設定 ISE 2.2 の最大コンカレントユーザセッション

ダウンロードオプション

PDF (3.4 MB)
Adobe Reader を使ってさまざまなデバイスで表示
ePub (3.6 MB)
iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
Mobi (Kindle) (2.7 MB)
Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示

Updated: 2017 年 3 月 23 日

Document ID:204463

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポートコンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版（リンクからアクセス可能）もあわせて参照することを推奨します。

概要

この資料に Identity Services Engine （ISE）で 2.2 導入される最大セッション機能を設定する方法を記述されています。最大セッション機能はユーザ 1 あたりまたは識別グループごとのライブセッションを制御し、実施する方法を提供します。この資料は RADIUS セッションのためです、しかし TACACS セッションのために同様に使用できます。

前提条件

要件

次の項目に関する知識があることが推奨されます。

RADIUS プロトコル
ワイヤレス LAN コントローラ（WLC）の 802.1X 設定
ISE および外的人格（ロール）

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

Cisco 識別サービスエンジンバージョン 2.2
ワイヤレス LAN コントローラ 8.0.100.0
Cisco Catalyst スイッチ 3750 15.2(3)E2
Windows 7 マシン
6.0.1 を実行する Android 電話
5.0 を実行する Android 電話
Apple iPad iOS 9.1

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメントで使用するすべてのデバイスは、クリアな（デフォルト）設定で作業を開始しています。ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

背景説明

ISE バージョン 2.2 は並行セッションにの基づいて施行ポリシーを検出する、構築できます:

ユーザ識別-特定のユーザ 1 人あたりのセッションの数を制限して下さい
識別グループ-特定のグループごとのセッションの数を制限して下さい
グループのユーザ-ユーザ 1 人あたりのセッションの数を、それ属します特定のグループに制限して下さい

並行セッションの適用および数は各ポリシーサービスノード（PSN）によってユニーク、管理されて。 PSN 間に同期はセッションカウントの点ではありません。並行セッション機能は動作時プロセスで設定され、データはメモリでだけ保存されます。 PSN 再始動の場合には、MaxSessions カウンター・リセット。

ユーザセッション数は（同じ PSN ノードを使用する限り）使用されるネットワークアクセスデバイスのユーザ名および依存しないに関して無感覚なケースです。

ネットワーク図

シナリオ

ユーザ 1 人あたりの最大セッション

設定

> 最大セッションはイメージに示すように Administration > システム > 設定に、ナビゲートします:

機能を有効にするために、デフォルトでチェックされる User チェックボックスごとの無制限のセッションのチェックを外して下さい。 ユーザセッション フィールドごとの最大で特定のユーザが各 PSN で持つ場合があるセッションの数を設定して下さい。この例では、それは 2.に設定されます。

外部識別ソース（たとえばアクティブディレクトリ）からのユーザはこの設定から同様に影響を受けます。

例

ボブは ISE サーバに接続され、加入されるアクティブディレクトリドメインからのアカウントのユーザ名です。ユーザ最大セッションは値 2 で設定されます、つまりこの数を越える同じユーザ向けのどのセッションでも許可されないことを意味します（PSN ごとに）。

イメージに示すように、ボブユーザは同じ資格情報が付いている Android 電話および Windows マシンによって接続します:

最大セッション制限が超過しないのでセッションが両方とも割り当てられます。イメージで示されている詳しい Radius ライブログによって:

渡される 22081 最大値セッションポリシーはステップ最大並行セッションチェックが正常である情報を提供します。

別のデバイスおよび同じ資格情報が付いている第 3 接続が開始されれば、ボブは PermitAccess を受け取りますが、Access-Reject はオーセンティケータに送信されます:

セッションは Radius ライブログで正しい許可プロファイルを見つけることがわかるのに、許可されません。ライブセッションを、ナビゲート オペレーション > Radius にチェックするため > ライブセッション:

この場合、セッションの両方に開始する会計はセッションのための ISE に開始する着いたことを示すステータスがあります。きちんとはたらくために最大セッションのための Radius 会計を受け取ることは必要です認証されるステータスはセッションカウントの間に（許可されたセッションしかし会計無し）考慮に入れられません:

グループのための最大セッション

設定

Administration > System>Settings へのナビゲート > 最大セッション > グループ:

この設定は内部識別グループ GroupTest2 のための最大として 2 セッションを実施します: 内部グループのためのだけグループごとの enforcment を設定できます。

例

アリス、パブロおよびピーターは内部 ISE ユーザーストアからのユーザ、すべてです GroupTest2 と名前を挙げられるグループのメンバーです。この例の設定によって、セッションの最大値は団体会員に基づいて 2 に設定されます。

パブロおよびピーターは GroupTest2 と指名される内部グループからの資格情報とネットワークに接続します:

アリスが接続することを試みればグループごとの MaxSessions 制限は超えないようにされます:

アリスは最大セッショングループ制限がピーターおよびパブロによって使い果されるのでネットワークに接続することができません:

稀な場合

ユーザ最大セッションが設定される場合、機能は両方とも independetly 動作します。この例では、ユーザ最大セッションは 1 に設定され、グループのための最大セッションは 2.に設定されます。

ピーターはグループ（2 セッション）のための最大セッションに基づいていました許可する必要がありますが、ユーザ最大セッション設定（1 セッション）が理由で彼はネットワークに接続し損います:

複数のグループ同時におよびグループのための最大セッションがそれらのために設定されるユーザがのメンバーなら、接続された ISE が各グループのグループキャッシュのために最大セッションのカウンターを高めればユーザはに属します。

この例では、アリスおよびパブロは GroupTest1 および GroupTest2 両方のメンバーです。 Veronica は GroupTest2 に GroupTest1 およびピーターにだけ属します

グループのための最大セッションは GroupTest1 および GroupTest2 のための 2 に設定されます:

アリスおよびパブロがネットワークに接続されるとき、両方のグループのためのセッション限度を超過します。 GroupTest1 およびピーターにだけ属する Veronica は、GroupTest2 のメンバーグループのための最大セッションが理由で接続することが達しました最大設定値にできません:

グループのユーザ向けの最大セッション

設定

Administration > システム > 設定へのナビゲート > 最大セッション > グループ。

この設定は内部識別グループ GroupTest2 のための 2 セッション最大を実施します。

例

アリスは GroupTest2 のメンバーです:

この機能はユーザ最大セッションへの類似したをはたらかせます- ISE は規定された内部グループ内のユーザが持つ場合がある並行セッションの数を制限します。この設定は設定されたグループに属するユーザだけ影響を与えます。

GroupTest2 のメンバーとしてアリスは、2 同時 sesions がある場合がありましたり一度第 3 デバイス、ISE グループのユーザ向けの超過された最大セッションに基づいて戻り PermitAccess および Access-Reject と接続します:

詳しい半径ライブログ:

ユーザ最大セッションが同様に有効になる場合、機能は両方とも独自に動作します。ユーザが 2 のために設定されるグループのユーザ向けの最大セッションのグループ GroupTest2 のメンバーであり同じ時間ユーザ最大セッションでユーザ毎に 1 ただセッションを割り当てるために設定されれば場合アリスユーザ最大セッションは優先します:

アリスが第 2 デバイスによって接続することを試みる時超過する最大セッションユーザ制限に基づく ISE 戻り Access-Reject:

拒否のための原因は詳しい Radius ライブログの下にチェックである可能性があります。最大セッションユーザ制限は失敗の原因です:

グループのための最大セッションおよびそのグループのユーザ向けの最大セッション

設定

Administration > システム > 設定へのナビゲート > 最大セッション > グループ。

この設定は内部識別グループ GroupTest2 の 3 の最大セッションおよびそのグループのユーザ向けの 2 最大セッションを実施します。

例

アリスおよびパブロは GroupTest2 のメンバーです。この例の設定によって、最大 3 セッションは GroupTest2 で許可されます。 ISE はシングルユーザはこのグループ内の最大 2 セッションがある場合があるようにします。

アリスはネットワークに 2 つのデバイスで、両エンドポイント接続されます接続します:

アリスが第 3 デバイスで接続することを試みているとき否定されます超過するグループ制限のユーザ向けの最大セッションとアクセスして下さい:

パブロがネットワークにアクセスすることを試みる場合彼はグループ GroupTest2 のための最大セッションがまだ完全ではないのでそうされます:

パブロが第 2 デバイスからネットワークにアクセスすることを試みるとき彼は（彼は 1 セッションだけあるのに）彼がグループのための最大セッション限度を超過したので失敗します:

ユーザ最大セッションを有効にすれば次前例、それは独自にはたらきます。

カウンター制限時間

設定

> 最大セッション > カウンター制限時間は Administration > システム > 設定にナビゲートします。

カウンター制限時間はセッションが最大セッションキャッシュの点では数えられるタイムインターバルを規定する機能です。この機能はカウンターおよび割り当て新しいセッションからのセッション時間そのあとで PSN 削除を規定することを可能にします。

機能を有効にするために、-デフォルトでチェックされる時間 limitcheckbox 無制限のチェックを外す必要がありません。編集可能なフィールドでどのくらいの間セッションが MaxSession のカウンターで考慮に入れる必要があるか時間を設定できます。

設定された時間以降のセッションがセッションデータベースから切断されていないまたは取除かれてことに留意して下さい。許可（CoA）の終端シェーンは設定された時間以降にありません。

例

ユーザ最大セッションはユーザ向けの 1 ただセッションを割り当てるために設定されます:

アリスは 11:00:34 で IPad を使用してネットワークに接続します、第 2 認証は 11:07 で起こり、最大セッション値によってが超過されたアクセスであるユーザは許可されます。認証は両方ともカウンター制限時間が理由で正常です。

アリスは ISE リジェクト認証最後の接続の成功パスからの 5 分の前に別のデバイスによって、接続することを試みます:

最後の認証からの 5 分後に、アリスは追加デバイスによってネットワークに接続する可能性があります。

ライブセッションで開始した状態の 3 セッションをすべて見る可能性があります:

最大セッション機能およびゲストアクセス

中央 Web 認証

ユーザ最大セッション機能の下で設定されて 1 セッションがセッションの両方のための Guest1 アカウントによって接続まだできます:

ゲストアクセスを制限するために、ゲスト型設定の最大同時ログオンを規定できます。

イメージに示すように作業センター > ゲストアクセス > ポータル及びコンポーネント > ゲスト型および変更最大同時ログオン オプションへのナビゲート、:

ローカル Web 認証

ユーザ最大セッションの下で設定されて 1 セッションが接続することができません:

Radius ライブログによって、Guest1 は門脈認証の点では常に正しく WLC が Guest1 のための第 2 セッションの RADIUS要求を送信すれば、ISE 拒否しますアクセスをが理由で超過しますユーザ限界を認証されます:

トラブルシューティング

Radius ライブログ

詳しい RADIUS レポートは MaxSession 機能を解決するための一番最初のインポートです。

この失敗原因はグローバルな最大ユーザセッション制限がこのセッション/ユーザのために超過することを、示しますイメージに示すように:

この失敗原因はグループ最大セッション制限がこのセッション/ユーザのために超過することを、示しますイメージに示すように:

この失敗原因はグループユーザ最大セッション制限がこのセッション/ユーザのために超過することを示します。

MaxSession キャッシュのチェックは許可プロファイル選択後起こります:

success:

失敗:

ISE デバッグ

最大セッションログは prrt-server.log にあります。それらを集めるために、イメージに示すようにデバッグレベル（Administration > システム > ロギング > デバッグログ設定 > PSN へのナビゲート）にランタイム AAA コンポーネントを、設定して下さい:

ファイル prrt-server.log ナビゲートをオペレーションに得るために > > ダウンロード記録します > PSN > デバッグログ解決して下さい。最大セッションログはエンドポイントデバッグで同様に集められます（オペレーション > Troubleshoot>Diagnostic ツール > Genral ツール > エンドポイントデバッグ）。

ユーザ正しく渡される最大セッションチェック:

2017-01-29 08:33:11,310 INFO   [Thread-83][] cisco.cpm.prrt.impl.PrRTLoggerImpl -:::::- SessionCache,INFO ,0x7fe858867700,cntx=0000001335,sesn=pgruszczise22/275051099/8,CPMSessionID=0a3e944f00000e7d588da8a0,user=Bob,CallingStationID=c0-4a-00-14-56-f4,SessionCache::onMaxSessionsAznEvent: current global configuration data: auditSessionTtl=[3600], maxUserSessions=[2],SessionCache.cpp:283
2017-01-29 08:33:11,311 INFO   [Thread-83][] cisco.cpm.prrt.impl.PrRTLoggerImpl -:::::- SessionCache,INFO ,0x7fe858867700,cntx=0000001335,sesn=pgruszczise22/275051099/8,CPMSessionID=0a3e944f00000e7d588da8a0,user=Bob,CallingStationID=c0-4a-00-14-56-f4,SessionCache::checkMaxSessions: user=[Bob] not found in cache due to first time authorization,SessionCache.cpp:1025
2017-01-29 08:33:11,311 DEBUG  [Thread-83][] cisco.cpm.prrt.impl.PrRTLoggerImpl -:::::- SessionCache,DEBUG,0x7fe858867700,cntx=0000001335,sesn=pgruszczise22/275051099/8,CPMSessionID=0a3e944f00000e7d588da8a0,user=Bob,CallingStationID=c0-4a-00-14-56-f4,SessionCache::onMaxSessionsAznEvent: sessionID=[0a3e944f00000e7d588da8a0]; user=[Bob] - checkMaxSessions passed,SessionCache.cpp:360
2017-01-29 08:33:11,311 INFO   [Thread-83][] cisco.cpm.prrt.impl.PrRTLoggerImpl -:::::- SessionCache,INFO ,0x7fe858867700,cntx=0000001335,sesn=pgruszczise22/275051099/8,CPMSessionID=0a3e944f00000e7d588da8a0,user=Bob,CallingStationID=c0-4a-00-14-56-f4,SessionCache::onMaxSessionsAznEvent: create a new session object sessionID=[0a3e944f00000e7d588da8a0]; user=[Bob],SessionCache.cpp:375

ISE はセッションのための会計開始するを受け取る後やっと SessionCounter を増分します:

2017-01-29 08:33:11,619 DEBUG  [Thread-90][] cisco.cpm.prrt.impl.PrRTLoggerImpl -:::::- Radius,DEBUG,0x7fe858766700,cntx=0000001503,sesn=pgruszczise22/275051099/9,CPMSessionID=0a3e944f00000e7d588da8a0,CallingStationID=c0-4a-00-14-56-f4,FramedIPAddress=10.62.148.141,RADIUS PACKET:: Code=4(AccountingRequest) Identifier=0 Length=279
     [1] User-Name - value: [Bob] 
     [4] NAS-IP-Address - value: [10.62.148.79] 
     [5] NAS-Port - value: [1] 
     [8] Framed-IP-Address - value: [10.62.148.141] 
     [25] Class - value: [****] 
     [30] Called-Station-ID - value: [80-e0-1d-8b-72-00] 
     [31] Calling-Station-ID - value: [c0-4a-00-14-56-f4] 
     [32] NAS-Identifier - value: [WLC7] 
     [40] Acct-Status-Type - value: [Start] 
     [44] Acct-Session-Id - value: [588da8a0/c0:4a:00:14:56:f4/3789] 
     [45] Acct-Authentic - value: [RADIUS] 
     [55] Event-Timestamp - value: [1485678753] 
     [61] NAS-Port-Type - value: [Wireless - IEEE 802.11] 
     [64] Tunnel-Type - value: [(tag=0) VLAN] 
     [65] Tunnel-Medium-Type - value: [(tag=0) 802] 
     [81] Tunnel-Private-Group-ID - value: [(tag=0) 481] 
     [26] cisco-av-pair - value: [audit-session-id=0a3e944f00000e7d588da8a0] 
     [26] Airespace-Wlan-Id - value: [4] ,RADIUSHandler.cpp:2003

(...)	 

2017-01-29 08:33:11,654 DEBUG  [Thread-83][] cisco.cpm.prrt.impl.PrRTLoggerImpl -:::::- SessionCache,DEBUG,0x7fe858867700,cntx=0000001503,sesn=pgruszczise22/275051099/9,CPMSessionID=0a3e944f00000e7d588da8a0,user=Bob,CallingStationID=c0-4a-00-14-56-f4,FramedIPAddress=10.62.148.141,SessionCache::onAccountingStart: user=[Bob]; sessionID=[0a3e944f00000e7d588da8a0],SessionCache.cpp:537
2017-01-29 08:33:11,655 DEBUG  [Thread-83][] cisco.cpm.prrt.impl.PrRTLoggerImpl -:::::- SessionCache,DEBUG,0x7fe858867700,cntx=0000001503,sesn=pgruszczise22/275051099/9,CPMSessionID=0a3e944f00000e7d588da8a0,user=Bob,CallingStationID=c0-4a-00-14-56-f4,FramedIPAddress=10.62.148.141,SessionCache::incrementSessionCounters: user=[Bob] current user session count=[1],SessionCache.cpp:862

ユーザ最大セッションチェック失敗:

2017-01-29 08:37:00,534 INFO   [Thread-75][] cisco.cpm.prrt.impl.PrRTLoggerImpl -:::::- SessionCache,INFO ,0x7fe858a69700,cntx=0000005011,sesn=pgruszczise22/275051099/15,CPMSessionID=0a3e944f00000e7f588da966,user=Bob,CallingStationID=34-ab-37-60-63-88,SessionCache::onMaxSessionsAznEvent: current global configuration data: auditSessionTtl=[3600], maxUserSessions=[2],SessionCache.cpp:283
2017-01-29 08:37:00,535 INFO   [Thread-75][] cisco.cpm.prrt.impl.PrRTLoggerImpl -:::::- SessionCache,INFO ,0x7fe858a69700,cntx=0000005011,sesn=pgruszczise22/275051099/15,CPMSessionID=0a3e944f00000e7f588da966,user=Bob,CallingStationID=34-ab-37-60-63-88,SessionCache::checkMaxSessions: user=[Bob] is not authorized because current active user sessions=[2] >= max-user-sessions=[2],SessionCache.cpp:1010
2017-01-29 08:37:00,535 DEBUG  [Thread-75][] cisco.cpm.prrt.impl.PrRTLoggerImpl -:::::- SessionCache,DEBUG,0x7fe858a69700,cntx=0000005011,sesn=pgruszczise22/275051099/15,CPMSessionID=0a3e944f00000e7f588da966,user=Bob,CallingStationID=34-ab-37-60-63-88,SessionCache::onMaxSessionsAznEvent: sessionID=[0a3e944f00000e7f588da966]; user=[Bob] - checkMaxSessions failed,SessionCache.cpp:341
2017-01-29 08:37:00,535 DEBUG  [Thread-75][] cisco.cpm.prrt.impl.PrRTLoggerImpl -:::::- RadiusAuthorization,DEBUG,0x7fe858a69700,cntx=0000005011,sesn=pgruszczise22/275051099/15,CPMSessionID=0a3e944f00000e7f588da966,user=Bob,CallingStationID=34-ab-37-60-63-88,RadiusAuthorization::onResponseMaxSessionsAznEvent return from SessionCache,RadiusAuthorization.cpp:371

シスコエンジニア提供

ピョートル Gruszczynski
Cisco TAC エンジニア

このドキュメントは役に立ちましたか?

フィードバック

お問い合わせ

サポートケースをオープン
(シスコサービス契約が必要です。)

設定 ISE 2.2 の最大コンカレント ユーザ セッション

ダウンロード オプション