設定 ISE 2.2 の最大コンカレント ユーザ セッション

概要

この資料に Identity Services Engine （ISE）で 2.2 導入される最大セッション 機能を設定する方法を記述されています。 最大セッション 機能はユーザ 1 あたりまたは識別グループごとのライブ セッションを制御し、実施する方法を提供します。 この資料は RADIUS セッションのためです、しかし TACACS セッションのために同様に使用できます。

前提条件

要件

次の項目に関する知識があることが推奨されます。

• RADIUS プロトコル
• ワイヤレス LAN コントローラ（WLC）の 802.1X 設定
• ISE および外的人格（ロール）

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

• Cisco 識別 サービス エンジン バージョン 2.2
• ワイヤレス LAN コントローラ 8.0.100.0
• Cisco Catalyst スイッチ 3750 15.2(3)E2
• Windows 7 マシン
• 6.0.1 を実行する Android 電話
• 5.0 を実行する Android 電話
• Apple iPad iOS 9.1

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな（デフォルト）設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

背景説明

ISE バージョン 2.2 は並行 セッションにの基づいて施行ポリシーを検出する、構築できます:

• ユーザ識別-特定のユーザ 1 人あたりのセッションの数を制限して下さい
• 識別グループ-特定のグループごとのセッションの数を制限して下さい
• グループのユーザ-ユーザ 1 人あたりのセッションの数を、それ属します特定のグループに制限して下さい

並行 セッションの適用および数は各ポリシー サービス ノード（PSN）によってユニーク、管理されて。 PSN 間に同期はセッションカウントの点ではありません。 並行 セッション 機能は動作時プロセスで設定され、データはメモリでだけ保存されます。 PSN 再始動の場合には、MaxSessions カウンター・リセット。

ユーザセッション数は（同じ PSN ノードを使用する限り）使用されるネットワーク アクセス デバイスのユーザ名および依存しないに関して無感覚なケースです。

ネットワーク図

シナリオ

ユーザ 1 人あたりの最大セッション

設定

> 最大セッションはイメージに示すように Administration > システム > 設定に、ナビゲート します:

機能を有効に するために、デフォルトでチェックされる User チェックボックスごとの無制限 の セッションのチェックを外して下さい。 ユーザセッション フィールドごとの最大で特定のユーザが各 PSN で持つ場合があるセッションの数を設定して下さい。 この例では、それは 2.に設定 されます。

外部識別ソース（たとえばアクティブ ディレクトリ）からのユーザはこの設定から同様に影響を受けます。

例

ボブは ISE サーバに接続され、加入されるアクティブ ディレクトリ ドメインからのアカウントのユーザ名です。 ユーザ最大セッションは値 2 で設定されます、つまりこの数を越える同じユーザ向けのどのセッションでも許可されないことを意味します（PSN ごとに）。

イメージに示すように、ボブ ユーザは同じ資格情報が付いている Android 電話および Windows マシンによって接続します:




最大セッション制限が超過しないのでセッションが両方とも割り当てられます。 イメージで示されている詳しい Radius ライブ ログによって:

渡される 22081 最大値セッション ポリシーはステップ最大並行 セッション チェックが正常である情報を提供します。

別のデバイスおよび同じ資格情報が付いている第 3 接続が開始されれば、ボブは PermitAccess を受け取りますが、Access-Reject はオーセンティケータに送信 されます:

セッションは Radius ライブ ログで正しい許可 プロファイルを見つけることがわかるのに、許可されません。 ライブ セッションを、ナビゲート オペレーション > Radius にチェックするため > ライブ セッション:



この場合、セッションの両方に開始する会計はセッションのための ISE に開始する着いたことを示すステータスがあります。 きちんとはたらくために最大セッションのための Radius 会計を受け取ることは必要です認証されるステータスはセッションカウントの間に（許可されたセッションしかし会計無し）考慮に入れられません:

グループのための最大セッション

設定

Administration > System>Settings へのナビゲート > 最大セッション > グループ:

この設定は内部識別グループ GroupTest2 のための最大として 2 セッションを実施します: 内部グループのためのだけグループごとの enforcment を設定できます。

例

アリス、パブロおよびピーターは内部 ISE ユーザー ストアからのユーザ、すべてです GroupTest2 と名前を挙げられるグループのメンバーです。 この例の設定によって、セッションの最大値は団体会員に基づいて 2 に設定 されます。

パブロおよびピーターは GroupTest2 と指名される内部 グループからの資格情報とネットワークに接続します:

アリスが接続することを試みればグループごとの MaxSessions 制限は超えないようにされます:

アリスは最大セッショングループ制限がピーターおよびパブロによって使い果されるのでネットワークに接続することができません:

稀な場合

ユーザ最大セッションが設定される場合、機能は両方とも independetly 動作します。 この例では、ユーザ最大セッションは 1 に設定 され、グループのための最大セッションは 2.に設定 されます。

ピーターはグループ（2 セッション）のための最大セッションに基づいていました許可する必要がありますが、ユーザ最大セッション 設定（1 セッション）が理由で彼はネットワークに接続し損います:

複数のグループ同時におよびグループのための最大セッションがそれらのために設定されるユーザがのメンバーなら、接続された ISE が各グループのグループ キャッシュのために最大セッションのカウンターを高めればユーザはに属します。

この例では、アリスおよびパブロは GroupTest1 および GroupTest2 両方のメンバーです。 Veronica は GroupTest2 に GroupTest1 およびピーターにだけ属します

グループのための最大セッションは GroupTest1 および GroupTest2 のための 2 に設定 されます:

アリスおよびパブロがネットワークに接続されるとき、両方のグループのためのセッション 限度を超過します。 GroupTest1 およびピーターにだけ属する Veronica は、GroupTest2 のメンバー グループのための最大セッションが理由で接続することが達しました最大設定値にできません:

グループのユーザ向けの最大セッション

設定

Administration > システム > 設定へのナビゲート > 最大セッション > グループ。



この設定は内部識別グループ GroupTest2 のための 2 セッション 最大を実施します。

例

アリスは GroupTest2 のメンバーです:



この機能はユーザ最大セッションへの類似したをはたらかせます- ISE は規定 された 内部 グループ内のユーザが持つ場合がある並行 セッションの数を制限します。 この設定は設定されたグループに属するユーザだけ影響を与えます。

GroupTest2 のメンバーとしてアリスは、2 同時 sesions がある場合がありましたり一度第 3 デバイス、ISE グループのユーザ向けの超過された最大セッションに基づいて戻り PermitAccess および Access-Reject と接続します:



詳しい半径ライブ ログ:

ユーザ最大セッションが同様に有効に なる場合、機能は両方とも独自に動作します。 ユーザが 2 のために設定されるグループのユーザ向けの最大セッションのグループ GroupTest2 のメンバーであり同じ時間ユーザ最大セッションでユーザ毎に 1 ただセッションを割り当てるために設定されれば場合アリス ユーザ最大セッションは優先します:

アリスが第 2 デバイスによって接続することを試みる時超過する最大セッション ユーザ制限に基づく ISE 戻り Access-Reject:

拒否のための原因は詳しい Radius ライブ ログの下にチェックである可能性があります。 最大セッション ユーザ制限は失敗の原因です:

グループのための最大セッションおよびそのグループのユーザ向けの最大セッション

設定

Administration > システム > 設定へのナビゲート > 最大セッション > グループ。

この設定は内部識別グループ GroupTest2 の 3 の最大セッションおよびそのグループのユーザ向けの 2 最大 セッションを実施します。

例

アリスおよびパブロは GroupTest2 のメンバーです。 この例の設定によって、最大 3 セッションは GroupTest2 で許可されます。 ISE はシングル ユーザはこのグループ内の最大 2 セッションがある場合があるようにします。



アリスはネットワークに 2 つのデバイスで、両エンドポイント接続されます接続します:

アリスが第 3 デバイスで接続することを試みているとき否定されます超過するグループ制限のユーザ向けの最大セッションとアクセスして下さい:

パブロがネットワークにアクセスすることを試みる場合彼はグループ GroupTest2 のための最大セッションがまだ完全ではないのでそうされます:

パブロが第 2 デバイスからネットワークにアクセスすることを試みるとき彼は（彼は 1 セッションだけあるのに）彼がグループのための最大セッション 限度を超過したので失敗します:





ユーザ最大セッションを有効に すれば 次 前例、それは独自にはたらきます。

カウンター制限時間

設定

> 最大セッション > カウンター 制限時間は Administration > システム > 設定にナビゲート します。


カウンター制限時間はセッションが最大セッション キャッシュの点では数えられるタイムインターバルを規定 する 機能です。 この機能はカウンターおよび割り当て新しいセッションからのセッション時間そのあとで PSN 削除を規定 することを可能にします。

機能を有効に するために、-デフォルトでチェックされる時間 limitcheckbox 無制限のチェックを外す必要がありません。 編集可能なフィールドでどのくらいの間セッションが MaxSession のカウンターで考慮に入れる必要があるか時間を設定できます。

設定された 時間以降のセッションがセッション データベースから切断されていないまたは取除かれてことに留意して下さい。 許可（CoA）の終端シェーンは設定された 時間以降にありません。

例

ユーザ最大セッションはユーザ向けの 1 ただセッションを割り当てるために設定 されます:

アリスは 11:00:34 で IPad を使用してネットワークに接続します、第 2 認証は 11:07 で起こり、最大セッション値によってが超過されたアクセスであるユーザは許可されます。 認証は両方ともカウンター制限時間が理由で正常です。

アリスは ISE リジェクト認証最後の接続の成功パスからの 5 分の前に別のデバイスによって、接続することを試みます:

最後の認証からの 5 分後に、アリスは追加デバイスによってネットワークに接続する可能性があります。

ライブ セッションで開始した状態の 3 セッションをすべて見る可能性があります:

最大セッション 機能およびゲスト アクセス

中央 Web 認証

ユーザ最大セッション 機能の下で設定されて 1 セッションがセッションの両方のための Guest1 アカウントによって接続まだできます:

ゲスト アクセスを制限するために、ゲスト型設定の最大同時ログオンを規定できます。

イメージに示すように作業センター > ゲスト アクセス > ポータル及びコンポーネント > ゲスト型および変更最大同時ログオン オプションへのナビゲート、:

ローカル Web 認証

ユーザ最大セッションの下で設定されて 1 セッションが接続することができません:

Radius ライブ ログによって、Guest1 は門脈認証の点では常に正しく WLC が Guest1 のための第 2 セッションの RADIUS要求を送信 すれば、ISE 拒否しますアクセスをが理由で超過しますユーザ限界を認証されます:

トラブルシューティング

Radius ライブ ログ

詳しい RADIUS レポートは MaxSession 機能を解決するための一番最初のインポートです。

この失敗原因はグローバル な最大ユーザセッション制限がこのセッション/ユーザのために超過することを、示しますイメージに示すように:

この失敗原因はグループ最大セッション制限がこのセッション/ユーザのために超過することを、示しますイメージに示すように:

この失敗原因はグループ ユーザ最大セッション制限がこのセッション/ユーザのために超過することを示します。

MaxSession キャッシュのチェックは許可 プロファイル選択後起こります:

success:



失敗:

ISE デバッグ

最大セッション ログは prrt-server.log にあります。 それらを集めるために、イメージに示すようにデバッグ レベル（Administration > システム > ロギング > デバッグ ログ 設定 > PSN へのナビゲート）にランタイム AAA コンポーネントを、設定 して下さい:

ファイル prrt-server.log ナビゲートをオペレーションに得るために > > ダウンロード記録 します > PSN > デバッグ ログ解決して下さい。 最大セッション ログはエンドポイント デバッグで同様に集められます（オペレーション > Troubleshoot>Diagnostic ツール > Genral ツール > エンドポイント デバッグ）。

ユーザ正しく渡される最大セッション チェック:

2017-01-29 08:33:11,310 INFO   [Thread-83][] cisco.cpm.prrt.impl.PrRTLoggerImpl -:::::- SessionCache,INFO ,0x7fe858867700,cntx=0000001335,sesn=pgruszczise22/275051099/8,CPMSessionID=0a3e944f00000e7d588da8a0,user=Bob,CallingStationID=c0-4a-00-14-56-f4,SessionCache::onMaxSessionsAznEvent: current global configuration data: auditSessionTtl=[3600], maxUserSessions=[2],SessionCache.cpp:283
2017-01-29 08:33:11,311 INFO   [Thread-83][] cisco.cpm.prrt.impl.PrRTLoggerImpl -:::::- SessionCache,INFO ,0x7fe858867700,cntx=0000001335,sesn=pgruszczise22/275051099/8,CPMSessionID=0a3e944f00000e7d588da8a0,user=Bob,CallingStationID=c0-4a-00-14-56-f4,SessionCache::checkMaxSessions: user=[Bob] not found in cache due to first time authorization,SessionCache.cpp:1025
2017-01-29 08:33:11,311 DEBUG  [Thread-83][] cisco.cpm.prrt.impl.PrRTLoggerImpl -:::::- SessionCache,DEBUG,0x7fe858867700,cntx=0000001335,sesn=pgruszczise22/275051099/8,CPMSessionID=0a3e944f00000e7d588da8a0,user=Bob,CallingStationID=c0-4a-00-14-56-f4,SessionCache::onMaxSessionsAznEvent: sessionID=[0a3e944f00000e7d588da8a0]; user=[Bob] - checkMaxSessions passed,SessionCache.cpp:360
2017-01-29 08:33:11,311 INFO   [Thread-83][] cisco.cpm.prrt.impl.PrRTLoggerImpl -:::::- SessionCache,INFO ,0x7fe858867700,cntx=0000001335,sesn=pgruszczise22/275051099/8,CPMSessionID=0a3e944f00000e7d588da8a0,user=Bob,CallingStationID=c0-4a-00-14-56-f4,SessionCache::onMaxSessionsAznEvent: create a new session object sessionID=[0a3e944f00000e7d588da8a0]; user=[Bob],SessionCache.cpp:375

ISE はセッションのための会計 開始するを受け取る後やっと SessionCounter を増分します:

2017-01-29 08:33:11,619 DEBUG  [Thread-90][] cisco.cpm.prrt.impl.PrRTLoggerImpl -:::::- Radius,DEBUG,0x7fe858766700,cntx=0000001503,sesn=pgruszczise22/275051099/9,CPMSessionID=0a3e944f00000e7d588da8a0,CallingStationID=c0-4a-00-14-56-f4,FramedIPAddress=10.62.148.141,RADIUS PACKET:: Code=4(AccountingRequest) Identifier=0 Length=279
     [1] User-Name - value: [Bob] 
     [4] NAS-IP-Address - value: [10.62.148.79] 
     [5] NAS-Port - value: [1] 
     [8] Framed-IP-Address - value: [10.62.148.141] 
     [25] Class - value: [****] 
     [30] Called-Station-ID - value: [80-e0-1d-8b-72-00] 
     [31] Calling-Station-ID - value: [c0-4a-00-14-56-f4] 
     [32] NAS-Identifier - value: [WLC7] 
     [40] Acct-Status-Type - value: [Start] 
     [44] Acct-Session-Id - value: [588da8a0/c0:4a:00:14:56:f4/3789] 
     [45] Acct-Authentic - value: [RADIUS] 
     [55] Event-Timestamp - value: [1485678753] 
     [61] NAS-Port-Type - value: [Wireless - IEEE 802.11] 
     [64] Tunnel-Type - value: [(tag=0) VLAN] 
     [65] Tunnel-Medium-Type - value: [(tag=0) 802] 
     [81] Tunnel-Private-Group-ID - value: [(tag=0) 481] 
     [26] cisco-av-pair - value: [audit-session-id=0a3e944f00000e7d588da8a0] 
     [26] Airespace-Wlan-Id - value: [4] ,RADIUSHandler.cpp:2003

(...)	 

2017-01-29 08:33:11,654 DEBUG  [Thread-83][] cisco.cpm.prrt.impl.PrRTLoggerImpl -:::::- SessionCache,DEBUG,0x7fe858867700,cntx=0000001503,sesn=pgruszczise22/275051099/9,CPMSessionID=0a3e944f00000e7d588da8a0,user=Bob,CallingStationID=c0-4a-00-14-56-f4,FramedIPAddress=10.62.148.141,SessionCache::onAccountingStart: user=[Bob]; sessionID=[0a3e944f00000e7d588da8a0],SessionCache.cpp:537
2017-01-29 08:33:11,655 DEBUG  [Thread-83][] cisco.cpm.prrt.impl.PrRTLoggerImpl -:::::- SessionCache,DEBUG,0x7fe858867700,cntx=0000001503,sesn=pgruszczise22/275051099/9,CPMSessionID=0a3e944f00000e7d588da8a0,user=Bob,CallingStationID=c0-4a-00-14-56-f4,FramedIPAddress=10.62.148.141,SessionCache::incrementSessionCounters: user=[Bob] current user session count=[1],SessionCache.cpp:862

ユーザ最大セッション チェック失敗:

2017-01-29 08:37:00,534 INFO   [Thread-75][] cisco.cpm.prrt.impl.PrRTLoggerImpl -:::::- SessionCache,INFO ,0x7fe858a69700,cntx=0000005011,sesn=pgruszczise22/275051099/15,CPMSessionID=0a3e944f00000e7f588da966,user=Bob,CallingStationID=34-ab-37-60-63-88,SessionCache::onMaxSessionsAznEvent: current global configuration data: auditSessionTtl=[3600], maxUserSessions=[2],SessionCache.cpp:283
2017-01-29 08:37:00,535 INFO   [Thread-75][] cisco.cpm.prrt.impl.PrRTLoggerImpl -:::::- SessionCache,INFO ,0x7fe858a69700,cntx=0000005011,sesn=pgruszczise22/275051099/15,CPMSessionID=0a3e944f00000e7f588da966,user=Bob,CallingStationID=34-ab-37-60-63-88,SessionCache::checkMaxSessions: user=[Bob] is not authorized because current active user sessions=[2] >= max-user-sessions=[2],SessionCache.cpp:1010
2017-01-29 08:37:00,535 DEBUG  [Thread-75][] cisco.cpm.prrt.impl.PrRTLoggerImpl -:::::- SessionCache,DEBUG,0x7fe858a69700,cntx=0000005011,sesn=pgruszczise22/275051099/15,CPMSessionID=0a3e944f00000e7f588da966,user=Bob,CallingStationID=34-ab-37-60-63-88,SessionCache::onMaxSessionsAznEvent: sessionID=[0a3e944f00000e7f588da966]; user=[Bob] - checkMaxSessions failed,SessionCache.cpp:341
2017-01-29 08:37:00,535 DEBUG  [Thread-75][] cisco.cpm.prrt.impl.PrRTLoggerImpl -:::::- RadiusAuthorization,DEBUG,0x7fe858a69700,cntx=0000005011,sesn=pgruszczise22/275051099/15,CPMSessionID=0a3e944f00000e7f588da966,user=Bob,CallingStationID=34-ab-37-60-63-88,RadiusAuthorization::onResponseMaxSessionsAznEvent return from SessionCache,RadiusAuthorization.cpp:371