ISEポスチャを使用したAnyconnectセキュアリモートアクセスとのDuo SAML SSOの統合
内容
はじめに
このドキュメントでは、Duo SAML SSOと適応型セキュリティアプライアンス(ASA)のCisco AnyConnectセキュアモビリティクライアントアクセスを統合し、Cisco ISEを活用して詳細なポスチャアセスメントを行うための設定例について説明します。Duo SAML SSOは、Duo Access Gateway(DAG)を使用して実装されます。DAGは、初期ユーザ認証ではActive Directoryと通信し、多要素認証ではDuo Security(クラウド)と通信します。Cisco ISEは、ポスチャ評価を使用してエンドポイント検証を行うための認証サーバとして使用されます。
著者:Cisco HTTSエンジニア、Dinesh MoudgilおよびPulkit Saxena
前提条件
要件
- Duo Access GatewayとDuo Securityの基礎
- ASA でのリモート アクセス VPN 設定に関する基本的な知識
- ISE サービスとポスチャ サービスに関する基本的な知識
使用するコンポーネント
- Cisco適応型セキュリティアプライアンスソフトウェアバージョン9.12(3)12
- Duoアクセスゲートウェイ
- Duo Security
- Cisco Identity Services Engine(ISE)バージョン2.6以降
- AnyConnectバージョン4.8.03052が稼働するMicrosoft Windows 10
設定
ネットワーク図
Traffic flow
- AnyconnectクライアントがCisco ASAへのSSL VPN接続を開始する
- Duo Access Gateway(DAG)によるプライマリ認証用に設定されたCisco ASAは、SAML認証用にAnyconnectクライアントの組み込みブラウザをDAGにリダイレクトします
- AnyconnectクライアントがDuo Access Gatewayにリダイレクトされる
- AnyConnectクライアントがクレデンシャルを入力すると、SAML認証要求が作成され、Cisco ASAからDuo Access Gatewayに発行されます
- Duo Access Gatewayは、オンサイトのActive Directoryとの統合を活用して、Anyconnectクライアントのプライマリ認証を実行します
- プライマリ認証が成功すると、Duo Access GatewayはTCPポート443経由でDuo Securityに要求を送信し、二要素認証を開始します
- AnyConnectクライアントに「Duo Interactive Prompt」が表示され、ユーザは任意の方式(プッシュまたはパスコード)を使用してDuoの2要素認証を完了します
- Duo Securityは認証応答を受信し、Duo Access Gatewayに情報を返します
- 認証応答に基づいて、Duo Access GatewayはSAMLアサーションを含むSAML認証応答を構築し、Anyconnectクライアントに応答します
- AnyconnectクライアントがCisco ASAとのSSL VPN接続の認証に成功する
- 認証が成功すると、Cisco ASAはCisco ISEに許可要求を送信します
- Cisco ISEが許可要求を処理し、クライアントポスチャステータスが不明であるため、Cisco ASA経由のAnyconnectクライアントへの制限付きアクセスでポスチャリダイレクトを返します
- Anyconnectクライアントにコンプライアンスモジュールがない場合は、ポスチャ評価を進めるためにダウンロードするように求められます
- Anyconnectクライアントにコンプライアンスモジュールがある場合、Cisco ASAとのTLS接続が確立され、ポスチャフローが開始されます
- ISEで設定されたポスチャ条件に応じて、ポスチャチェックが実行され、詳細がAnyconnectクライアントからCisco ISEに送信されます
- クライアントポスチャステータスが不明から準拠に変わると、Cisco ISEからCisco ASAに認可変更(CoA)要求が送信され、クライアントへのフルアクセスが許可され、VPNが完全に確立されます
コンフィギュレーション
- Duo Adminポータルの設定
このセクションでは、Duo Admin PortalでASAアプリケーションを設定します。
1. 「Duo Admin Portal」にログインし、「Applications > Protect an Application」に移動して、保護タイプが「2FA with Duo Access Gateway, self-hosted」の「ASA」を検索します。右端の「Protect」をクリックして、Cisco ASAを設定します
2. 「サービスプロバイダー」の下で、保護されるアプリケーションであるASAに対して次の属性を設定します
| ベースURL | firebird.cisco.com |
| トンネルグループ | TG_SAML |
| メール属性 | sAMAccountName,mail |
ページの下部にある「保存」をクリックします
このドキュメントの残りの設定ではデフォルトのパラメータを使用しますが、お客様の要件に基づいて設定できます。
この時点で、アプリケーションの名前をデフォルト値から変更したり、セルフサービスを有効にしたり、グループポリシーを割り当てたりするなど、新しいSAMLアプリケーションの追加設定を調整できます。
3. [構成ファイルのダウンロード]リンクをクリックして、Cisco ASAアプリケーションの設定を取得します(JSONファイルとして)。このファイルは、後の手順でDuo Access Gatewayにアップロードされます
4. 「Dashboard > Applications」の下に、新しく作成されたASAアプリケーションが次の図のように表示されます。
5.図に示すように、「Users > Add User」に移動します。
Anyconnectリモートアクセス認証に使用する「duouser」という名前のユーザを作成し、エンドユーザデバイスでDuo Mobileをアクティブにします
図に示すように電話番号を追加するには、 「電話を追加」オプションを選択します。
特定のユーザーの「Duo Mobile」をアクティブにします
図に示すように、「Duo Mobileアクティベーションコードを生成」を選択します。
次の図に示すように、「SMSで指示を送信」を選択します。
SMSのリンクをクリックすると、Duoアプリがデバイス情報セクションのユーザアカウントにリンクされます(図を参照)。
- Duo Access Gateway(DAG)の設定
- Duo Access Gateway(DAG)をネットワーク内のサーバに導入
- Duo Access Gatewayホームページで、「Authentication Source」に移動します。
- [ソースの構成]で、Active Directoryの次の属性を入力し、[設定の保存]をクリックします
- [Set Active Source]で、ソース・タイプとして[Active Directory]を選択し、[Set Active Source]をクリックします
- 「Applications」に移動し、「Add Application」サブメニューの「Configuration file」セクションのDuo Admin Consoleからダウンロードした.jsonファイルをアップロードします。対応する.jsonファイルは、Duo Admin Portal Configurationのステップ3でダウンロードされました
- アプリケーションが正常に追加されると、「アプリケーション」サブメニューに表示されます
- 「Metadata」サブメニューで、XMLメタデータとIdP証明書をダウンロードし、後でASAで設定する次のURLをメモします
- SSOのURL
- ログアウトURL
- エンティティID
- エラーURL
-ASA の設定
このセクションでは、SAML IDP認証用のASAの設定と基本的なAnyConnect設定について説明します。このドキュメントでは、ASDMの設定手順とCLIの実行コンフィギュレーションについて概説します。
1. Duo Access Gateway証明書のアップロード
A. 「Configuration > Device Management > Certificate Management > CA Certificates」に移動し、「Add」をクリックします。
B. 「証明書のインストール」ページで、トラストポイント名Duo_Access_Gatewayを設定します。
C. [参照]をクリックしてDAG証明書に関連付けられたパスを選択し、選択したら[証明書のインストール]をクリックします
2. AnyConnectユーザ用のIPローカルプールの作成
Configuration > Remote Access VPN > Network (Client) Access > Address Assignment > Address Poolsの順に選択し、Addをクリックします。
3. AAAサーバグループの設定
A.このセクションでは、AAAサーバグループを設定し、認可を実行する特定のAAAサーバの詳細を指定します
B. 「Configuration > Remote Access VPN > AAA/Local Users > AAA Server Groups」に移動し、「Add」をクリックします。
C.同じページの「Servers in the Selected group」セクションで「Add」をクリックし、AAAサーバのIPアドレスの詳細を入力します
4. AnyConnectクライアントソフトウェアのマッピング
A. WebVPNに使用するAnyConnectクライアントソフトウェアwebdeployイメージ4.8.03052 for windowsをマッピングします
B. 「Configuration > Remote Access VPN > Network (Client) Access > AnyConnect Client Software」に移動し、「Add」をクリックします。
5. ISEからプッシュされるリダイレクトACLの設定
A. 「Configuration > Firewall > Advanced > ACL Manager」に移動し、AddをクリックしてリダイレクトACLを追加します。設定されたエントリは次のようになります。
6.既存のグループポリシーの検証
A.この設定はデフォルトのグループポリシーを使用します。これは、「Configuration > Remote Access VPN > Network (Client) Access > Group Policies」で確認できます。
7.接続プロファイルの設定
A. AnyConnectユーザが接続する新しい接続プロファイルを作成します
B. 「Configuration > Remote Access VPN > Network (Client) Access > Anyconnect Connection Profiles」に移動し、「Add」をクリックします。
C.接続プロファイルに関連付けられた次の詳細を設定します。
| [名前(Name)] | TG_SAML |
| エイリアス | SAML_Users |
| メソッド | SAML |
| AAAサーバグループ | Local |
| クライアントアドレスプール | AC_プール |
| グループ ポリシー | DfltGrpPolicy |
D.同じページで、次に示すようにSAML IDプロバイダーの詳細を設定します。
E. 「Manage > Add」をクリックします。
F.接続プロファイルのAdvancedセクションで、認可用のAAAサーバを定義します
「Advanced > Authorization」に移動し、「Add」をクリックします。
G. Group Aliasで、接続エイリアスを定義します
「Advanced > Group Alias/Group URL」に移動し、「Add」をクリックします。
H.これでASAの設定は完了です。コマンドラインインターフェイス(CLI)でも同じことが次のように表示されます
! hostname firebird domain-name cisco.com !
!
name 10.197.164.7 explorer.cisco.com name 10.197.164.3 firebird.cisco.com ! !--------------------Client pool configuration--------------------
!
ip local pool AC_Pool 10.197.164.6-explorer.cisco.com mask 255.255.255.0 !
!--------------------Redirect Access-list-------------------------
! access-list redirect extended deny udp any any eq domain access-list redirect extended deny ip any host 10.197.243.116 access-list redirect extended deny icmp any any access-list redirect extended permit ip any any access-list redirect extended permit tcp any any eq www !
!--------------------AAA server configuration---------------------
! aaa-server ISE protocol radius authorize-only interim-accounting-update periodic 1 dynamic-authorization aaa-server ISE (outside) host 10.106.44.77 key ***** !
!-----Configure Trustpoint for Duo Access Gateway Certificate-----
! crypto ca trustpoint Duo_Access_Gateway enrollment terminal crl configure !
!-------Configure Trustpoint for ASA Identity Certificate---------
! crypto ca trustpoint ID_CERT enrollment terminal fqdn firebird.cisco.com subject-name CN=firebird.cisco.com ip-address 10.197.164.3 keypair ID_RSA_KEYS no ca-check crl configure !
!------Enable AnyConnect and configuring SAML authentication------
! webvpn enable outside hsts enable max-age 31536000 include-sub-domains no preload anyconnect image disk0:/anyconnect-win-4.8.03052-webdeploy-k9.pkg 1 anyconnect enable saml idp https://explorer.cisco.com/dag/saml2/idp/metadata.php url sign-in https://explorer.cisco.com/dag/saml2/idp/SSOService.php url sign-out https://explorer.cisco.com/dag/saml2/idp/SingleLogoutService.php?ReturnTo=https://explorer.cisco.com/dag/module.php/duosecurity/logout.php base-url https://firebird.cisco.com trustpoint idp Duo_Access_Gateway trustpoint sp ID_CERT no signature no force re-authentication timeout assertion 1200 tunnel-group-list enable cache disable error-recovery disable !
!--------------------Group Policy configuration--------------------
! group-policy DfltGrpPolicy attributes vpn-tunnel-protocol ikev1 ikev2 l2tp-ipsec ssl-client ssl-clientless !
!----------Tunnel-Group (Connection Profile) Configuraiton----------
! tunnel-group TG_SAML type remote-access tunnel-group TG_SAML general-attributes address-pool AC_Pool authorization-server-group ISE accounting-server-group ISE tunnel-group TG_SAML webvpn-attributes authentication saml group-alias SAML_Users enable saml identity-provider https://explorer.cisco.com/dag/saml2/idp/metadata.php !
-ISE 設定
1.ネットワークデバイスとしてのCisco ASAの追加
[Administration] > [Network Resources] > [Network Devices]で、[Add]をクリックします。
ネットワークデバイスの名前、関連するIPアドレスを設定し、「Radius Authentication Settings」で「Shared Secret」を設定して「Save」をクリックします。
2.最新のポスチャアップデートをインストールする
「Administration」>「System」>「Settings」>「Posture」>「Updates」に移動し、「Update Now」をクリックします。
3. ISEでのコンプライアンスモジュールとAnyConnectヘッドエンド導入パッケージのアップロード
「Policy > Policy Elements > Results > Client Provisioning > Resources」の順に移動します。[追加]をクリックし、ファイルをローカルワークステーションからフェッチするか、シスコサイトからフェッチするかに基づいて、[ローカルディスクのエージェントリソース]または[シスコサイトのエージェントリソース]を選択します。
この場合、カテゴリの下のローカルワークステーションからファイルをアップロードするには、「Cisco Provided Packages」を選択し、「Browse」をクリックして必要なパッケージを選択し、「Submit」をクリックします。
このドキュメントでは、コンプライアンスモジュールとして「anyconnect-win-4.3.1012.6145-isecomplience-webdeploy-k9.pkg」を、AnyConnectヘッドエンド導入パッケージとして「anyconnect-win-4.8.03052-webdeploy-k9.pkg」を使用しています。
4. AnyConnectポスチャプロファイルの作成
A. 「Policy > Policy Elements > Results > Client Provisioning > Resources」の順に選択します。[Add]をクリックし、[AnyConnect Posture Profile]を選択します。
B. Anyconnectポスチャプロファイルの名前を入力し、サーバ名ルールでサーバ名を「*」に設定して、「保存」をクリックします。
5. Anyconnect設定の作成
A. 「Policy > Policy Elements > Results > Client Provisioning > Resources」の順に選択します。[Add]をクリックし、[AnyConnect Configuration]を選択します。
B. AnyConnectパッケージを選択し、構成名を入力し、必要なコンプライアンスモジュールを選択します。
C. 「AnyConnect Module Selection」で、「Diagnostic and Reporting Tool」にチェックマークを付けます。
D. 「プロファイルの選択」で「ポスチャプロファイル」を選択し、「保存」をクリックします。
6.クライアントプロビジョニングポリシーの作成
A. Policy > Client Provisioningの順に移動します
B. 「編集」をクリックし、 「上にルールを挿入」を選択します
C.ルール名を入力し、必要なオペレーティングシステムを選択し、結果( 「エージェント」 > 「エージェント構成」内)で、ステップ5で作成した「AnyConnect構成」を選択し、「保存」をクリックします
7.ポスチャ条件の作成
A. “Policy > Policy Elements > Conditions > Posture > File Condition”に移動します。
B. [追加]をクリックし、条件名を「VPN_Posture_File_Check」、必要なオペレーティングシステムを「Windows 10(All)」、ファイルタイプを「FileExistence」、ファイルパスを「ABSOLUTE_PATH」、フルパスとファイル名を「C:\custom.txt」に設定し、File Operatorを「Exists」に選択します。
C.この例では、C:ドライブに「custom.txt」という名前のファイルが存在することをファイル条件として使用します
8.ポスチャ修復アクションの作成
「Policy > Policy Elements > Results > Posture > Remediation Actions」に移動し、対応するファイル修復アクションを作成します。このドキュメントでは、次の手順で設定する修復操作として「メッセージテキストのみ」を使用します。
9.ポスチャ要件ルールの作成
A. 「Policy > Policy Elements > Results > Posture > Requirements」の順に移動します
B. 「編集」をクリックし、 「新規要件を挿入」を選択します
C.条件名を「VPN_Posture_Requirement」、必要なオペレーティングシステムを「Windows 10(All)」、コンプライアンスモジュールを「4.x以降」、ポスチャタイプを「Anyconnect」に設定
D. 「VPN_Posture_File_Check」(ステップ7で作成)の条件で、「Remediations Actions」の下の「Action」に「Message Text Only」を選択し、エージェントユーザのカスタムメッセージを入力します。
10.ポスチャポリシーの作成
A. 「Policies > Posture」に移動します。
B.ステップ9で設定したルール名を「VPN_Posture_Policy_Win」、必要なオペレーティングシステムを「Windows 10(All)」、コンプライアンスモジュールを「4.x以降」、ポスチャタイプを「Anyconnect」、要件を「VPN_Posture_Requirement」に設定します
11.ダイナミックACL(DACL)の作成
「Policy > Policy Elements > Results > Authorization > Downlodable ACL」に移動し、異なるポスチャステータスのDACLを作成します。
このドキュメントでは、次のDACLを使用します。
A.ポスチャ不明:DNS、PSN、HTTP、およびHTTPSトラフィックへのトラフィックを許可します
B.ポスチャ非準拠:プライベートサブネットへのアクセスを拒否し、インターネットトラフィックのみを許可します。
C.ポスチャ準拠:ポスチャ準拠エンドユーザのすべてのトラフィックを許可します。
12.許可プロファイルの作成
「Policy > Policy Elements > Results > Authorization > Authorization Profiles」に移動します。
A.不明なポスチャの許可プロファイル
DACL "PostureUnknown"を選択し、Web Redirectionをチェックし、Client Provisioning(Posture)を選択し、リダイレクトACL名"redirect"(ASAで設定)を設定し、クライアントプロビジョニングポータル(デフォルト)を選択します。
B.ポスチャ非準拠の認証プロファイル
ネットワークへのアクセスを制限するには、DACL「PostureNonCompliant」を選択します
C.ポスチャ準拠の認証プロファイル
ネットワークへのフルアクセスを許可するには、DACL「PostureCompliant」を選択します。
12.許可ポリシーの設定
前の手順で設定した認可プロファイルを使用して、ポスチャ準拠、ポスチャ非準拠、ポスチャ不明の3つの認可ポリシーを設定します。
各ポリシーの結果を判断するために、共通の条件「セッション:ポスチャステータス」が使用されます。
確認
ここでは、設定が正常に機能しているかどうかを確認します。
ユーザが正常に認証されたかどうかを確認するには、ASAで次のコマンドを実行します。
firebird(config)# show vpn-sess detail anyconnect
Session Type: AnyConnect Detailed
Username : _585b5291f01484dfd16f394be7031d456d314e3e62
Index : 125
Assigned IP : explorer.cisco.com Public IP : 10.197.243.143
Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License : AnyConnect Premium
Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)AES-GCM-256 DTLS-Tunnel: (1)AES-GCM-256
Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA384 DTLS-Tunnel: (1)SHA384
Bytes Tx : 16404 Bytes Rx : 381
Pkts Tx : 16 Pkts Rx : 6
Pkts Tx Drop : 0 Pkts Rx Drop : 0
Group Policy : DfltGrpPolicy Tunnel Group : TG_SAML
Login Time : 07:05:45 UTC Sun Jun 14 2020
Duration : 0h:00m:16s
Inactivity : 0h:00m:00s
VLAN Mapping : N/A VLAN : none
Audt Sess ID : 0ac5a4030007d0005ee5cc49
Security Grp : none
AnyConnect-Parent Tunnels: 1
SSL-Tunnel Tunnels: 1
DTLS-Tunnel Tunnels: 1
AnyConnect-Parent:
Tunnel ID : 125.1
Public IP : 10.197.243.143
Encryption : none Hashing : none
TCP Src Port : 57244 TCP Dst Port : 443
Auth Mode : SAML
Idle Time Out: 30 Minutes Idle TO Left : 29 Minutes
Client OS : win
Client OS Ver: 10.0.15063
Client Type : AnyConnect
Client Ver : Cisco AnyConnect VPN Agent for Windows 4.8.03052
Bytes Tx : 7973 Bytes Rx : 0
Pkts Tx : 6 Pkts Rx : 0
Pkts Tx Drop : 0 Pkts Rx Drop : 0
SSL-Tunnel:
Tunnel ID : 125.2
Assigned IP : explorer.cisco.com Public IP : 10.197.243.143
Encryption : AES-GCM-256 Hashing : SHA384
Ciphersuite : ECDHE-RSA-AES256-GCM-SHA384
Encapsulation: TLSv1.2 TCP Src Port : 57248
TCP Dst Port : 443 Auth Mode : SAML
Idle Time Out: 30 Minutes Idle TO Left : 29 Minutes
Client OS : Windows
Client Type : SSL VPN Client
Client Ver : Cisco AnyConnect VPN Agent for Windows 4.8.03052
Bytes Tx : 7973 Bytes Rx : 0
Pkts Tx : 6 Pkts Rx : 0
Pkts Tx Drop : 0 Pkts Rx Drop : 0
Filter Name : #ACSACL#-IP-PostureUnknown-5ee45b05
DTLS-Tunnel:
Tunnel ID : 125.3
Assigned IP : explorer.cisco.com Public IP : 10.197.243.143
Encryption : AES-GCM-256 Hashing : SHA384
Ciphersuite : ECDHE-ECDSA-AES256-GCM-SHA384
Encapsulation: DTLSv1.2 UDP Src Port : 49175
UDP Dst Port : 443 Auth Mode : SAML
Idle Time Out: 30 Minutes Idle TO Left : 29 Minutes
Client OS : Windows
Client Type : DTLS VPN Client
Client Ver : Cisco AnyConnect VPN Agent for Windows 4.8.03052
Bytes Tx : 458 Bytes Rx : 381
Pkts Tx : 4 Pkts Rx : 6
Pkts Tx Drop : 0 Pkts Rx Drop : 0
Filter Name : #ACSACL#-IP-PostureUnknown-5ee45b05
ISE Posture:
Redirect URL : https://ise261.pusaxena.local:8443/portal/gateway?sessionId=0ac5a4030007d0005ee5cc49&portal=27b1bc30-2...
Redirect ACL : redirect
ポスチャ評価が完了すると、「Filter Name」フィールドにプッシュされたDACLに示されるように、ユーザアクセスがフルアクセスに変更されます
firebird(config)# show vpn-sess detail anyconnect
Session Type: AnyConnect Detailed
Username : _585b5291f01484dfd16f394be7031d456d314e3e62
Index : 125
Assigned IP : explorer.cisco.com Public IP : 10.197.243.143
Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License : AnyConnect Premium
Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)AES-GCM-256 DTLS-Tunnel: (1)AES-GCM-256
Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA384 DTLS-Tunnel: (1)SHA384
Bytes Tx : 16404 Bytes Rx : 381
Pkts Tx : 16 Pkts Rx : 6
Pkts Tx Drop : 0 Pkts Rx Drop : 0
Group Policy : DfltGrpPolicy Tunnel Group : TG_SAML
Login Time : 07:05:45 UTC Sun Jun 14 2020
Duration : 0h:00m:36s
Inactivity : 0h:00m:00s
VLAN Mapping : N/A VLAN : none
Audt Sess ID : 0ac5a4030007d0005ee5cc49
Security Grp : none
AnyConnect-Parent Tunnels: 1
SSL-Tunnel Tunnels: 1
DTLS-Tunnel Tunnels: 1
AnyConnect-Parent:
Tunnel ID : 125.1
Public IP : 10.197.243.143
Encryption : none Hashing : none
TCP Src Port : 57244 TCP Dst Port : 443
Auth Mode : SAML
Idle Time Out: 30 Minutes Idle TO Left : 29 Minutes
Client OS : win
Client OS Ver: 10.0.15063
Client Type : AnyConnect
Client Ver : Cisco AnyConnect VPN Agent for Windows 4.8.03052
Bytes Tx : 7973 Bytes Rx : 0
Pkts Tx : 6 Pkts Rx : 0
Pkts Tx Drop : 0 Pkts Rx Drop : 0
SSL-Tunnel:
Tunnel ID : 125.2
Assigned IP : explorer.cisco.com Public IP : 10.197.243.143
Encryption : AES-GCM-256 Hashing : SHA384
Ciphersuite : ECDHE-RSA-AES256-GCM-SHA384
Encapsulation: TLSv1.2 TCP Src Port : 57248
TCP Dst Port : 443 Auth Mode : SAML
Idle Time Out: 30 Minutes Idle TO Left : 29 Minutes
Client OS : Windows
Client Type : SSL VPN Client
Client Ver : Cisco AnyConnect VPN Agent for Windows 4.8.03052
Bytes Tx : 7973 Bytes Rx : 0
Pkts Tx : 6 Pkts Rx : 0
Pkts Tx Drop : 0 Pkts Rx Drop : 0
Filter Name : #ACSACL#-IP-PERMIT_ALL_IPV4_TRAFFIC-57f6b0d3
DTLS-Tunnel:
Tunnel ID : 125.3
Assigned IP : explorer.cisco.com Public IP : 10.197.243.143
Encryption : AES-GCM-256 Hashing : SHA384
Ciphersuite : ECDHE-ECDSA-AES256-GCM-SHA384
Encapsulation: DTLSv1.2 UDP Src Port : 49175
UDP Dst Port : 443 Auth Mode : SAML
Idle Time Out: 30 Minutes Idle TO Left : 29 Minutes
Client OS : Windows
Client Type : DTLS VPN Client
Client Ver : Cisco AnyConnect VPN Agent for Windows 4.8.03052
Bytes Tx : 458 Bytes Rx : 381
Pkts Tx : 4 Pkts Rx : 6
Pkts Tx Drop : 0 Pkts Rx Drop : 0
Filter Name : #ACSACL#-IP-PERMIT_ALL_IPV4_TRAFFIC-57f6b0d3
ISEで認証が正常に実行されたかどうかを確認するには、「Operations」>「RADIUS」>「Live Logs」に移動します。
このセクションには、認証ユーザに関連する情報(ID、認証プロファイル、認証ポリシー、ポスチャステータス)が表示されます。
ユーザ エクスペリエンス
トラブルシュート
ここでは、設定のトラブルシューティングに使用できる情報を示します。
ほとんどのSAMLのトラブルシューティングでは、SAML設定のチェックやデバッグの実行によって検出される設定の誤りが関係します。
「debug webvpn saml 255」は、ほとんどの問題のトラブルシューティングに使用できますが、このデバッグで有用な情報が得られないシナリオでは、追加のデバッグを実行できます。
debug webvpn 255 debug webvpn anyconnect 255 debug webvpn session 255 debug webvpn request 255
ASAの認証と認可の問題をトラブルシューティングするには、次のdebugコマンドを使用します。
debug radius all debug aaa authentication debug aaa authorization To troubleshoot Posture related issues on ISE, set the following attributes to debug level:
posture (ise-psc.log) portal (guest.log) provisioning (ise-psc.log) runtime-AAA (prrt-server.log) nsf (ise-psc.log) nsf-session (ise-psc.log) swiss (ise-psc.log)
関連情報
https://www.youtube.com/watch?v=W6bE2GTU0Is&
https://duo.com/docs/cisco#asa-ssl-vpn-using-saml
https://www.cisco.com/c/en/us/support/docs/security/identity-services-engine/215236-ise-posture-over-anyconnect-remote-acces.html#anc0
フィードバック