ISE 2.1 で EasyConnect を設定する
目次
はじめに
このドキュメントでは、Identity Service Engine(ISE)2.1を使用してEasyConnect認証を設定する方法について説明します。ISEは、Microsoft Active Directory(AD)を外部IDストアとして使用して、ユーザ、マシン、グループ、属性などのリソースを保存します。
前提条件
要件
このドキュメントでは、スイッチ、AD、ISE、および Windows 7 ワークステーション間に完全な IP 接続があることを想定しています。ISE サーバはブートストラップされます。
使用するコンポーネント
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。
- Cisco Identity Service Engine 2.1
- IOS® ソフトウェア リリース 15.0(1)SE2 を備えた Cisco 3750X スイッチ
- Microsoft Windows Server 2008 R2
- Microsoft Windows 7 ワークステーション
背景説明
EasyConnect機能情報
EasyConnect は 802.1X と同様にポートベースの認証を提供しますが、より簡単に実装できます。EasyConnect は AD から認証について学習し、アクティブなネットワーク セッションにセッション トラッキングを提供します。セッション ディレクトリ通知を PxGrid でパブリッシュできます。
EasyConnect と 802.1x は同じポート上に設定できますが、サービスごとに異なる ISE ポリシーが必要です。
EasyConnectはハイアベイラビリティモードでサポートされています。WMI 専用の PSN を使用することをお勧めします。ベストプラクティスは、2つのPSNを用意することです。1つはアクティブで、もう1つはスタンバイです。
すべてのPSNがDCからデータを受信しますが、アクティブとして設定されているイベントは1つのみ、MnTに転送されます。PSN はアクティブな MnT を選択し、エラーが発生した場合はスタンバイのプロモーションを自動的に処理します。PassievID ManagementサービスによってPSNをプライマリとして選択するプロセスは透過的です。
EasyConnectプロセスフロー
スイッチは MAB 用に設定され、認証要求を PSN に送信します。PSNは制限付きアクセスで応答し、ユーザはActive Directoryで認証できます。クライアントを認証するPSNは、MAB認証、RADIUSアカウンティング開始、および暫定ストップに関する情報をMNTに転送します。プライマリ PSN(これが認証 PSN ではない場合があります。PassiveID Management サービスによってプライマリとしてこれが選択されます)は、WMI 認証イベントを MnT に転送します。すべてのデータが収集され、MnT によってセッション ディレクトリにマージされると、MnT は CoA 要求を認証 PSN にプロキシし、CoA を NAD に転送してユーザの認証を再評価します。
EasyConnect機能の制限
- EasyConnectはBYODの使用例では使用できません。
- シスコ デバイスのみをサポートします。
- Endpoint logoff イベントはサポートされていません。
パッシブIDサービスをサポートするようにADを設定するには、『パッシブIDサービスをサポートするためのActive Directory要件』を参照してください
AD ユーザが Domain Admins グループの一部であるときと、AD ユーザが Domain Admin グループの一部でない場合とで、権限は異なります。
ISE の設定
ISE 2.1 の Active Directory への参加
ステップ1:[Administration] > [Identity Management] > [External Identity Stores] > [Active Directory] > [Add]に移動します。[Join Point Name]、[Active Directory Domain]を指定し、[Submit]をクリックします。
ステップ2:[Join all ISE Nodes to this Active Directory Domain]というプロンプトが表示されたら、[Yes]をクリックします。
ステップ3:ADユーザ名とパスワードを入力し、OKをクリックします。
ISE でのドメイン アクセスに必要な AD アカウントには、次のいずれかが必要です。
- 対応するドメインのドメインユーザ権限にワークステーションを追加します。
- ISEマシンがドメインに参加する前にISEマシンのアカウントが作成される対応するコンピュータコンテナに対する[Create Computer Objects]または[Delete Computer Objects]権限。
ステップ4:[Operation Status]を確認し、[Node Status] を[Completed]と表示して、[Close] をクリックします。
ステップ5:ADのステータスはOperationalである必要があります。
ステップ6:[Groups] > [Add] > [Select Groups From Directory] > [Retrieve Groups]に移動します。必要な AD グループが許可ポリシーで参照されるようにチェックボックスをオンにします。
ステップ7:[Save]をクリックして、取得したADグループを保存します。
認可プロファイルの設定
ステップ1:制限付きアクセスポリシーの認可プロファイルを作成>結果、[認可] > [認可プロファイル]を選択し、LimitedAccessという名前の新しい認可プロファイルを追加します
1. [Passive Identity Tracking]チェックボックスをオンにします。
2. DACL名を追加し、ドロップダウンリストから[Limited Access DACL allowing DNS, DHCP, ISE, and DC access]を選択し、[Save]をクリックします。
ステップ2:他の目的のアクセス用の認可プロファイルを作成して保存します。 他の認可プロファイルでパッシブIDトラッキングを有効にする必要はありません。最初のアクセスだけです。
EasyConnect の設定
ステップ1:ポリシーサーバでIDマッピングを有効にします。[Administration] > [Deployment]に移動し、ノードを選択し、[General Settings]で[Enable Identity Mapping]を有効にします(図を参照)。
ステップ2:ポリシーセットを作成します。[Policy] > [Policy Sets] に移動し、Ezconnect という名前の新しいポリシー セットを作成します。次に、それらのポリシーを追加します。
1.Wired_MAB条件を指定して、EzconnectAuthという名前の認証ポリシーを作成します。
2. Domain_Usersという名前の認可ポリシーを作成し、AD:ExternalGroups EQUALS example.com/Users/Domain Usersという条件を作成します。
3. Ezconnect_Limited、Wired_MABという名前の認可ポリシーを作成します。
制限付きアクセスの結果として、AD へのアクセス権が付与されます。
IDマッピングの設定
ステップ1:[Administration] > [PassiveID] > [AD Domain Controller]に移動します。[Add] をクリックします。[General Settings] セクションで、DC の [Display Name]、[Domain FQDN]、および [Host FQDN] に入力します。
ステップ2:[Credentials]セクションで、DCのユーザ名とパスワードを入力します。[保存]をクリックします。新しく定義されたDCがDCのリストに含まれた更新されたテーブルが表示されます。ステータス カラムは DC のさまざまな状態を示します。
ステップ3: (オプション)[DC接続設定の確認]をクリックして、指定したドメインへの接続をテストします。このテストでは、DC への接続が正常であることを確認します。ただし、Cisco ISEがログイン時にユーザ情報を取得できるかどうかはチェックされません。
ステップ4:[Save]をクリックします。
スイッチの設定
この設定により、ポート FastEthernet1/0/23 に接続されたクライアントの MAB 認証をスイッチが実行するようになります。
aaa new-model
!
aaa group server radius ISE-group
server name PSN1
server name PSN2
!
aaa authentication dot1x default group ISE-group
aaa authorization network default group ISE-group
aaa accounting update newinfo
aaa accounting dot1x default start-stop group ISE-group
!
aaa server radius dynamic-author
client 10.201.228.86 server-key 7 0822455D0A16
client 10.201.228.87 server-key 7 094F471A1A0A
!
interface FastEthernet1/0/23
switchport access vlan 903
switchport mode access
authentication order mab
authentication port-control auto
mab
dot1x pae authenticator
spanning-tree portfast
!
radius-server vsa send accounting
radius-server vsa send authentication
!
radius server PSN1
address ipv4 10.201.228.86 auth-port 1812 acct-port 1813
key 7 13061E010803
!
radius server PSN2
address ipv4 10.201.228.87 auth-port 1812 acct-port 1813
key 7 00071A150754
確認
スイッチ
認証が成功すると、ユーザ名とIPアドレスの両方がスイッチに表示されます。
Switch#show authentication sessions interface fastEthernet 1/0/23 details
Interface: FastEthernet1/0/23
MAC Address: 3c97.0e52.3fd3
IPv6 Address: Unknown
IPv4 Address: 10.229.20.122
User-Name: admin
Status: Authorized
Domain: DATA
Oper host mode: single-host
Oper control dir: both
Session timeout: N/A
Common Session ID: 0AE514F000000017011140BC
Acct Session ID: 0x00000009
Handle: 0xFC000007
Current Policy: POLICY_Fa1/0/23
Local Policies:
Service Template: DEFAULT_LINKSEC_POLICY_SHOULD_SECURE (priority 150)
Method status list:
Method State
mab Authc Success
Identity Services Engine
ISEには複数のレポートが表示されます。ログは最下部のものから記述されます。
1.マシンはMABを介して認証されます。制限付きアクセス許可プロファイルが割り当てられ、ICMP、DNS、ADへのアクセスが許可されます。
2.制限付き特権を持つDACLがNADにダウンロードされます。
3. ISEは、WMI(ADでのIPとユーザ名のマッピングのため)を介してユーザ名を学習し、ADからLDAPを介してユーザのADグループを学習します。認可ルールがあり、ISEがその条件に一致する新しいデータを学習したため、CoAが開始されます。
4. CoAの結果、ユーザadminはSecure Access Authorization Profileを取得します。
ライブ ログのスクリーンショット
これはライブセッションのイメージです。
MS Active Directory
イベント ビューアに、ユーザが正常に認証された結果である 4768 と 4769 のイベントが表示されます。
トラブルシューティング
ISE でのデバッグ
WMI の PSN のログを検討するには、ロギングをコンポーネントの PassiveID のデバッグ レベルに変更します。
Passiveid-mgmt.log ファイルにプライマリとして選択されている PSN が表示されます。
psn1-21/admin# sh logging application passiveid-mgmt.log tail 2016-07-04 21:34:15,856 INFO [admin-http-pool187][] cisco.cda.mgmt.rest.ADProb eElectionManager- PassiveID Management Service :: The node 'psn2-21.example.com' was selected as primary. 2016-07-04 21:34:15,856 INFO [admin-http-pool187][] cisco.cda.mgmt.rest.ADProb eElectionManager- PassiveID Management Service :: This node (psn1-21.example.com ) was selected as standby.
上記に基づいて、WMI 認証の psn2-21 のログを確認する必要があります。また、psn1-21 は NAD からの認証要求を処理するため、MAB 認証について psn1-21 のログを確認する必要があります。
psn2-21 ファイルからの passiveid.log には WMI 認証イベントの詳細が示されます。
psn2-21/admin# sh logging application passiveid.log tail
, Identity Mapping.dc-domainname = example.com , Identity Mapping.dc-connection-type = Current events , Identity Map
ping.dc-name = ez_example , Identity Mapping.dc-host = win-e78u0frcjd6.example.com/10.201.228.91 ,
2016-07-04 21:42:00,592 DEBUG [Thread-10][] com.cisco.cpm.cda- Received login event. Identity Mapping.ticket =
instance of __InstanceCreationEvent
{
SECURITY_DESCRIPTOR = {1, 0, 20, 128, 96, 0, 0, 0, 112, 0, 0, 0, 0, 0, 0, 0, 20, 0, 0, 0, 2, 0, 76, 0, 3, 0,
0, 0, 0, 0, 20, 0, 69, 0, 15, 0, 1, 1, 0, 0, 0, 0, 0, 5, 18, 0, 0, 0, 0, 0, 24, 0, 69, 0, 0, 0, 1, 2, 0, 0, 0, 0, 0,
5, 32, 0, 0, 0, 32, 2, 0, 0, 0, 0, 24, 0, 65, 0, 0, 0, 1, 2, 0, 0, 0, 0, 0, 5, 32, 0, 0, 0, 61, 2, 0, 0, 1, 2, 0, 0,
0, 0, 0, 5, 32, 0, 0, 0, 32, 2, 0, 0, 1, 1, 0, 0, 0, 0, 0, 5, 18, 0, 0, 0};
TargetInstance =
instance of Win32_NTLogEvent
{
Category = 14339;
CategoryString = "Kerberos Authentication Service";
ComputerName = "WIN-E78U0FRCJD6.example.com";
EventCode = 4768;
EventIdentifier = 4768;
EventType = 4;
InsertionStrings = {"hargadmin", "EXAMPLE", "S-1-5-21-4290790397-2086052146-77444135-1113", "krbtgt", "S-1-5-
21-4290790397-2086052146-77444135-502", "0x40810010", "0x0", "0x12", "2", "::ffff:10.201.228.104", "56060", "", "", "
"};
Logfile = "Security";
\nAdditional Informatio60ffff:10.201.228.10452146-77444135-502requested.
\nPre-authentication types, ticket options, encryption types and result codes are defined in RFC 4120.";
RecordNumber = 372847;
SourceName = "Microsoft-Windows-Security-Auditing";
TimeGenerated = "20160704214131.733498-000";
TimeWritten = "20160704214131.733498-000";
Type = "Audit Success";
};
TIME_CREATED = "131121420933871015";
};
, Identity Mapping.dc-domainname = example.com , Identity Mapping.dc-connection-type = Current events , Identity Map
ping.dc-name = ez_example , Identity Mapping.event-user-name = hargadmin , Identity Mapping.dc-host = win-e78u0frcjd6
.example.com/10.201.228.91 , Identity Mapping.server = psn2-21 , Identity Mapping.event-ip-address = 10.201.228.104 ,
2016-07-04 21:42:01,510 DEBUG [Thread-15][] com.cisco.cpm.cda- Forwarded login event to ISE session directory. Ident
ity Mapping.dc-domainname = example.com , Identity Mapping.event-user-name = hargadmin , Identity Mapping.dc-host = w
in-e78u0frcjd6.example.com/10.201.228.91 , Identity Mapping.server = psn2-21 , Identity Mapping.event-ip-address = 10
.201.228.104 ,
psn1-21(MAB 要求を処理する PSN)からのパケットキャプチャ。 パケット キャプチャには、MAB 認証と、MnT ノードに転送されるアカウンティング パケットの syslog データが表示されます。
psn2-21からのパケットキャプチャ(PassiveID Management Serviceによってプライマリとして選出されたPSN) このキャプチャには、MnT に WMI 認証合格の syslog 情報を転送するプライマリ PNS が表示されます。
よくある問題
問題1: Active Directoryでイベント4768が表示されない。
背後に複数の原因がある可能性があります。
1.制限付きアクセスDACL内でPCがActive Directoryにアクセスできることを確認し、このイベントが生成されるようにします。
2.監査ポリシーが正しく設定されていることを確認し、対応するログがイベントビューアに表示されることを確認します。
このドキュメントの監査ポリシーの設定
問題2:IDマッピングからADに接続できない。
次のエラーが表示されます。
「The connection was tested on 'Fibi.example.com' Identity Mapping active node.
Connection to 'AD' failed.
Unable to connect to the machine, please check the DC state」
このエラーは、Administrator2 ユーザに十分な権限がない場合に表示されます。AD に必要なすべての設定が適切に設定されていることを慎重に確認してください。
問題3:セキュアアクセスルールがトリガーされない。
1. ADへの接続が正常であることを確認します。IDマッピングレポートで対応するログを確認できます。
2. NADからFramed-IP-Address属性が受信されていることを確認します。スイッチでdebug radiusを使用して確認できます。
フィードバック