AD のプローブに基づいて ISE 2.1 プロファイリング サービスを設定する
目次
概要
このドキュメントでは、Active Directory(AD)プローブに基づく Identity Services Engine(ISE)2.1 プロファイリング サービスの設定方法について説明します。 デバイス センサーはアクセス デバイスの機能です。 この機能で、接続エンドポイントに関する情報を収集します。
前提条件
要件
次の項目に関する知識が推奨されます。
- RADIUS プロトコル
- AD
- Cisco ISE
使用するコンポーネント
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。
- Cisco ISE バージョン 2.1
- Wireless LAN Controller(WLC)8.0.133.0
- Windows 7 Service Pack 1
- AD 2012 R2
本書の情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。 稼働中のネットワークで作業を行う場合、コマンドの影響について十分に理解したうえで作業してください。
背景説明
AD プローブ:
- Windows エンドポイントに関するオペレーティング システム(OS)情報の再現性が向上します。 Microsoft AD は、AD に参加しているコンピュータのバージョンやサービス パック レベルなどの OS に関する詳細な情報を追跡します。 AD プローブは、この情報を直接取得し、AD ランタイム コネクタを使用して、信頼性が非常に高いクライアント OS 情報を提供します。
-
企業と企業以外の資産を区別するのに役立ちます。 基本的ではあるものの、AD プローブに使用可能な重要な属性は、AD にエンドポイントがあるかないかです。 この情報を使用して、AD に含まれているエンド ポイントを管理対象デバイスまたは企業の資産として分類できます。
設定
ネットワーク図
フローは次のとおりです。
- クライアントが、MAC 認証バイパス(MAB)経由でワイヤレス ネットワークに接続され、制限付きアクセスがエンドポイントに付与されます。
- デバイス センサー機能を使用して、WLC がクライアント マシンのホスト名を ISE に送信します。
- ISE は AD クエリーをトリガーして次の属性を取得します。 AD-Host-Exists、AD-Join-Point、AD-Operating-System、AD-OS-Version、Ad-Service-Pack。
- 手動プロファイリング ポリシーが設定されているため、認可ルールが存在しており、エンドポイントがプロファイリングされ、認可変更(CoA)がトリガーされます。
- フル アクセスがエンドポイントに付与されます。
WLC の設定
WLC は基本 MAB 認証に設定されています。 設定は赤で強調表示されています。
WLC は、デバイス センサーに設定され、接続されたエンドポイントから HTTP や DHCP などのプロトコルでネットワーク情報を収集し、この情報を RADIUS アカウンティング パケットで ISE のポリシー サービス ノード(PSN)に転送します。 ISE はホスト名を受信すると、新しいエンドポイントの AD 属性を取り出します。 ホスト名は通常、DHCP または DNS プローブから学習します。
ISE の設定
ステップ 1:ネットワーク アクセス デバイスの追加
[Administration] > [Network Resources] > [Network Devices] で WLC をネットワーク デバイスとして追加します。 WLC の RADIUS サーバ キーを [Authentication Setting] の [Shared Secret] として使用します。
ステップ 2:RADIUS および AD プローブの有効化
[Administration] > [System] > [Deployment] > [ISE node] > [Profiling Configuration] でプロファイリング ノードの RADIUS プローブを有効にします。 このシナリオでは、実際には、エンドポイントのホスト名を取得する RADIUS プローブと AD 属性を取得する AD プローブの 2 つの RADIUS プローブを使用しています。
正常に取得されると、ISE は再スキャン タイマーの期限が切れるまでは同じエンドポイントに対して AD へのクエリーを再試行しません。 これにより、属性のクエリーでの AD への負荷を制限します。 再スキャン タイマーは [Days Before Rescan] フィールド([Administration] > [System] > [Deployment] > [Profiling Configuration] > [Active DirectoryActive Directory])で設定します。 エンドポイントに追加のプロファイリング アクティビティがある場合、AD は再度クエリーを実行します。
ステップ 3:カスタム プロファイリング条件の設定
[Work Centers] > [Profiler] > [Policy Elements] > [Profiler Conditions] に移動します。 参加ポイントが EXAMPLE.COM ドメインであるかどうかを確認します。
オペレーティング システムが Windows 7 Professional であるかどうかを確認します。
OS に Service Pack 1 がインストールされているかどうかを確認します。
AD のエンドポイントにマシン アカウントがあるかどうかを確認します。
ステップ4:カスタム プロファイリング ポリシーの設定
[Work Centers] > [Profiler] > [Profiling Policies] に移動します。 特定の ekorneyc_Win7_SP1_Corporate としてプロファイリングするには、すべての条件のうちの最小条件を満たす必要があります。 それらのすべてに一致している場合、累積確信度は 60 になります。これは、この例での最小プロファイリング ポリシーです。
ポリシーが保存されると、対応するエンドポイントの ID グループが作成されます。 [Associated CoA Type] を正しく設定し、エンドポイントがプロファイリングされたら、CoA 再認証が送信されて新しいポリシーが適用されることを確認することが重要です。
ステップ 5:AD への ISE の参加
1. [Administration] > [Identity Management] > [External Identity Sources] > [Active Directory] > [Add] を選択します。 [Join Point Name]、[AD Domain] に入力し、[Submit] をクリックします。
2. この AD ドメインにすべての ISE ノードを参加させる確認プロンプトが表示されたら、[Yes] をクリックします。
3. [AD User Name] と [Password] を入力し、[OK] をクリックします。
ISE でのドメイン アクセスに必要な AD アカウントには、次のいずれかが必要です。
- 対応するドメインのドメイン ユーザ権限にワークステーションを追加。
- ISE マシンをドメインに参加させる前に ISE マシンのアカウントが作成されるコンピュータ コンテナでのコンピュータ オブジェクトを作成する権限またはコンピュータ オブジェクトを削除する権限。
ISE アカウントのロックアウト ポリシーを無効にし、不正なパスワードがこのアカウントに使用された場合に、管理者にアラートを送信するように AD インフラストラクチャを設定することを推奨します。 誤ったパスワードが入力された場合、ISE は必要なときにマシン アカウントを作成または変更しないため、多くの場合すべての認証が拒否される可能性があります。
4. [Operation Status] を確認し、[Node Status] に [Completed] が表示されていたら、[Close] をクリックします。
5. AD のステータスは [Operational] になります。
手順 6:許可ポリシーの設定
2 つの認可ポリシーが設定されます。デフォルトのポリシーが制限付きアクセスでエンドポイントを承認します。 マシンがプロファイリングされると、CoA 再認証が送信され、フル アクセス権限を持つ新しいポリシーが割り当てられます。
確認
ここでは、設定が正常に動作していることを確認します。
[Operations] > [RADIUS] > [Live Logs on ISE] に移動します。 一番下の認証に [Limited Access] が付与されていることが表示されます。これに CoA が続き、その後にフル アクセス ポリシーが続きます。
[Context Visibility] > [Endpoints] に移動し、正しいエンドポイントが作成され、正しいエンドポイント プロファイルが割り当てられたことを確認します。
エンドポイントの MAC アドレスをクリックし、すべての属性を表示します。 AD 属性とプロファイリング ポリシーが強調表示されます。
AD 属性の取得をトリガーした WLC から受信したホスト名属性が強調表示されます。
トラブルシューティング
ここでは、設定のトラブルシューティングに役立つ情報について説明します。
ISE でのデバッグ
ISE でデバッグを有効にするには、[Administration] > [System] > [Logging] > [Debug Log Configuration] に移動し、[PSN] を選択してプロファイラ コンポーネントの [Log Level] を [DEBUG] に変更します。
確認すべきログは profiler.log です。 ISE CLI から直接次の tail コマンドを発行します。
ISE21-3ek/admin# show logging application profiler.log tail
エンドポイントが初めて認証されます。
2016-07-01 18:52:54,916 DEBUG [RADIUSParser-1-thread-2][] cisco.profiler.probes.radius.RadiusParser -::- Radius Accounting message for mac:24:77:03:D9:4D:48for probe typePROBE
2016-07-01 18:52:54,917 DEBUG [forwarder-0][] cisco.profiler.infrastructure.probemgr.Forwarder -:ProfilerCollection:- Processing endpoint:24:77:03:D9:4D:48
2016-07-01 18:52:54,917 DEBUG [forwarder-0][] cisco.profiler.infrastructure.probemgr.Forwarder -:ProfilerCollection:- Filtering:24:77:03:D9:4D:48
2016-07-01 18:52:54,917 DEBUG [forwarder-0][] cisco.profiler.infrastructure.probemgr.Forwarder -:ProfilerCollection:- Endpoint Attributes:EndPoint[id=<null>,name=<null>]
MAC: 24:77:03:D9:4D:48
Attribute:AAA-Server value:psn1-21
Attribute:Airespace-Wlan-Id value:11
Attribute:AllowedProtocolMatchedRule value:Default
Attribute:AuthenticationMethod value:Lookup
Attribute:AuthorizationPolicyMatchedRule value:Default
Attribute:BYODRegistration value:Unknown
Attribute:Called-Station-ID value:3c-ce-73-09-84-50:ekorneyc_Corporate
Attribute:Calling-Station-ID value:24-77-03-d9-4d-48
Attribute:DestinationIPAddress value:10.201.228.86
Attribute:DestinationPort value:1812
Attribute:Device IP Address value:10.201.228.93
Attribute:Device Type value:Device Type#All Device Types
Attribute:DeviceRegistrationStatus value:NotRegistered
Attribute:EndPointMACAddress value:24-77-03-D9-4D-48
Attribute:EndPointProfilerServer value:psn1-21.example.com
Attribute:EndPointSource value:RADIUS Probe
Attribute:FailureReason value:-
Attribute:IsThirdPartyDeviceFlow value:false
Attribute:Location value:Location#All Locations
Attribute:MACAddress value:24:77:03:D9:4D:48
Attribute:MessageCode value:5200
Attribute:NAS-IP-Address value:10.201.228.93
Attribute:NAS-Identifier value:(Cisco Controller)
Attribute:NAS-Port value:1
Attribute:NAS-Port-Type value:Wireless - IEEE 802.11
Attribute:Network Device Profile value:Cisco
Attribute:NetworkDeviceGroups value:Location#All Locations, Device Type#All Device Types
Attribute:NetworkDeviceName value:WLC-backbone
Attribute:NetworkDeviceProfileId value:403ea8fc-7a27-41c3-80bb-27964031a08d
Attribute:NetworkDeviceProfileName value:Cisco
Attribute:NmapSubnetScanID value:0
Attribute:OUI value:Intel Corporate
Attribute:OriginalUserName value:247703d94d48
Attribute:PolicyVersion value:0
Attribute:PortalUser value:
Attribute:PostureApplicable value:Yes
Attribute:PostureAssessmentStatus value:NotApplicable
Attribute:RadiusFlowType value:WirelessMAB
Attribute:Response value:{User-Name=24-77-03-D9-4D-48; State=ReauthSession:0ac9e456yGJQ/6QENVbTWpeIf_25n9rNta41Rhpm1mzosl3LL1s; Class=CACS:0ac9e456yGJQ/6QENVbTWpeIf_25n9rNta41Rhpm1mzosl3LL1s:psn1-21/256595711/820; cisco-av-pair=ACS:CiscoSecure-Defined-ACL=#ACSACL#-IP-LimitedAccess-57758e56; LicenseTypes=1; }
Attribute:SSID value:3c-ce-73-09-84-50:ekorneyc_Corporate
Attribute:SelectedAccessService value:Default Network Access
Attribute:SelectedAuthenticationIdentityStores value:Internal Users, All_AD_Join_Points, Guest Users
Attribute:SelectedAuthorizationProfiles value:LimitedAccess
Attribute:Service-Type value:Call Check
Attribute:StepData value:6= Normalised Radius.RadiusFlowType, 7= Airespace.Airespace-Wlan-Id, 11=All_User_ID_Stores, 12=Internal Users, 15=All_AD_Join_Points, 16=All_AD_Join_Points, 17=24-77-03-D9-4D-48, 18=example.com, 19=example.com, 21=ERROR_NO_SUCH_USER, 22=All_AD_Join_Points, 23=Guest Users, 31=Default
Attribute:UseCase value:Host Lookup
Attribute:User-Name value:247703d94d48
Attribute:UserName value:24-77-03-D9-4D-48
Attribute:allowEasyWiredSession value:true
Attribute:SkipProfiling value:false
エンドポイントは Intel-Device ポリシーと一致する UDI に基づいてプロファイリングされます。 エンドポイントがデータベースに作成されます。
2016-07-01 18:52:54,922 DEBUG [EndpointHandlerWorker-0-32-thread-1][] cisco.profiler.infrastructure.profiling.ProfilerManager -:Profiling:- Generating FirstTimeProfileEvent for mac : 24:77:03:D9:4D:48
2016-07-01 18:52:54,943 DEBUG [EndpointHandlerWorker-0-32-thread-1][] cisco.profiler.infrastructure.profiling.ProfilerManager -:Profiling:- Policy Intel-Device matched 24:77:03:D9:4D:48 (certainty 5)
2016-07-01 18:52:54,975 DEBUG [pool-42-thread-17][] cisco.profiler.infrastructure.notifications.EndPointNotificationHandler -::- EndPoint created - (mac : 24:77:03:D9:4D:48)
RADIUS アカウンティングが WLC から送信されます。これには、エンドポイントのホスト名が含まれています。
2016-07-01 18:52:59,349 DEBUG [RADIUSParser-1-thread-1][] cisco.profiler.probes.radius.RadiusParser -::- Parsed IOS Sensor 1: host-name=[EKORNEYC-PC]
2016-07-01 18:52:59,349 DEBUG [RADIUSParser-1-thread-1][] cisco.profiler.probes.radius.RadiusParser -::- Parsed IOS Sensor 2: dhcp-class-identifier=[MSFT 5.0]
2016-07-01 18:52:59,350 DEBUG [RADIUSParser-1-thread-1][] cisco.profiler.probes.radius.RadiusParser -::- Endpoint: EndPoint[id=<null>,name=<null>]
MAC: 24:77:03:D9:4D:48
Attribute:AAA-Server value:psn1-21
Attribute:Acct-Authentic value:RADIUS
Attribute:Acct-Session-Id value:57764da6/24:77:03:d9:4d:48/165
Attribute:Acct-Status-Type value:Start
Attribute:AcsSessionID value:psn1-21/256595711/821
Attribute:Airespace-Wlan-Id value:11
Attribute:AllowedProtocolMatchedRule value:Default
Attribute:BYODRegistration value:Unknown
Attribute:CPMSessionID value:0ac9e456yGJQ/6QENVbTWpeIf_25n9rNta41Rhpm1mzosl3LL1s
Attribute:Called-Station-ID value:10.201.228.93
Attribute:Calling-Station-ID value:24-77-03-d9-4d-48
Attribute:Class value:CACS:0ac9e456yGJQ/6QENVbTWpeIf_25n9rNta41Rhpm1mzosl3LL1s:psn1-21/256595711/820
Attribute:Device IP Address value:10.201.228.93
Attribute:Device Type value:Device Type#All Device Types
Attribute:DeviceRegistrationStatus value:NotRegistered
Attribute:EndPointPolicy value:Unknown
Attribute:EndPointPolicyID value:
Attribute:EndPointSource value:RADIUS Probe
Attribute:Event-Timestamp value:1467370923
Attribute:Framed-IP-Address value:10.201.228.111
Attribute:IdentityGroup value:
Attribute:IdentityGroupID value:
Attribute:Location value:Location#All Locations
Attribute:MACAddress value:24:77:03:D9:4D:48
Attribute:MatchedPolicy value:Unknown
Attribute:MatchedPolicyID value:
Attribute:MessageCode value:3000
Attribute:NAS-IP-Address value:10.201.228.93
Attribute:NAS-Identifier value:(Cisco Controller)
Attribute:NAS-Port value:1
Attribute:NAS-Port-Type value:Wireless - IEEE 802.11
Attribute:Network Device Profile value:Cisco
Attribute:NetworkDeviceGroups value:Location#All Locations, Device Type#All Device Types
Attribute:NetworkDeviceName value:WLC-backbone
Attribute:NmapSubnetScanID value:0
Attribute:OUI value:Intel Corporate
Attribute:PolicyVersion value:0
Attribute:PortalUser value:
Attribute:PostureApplicable value:Yes
Attribute:RequestLatency value:3
Attribute:SelectedAccessService value:Default Network Access
Attribute:StaticAssignment value:false
Attribute:StaticGroupAssignment value:false
Attribute:Total Certainty Factor value:0
Attribute:Tunnel-Medium-Type value:(tag=0) 802
Attribute:Tunnel-Private-Group-ID value:(tag=0) 903
Attribute:Tunnel-Type value:(tag=0) VLAN
Attribute:User-Name value:24-77-03-D9-4D-48
Attribute:cisco-av-pair value:audit-session-id=0ac9e45d000000a057764da7, dhcp-option=host-name=EKORNEYC-PC, dhcp-option=dhcp-class-identifier=MSFT 5.0
Attribute:dhcp-class-identifier value:MSFT 5.0
Attribute:host-name value:EKORNEYC-PC
Attribute:ip value:10.201.228.111
Attribute:SkipProfiling value:false
ISE は、ホスト名を受信するとすぐに新しいエンドポイントの AD 属性を取り出します。
2016-07-01 18:52:59,671 DEBUG [ActiveDirectoryRequestChecker-45-thread-1][] profiler.infrastructure.probemgr.event.ActiveDirectoryEventHandler -::- Attr = operatingSystemVersion, Value = [6.1 (7601)]
2016-07-01 18:52:59,671 DEBUG [ActiveDirectoryRequestChecker-45-thread-1][] profiler.infrastructure.probemgr.event.ActiveDirectoryEventHandler -::- Attr = jp, Value = [EXAMPLE.COM]
2016-07-01 18:52:59,672 DEBUG [ActiveDirectoryRequestChecker-45-thread-1][] profiler.infrastructure.probemgr.event.ActiveDirectoryEventHandler -::- Attr = domain, Value = [example.com]
2016-07-01 18:52:59,672 DEBUG [ActiveDirectoryRequestChecker-45-thread-1][] profiler.infrastructure.probemgr.event.ActiveDirectoryEventHandler -::- Attr = dn, Value = [CN=EKORNEYC-PC,CN=Computers,DC=example,DC=com]
2016-07-01 18:52:59,672 DEBUG [ActiveDirectoryRequestChecker-45-thread-1][] profiler.infrastructure.probemgr.event.ActiveDirectoryEventHandler -::- Attr = operatingSystemServicePack, Value = [Service Pack 1]
2016-07-01 18:52:59,672 DEBUG [ActiveDirectoryRequestChecker-45-thread-1][] profiler.infrastructure.probemgr.event.ActiveDirectoryEventHandler -::- Attr = operatingSystem, Value = [Windows 7 Professional]
属性がデータベースのエンドポイントに追加されます。
2016-07-01 18:52:59,672 DEBUG [forwarder-0][] cisco.profiler.infrastructure.probemgr.Forwarder -:ProfilerCollection:- Endpoint Attributes:EndPoint[id=<null>,name=<null>]
MAC: 24:77:03:D9:4D:48
Attribute:AD-Fetch-Host-Name value:EKORNEYC-PC
Attribute:AD-Host-Exists value:true
Attribute:AD-Join-Point value:EXAMPLE.COM
Attribute:AD-Last-Fetch-Time value:1467399179672
Attribute:AD-OS-Version value:6.1 (7601)
Attribute:AD-Operating-System value:Windows 7 Professional
Attribute:AD-Service-Pack value:Service Pack 1
Attribute:BYODRegistration value:Unknown
Attribute:DeviceRegistrationStatus value:NotRegistered
Attribute:EndPointProfilerServer value:psn1-21.example.com
Attribute:EndPointSource value:Active Directory Probe
Attribute:MACAddress value:24:77:03:D9:4D:48
Attribute:NmapSubnetScanID value:0
Attribute:OUI value:Intel Corporate
Attribute:PolicyVersion value:0
Attribute:PortalUser value:
Attribute:PostureApplicable value:Yes
Attribute:operating-system-result value:Windows 7 Professional
Attribute:SkipProfiling value:false
設定されたプロファイリング ポリシーごとに新しいポリシーが照合されます。
2016-07-01 18:52:59,699 DEBUG [EndpointHandlerWorker-0-32-thread-1][] cisco.profiler.infrastructure.profiling.ProfilerManager -:Profiling:- Policy ekorneyc_Win7_SP1_Corporate matched 24:77:03:D9:4D:48 (certainty 60)
フィードバック