzione in diversi modi:
Passare alla pagina Amministrazione > Distribuzione. È possibile controllare lo stato corrente della distribuzione:
Da questa pagina è possibile annullare la registrazione del nodo secondario, se necessario. È possibile avviare la sincronizzazione manuale e controllare lo stato della sincronizzazione.
Sulla pagina principale di ISE PIC è presente una dashlet chiamata Subscribers. Con questa dashlet è possibile controllare lo stato attuale dei nodi ISE PIC, come mostrato nell'immagine:
ISE PIC crea 2 iscritti per ciascun nodo - admin e mnt. Tutti devono essere in stato Online il che significa che i nodi sono raggiungibili e operativi.
Subscribers page è una versione estesa della dashlet Subscribers dalla Home page di ISE PIC. Questa pagina mostra tutte le informazioni relative a pxGrid, tuttavia lo stato dei nodi ISE PIC può essere controllato anche qui:
ISE PIC consente anche di monitorare il riepilogo dello stato dei nodi. Questa dashlet è disponibile in Home > Dashboard > Ulteriori informazioni:
La latenza di autenticazione è sempre di 0 ms in quanto ISE PIC non esegue alcuna autenticazione/autorizzazione.
Gli stati dei provider, la loro quantità e la quantità di sessioni trovate possono essere controllati mentre si passa alla pagina Home > Dashboard:
Informazioni dettagliate su tutte le sessioni degli utenti trovate sono disponibili nella pagina Live Sessions:
Contiene informazioni quali:
Per risolvere i problemi relativi alla distribuzione e alla replica, esaminare i seguenti file di registro:
Per abilitare i debug, selezionare Amministrazione > Registrazione > Configurazione log di debug:
Questi debug vengono scritti nel file replication.log. Di seguito è riportato un esempio di un normale processo di replica:
2017-02-24 10:11:06,893 INFO [pool-215-thread-1][] cisco.cpm.deployment.replication.PublisherImpl -::::- Calling the publisher job from clusterstate processor
2017-02-24 10:11:06,893 DEBUG [pool-214-thread-1][] cisco.cpm.deployment.replication.PublisherImpl -::::- Started executing publisher job
2017-02-24 10:11:06,894 DEBUG [pool-214-thread-1][] cisco.cpm.deployment.replication.PublisherImpl -::::- Number of messages with no sequence number is 0
2017-02-24 10:11:06,894 DEBUG [pool-214-thread-1][] cisco.cpm.deployment.replication.PublisherImpl -::::- Finished executing publisher job
2017-02-24 10:11:06,895 DEBUG [pool-214-thread-1][] api.services.persistance.dao.ChangeDataDaoImpl -::::- Data returned in getMinMaxBySequence method=[id=[63ce2fe0-f8cd-11e6-b0ad-005056991a2e],startTime=[0],endTime=[0],applied=[false],data length=[794],sequenceNumber=[502]2017-02-22 08:06:10.782]
2017-02-24 10:11:06,895 DEBUG [pool-214-thread-1][] api.services.persistance.dao.ChangeDataDaoImpl -::::- Data returned in getMinMaxBySequence method=[id=[3ded93c0-fa70-11e6-b684-005056990fbb],startTime=[0],endTime=[0],applied=[false],data length=[794],sequenceNumber=[1600]2017-02-24 10:04:26.364]
2017-02-24 10:11:06,895 DEBUG [pool-214-thread-1][] cisco.cpm.deployment.replication.ClientNodeProxy -::::- Calling setClusterState(name: ise22-pic-1, minSequence: 502, sequence: 1600, active: {ise22-pic-1-5015})
2017-02-24 10:11:06,896 INFO [pool-214-thread-1][] cisco.cpm.deployment.replication.PublisherImpl -::::- Finished sending the clusterState !!!
2017-02-24 10:11:06,899 DEBUG [pool-216-thread-1][] cisco.cpm.deployment.replication.NodeStateMonitorImpl -:::NodeStateMonitor:- MonitorJob starting
2017-02-24 10:11:06,901 DEBUG [pool-216-thread-1][] cisco.cpm.deployment.replication.ClientNodeProxy -:::NodeStateMonitor:- Calling getNodeStates()
2017-02-24 10:11:06,904 INFO [pool-216-thread-1][] cisco.cpm.deployment.replication.NodeStateMonitorImpl -:::NodeStateMonitor:- Nodes in distrubution: {ise22-pic-2=nodeName: ise22-pic-2, status: SYNC COMPLETED, transientStatus: , lastStatusTime: 1487927436906, seqNumber: 1600, createTime: 2017-02-24 10:04:26.364} --- Nodes in cluster: [name: ise22-pic-2, Address: ise22-pic-2-38077, sequence: 1600, createtime: 2017-02-24 10:04:26.364]
2017-02-24 10:11:06,904 DEBUG [pool-216-thread-1][] cisco.cpm.deployment.replication.NodeStateMonitorImpl -:::NodeStateMonitor:- Adding [ nodeName: ise22-pic-2, status: SYNC COMPLETED, transientStatus: , lastStatusTime: 1487927436906, seqNumber: 1600, createTime: 2017-02-24 10:04:26.364 ] to liveDeploymentMembers
2017-02-24 10:11:06,905 DEBUG [pool-216-thread-1][] api.services.persistance.dao.ChangeDataDaoImpl -:::NodeStateMonitor:- Data returned in getMinMaxBySequence method=[id=[63ce2fe0-f8cd-11e6-b0ad-005056991a2e],startTime=[0],endTime=[0],applied=[false],data length=[794],sequenceNumber=[502]2017-02-22 08:06:10.782]
2017-02-24 10:11:06,905 DEBUG [pool-216-thread-1][] api.services.persistance.dao.ChangeDataDaoImpl -:::NodeStateMonitor:- Data returned in getMinMaxBySequence method=[id=[3ded93c0-fa70-11e6-b684-005056990fbb],startTime=[0],endTime=[0],applied=[false],data length=[794],sequenceNumber=[1600]2017-02-24 10:04:26.364]
2017-02-24 10:11:06,905 INFO [pool-216-thread-1][] cisco.cpm.deployment.replication.NodeStateMonitorImpl -:::NodeStateMonitor:- Primary node current status minmum sequence[ 1600 ], cluster state: [ name: ise22-pic-1, minSequence: 502, sequence: 1600, active: {ise22-pic-1-5015} ]
2017-02-24 10:11:06,905 DEBUG [pool-216-thread-1][] cisco.cpm.deployment.replication.NodeStateMonitorImpl -:::NodeStateMonitor:- Processing node state [ name: ise22-pic-2, Address: ise22-pic-2-38077, sequence: 1600, createtime:2017-02-24 10:04:26.364 ]
2017-02-24 10:11:06,905 DEBUG [pool-216-thread-1][] cisco.cpm.deployment.replication.NodeStateMonitorImpl -:::NodeStateMonitor:- ise22-pic-2 - [ nodeName: ise22-pic-2, status: SYNC COMPLETED, transientStatus: , lastStatusTime: 1487927436906, seqNumber: 1600, createTime: 2017-02-24 10:04:26.364 ]
2017-02-24 10:11:06,905 DEBUG [pool-216-thread-1][] cisco.cpm.deployment.replication.NodeStateMonitorImpl -:::NodeStateMonitor:- Adding nodeName: ise22-pic-2, status: SYNC COMPLETED, transientStatus: , lastStatusTime: 1487927436906, seqNumber: 1600, createTime: 2017-02-24 10:04:26.364 to liveJGroupMembers
2017-02-24 10:11:06,905 INFO [pool-216-thread-1][] cisco.cpm.deployment.replication.NodeStateMonitorImpl -:::NodeStateMonitor:- No Of deployedNodes: [ 1 ], No Of liveJGroupNodes: [ 1 ], deadOrSyncInPrgMembersExist: [ false ], latestMinSequence: [ 502 ]
2017-02-24 10:11:06,905 DEBUG [pool-216-thread-1][] cisco.cpm.deployment.replication.NodeStateMonitorImpl -:::NodeStateMonitor:- deadOrSyncInPrgMembersExist =[false], minSequence=[1598],clusterState=[502]
Messaggio da ise-psc.log:
2017-02-24 10:19:36,902 INFO [pool-216-thread-1][] api.services.persistance.dao.DistributionDAO -:::NodeStateMonitor:- Host Name: ise22-pic-2, DB 'SEC_REPLICATIONSTATUS' = SYNC COMPLETED, Node Persona: SECONDARY, ReplicationStatus obj status: SYNC_COMPLETED
Se il nodo secondario diventa irraggiungibile, viene visualizzato nella pagina Amministrazione > Distribuzione:
ise-psc.log contiene il seguente messaggio:
2017-02-24 10:43:21,587 INFO [admin-http-pool155][] admin.restui.features.deployment.DeploymentIDCUIApi -::::- Replication status for node ise22-pic-2 = NODE NOT REACHABLE
Questo messaggio spiega ciò che non è raggiungibile, ad esempio il nodo non risponde al ping:
2017-02-24 11:03:53,359 INFO [counterscheduler-call-1][] cisco.cpm.infrastructure.utils.GenericUtil -::::- Received pingNode response : Node is reachable
Azioni da intraprendere: verificare se l'FQDN del nodo secondario è risolvibile, controllare la connettività di rete di base tra i nodi.
Se le applicazioni non sono in esecuzione sul nodo secondario o è presente un firewall tra i nodi, ise-psc.log può visualizzare i messaggi seguenti:
2017-02-24 11:08:14,656 INFO [Thread-10][] com.cisco.epm.util.NodeCheck -::::- Now checking against secondary pap ise22-pic-2 2017-02-24 11:08:14,656 INFO [Thread-10][] com.cisco.epm.util.NodeCheckHelper -::::- inside getHostConfigRemoteServer 2017-02-24 11:08:14,766 WARN [Thread-10][] deployment.client.cert.validator.HttpsCertPathValidatorImpl -::::- Error while connecting to host: ise22-pic-2.vkumov.local. java.net.ConnectException: Connection refused 2017-02-24 11:08:14,871 WARN [Thread-10][] com.cisco.epm.util.NodeCheckHelper -::::- Unable to retrieve the host config from standby pap java.net.ConnectException: Connection refused 2017-02-24 11:08:14,871 WARN [Thread-10][] com.cisco.epm.util.NodeCheckHelper -::::- returning null from getHostConfigRemoteServer 2017-02-24 11:08:14,871 INFO [Thread-10][] com.cisco.epm.util.NodeCheck -::::- remotePrimaryConfig.getNodeRoleStatus() NULL 2017-02-24 11:08:14,871 INFO [Thread-10][] com.cisco.epm.util.NodeCheck -::::- remoteClusterInfo.getDeploymentName NULL
Azioni da eseguire: verificare lo stato dell'applicazione nel nodo secondario, controllare la connettività di rete se tutte le connessioni sono consentite tra i nodi.
Per risolvere i problemi relativi all'analisi di tali file da parte di WMI di Active Directory:
I debug utili possono essere abilitati selezionando Amministrazione > Registrazione > Configurazione log di debug:
E:
Di seguito è riportato un esempio di una nuova sessione appresa da passive-wmi.log con debug abilitati:
2017-02-24 11:36:22,584 DEBUG [Thread-11][] com.cisco.idc.dc-probe- New login event retrieved from Domain Controller. Identity Mapping.ticket = instance of __InstanceCreationEvent { SECURITY_DESCRIPTOR = {1, 0, 20, 128, 96, 0, 0, 0, 112, 0, 0, 0, 0, 0, 0, 0, 20, 0, 0, 0, 2, 0, 76, 0, 3, 0, 0, 0, 0, 0, 20, 0, 69, 0, 15, 0, 1, 1, 0, 0, 0, 0, 0, 5, 18, 0, 0, 0, 0, 0, 24, 0, 69, 0, 0, 0, 1, 2, 0, 0, 0, 0, 0, 5, 32, 0, 0, 0, 32, 2, 0, 0, 0, 0, 24, 0, 65, 0, 0, 0, 1, 2, 0, 0, 0, 0, 0, 5, 32, 0, 0, 0, 61, 2, 0, 0, 1, 2, 0, 0, 0, 0, 0, 5, 32, 0, 0, 0, 32, 2, 0, 0, 1, 1, 0, 0, 0, 0, 0, 5, 18, 0, 0, 0}; TargetInstance = instance of Win32_NTLogEvent { Category = 14339; CategoryString = "Kerberos Authentication Service"; ComputerName = "MainDC.vkumov.local"; EventCode = 4768; EventIdentifier = 4768; EventType = 4; InsertionStrings = {"Administrator", "vkumov.local", "S-1-5-21-2952046201-2792970045-1866348404-500", "krbtgt", "S-1-5-21-2952046201-2792970045-1866348404-502", "0x40810010", "0x0", "0x12", "2", "::1", "0", "", "", ""}; Logfile = "Security"; Message = "A Kerberos authentication ticket (TGT) was requested. \n \nAccount Information: \n\tAccount Name:\t\tAdministrator \n\tSupplied Realm Name:\tvkumov.local \n\tUser ID:\t\t\tS-1-5-21-2952046201-2792970045-1866348404-500 \n \nService Information: \n\tService Name:\t\tkrbtgt \n\tService ID:\t\tS-1-5-21-2952046201-2792970045-1866348404-502 \n \nNetwork Information: \n\tClient Address:\t\t::1 \n\tClient Port:\t\t0 \n \nAdditional Information: \n\tTicket Options:\t\t0x40810010 \n\tResult Code:\t\t0x0 \n\tTicket Encryption Type:\t0x12 \n\tPre-Authentication Type:\t2 \n \nCertificate Information: \n\tCertificate Issuer Name:\t\t \n\tCertificate Serial Number:\t \n\tCertificate Thumbprint:\t\t \n \nCertificate information is only provided if a certificate was used for pre-authentication. \n \nPre-authentication types, ticket options, encryption types and result codes are defined in RFC 4120."; RecordNumber = 918032; SourceName = "Microsoft-Windows-Security-Auditing"; TimeGenerated = "20170224103621.575178-000"; TimeWritten = "20170224103621.575178-000"; Type = "Audit Success"; }; TIME_CREATED = "131324061825752057"; }; , Identity Mapping.dc-domainname = vkumov.local , Identity Mapping.dc-connection-type = Current events , Identity Mapping.dc-name = MainDC.vkumov.local , Identity Mapping.dc-host = MainDC.vkumov.local/10.48.26.52 , 2017-02-24 11:36:22,587 DEBUG [Thread-11][] com.cisco.idc.dc-probe- Replaced local IP. Identity Mapping.ticket = instance of __InstanceCreationEvent { SECURITY_DESCRIPTOR = {1, 0, 20, 128, 96, 0, 0, 0, 112, 0, 0, 0, 0, 0, 0, 0, 20, 0, 0, 0, 2, 0, 76, 0, 3, 0, 0, 0, 0, 0, 20, 0, 69, 0, 15, 0, 1, 1, 0, 0, 0, 0, 0, 5, 18, 0, 0, 0, 0, 0, 24, 0, 69, 0, 0, 0, 1, 2, 0, 0, 0, 0, 0, 5, 32, 0, 0, 0, 32, 2, 0, 0, 0, 0, 24, 0, 65, 0, 0, 0, 1, 2, 0, 0, 0, 0, 0, 5, 32, 0, 0, 0, 61, 2, 0, 0, 1, 2, 0, 0, 0, 0, 0, 5, 32, 0, 0, 0, 32, 2, 0, 0, 1, 1, 0, 0, 0, 0, 0, 5, 18, 0, 0, 0}; TargetInstance = instance of Win32_NTLogEvent { Category = 14339; CategoryString = "Kerberos Authentication Service"; ComputerName = "MainDC.vkumov.local"; EventCode = 4768; EventIdentifier = 4768; EventType = 4; InsertionStrings = {"Administrator", "vkumov.local", "S-1-5-21-2952046201-2792970045-1866348404-500", "krbtgt", "S-1-5-21-2952046201-2792970045-1866348404-502", "0x40810010", "0x0", "0x12", "2", "::1", "0", "", "", ""}; Logfile = "Security"; Message = "A Kerberos authentication ticket (TGT) was requested. \n \nAccount Information: \n\tAccount Name:\t\tAdministrator \n\tSupplied Realm Name:\tvkumov.local \n\tUser ID:\t\t\tS-1-5-21-2952046201-2792970045-1866348404-500 \n \nService Information: \n\tService Name:\t\tkrbtgt \n\tService ID:\t\tS-1-5-21-2952046201-2792970045-1866348404-502 \n \nNetwork Information: \n\tClient Address:\t\t::1 \n\tClient Port:\t\t0 \n \nAdditional Information: \n\tTicket Options:\t\t0x40810010 \n\tResult Code:\t\t0x0 \n\tTicket Encryption Type:\t0x12 \n\tPre-Authentication Type:\t2 \n \nCertificate Information: \n\tCertificate Issuer Name:\t\t \n\tCertificate Serial Number:\t \n\tCertificate Thumbprint:\t\t \n \nCertificate information is only provided if a certificate was used for pre-authentication. \n \nPre-authentication types, ticket options, encryption types and result codes are defined in RFC 4120."; RecordNumber = 918032; SourceName = "Microsoft-Windows-Security-Auditing"; TimeGenerated = "20170224103621.575178-000"; TimeWritten = "20170224103621.575178-000"; Type = "Audit Success"; }; TIME_CREATED = "131324061825752057"; }; , Identity Mapping.dc-domainname = vkumov.local , Identity Mapping.dc-connection-type = Current events , Identity Mapping.probe = WMI , Identity Mapping.event-local-ip-address = ::1 , Identity Mapping.dc-name = MainDC.vkumov.local , Identity Mapping.dc-host = MainDC.vkumov.local/10.48.26.52 , Identity Mapping.server = ise22-pic-2 , Identity Mapping.event-ip-address = 10.48.26.52 , 2017-02-24 11:36:22,589 DEBUG [Thread-11][] com.cisco.idc.dc-probe- Received login event. Identity Mapping.ticket = instance of __InstanceCreationEvent { SECURITY_DESCRIPTOR = {1, 0, 20, 128, 96, 0, 0, 0, 112, 0, 0, 0, 0, 0, 0, 0, 20, 0, 0, 0, 2, 0, 76, 0, 3, 0, 0, 0, 0, 0, 20, 0, 69, 0, 15, 0, 1, 1, 0, 0, 0, 0, 0, 5, 18, 0, 0, 0, 0, 0, 24, 0, 69, 0, 0, 0, 1, 2, 0, 0, 0, 0, 0, 5, 32, 0, 0, 0, 32, 2, 0, 0, 0, 0, 24, 0, 65, 0, 0, 0, 1, 2, 0, 0, 0, 0, 0, 5, 32, 0, 0, 0, 61, 2, 0, 0, 1, 2, 0, 0, 0, 0, 0, 5, 32, 0, 0, 0, 32, 2, 0, 0, 1, 1, 0, 0, 0, 0, 0, 5, 18, 0, 0, 0}; TargetInstance = instance of Win32_NTLogEvent { Category = 14339; CategoryString = "Kerberos Authentication Service"; ComputerName = "MainDC.vkumov.local"; EventCode = 4768; EventIdentifier = 4768; EventType = 4; InsertionStrings = {"Administrator", "vkumov.local", "S-1-5-21-2952046201-2792970045-1866348404-500", "krbtgt", "S-1-5-21-2952046201-2792970045-1866348404-502", "0x40810010", "0x0", "0x12", "2", "::1", "0", "", "", ""}; Logfile = "Security"; Message = "A Kerberos authentication ticket (TGT) was requested. \n \nAccount Information: \n\tAccount Name:\t\tAdministrator \n\tSupplied Realm Name:\tvkumov.local \n\tUser ID:\t\t\tS-1-5-21-2952046201-2792970045-1866348404-500 \n \nService Information: \n\tService Name:\t\tkrbtgt \n\tService ID:\t\tS-1-5-21-2952046201-2792970045-1866348404-502 \n \nNetwork Information: \n\tClient Address:\t\t::1 \n\tClient Port:\t\t0 \n \nAdditional Information: \n\tTicket Options:\t\t0x40810010 \n\tResult Code:\t\t0x0 \n\tTicket Encryption Type:\t0x12 \n\tPre-Authentication Type:\t2 \n \nCertificate Information: \n\tCertificate Issuer Name:\t\t \n\tCertificate Serial Number:\t \n\tCertificate Thumbprint:\t\t \n \nCertificate information is only provided if a certificate was used for pre-authentication. \n \nPre-authentication types, ticket options, encryption types and result codes are defined in RFC 4120."; RecordNumber = 918032; SourceName = "Microsoft-Windows-Security-Auditing"; TimeGenerated = "20170224103621.575178-000"; TimeWritten = "20170224103621.575178-000"; Type = "Audit Success"; }; TIME_CREATED = "131324061825752057"; }; , Identity Mapping.dc-domainname = vkumov.local , Identity Mapping.dc-connection-type = Current events , Identity Mapping.probe = WMI , Identity Mapping.event-local-ip-address = ::1 , Identity Mapping.dc-name = MainDC.vkumov.local , Identity Mapping.event-user-name = Administrator , Identity Mapping.dc-host = MainDC.vkumov.local/10.48.26.52 , Identity Mapping.server = ise22-pic-2 , Identity Mapping.event-ip-address = 10.48.26.52 ,
Esempio di controllo endpoint da passive-endpoint.log (in questo caso l'endpoint non è raggiungibile da ISE):
2017-02-23 13:48:29,298 INFO [EndPointProbe-Workers-Check-2][] com.cisco.idc.endpoint-probe- [PsExec-10.48.26.51] is User=vkumov.local/Administrator Still There ? ... 2017-02-23 13:48:32,335 INFO [EndPointProbe-Workers-Check-2][] com.cisco.idc.endpoint-probe- [PsExec-10.48.26.51] Identity check result is - > Endpoint UNREACHABLE
Se l'utente utilizzato per aggiungere ISE PIC al dominio non dispone di autorizzazioni sufficienti, ISE PIC genera un errore durante la configurazione WMI:
I debug appropriati sono disponibili nel file ad_agent.log (il livello di log di Active Directory deve essere impostato su DEBUG):
26/02/2017 19:15:45,VERBOSE,139954093012736,SMBGSSContextNegotiate: state = 1,lwio/server/smbcommon/smbkrb5.c:460 26/02/2017 19:15:45,VERBOSE,139956055955200,Session 0x7f49bc001430 is eligible for reaping,lwio/server/rdr/session2.c:290 26/02/2017 19:15:45,VERBOSE,139954101405440,Error at ../../lsass/server/auth-providers/ad-open-provider/provider-main.c:7503 [code: C0000022],lsass/server/auth-providers/ad-open-provider/provider-main.c:7503 26/02/2017 19:15:45,VERBOSE,139954101405440,Extended Error code: 60190 (symbol: LW_ERROR_ISEEXEC_CP_OPEN_REMOTE_FILE),lsass/server/auth-providers/ad-open-provider/provider-main.c:7627 26/02/2017 19:15:45,VERBOSE,139954101405440,Error at ../../lsass/server/auth-providers/ad-open-provider/provider-main.c:7628 [code: C0000022],lsass/server/auth-providers/ad-open-provider/provider-main.c:7628 26/02/2017 19:15:45,VERBOSE,139954101405440,Error code: 5 (symbol: ERROR_ACCESS_DENIED),lsass/server/auth-providers/ad-open-provider/provider-main.c:7782 26/02/2017 19:15:45,VERBOSE,139954101405440,Error code: 5 (symbol: ERROR_ACCESS_DENIED),lsass/server/auth-providers/ad-open-provider/provider-main.c:7855 26/02/2017 19:15:45,VERBOSE,139954101405440,Error code: 5 (symbol: ERROR_ACCESS_DENIED),lsass/server/api/api2.c:2713 26/02/2017 19:15:45,VERBOSE,139956064347904,(session:ee880a4e15e682f4-08401b84f371a140) Dropping: LWMSG_STATUS_PEER_CLOSE,lwmsg/src/peer-task.c:625 26/02/2017 19:15:50,VERBOSE,139956055955200,RdrSocketRelease(0x7f496800b6e0, 38): socket is eligible for reaping,lwio/server/rdr/socket.c:2239
Azioni da eseguire: aggiungere nuovamente i nodi ISE PIC al dominio con le credenziali di amministratore di dominio o aggiungere l'utente utilizzato per l'operazione di aggiunta al gruppo Domain Admins in Active Directory.