シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。 ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。 シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。
このドキュメントでは、Active Directory(AD)プローブに基づく Identity Services Engine(ISE)2.1 プロファイリング サービスの設定方法について説明します。 デバイス センサーはアクセス デバイスの機能です。 この機能で、接続エンドポイントに関する情報を収集します。
次の項目に関する知識が推奨されます。
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。
本書の情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。 稼働中のネットワークで作業を行う場合、コマンドの影響について十分に理解したうえで作業してください。
AD プローブ:
企業と企業以外の資産を区別するのに役立ちます。 基本的ではあるものの、AD プローブに使用可能な重要な属性は、AD にエンドポイントがあるかないかです。 この情報を使用して、AD に含まれているエンド ポイントを管理対象デバイスまたは企業の資産として分類できます。
フローは次のとおりです。
WLC は基本 MAB 認証に設定されています。 設定は赤で強調表示されています。
WLC は、デバイス センサーに設定され、接続されたエンドポイントから HTTP や DHCP などのプロトコルでネットワーク情報を収集し、この情報を RADIUS アカウンティング パケットで ISE のポリシー サービス ノード(PSN)に転送します。 ISE はホスト名を受信すると、新しいエンドポイントの AD 属性を取り出します。 ホスト名は通常、DHCP または DNS プローブから学習します。
[Administration] > [Network Resources] > [Network Devices] で WLC をネットワーク デバイスとして追加します。 WLC の RADIUS サーバ キーを [Authentication Setting] の [Shared Secret] として使用します。
[Administration] > [System] > [Deployment] > [ISE node] > [Profiling Configuration] でプロファイリング ノードの RADIUS プローブを有効にします。 このシナリオでは、実際には、エンドポイントのホスト名を取得する RADIUS プローブと AD 属性を取得する AD プローブの 2 つの RADIUS プローブを使用しています。
正常に取得されると、ISE は再スキャン タイマーの期限が切れるまでは同じエンドポイントに対して AD へのクエリーを再試行しません。 これにより、属性のクエリーでの AD への負荷を制限します。 再スキャン タイマーは [Days Before Rescan] フィールド([Administration] > [System] > [Deployment] > [Profiling Configuration] > [Active DirectoryActive Directory])で設定します。 エンドポイントに追加のプロファイリング アクティビティがある場合、AD は再度クエリーを実行します。
[Work Centers] > [Profiler] > [Policy Elements] > [Profiler Conditions] に移動します。 参加ポイントが EXAMPLE.COM ドメインであるかどうかを確認します。
オペレーティング システムが Windows 7 Professional であるかどうかを確認します。
OS に Service Pack 1 がインストールされているかどうかを確認します。
AD のエンドポイントにマシン アカウントがあるかどうかを確認します。
[Work Centers] > [Profiler] > [Profiling Policies] に移動します。 特定の ekorneyc_Win7_SP1_Corporate としてプロファイリングするには、すべての条件のうちの最小条件を満たす必要があります。 それらのすべてに一致している場合、累積確信度は 60 になります。これは、この例での最小プロファイリング ポリシーです。
ポリシーが保存されると、対応するエンドポイントの ID グループが作成されます。 [Associated CoA Type] を正しく設定し、エンドポイントがプロファイリングされたら、CoA 再認証が送信されて新しいポリシーが適用されることを確認することが重要です。
1. [Administration] > [Identity Management] > [External Identity Sources] > [Active Directory] > [Add] を選択します。 [Join Point Name]、[AD Domain] に入力し、[Submit] をクリックします。
2. この AD ドメインにすべての ISE ノードを参加させる確認プロンプトが表示されたら、[Yes] をクリックします。
3. [AD User Name] と [Password] を入力し、[OK] をクリックします。
ISE でのドメイン アクセスに必要な AD アカウントには、次のいずれかが必要です。
ISE アカウントのロックアウト ポリシーを無効にし、不正なパスワードがこのアカウントに使用された場合に、管理者にアラートを送信するように AD インフラストラクチャを設定することを推奨します。 誤ったパスワードが入力された場合、ISE は必要なときにマシン アカウントを作成または変更しないため、多くの場合すべての認証が拒否される可能性があります。
4. [Operation Status] を確認し、[Node Status] に [Completed] が表示されていたら、[Close] をクリックします。
5. AD のステータスは [Operational] になります。
2 つの認可ポリシーが設定されます。デフォルトのポリシーが制限付きアクセスでエンドポイントを承認します。 マシンがプロファイリングされると、CoA 再認証が送信され、フル アクセス権限を持つ新しいポリシーが割り当てられます。
ここでは、設定が正常に動作していることを確認します。
[Operations] > [RADIUS] > [Live Logs on ISE] に移動します。 一番下の認証に [Limited Access] が付与されていることが表示されます。これに CoA が続き、その後にフル アクセス ポリシーが続きます。
[Context Visibility] > [Endpoints] に移動し、正しいエンドポイントが作成され、正しいエンドポイント プロファイルが割り当てられたことを確認します。
エンドポイントの MAC アドレスをクリックし、すべての属性を表示します。 AD 属性とプロファイリング ポリシーが強調表示されます。
AD 属性の取得をトリガーした WLC から受信したホスト名属性が強調表示されます。
ここでは、設定のトラブルシューティングに役立つ情報について説明します。
ISE でデバッグを有効にするには、[Administration] > [System] > [Logging] > [Debug Log Configuration] に移動し、[PSN] を選択してプロファイラ コンポーネントの [Log Level] を [DEBUG] に変更します。
確認すべきログは profiler.log です。 ISE CLI から直接次の tail コマンドを発行します。
ISE21-3ek/admin# show logging application profiler.log tail
エンドポイントが初めて認証されます。
2016-07-01 18:52:54,916 DEBUG [RADIUSParser-1-thread-2][] cisco.profiler.probes.radius.RadiusParser -::- Radius Accounting message for mac:24:77:03:D9:4D:48for probe typePROBE
2016-07-01 18:52:54,917 DEBUG [forwarder-0][] cisco.profiler.infrastructure.probemgr.Forwarder -:ProfilerCollection:- Processing endpoint:24:77:03:D9:4D:48
2016-07-01 18:52:54,917 DEBUG [forwarder-0][] cisco.profiler.infrastructure.probemgr.Forwarder -:ProfilerCollection:- Filtering:24:77:03:D9:4D:48
2016-07-01 18:52:54,917 DEBUG [forwarder-0][] cisco.profiler.infrastructure.probemgr.Forwarder -:ProfilerCollection:- Endpoint Attributes:EndPoint[id=<null>,name=<null>]
MAC: 24:77:03:D9:4D:48
Attribute:AAA-Server value:psn1-21
Attribute:Airespace-Wlan-Id value:11
Attribute:AllowedProtocolMatchedRule value:Default
Attribute:AuthenticationMethod value:Lookup
Attribute:AuthorizationPolicyMatchedRule value:Default
Attribute:BYODRegistration value:Unknown
Attribute:Called-Station-ID value:3c-ce-73-09-84-50:ekorneyc_Corporate
Attribute:Calling-Station-ID value:24-77-03-d9-4d-48
Attribute:DestinationIPAddress value:10.201.228.86
Attribute:DestinationPort value:1812
Attribute:Device IP Address value:10.201.228.93
Attribute:Device Type value:Device Type#All Device Types
Attribute:DeviceRegistrationStatus value:NotRegistered
Attribute:EndPointMACAddress value:24-77-03-D9-4D-48
Attribute:EndPointProfilerServer value:psn1-21.example.com
Attribute:EndPointSource value:RADIUS Probe
Attribute:FailureReason value:-
Attribute:IsThirdPartyDeviceFlow value:false
Attribute:Location value:Location#All Locations
Attribute:MACAddress value:24:77:03:D9:4D:48
Attribute:MessageCode value:5200
Attribute:NAS-IP-Address value:10.201.228.93
Attribute:NAS-Identifier value:(Cisco Controller)
Attribute:NAS-Port value:1
Attribute:NAS-Port-Type value:Wireless - IEEE 802.11
Attribute:Network Device Profile value:Cisco
Attribute:NetworkDeviceGroups value:Location#All Locations, Device Type#All Device Types
Attribute:NetworkDeviceName value:WLC-backbone
Attribute:NetworkDeviceProfileId value:403ea8fc-7a27-41c3-80bb-27964031a08d
Attribute:NetworkDeviceProfileName value:Cisco
Attribute:NmapSubnetScanID value:0
Attribute:OUI value:Intel Corporate
Attribute:OriginalUserName value:247703d94d48
Attribute:PolicyVersion value:0
Attribute:PortalUser value:
Attribute:PostureApplicable value:Yes
Attribute:PostureAssessmentStatus value:NotApplicable
Attribute:RadiusFlowType value:WirelessMAB
Attribute:Response value:{User-Name=24-77-03-D9-4D-48; State=ReauthSession:0ac9e456yGJQ/6QENVbTWpeIf_25n9rNta41Rhpm1mzosl3LL1s; Class=CACS:0ac9e456yGJQ/6QENVbTWpeIf_25n9rNta41Rhpm1mzosl3LL1s:psn1-21/256595711/820; cisco-av-pair=ACS:CiscoSecure-Defined-ACL=#ACSACL#-IP-LimitedAccess-57758e56; LicenseTypes=1; }
Attribute:SSID value:3c-ce-73-09-84-50:ekorneyc_Corporate
Attribute:SelectedAccessService value:Default Network Access
Attribute:SelectedAuthenticationIdentityStores value:Internal Users, All_AD_Join_Points, Guest Users
Attribute:SelectedAuthorizationProfiles value:LimitedAccess
Attribute:Service-Type value:Call Check
Attribute:StepData value:6= Normalised Radius.RadiusFlowType, 7= Airespace.Airespace-Wlan-Id, 11=All_User_ID_Stores, 12=Internal Users, 15=All_AD_Join_Points, 16=All_AD_Join_Points, 17=24-77-03-D9-4D-48, 18=example.com, 19=example.com, 21=ERROR_NO_SUCH_USER, 22=All_AD_Join_Points, 23=Guest Users, 31=Default
Attribute:UseCase value:Host Lookup
Attribute:User-Name value:247703d94d48
Attribute:UserName value:24-77-03-D9-4D-48
Attribute:allowEasyWiredSession value:true
Attribute:SkipProfiling value:false
エンドポイントは Intel-Device ポリシーと一致する UDI に基づいてプロファイリングされます。 エンドポイントがデータベースに作成されます。
2016-07-01 18:52:54,922 DEBUG [EndpointHandlerWorker-0-32-thread-1][] cisco.profiler.infrastructure.profiling.ProfilerManager -:Profiling:- Generating FirstTimeProfileEvent for mac : 24:77:03:D9:4D:48
2016-07-01 18:52:54,943 DEBUG [EndpointHandlerWorker-0-32-thread-1][] cisco.profiler.infrastructure.profiling.ProfilerManager -:Profiling:- Policy Intel-Device matched 24:77:03:D9:4D:48 (certainty 5)
2016-07-01 18:52:54,975 DEBUG [pool-42-thread-17][] cisco.profiler.infrastructure.notifications.EndPointNotificationHandler -::- EndPoint created - (mac : 24:77:03:D9:4D:48)
RADIUS アカウンティングが WLC から送信されます。これには、エンドポイントのホスト名が含まれています。
2016-07-01 18:52:59,349 DEBUG [RADIUSParser-1-thread-1][] cisco.profiler.probes.radius.RadiusParser -::- Parsed IOS Sensor 1: host-name=[EKORNEYC-PC]
2016-07-01 18:52:59,349 DEBUG [RADIUSParser-1-thread-1][] cisco.profiler.probes.radius.RadiusParser -::- Parsed IOS Sensor 2: dhcp-class-identifier=[MSFT 5.0]
2016-07-01 18:52:59,350 DEBUG [RADIUSParser-1-thread-1][] cisco.profiler.probes.radius.RadiusParser -::- Endpoint: EndPoint[id=<null>,name=<null>]
MAC: 24:77:03:D9:4D:48
Attribute:AAA-Server value:psn1-21
Attribute:Acct-Authentic value:RADIUS
Attribute:Acct-Session-Id value:57764da6/24:77:03:d9:4d:48/165
Attribute:Acct-Status-Type value:Start
Attribute:AcsSessionID value:psn1-21/256595711/821
Attribute:Airespace-Wlan-Id value:11
Attribute:AllowedProtocolMatchedRule value:Default
Attribute:BYODRegistration value:Unknown
Attribute:CPMSessionID value:0ac9e456yGJQ/6QENVbTWpeIf_25n9rNta41Rhpm1mzosl3LL1s
Attribute:Called-Station-ID value:10.201.228.93
Attribute:Calling-Station-ID value:24-77-03-d9-4d-48
Attribute:Class value:CACS:0ac9e456yGJQ/6QENVbTWpeIf_25n9rNta41Rhpm1mzosl3LL1s:psn1-21/256595711/820
Attribute:Device IP Address value:10.201.228.93
Attribute:Device Type value:Device Type#All Device Types
Attribute:DeviceRegistrationStatus value:NotRegistered
Attribute:EndPointPolicy value:Unknown
Attribute:EndPointPolicyID value:
Attribute:EndPointSource value:RADIUS Probe
Attribute:Event-Timestamp value:1467370923
Attribute:Framed-IP-Address value:10.201.228.111
Attribute:IdentityGroup value:
Attribute:IdentityGroupID value:
Attribute:Location value:Location#All Locations
Attribute:MACAddress value:24:77:03:D9:4D:48
Attribute:MatchedPolicy value:Unknown
Attribute:MatchedPolicyID value:
Attribute:MessageCode value:3000
Attribute:NAS-IP-Address value:10.201.228.93
Attribute:NAS-Identifier value:(Cisco Controller)
Attribute:NAS-Port value:1
Attribute:NAS-Port-Type value:Wireless - IEEE 802.11
Attribute:Network Device Profile value:Cisco
Attribute:NetworkDeviceGroups value:Location#All Locations, Device Type#All Device Types
Attribute:NetworkDeviceName value:WLC-backbone
Attribute:NmapSubnetScanID value:0
Attribute:OUI value:Intel Corporate
Attribute:PolicyVersion value:0
Attribute:PortalUser value:
Attribute:PostureApplicable value:Yes
Attribute:RequestLatency value:3
Attribute:SelectedAccessService value:Default Network Access
Attribute:StaticAssignment value:false
Attribute:StaticGroupAssignment value:false
Attribute:Total Certainty Factor value:0
Attribute:Tunnel-Medium-Type value:(tag=0) 802
Attribute:Tunnel-Private-Group-ID value:(tag=0) 903
Attribute:Tunnel-Type value:(tag=0) VLAN
Attribute:User-Name value:24-77-03-D9-4D-48
Attribute:cisco-av-pair value:audit-session-id=0ac9e45d000000a057764da7, dhcp-option=host-name=EKORNEYC-PC, dhcp-option=dhcp-class-identifier=MSFT 5.0
Attribute:dhcp-class-identifier value:MSFT 5.0
Attribute:host-name value:EKORNEYC-PC
Attribute:ip value:10.201.228.111
Attribute:SkipProfiling value:false
ISE は、ホスト名を受信するとすぐに新しいエンドポイントの AD 属性を取り出します。
2016-07-01 18:52:59,671 DEBUG [ActiveDirectoryRequestChecker-45-thread-1][] profiler.infrastructure.probemgr.event.ActiveDirectoryEventHandler -::- Attr = operatingSystemVersion, Value = [6.1 (7601)]
2016-07-01 18:52:59,671 DEBUG [ActiveDirectoryRequestChecker-45-thread-1][] profiler.infrastructure.probemgr.event.ActiveDirectoryEventHandler -::- Attr = jp, Value = [EXAMPLE.COM]
2016-07-01 18:52:59,672 DEBUG [ActiveDirectoryRequestChecker-45-thread-1][] profiler.infrastructure.probemgr.event.ActiveDirectoryEventHandler -::- Attr = domain, Value = [example.com]
2016-07-01 18:52:59,672 DEBUG [ActiveDirectoryRequestChecker-45-thread-1][] profiler.infrastructure.probemgr.event.ActiveDirectoryEventHandler -::- Attr = dn, Value = [CN=EKORNEYC-PC,CN=Computers,DC=example,DC=com]
2016-07-01 18:52:59,672 DEBUG [ActiveDirectoryRequestChecker-45-thread-1][] profiler.infrastructure.probemgr.event.ActiveDirectoryEventHandler -::- Attr = operatingSystemServicePack, Value = [Service Pack 1]
2016-07-01 18:52:59,672 DEBUG [ActiveDirectoryRequestChecker-45-thread-1][] profiler.infrastructure.probemgr.event.ActiveDirectoryEventHandler -::- Attr = operatingSystem, Value = [Windows 7 Professional]
属性がデータベースのエンドポイントに追加されます。
2016-07-01 18:52:59,672 DEBUG [forwarder-0][] cisco.profiler.infrastructure.probemgr.Forwarder -:ProfilerCollection:- Endpoint Attributes:EndPoint[id=<null>,name=<null>]
MAC: 24:77:03:D9:4D:48
Attribute:AD-Fetch-Host-Name value:EKORNEYC-PC
Attribute:AD-Host-Exists value:true
Attribute:AD-Join-Point value:EXAMPLE.COM
Attribute:AD-Last-Fetch-Time value:1467399179672
Attribute:AD-OS-Version value:6.1 (7601)
Attribute:AD-Operating-System value:Windows 7 Professional
Attribute:AD-Service-Pack value:Service Pack 1
Attribute:BYODRegistration value:Unknown
Attribute:DeviceRegistrationStatus value:NotRegistered
Attribute:EndPointProfilerServer value:psn1-21.example.com
Attribute:EndPointSource value:Active Directory Probe
Attribute:MACAddress value:24:77:03:D9:4D:48
Attribute:NmapSubnetScanID value:0
Attribute:OUI value:Intel Corporate
Attribute:PolicyVersion value:0
Attribute:PortalUser value:
Attribute:PostureApplicable value:Yes
Attribute:operating-system-result value:Windows 7 Professional
Attribute:SkipProfiling value:false
設定されたプロファイリング ポリシーごとに新しいポリシーが照合されます。
2016-07-01 18:52:59,699 DEBUG [EndpointHandlerWorker-0-32-thread-1][] cisco.profiler.infrastructure.profiling.ProfilerManager -:Profiling:- Policy ekorneyc_Win7_SP1_Corporate matched 24:77:03:D9:4D:48 (certainty 60)