ISE 2.1 で EasyConnect を設定する
目次
概要
このドキュメントでは、Identity Services Engine(ISE )2.1 で EasyConnect 認証を設定する方法について説明します。 ISE は Microsoft Active Directory(AD)を外部 ID ストアとして使用して、ユーザ、マシン、グループ、属性などのリソースを格納します。
Eugene Korneychuk および Harisha Gunna によって貢献される、Cisco TAC エンジニア。
前提条件
要件
このドキュメントでは、スイッチ、AD、ISE、および Windows 7 ワークステーション間に完全な IP 接続があることを想定しています。 ISE サーバはブートストラップされます。
使用するコンポーネント
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。
- Cisco Identity Service Engine 2.1
- IOS® ソフトウェア リリース 15.0(1)SE2 を備えた Cisco 3750X スイッチ
- Microsoft Windows Server 2008 R2
- Microsoft Windows 7 ワークステーション
背景説明
EasyConnect の機能情報
EasyConnect は 802.1X と同様にポートベースの認証を提供しますが、より簡単に実装できます。 EasyConnect は AD から認証について学習し、アクティブなネットワーク セッションにセッション トラッキングを提供します。 セッション ディレクトリ通知を PxGrid でパブリッシュできます。
EasyConnect と 802.1x は同じポート上に設定できますが、サービスごとに異なる ISE ポリシーが必要です。
EasyConnect は高可用性モードでサポートされます。 WMI 専用の PSN を使用することをお勧めします。 ベスト プラクティスとしては、2 つの PSN を用意し、1 つをアクティブに、もう 1 つをスタンバイにします。
すべての PSN は DC からデータを受け取りますが、その内 1 つだけがマスターに設定され、イベントを MnT に転送します。 PSN はアクティブな MnT を選択し、エラーが発生した場合はスタンバイのプロモーションを自動的に処理します。 PassieveID Management サービスによってプライマリとして PSN を選択するプロセスは透過的です。
EasyConnect のプロセス フロー
スイッチは MAB 用に設定され、認証要求を PSN に送信します。 PSN が制限付きアクセスで応答することで、Active Directory でのユーザ認証が許可されます。 クライアントを認証する PSN は MAB 認証、RADIUS アカウンティングの開始と一時的な停止に関する情報を MnT に転送します。 プライマリ PSN(これが認証 PSN ではない場合があります。 PassiveID Management サービスによってプライマリとしてこれが選択されます)は、WMI 認証イベントを MnT に転送します。 すべてのデータが収集され、MnT によってセッション ディレクトリにマージされると、MnT は CoA 要求を認証 PSN にプロキシし、CoA を NAD に転送してユーザの認証を再評価します。
EasyConnect の機能制限
- EasyConnect は BYOD 使用例と使用することができません。
- シスコ デバイスのみをサポートします。
- Endpoint logoff イベントはサポートされていません。
パッシブ ID サービスをサポートするように AD を設定するには、次のリンクを参照してください。 パッシブ ID サービスをサポートするための Active Directory の要件
AD ユーザが Domain Admins グループの一部であるときと、AD ユーザが Domain Admin グループの一部でない場合とで、権限は異なります。
ISE の設定
ISE 2.1 の Active Directory への参加
1. [Administration] > [Identity Management] > [External Identity Sources] > [Active Directory] > [Add] を選択します。 [Join Point Name]、[Active Directory Domain] を入力し、[Submit] をクリックします。
2. この Active Directory ドメインにすべての ISE ノードを参加させる確認プロンプトが表示されたら、[Yes] をクリックします。
3. [AD User Name] と [Password] に入力し、[OK] をクリックします。
ISE でのドメイン アクセスに必要な AD アカウントには、次のいずれかが必要です。
- 対応するドメインのドメイン ユーザ権限にワークステーションを追加。
- ISE マシンをドメインに追加する前に ISE マシンのアカウントが作成される、対象のコンピュータ コンテナに対する、コンピュータ オブジェクトを作成する権限またはコンピュータ オブジェクトを削除する権限。
4. [Operation Status] を確認し、[Node Status] に [Completed] が表示されていたら、[Close] をクリックします。
5. AD のステータスは [Operational] になります。
6. [Groups] > [Add] > [Select Groups From Directory] > [Retrieve Groups] を選択します。 必要な AD グループが許可ポリシーで参照されるようにチェックボックスをオンにします。
7. [Save] をクリックして取得した AD グループを保存します。
許可プロファイルを設定して下さい
1. 限られたアクセスポリシー > 結果のための許可 プロファイルを作成して下さい、許可 > 許可プロファイルを選択し、LimitedAccess と指名される新しいものを追加して下さい
a)受動識別トラッキングがあるようにボックスを確認して下さい
b) DACL 名前を追加し、廃棄リストから限られたアクセス DACL を選択しま DNS、DHCP、ISE および DC アクセスを許可します
c) 保存します。
2. 他の望ましいアクセスのための許可 プロファイルを作成し、保存して下さい。 他の許可プロファイルで有効に なるためにトラッキングする受動 Idenitty のための必要がちょうど最初のアクセスありません。
EasyConnect の設定
1. ポリシー サーバの ID マッピングを有効にします。 [Administration] > [Deployment] に移動し、ノードを選択し、[General Settings] で [Enable Identity Mapping] をオンにします。
2. ポリシー セットを作成します。 [Policy] > [Policy Sets] に移動し、Ezconnect という名前の新しいポリシー セットを作成します。 次に、それらのポリシーを追加します。
a) EzconnectAuth という名前の認証ポリシーを Wired_MAB の条件で作成します。
b) Domain_Users という名前の認証ポリシーを AD: ExternalGroups EQUALS example.com/Users/Domain Users の条件で作成します。
c) Ezconnect_Limited という名前の認証ポリシーを Wired_MAB の条件で作成します。
制限付きアクセスの結果として、AD へのアクセス権が付与されます。
ID マッピングの設定
[Administration] > [PassiveID] > [AD Domain Controllers] に移動します。 [Add] をクリックします。 [General Settings] セクションで、DC の [Display Name]、[Domain FQDN]、および [Host FQDN] に入力します。 [Credentials] セクションで、DC の [Username] および [Password] に入力します。 [Save] をクリックします。 更新されたテーブルは DC のリストに含まれる新しく定義された DC とともに表示されます。 ステータス カラムは DC のさまざまな状態を示します。
(オプション)[Verify DC Connection Settings] をクリックして、指定したドメインへの接続をテストします。 このテストでは、DC への接続が正常であることを確認します。 ただし、Cisco ISE がログイン時にユーザ情報を取得できるかどうかは確認しません。
[Save] をクリックします。
スイッチの設定
この設定により、ポート FastEthernet1/0/23 に接続されたクライアントの MAB 認証をスイッチが実行するようになります。
aaa new-model
!
aaa group server radius ISE-group
server name PSN1
server name PSN2
!
aaa authentication dot1x default group ISE-group
aaa authorization network default group ISE-group
aaa accounting update newinfo
aaa accounting dot1x default start-stop group ISE-group
!
aaa server radius dynamic-author
client 10.201.228.86 server-key 7 0822455D0A16
client 10.201.228.87 server-key 7 094F471A1A0A
!
interface FastEthernet1/0/23
switchport access vlan 903
switchport mode access
authentication order mab
authentication port-control auto
mab
dot1x pae authenticator
spanning-tree portfast
!
radius-server vsa send accounting
radius-server vsa send authentication
!
radius server PSN1
address ipv4 10.201.228.86 auth-port 1812 acct-port 1813
key 7 13061E010803
!
radius server PSN2
address ipv4 10.201.228.87 auth-port 1812 acct-port 1813
key 7 00071A150754
確認
スイッチ
認証が正常に行われると、ユーザ名と IP アドレスがスイッチに表示されます。
Switch#show authentication sessions interface fastEthernet 1/0/23 details
Interface: FastEthernet1/0/23
MAC Address: 3c97.0e52.3fd3
IPv6 Address: Unknown
IPv4 Address: 10.229.20.122
User-Name: admin
Status: Authorized
Domain: DATA
Oper host mode: single-host
Oper control dir: both
Session timeout: N/A
Common Session ID: 0AE514F000000017011140BC
Acct Session ID: 0x00000009
Handle: 0xFC000007
Current Policy: POLICY_Fa1/0/23
Local Policies:
Service Template: DEFAULT_LINKSEC_POLICY_SHOULD_SECURE (priority 150)
Method status list:
Method State
mab Authc Success
Identity Services Engine
ISE は複数のレポートを表示します。 ログは最下部のものから記述されます。
1. マシンが MAB で認証されます。 制限付きアクセスの認証プロファイルが割り当てられ、ICMP、DNS、AD へのアクセスが許可されます。
2. 制限付き権限を持つ DACL が NAD にダウンロードされます。
3. ISE はユーザの WMI (AD のユーザー名マッピングへの IP が理由で)および AD グループによって AD からの LDAP によってユーザー名を学びます。 承認規則および ISE によって学ばれる新しいデータ一致が状態あるので、CoA は始められます。
4. CoA の結果として、ユーザの admin はセキュア アクセス認証プロファイルを取得します。
ライブ ログのスクリーンショット
ライブ セッションのスクリーンショット
MS Active Directory
イベント ビューアに、ユーザが正常に認証された結果である 4768 と 4769 のイベントが表示されます。
トラブルシューティング
ISE でのデバッグ
WMI の PSN のログを検討するには、ロギングをコンポーネントの PassiveID のデバッグ レベルに変更します。
Passiveid-mgmt.log ファイルにプライマリとして選択されている PSN が表示されます。
psn1-21/admin# sh logging application passiveid-mgmt.log tail 2016-07-04 21:34:15,856 INFO [admin-http-pool187][] cisco.cda.mgmt.rest.ADProb eElectionManager- PassiveID Management Service :: The node 'psn2-21.example.com' was selected as primary. 2016-07-04 21:34:15,856 INFO [admin-http-pool187][] cisco.cda.mgmt.rest.ADProb eElectionManager- PassiveID Management Service :: This node (psn1-21.example.com ) was selected as standby.
上記に基づいて、WMI 認証の psn2-21 のログを確認する必要があります。また、psn1-21 は NAD からの認証要求を処理するため、MAB 認証について psn1-21 のログを確認する必要があります。
psn2-21 ファイルからの passiveid.log には WMI 認証イベントの詳細が示されます。
psn2-21/admin# sh logging application passiveid.log tail
, Identity Mapping.dc-domainname = example.com , Identity Mapping.dc-connection-type = Current events , Identity Map
ping.dc-name = ez_example , Identity Mapping.dc-host = win-e78u0frcjd6.example.com/10.201.228.91 ,
2016-07-04 21:42:00,592 DEBUG [Thread-10][] com.cisco.cpm.cda- Received login event. Identity Mapping.ticket =
instance of __InstanceCreationEvent
{
SECURITY_DESCRIPTOR = {1, 0, 20, 128, 96, 0, 0, 0, 112, 0, 0, 0, 0, 0, 0, 0, 20, 0, 0, 0, 2, 0, 76, 0, 3, 0,
0, 0, 0, 0, 20, 0, 69, 0, 15, 0, 1, 1, 0, 0, 0, 0, 0, 5, 18, 0, 0, 0, 0, 0, 24, 0, 69, 0, 0, 0, 1, 2, 0, 0, 0, 0, 0,
5, 32, 0, 0, 0, 32, 2, 0, 0, 0, 0, 24, 0, 65, 0, 0, 0, 1, 2, 0, 0, 0, 0, 0, 5, 32, 0, 0, 0, 61, 2, 0, 0, 1, 2, 0, 0,
0, 0, 0, 5, 32, 0, 0, 0, 32, 2, 0, 0, 1, 1, 0, 0, 0, 0, 0, 5, 18, 0, 0, 0};
TargetInstance =
instance of Win32_NTLogEvent
{
Category = 14339;
CategoryString = "Kerberos Authentication Service";
ComputerName = "WIN-E78U0FRCJD6.example.com";
EventCode = 4768;
EventIdentifier = 4768;
EventType = 4;
InsertionStrings = {"hargadmin", "EXAMPLE", "S-1-5-21-4290790397-2086052146-77444135-1113", "krbtgt", "S-1-5-
21-4290790397-2086052146-77444135-502", "0x40810010", "0x0", "0x12", "2", "::ffff:10.201.228.104", "56060", "", "", "
"};
Logfile = "Security";
\nAdditional Informatio60ffff:10.201.228.10452146-77444135-502requested.
\nPre-authentication types, ticket options, encryption types and result codes are defined in RFC 4120.";
RecordNumber = 372847;
SourceName = "Microsoft-Windows-Security-Auditing";
TimeGenerated = "20160704214131.733498-000";
TimeWritten = "20160704214131.733498-000";
Type = "Audit Success";
};
TIME_CREATED = "131121420933871015";
};
, Identity Mapping.dc-domainname = example.com , Identity Mapping.dc-connection-type = Current events , Identity Map
ping.dc-name = ez_example , Identity Mapping.event-user-name = hargadmin , Identity Mapping.dc-host = win-e78u0frcjd6
.example.com/10.201.228.91 , Identity Mapping.server = psn2-21 , Identity Mapping.event-ip-address = 10.201.228.104 ,
2016-07-04 21:42:01,510 DEBUG [Thread-15][] com.cisco.cpm.cda- Forwarded login event to ISE session directory. Ident
ity Mapping.dc-domainname = example.com , Identity Mapping.event-user-name = hargadmin , Identity Mapping.dc-host = w
in-e78u0frcjd6.example.com/10.201.228.91 , Identity Mapping.server = psn2-21 , Identity Mapping.event-ip-address = 10
.201.228.104 ,
psn1-21(MAB 要求を処理する PSN)からのパケットキャプチャ。 パケット キャプチャには、MAB 認証と、MnT ノードに転送されるアカウンティング パケットの syslog データが表示されます。
psn2-21(PassiveID Management サービスによってプライマリに選択された PSN)からのパケット キャプチャ。 このキャプチャには、MnT に WMI 認証合格の syslog 情報を転送するプライマリ PNS が表示されます。
よくある問題
問題 1:Active Directory がイベント 4768 を表示しません
背後に複数の原因がある可能性があります。
1. 制限付きアクセス DACL 内では、PC による Active Directory への接続を許可できることを確認します。そのため、このイベントが生成されます。
2. 監査ポリシーが正しく設定されていることを確認します。そのため、対応するログがイベント ビューアに表示されます。
このドキュメントの「監査ポリシーの設定」セクションを参照してください。
問題 2: ID マッピングから AD に接続できません
次のエラーが表示されます。
「The connection was tested on 'Fibi.example.com' Identity Mapping active node.
Connection to 'AD' failed.
Unable to connect to the machine, please check the DC state」
このエラーは、Administrator2 ユーザに十分な権限がない場合に表示されます。AD に必要なすべての設定が適切に設定されていることを慎重に確認してください。
問題 3:セキュア アクセス ルールがトリガーされません
1. AD への接続が正常に確立されていることを確認します。ID マッピング レコードの対応するログを確認してください。
2. フレーム IP アドレス属性が NAD から受け取っていることを確認します。スイッチでの RADIUS のデバッグで確認できます。
フィードバック