この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。
シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。
このドキュメントでは、Duo SAML SSOと適応型セキュリティアプライアンス(ASA)のCisco AnyConnectセキュアモビリティクライアントアクセスを統合し、Cisco ISEを活用して詳細なポスチャアセスメントを行うための設定例について説明します。Duo SAML SSOは、Duo Access Gateway(DAG)を使用して実装されます。DAGは、初期ユーザ認証ではActive Directoryと通信し、多要素認証ではDuo Security(クラウド)と通信します。Cisco ISEは、ポスチャ評価を使用してエンドポイント検証を行うための認証サーバとして使用されます。
著者:Cisco HTTSエンジニア、Dinesh MoudgilおよびPulkit Saxena
注:この実装で使用されるAnyConnect組み込みブラウザでは、各リリースの9.7(1)24、9.8(2)28、9.9(2)1以降のバージョン、およびAnyConnectバージョン4.6以降でASAが必要です。
注:Duo Access Gatewayは必要な認証を提供するため、Cisco ISEは許可専用に設定されています
このセクションでは、Duo Admin PortalでASAアプリケーションを設定します。
1. 「Duo Admin Portal」にログインし、「Applications > Protect an Application」に移動して、保護タイプが「2FA with Duo Access Gateway, self-hosted」の「ASA」を検索します。右端の「Protect」をクリックして、Cisco ASAを設定します
2. 「サービスプロバイダー」の下で、保護されるアプリケーションであるASAに対して次の属性を設定します
ベースURL | firebird.cisco.com |
トンネルグループ | TG_SAML |
メール属性 | sAMAccountName,mail |
ページの下部にある「保存」をクリックします
このドキュメントの残りの設定ではデフォルトのパラメータを使用しますが、お客様の要件に基づいて設定できます。
この時点で、アプリケーションの名前をデフォルト値から変更したり、セルフサービスを有効にしたり、グループポリシーを割り当てたりするなど、新しいSAMLアプリケーションの追加設定を調整できます。
3. [構成ファイルのダウンロード]リンクをクリックして、Cisco ASAアプリケーションの設定を取得します(JSONファイルとして)。このファイルは、後の手順でDuo Access Gatewayにアップロードされます
4. 「Dashboard > Applications」の下に、新しく作成されたASAアプリケーションが次の図のように表示されます。
5.図に示すように、「Users > Add User」に移動します。
Anyconnectリモートアクセス認証に使用する「duouser」という名前のユーザを作成し、エンドユーザデバイスでDuo Mobileをアクティブにします
図に示すように電話番号を追加するには、 「電話を追加」オプションを選択します。
特定のユーザーの「Duo Mobile」をアクティブにします
注:エンドユーザデバイスには「Duo Mobile」をインストールしてください。
IOSデバイス用Duoアプリケーションの手動インストール
Androidデバイス向けDuoアプリケーションの手動インストール
図に示すように、「Duo Mobileアクティベーションコードを生成」を選択します。
次の図に示すように、「SMSで指示を送信」を選択します。
SMSのリンクをクリックすると、Duoアプリがデバイス情報セクションのユーザアカウントにリンクされます(図を参照)。
注:導入に関しては、次の文書に従ってください。
Linux用Duo Access Gateway
https://duo.com/docs/dag-linux
Windows用Duo Access Gateway
https://duo.com/docs/dag-windows
このセクションでは、SAML IDP認証用のASAの設定と基本的なAnyConnect設定について説明します。このドキュメントでは、ASDMの設定手順とCLIの実行コンフィギュレーションについて概説します。
1. Duo Access Gateway証明書のアップロード
A. 「Configuration > Device Management > Certificate Management > CA Certificates」に移動し、「Add」をクリックします。
B. 「証明書のインストール」ページで、トラストポイント名Duo_Access_Gatewayを設定します。
C. [参照]をクリックしてDAG証明書に関連付けられたパスを選択し、選択したら[証明書のインストール]をクリックします
2. AnyConnectユーザ用のIPローカルプールの作成
Configuration > Remote Access VPN > Network (Client) Access > Address Assignment > Address Poolsの順に選択し、Addをクリックします。
3. AAAサーバグループの設定
A.このセクションでは、AAAサーバグループを設定し、認可を実行する特定のAAAサーバの詳細を指定します
B. 「Configuration > Remote Access VPN > AAA/Local Users > AAA Server Groups」に移動し、「Add」をクリックします。
C.同じページの「Servers in the Selected group」セクションで「Add」をクリックし、AAAサーバのIPアドレスの詳細を入力します
4. AnyConnectクライアントソフトウェアのマッピング
A. WebVPNに使用するAnyConnectクライアントソフトウェアwebdeployイメージ4.8.03052 for windowsをマッピングします
B. 「Configuration > Remote Access VPN > Network (Client) Access > AnyConnect Client Software」に移動し、「Add」をクリックします。
5. ISEからプッシュされるリダイレクトACLの設定
A. 「Configuration > Firewall > Advanced > ACL Manager」に移動し、AddをクリックしてリダイレクトACLを追加します。設定されたエントリは次のようになります。
6.既存のグループポリシーの検証
A.この設定はデフォルトのグループポリシーを使用します。これは、「Configuration > Remote Access VPN > Network (Client) Access > Group Policies」で確認できます。
7.接続プロファイルの設定
A. AnyConnectユーザが接続する新しい接続プロファイルを作成します
B. 「Configuration > Remote Access VPN > Network (Client) Access > Anyconnect Connection Profiles」に移動し、「Add」をクリックします。
C.接続プロファイルに関連付けられた次の詳細を設定します。
[名前(Name)] | TG_SAML |
エイリアス | SAML_Users |
メソッド | SAML |
AAAサーバグループ | Local |
クライアントアドレスプール | AC_プール |
グループ ポリシー | DfltGrpPolicy |
D.同じページで、次に示すようにSAML IDプロバイダーの詳細を設定します。
E. 「Manage > Add」をクリックします。
F.接続プロファイルのAdvancedセクションで、認可用のAAAサーバを定義します
「Advanced > Authorization」に移動し、「Add」をクリックします。
G. Group Aliasで、接続エイリアスを定義します
「Advanced > Group Alias/Group URL」に移動し、「Add」をクリックします。
H.これでASAの設定は完了です。コマンドラインインターフェイス(CLI)でも同じことが次のように表示されます
! hostname firebird domain-name cisco.com !
!
name 10.197.164.7 explorer.cisco.com name 10.197.164.3 firebird.cisco.com ! !--------------------Client pool configuration--------------------
!
ip local pool AC_Pool 10.197.164.6-explorer.cisco.com mask 255.255.255.0 !
!--------------------Redirect Access-list-------------------------
! access-list redirect extended deny udp any any eq domain access-list redirect extended deny ip any host 10.197.243.116 access-list redirect extended deny icmp any any access-list redirect extended permit ip any any access-list redirect extended permit tcp any any eq www !
!--------------------AAA server configuration---------------------
! aaa-server ISE protocol radius authorize-only interim-accounting-update periodic 1 dynamic-authorization aaa-server ISE (outside) host 10.106.44.77 key ***** !
!-----Configure Trustpoint for Duo Access Gateway Certificate-----
! crypto ca trustpoint Duo_Access_Gateway enrollment terminal crl configure !
!-------Configure Trustpoint for ASA Identity Certificate---------
! crypto ca trustpoint ID_CERT enrollment terminal fqdn firebird.cisco.com subject-name CN=firebird.cisco.com ip-address 10.197.164.3 keypair ID_RSA_KEYS no ca-check crl configure !
!------Enable AnyConnect and configuring SAML authentication------
! webvpn enable outside hsts enable max-age 31536000 include-sub-domains no preload anyconnect image disk0:/anyconnect-win-4.8.03052-webdeploy-k9.pkg 1 anyconnect enable saml idp https://explorer.cisco.com/dag/saml2/idp/metadata.php url sign-in https://explorer.cisco.com/dag/saml2/idp/SSOService.php url sign-out https://explorer.cisco.com/dag/saml2/idp/SingleLogoutService.php?ReturnTo=https://explorer.cisco.com/dag/module.php/duosecurity/logout.php base-url https://firebird.cisco.com trustpoint idp Duo_Access_Gateway trustpoint sp ID_CERT no signature no force re-authentication timeout assertion 1200 tunnel-group-list enable cache disable error-recovery disable !
!--------------------Group Policy configuration--------------------
! group-policy DfltGrpPolicy attributes vpn-tunnel-protocol ikev1 ikev2 l2tp-ipsec ssl-client ssl-clientless !
!----------Tunnel-Group (Connection Profile) Configuraiton----------
! tunnel-group TG_SAML type remote-access tunnel-group TG_SAML general-attributes address-pool AC_Pool authorization-server-group ISE accounting-server-group ISE tunnel-group TG_SAML webvpn-attributes authentication saml group-alias SAML_Users enable saml identity-provider https://explorer.cisco.com/dag/saml2/idp/metadata.php !
1.ネットワークデバイスとしてのCisco ASAの追加
[Administration] > [Network Resources] > [Network Devices]で、[Add]をクリックします。
ネットワークデバイスの名前、関連するIPアドレスを設定し、「Radius Authentication Settings」で「Shared Secret」を設定して「Save」をクリックします。
2.最新のポスチャアップデートをインストールする
「Administration」>「System」>「Settings」>「Posture」>「Updates」に移動し、「Update Now」をクリックします。
3. ISEでのコンプライアンスモジュールとAnyConnectヘッドエンド導入パッケージのアップロード
「Policy > Policy Elements > Results > Client Provisioning > Resources」の順に移動します。[追加]をクリックし、ファイルをローカルワークステーションからフェッチするか、シスコサイトからフェッチするかに基づいて、[ローカルディスクのエージェントリソース]または[シスコサイトのエージェントリソース]を選択します。
この場合、カテゴリの下のローカルワークステーションからファイルをアップロードするには、「Cisco Provided Packages」を選択し、「Browse」をクリックして必要なパッケージを選択し、「Submit」をクリックします。
このドキュメントでは、コンプライアンスモジュールとして「anyconnect-win-4.3.1012.6145-isecomplience-webdeploy-k9.pkg」を、AnyConnectヘッドエンド導入パッケージとして「anyconnect-win-4.8.03052-webdeploy-k9.pkg」を使用しています。
4. AnyConnectポスチャプロファイルの作成
A. 「Policy > Policy Elements > Results > Client Provisioning > Resources」の順に選択します。[Add]をクリックし、[AnyConnect Posture Profile]を選択します。
B. Anyconnectポスチャプロファイルの名前を入力し、サーバ名ルールでサーバ名を「*」に設定して、「保存」をクリックします。
5. Anyconnect設定の作成
A. 「Policy > Policy Elements > Results > Client Provisioning > Resources」の順に選択します。[Add]をクリックし、[AnyConnect Configuration]を選択します。
B. AnyConnectパッケージを選択し、構成名を入力し、必要なコンプライアンスモジュールを選択します。
C. 「AnyConnect Module Selection」で、「Diagnostic and Reporting Tool」にチェックマークを付けます。
D. 「プロファイルの選択」で「ポスチャプロファイル」を選択し、「保存」をクリックします。
6.クライアントプロビジョニングポリシーの作成
A. Policy > Client Provisioningの順に移動します
B. 「編集」をクリックし、 「上にルールを挿入」を選択します
C.ルール名を入力し、必要なオペレーティングシステムを選択し、結果( 「エージェント」 > 「エージェント構成」内)で、ステップ5で作成した「AnyConnect構成」を選択し、「保存」をクリックします
7.ポスチャ条件の作成
A. “Policy > Policy Elements > Conditions > Posture > File Condition”に移動します。
B. [追加]をクリックし、条件名を「VPN_Posture_File_Check」、必要なオペレーティングシステムを「Windows 10(All)」、ファイルタイプを「FileExistence」、ファイルパスを「ABSOLUTE_PATH」、フルパスとファイル名を「C:\custom.txt」に設定し、File Operatorを「Exists」に選択します。
C.この例では、C:ドライブに「custom.txt」という名前のファイルが存在することをファイル条件として使用します
8.ポスチャ修復アクションの作成
「Policy > Policy Elements > Results > Posture > Remediation Actions」に移動し、対応するファイル修復アクションを作成します。このドキュメントでは、次の手順で設定する修復操作として「メッセージテキストのみ」を使用します。
9.ポスチャ要件ルールの作成
A. 「Policy > Policy Elements > Results > Posture > Requirements」の順に移動します
B. 「編集」をクリックし、 「新規要件を挿入」を選択します
C.条件名を「VPN_Posture_Requirement」、必要なオペレーティングシステムを「Windows 10(All)」、コンプライアンスモジュールを「4.x以降」、ポスチャタイプを「Anyconnect」に設定
D. 「VPN_Posture_File_Check」(ステップ7で作成)の条件で、「Remediations Actions」の下の「Action」に「Message Text Only」を選択し、エージェントユーザのカスタムメッセージを入力します。
10.ポスチャポリシーの作成
A. 「Policies > Posture」に移動します。
B.ステップ9で設定したルール名を「VPN_Posture_Policy_Win」、必要なオペレーティングシステムを「Windows 10(All)」、コンプライアンスモジュールを「4.x以降」、ポスチャタイプを「Anyconnect」、要件を「VPN_Posture_Requirement」に設定します
11.ダイナミックACL(DACL)の作成
「Policy > Policy Elements > Results > Authorization > Downlodable ACL」に移動し、異なるポスチャステータスのDACLを作成します。
このドキュメントでは、次のDACLを使用します。
A.ポスチャ不明:DNS、PSN、HTTP、およびHTTPSトラフィックへのトラフィックを許可します
B.ポスチャ非準拠:プライベートサブネットへのアクセスを拒否し、インターネットトラフィックのみを許可します。
C.ポスチャ準拠:ポスチャ準拠エンドユーザのすべてのトラフィックを許可します。
12.許可プロファイルの作成
「Policy > Policy Elements > Results > Authorization > Authorization Profiles」に移動します。
A.不明なポスチャの許可プロファイル
DACL "PostureUnknown"を選択し、Web Redirectionをチェックし、Client Provisioning(Posture)を選択し、リダイレクトACL名"redirect"(ASAで設定)を設定し、クライアントプロビジョニングポータル(デフォルト)を選択します。
B.ポスチャ非準拠の認証プロファイル
ネットワークへのアクセスを制限するには、DACL「PostureNonCompliant」を選択します
C.ポスチャ準拠の認証プロファイル
ネットワークへのフルアクセスを許可するには、DACL「PostureCompliant」を選択します。
12.許可ポリシーの設定
前の手順で設定した認可プロファイルを使用して、ポスチャ準拠、ポスチャ非準拠、ポスチャ不明の3つの認可ポリシーを設定します。
各ポリシーの結果を判断するために、共通の条件「セッション:ポスチャステータス」が使用されます。
ここでは、設定が正常に機能しているかどうかを確認します。
ユーザが正常に認証されたかどうかを確認するには、ASAで次のコマンドを実行します。
firebird(config)# show vpn-sess detail anyconnect Session Type: AnyConnect Detailed Username : _585b5291f01484dfd16f394be7031d456d314e3e62 Index : 125 Assigned IP : explorer.cisco.com Public IP : 10.197.243.143 Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel License : AnyConnect Premium Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)AES-GCM-256 DTLS-Tunnel: (1)AES-GCM-256 Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA384 DTLS-Tunnel: (1)SHA384 Bytes Tx : 16404 Bytes Rx : 381 Pkts Tx : 16 Pkts Rx : 6 Pkts Tx Drop : 0 Pkts Rx Drop : 0 Group Policy : DfltGrpPolicy Tunnel Group : TG_SAML Login Time : 07:05:45 UTC Sun Jun 14 2020 Duration : 0h:00m:16s Inactivity : 0h:00m:00s VLAN Mapping : N/A VLAN : none Audt Sess ID : 0ac5a4030007d0005ee5cc49 Security Grp : none AnyConnect-Parent Tunnels: 1 SSL-Tunnel Tunnels: 1 DTLS-Tunnel Tunnels: 1 AnyConnect-Parent: Tunnel ID : 125.1 Public IP : 10.197.243.143 Encryption : none Hashing : none TCP Src Port : 57244 TCP Dst Port : 443 Auth Mode : SAML Idle Time Out: 30 Minutes Idle TO Left : 29 Minutes Client OS : win Client OS Ver: 10.0.15063 Client Type : AnyConnect Client Ver : Cisco AnyConnect VPN Agent for Windows 4.8.03052 Bytes Tx : 7973 Bytes Rx : 0 Pkts Tx : 6 Pkts Rx : 0 Pkts Tx Drop : 0 Pkts Rx Drop : 0 SSL-Tunnel: Tunnel ID : 125.2 Assigned IP : explorer.cisco.com Public IP : 10.197.243.143 Encryption : AES-GCM-256 Hashing : SHA384 Ciphersuite : ECDHE-RSA-AES256-GCM-SHA384 Encapsulation: TLSv1.2 TCP Src Port : 57248 TCP Dst Port : 443 Auth Mode : SAML Idle Time Out: 30 Minutes Idle TO Left : 29 Minutes Client OS : Windows Client Type : SSL VPN Client Client Ver : Cisco AnyConnect VPN Agent for Windows 4.8.03052 Bytes Tx : 7973 Bytes Rx : 0 Pkts Tx : 6 Pkts Rx : 0 Pkts Tx Drop : 0 Pkts Rx Drop : 0 Filter Name : #ACSACL#-IP-PostureUnknown-5ee45b05 DTLS-Tunnel: Tunnel ID : 125.3 Assigned IP : explorer.cisco.com Public IP : 10.197.243.143 Encryption : AES-GCM-256 Hashing : SHA384 Ciphersuite : ECDHE-ECDSA-AES256-GCM-SHA384 Encapsulation: DTLSv1.2 UDP Src Port : 49175 UDP Dst Port : 443 Auth Mode : SAML Idle Time Out: 30 Minutes Idle TO Left : 29 Minutes Client OS : Windows Client Type : DTLS VPN Client Client Ver : Cisco AnyConnect VPN Agent for Windows 4.8.03052 Bytes Tx : 458 Bytes Rx : 381 Pkts Tx : 4 Pkts Rx : 6 Pkts Tx Drop : 0 Pkts Rx Drop : 0 Filter Name : #ACSACL#-IP-PostureUnknown-5ee45b05 ISE Posture: Redirect URL : https://ise261.pusaxena.local:8443/portal/gateway?sessionId=0ac5a4030007d0005ee5cc49&portal=27b1bc30-2... Redirect ACL : redirect
ポスチャ評価が完了すると、「Filter Name」フィールドにプッシュされたDACLに示されるように、ユーザアクセスがフルアクセスに変更されます
firebird(config)# show vpn-sess detail anyconnect Session Type: AnyConnect Detailed Username : _585b5291f01484dfd16f394be7031d456d314e3e62 Index : 125 Assigned IP : explorer.cisco.com Public IP : 10.197.243.143 Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel License : AnyConnect Premium Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)AES-GCM-256 DTLS-Tunnel: (1)AES-GCM-256 Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA384 DTLS-Tunnel: (1)SHA384 Bytes Tx : 16404 Bytes Rx : 381 Pkts Tx : 16 Pkts Rx : 6 Pkts Tx Drop : 0 Pkts Rx Drop : 0 Group Policy : DfltGrpPolicy Tunnel Group : TG_SAML Login Time : 07:05:45 UTC Sun Jun 14 2020 Duration : 0h:00m:36s Inactivity : 0h:00m:00s VLAN Mapping : N/A VLAN : none Audt Sess ID : 0ac5a4030007d0005ee5cc49 Security Grp : none AnyConnect-Parent Tunnels: 1 SSL-Tunnel Tunnels: 1 DTLS-Tunnel Tunnels: 1 AnyConnect-Parent: Tunnel ID : 125.1 Public IP : 10.197.243.143 Encryption : none Hashing : none TCP Src Port : 57244 TCP Dst Port : 443 Auth Mode : SAML Idle Time Out: 30 Minutes Idle TO Left : 29 Minutes Client OS : win Client OS Ver: 10.0.15063 Client Type : AnyConnect Client Ver : Cisco AnyConnect VPN Agent for Windows 4.8.03052 Bytes Tx : 7973 Bytes Rx : 0 Pkts Tx : 6 Pkts Rx : 0 Pkts Tx Drop : 0 Pkts Rx Drop : 0 SSL-Tunnel: Tunnel ID : 125.2 Assigned IP : explorer.cisco.com Public IP : 10.197.243.143 Encryption : AES-GCM-256 Hashing : SHA384 Ciphersuite : ECDHE-RSA-AES256-GCM-SHA384 Encapsulation: TLSv1.2 TCP Src Port : 57248 TCP Dst Port : 443 Auth Mode : SAML Idle Time Out: 30 Minutes Idle TO Left : 29 Minutes Client OS : Windows Client Type : SSL VPN Client Client Ver : Cisco AnyConnect VPN Agent for Windows 4.8.03052 Bytes Tx : 7973 Bytes Rx : 0 Pkts Tx : 6 Pkts Rx : 0 Pkts Tx Drop : 0 Pkts Rx Drop : 0 Filter Name : #ACSACL#-IP-PERMIT_ALL_IPV4_TRAFFIC-57f6b0d3 DTLS-Tunnel: Tunnel ID : 125.3 Assigned IP : explorer.cisco.com Public IP : 10.197.243.143 Encryption : AES-GCM-256 Hashing : SHA384 Ciphersuite : ECDHE-ECDSA-AES256-GCM-SHA384 Encapsulation: DTLSv1.2 UDP Src Port : 49175 UDP Dst Port : 443 Auth Mode : SAML Idle Time Out: 30 Minutes Idle TO Left : 29 Minutes Client OS : Windows Client Type : DTLS VPN Client Client Ver : Cisco AnyConnect VPN Agent for Windows 4.8.03052 Bytes Tx : 458 Bytes Rx : 381 Pkts Tx : 4 Pkts Rx : 6 Pkts Tx Drop : 0 Pkts Rx Drop : 0 Filter Name : #ACSACL#-IP-PERMIT_ALL_IPV4_TRAFFIC-57f6b0d3
ISEで認証が正常に実行されたかどうかを確認するには、「Operations」>「RADIUS」>「Live Logs」に移動します。
このセクションには、認証ユーザに関連する情報(ID、認証プロファイル、認証ポリシー、ポスチャステータス)が表示されます。
注:ISEでの追加のポスチャ検証については、次のドキュメントを参照してください。
https://www.cisco.com/c/en/us/support/docs/security/identity-services-engine/215236-ise-posture-over-anyconnect-remote-acces.html#anc7
Duo Admin Portalの認証ステータスを確認するには、Admin Panelの左側にある認証ログを表示する「Reports」をクリックします。
詳細:https://duo.com/docs/administration#reports
Duo Access Gatewayのデバッグロギングを表示するには、次のリンクを使用します。
https://help.duo.com/s/article/1623?language=en_US
ここでは、設定のトラブルシューティングに使用できる情報を示します。
注:debug コマンドを使用する前に、『debug コマンドの重要な情報』を参照してください。
注意:ASAでは、さまざまなデバッグレベルを設定できます。デフォルトでは、レベル1が使用されます。デバッグ レベルを変更すると、デバッグの冗長性が高くなる場合があります。特に実稼働環境では、注意して実行してください。
ほとんどのSAMLのトラブルシューティングでは、SAML設定のチェックやデバッグの実行によって検出される設定の誤りが関係します。
「debug webvpn saml 255」は、ほとんどの問題のトラブルシューティングに使用できますが、このデバッグで有用な情報が得られないシナリオでは、追加のデバッグを実行できます。
debug webvpn 255 debug webvpn anyconnect 255 debug webvpn session 255 debug webvpn request 255
ASAの認証と認可の問題をトラブルシューティングするには、次のdebugコマンドを使用します。
debug radius all debug aaa authentication debug aaa authorization To troubleshoot Posture related issues on ISE, set the following attributes to debug level:
posture (ise-psc.log) portal (guest.log) provisioning (ise-psc.log) runtime-AAA (prrt-server.log) nsf (ise-psc.log) nsf-session (ise-psc.log) swiss (ise-psc.log)
注:ポスチャフローの詳細とAnyConnectおよびISEのトラブルシューティングについては、次のリンクを参照してください。
ISE ポスチャ スタイルの 2.2 前後の比較
Duo Access Gatewayのデバッグログの解釈とトラブルシューティング
https://help.duo.com/s/article/5016?language=en_US
https://www.youtube.com/watch?v=W6bE2GTU0Is&
https://duo.com/docs/cisco#asa-ssl-vpn-using-saml
https://www.cisco.com/c/en/us/support/docs/security/identity-services-engine/215236-ise-posture-over-anyconnect-remote-acces.html#anc0