(注) |
content.cisco.com のコンテンツハブに移動します。ここでは、ファセット検索機能を使用して、必要なコンテンツを正確に拡大できます。参照用にカスタマイズした PDF ブックを簡単に作成するなど、数多くのことが可能です。 早速始めましょう。content.cisco.com をクリックしてください。 また、コンテンツハブをすでに体験したことがある場合は、ご意見をお聞かせください。 ページの [フィードバック(Feedback)] アイコンをクリックして、ご意見をお寄せください。 |
Cisco Identity Services Engine の概要
Cisco Identity Services Engine(ISE)は、ネットワークリソースへのセキュアなアクセスを提供するセキュリティポリシー管理プラットフォームです。企業は、Cisco ISE を使用して、ネットワーク、ユーザー、およびデバイスからコンテキスト情報をリアルタイムで収集できます。その後、管理者はこの情報を使用して、積極的に管理上の決定を下すことができます。これを行うには、アクセススイッチ、ワイヤレスコントローラ、バーチャル プライベート ネットワーク(VPN)ゲートウェイ、ローカル 5G ネットワーク、データセンタースイッチなどのさまざまなネットワーク要素のアクセス コントロール ポリシーを作成します。Cisco ISE は、Cisco TrustSec ソリューションのポリシーマネージャとして機能し、TrustSec ソフトウェアによって定義されたセグメンテーションをサポートします。
Cisco ISE は、異なるパフォーマンス特性を持つセキュアなネットワーク サーバー アプライアンス上で使用できます。また、仮想マシン(VM)上で実行できるソフトウェアとしても使用可能です。パフォーマンス向上のためにアプライアンスを展開に追加できます。
Cisco ISE は、スタンドアロンおよび分散展開をサポートする拡張性の高いアーキテクチャを使用しますが、設定および管理は一元化されています。また、ペルソナとサービスの設定と管理を個別に行うこともできます。このため、ネットワーク内で必要なサービスを作成して適用することができますが、Cisco ISE 展開を完全な統合システムとして運用することもできます。
Cisco ISE の詳細な発注およびライセンス情報については、『 Cisco Identity Services Engine Ordering Guide』 [英語] を参照してください。
システムのモニタリングおよびトラブルシューティングに関する詳細については、『 Cisco Identity Services Engine Administrator Guide』の「Monitoring and Troubleshooting Cisco ISE」のセクション [英語] を参照してください。
Cisco ISE リリース 3.0 の新機能
Cisco ISEリリース 3.0 では、Essentials、Advantage、Premier のライセンスを使用します。
この Cisco ISE リリースでサポートされているライセンスの詳細については、『Cisco Identity Services Engine Administrator Guide』の「Licensing」の章を参照してください。
新しい機能は、その機能に必要なライセンスに従って分類されます。
Essential ライセンス
次の機能には Cisco ISE Essentials ライセンスが必要です。
機能別のデバッグウィザード
デバッグウィザードには、ISE ノードの問題のトラブルシューティングに使用できる事前に定義されたデバッグテンプレートが含まれています。デバッグプロファイルとデバッグログを設定できます。
ビジネス成果:Cisco TACは、Cisco ISE 展開の複数のノードでデバッグログを簡単に有効にできるようになりました。この機能は、迅速なトラブルシューティングに役立ちます。
多要素認証用の SAML SSO
多要素認証をサポートするように SAML 要求見出しの認証コンテキスト値を編集します。
ビジネス成果:SAML 認証で多要素認証がサポートされるようになります。
Amazon Web サービスの VMware クラウドおよび Azure VMware ソリューションにおける Cisco ISE のサポート
VMware クラウドに Cisco ISE をインストールするプロセスは、VMware 仮想マシンに Cisco ISE をインストールするプロセスとまったく同じです。サポートされる仮想環境を参照してください。
ビジネス成果:Cisco ISE は、Amazon Web Services(AWS)と Azure VMware ソリューション(AVS)の VMware クラウド上でホストできます。
ODBC アイデンティティストアに対する複数の属性ルックアップ
次のディクショナリの属性を(ユーザー名とパスワードに加えて)[属性の取得(Fetch Attributes)] ストアドプロシージャの入力パラメータとして使用するには、ODBC アイデンティティストアを追加した上で [詳細設定(Advanced Settings)] オプションをクリックします。
-
RADIUS
-
Device
-
ネットワークアクセス(AuthenticationMethod、デバイス IP アドレス、EapAuthentication、EapTunnel、ISE ホスト名、プロトコル、UserName、VN、および WasMachineAuthenticated)
ODBC データベースから次の出力パラメータを取得するようにストアドプロシージャを設定できます。
-
ACL
-
セキュリティ グループ
-
VLAN(名前または番号)
-
Web リダイレクト ACL
-
Web リダイレクトポータル名
ビジネス成果:これらの属性を使用して認証プロファイルを設定できます。たとえば、認可プロファイルごとに VLAN を手動で指定するのではなく、指定された入力属性(MAC アドレス、ユーザー名、着信側ステーション ID、デバイスの場所など)に基づいて ODBC データベースから返された VLAN を使用するように認証プロファイルを設定できます。
Cisco ISE API ゲートウェイ
Cisco ISE API ゲートウェイは、複数の Cisco ISE サービス API への単一のエントリポイントとして機能する API 管理ソリューションであり、セキュリティとトラフィック管理を向上させます。外部クライアントからの API 要求は、Cisco ISE の API ゲートウェイにルーティングされます。その後、要求は API ゲートウェイで設定されたルールに基づいてサービス API が実行されている Cisco ISE ノードに転送されます。
ビジネス成果:Cisco ACI インフラストラクチャと組み合わせることで、Cisco Software-Defined Access(SDA)ファブリックの情報交換とクロスドメイン自動化の変換が強化されました。
証明書フィンガープリント
信頼できる証明書で即時発行者フィンガープリント SHA256 証明書を評価するには、証明書のフィンガープリントプロセスを使用します。これにより、複数の証明書が異なるドメインをサポートするためのセキュアなメカニズムが適用されます。証明書フィンガープリントでは、802.1x プロトコルの信頼できる証明書をロックすることもできます。
ビジネス成果:複数の信頼できる証明書によって複数のドメインがサポートされます。
パッシブ ID のサービス用の MSRPC プロトコル
Cisco ISE リリース 3.0 以降では、パッシブ ID に MS-Eventing API または Microsoft Remote Procedure Call(MSRPC)プロトコルを使用できます。MSRPC プロトコルを使用してノード通信を確立し、Cisco ISE のノード間のハートビートをモニターします。このオプションは、パッシブ ID サービス用の WMI プロトコルに加えて使用できます。
MSRPC プロトコルは、Cisco ISE または Cisco ISE-PIC が複数のドメインコントローラからイベントを収集およびモニターするときに、信頼性の高いメカニズムが助長されます。また、Active Directory ドメインコントローラのユーザーログインイベントの遅延も減少します。
ビジネス成果:DC イベントを監視するための信頼性の高いメカニズムを提供します。
ヘルスチェック
展開内のすべてのノードを診断するオンデマンド正常性チェックオプションが導入されています。運用の前にすべてのノードでヘルスチェックを実行すると、ダウンタイムやブロッカーを引き起こす可能性のある重大な問題を特定できます。ヘルスチェックは、すべての依存コンポーネントの動作ステータスを提供します。コンポーネントに障害が発生すると、問題を解決するためのトラブルシューティングの推奨事項が即座に提供され、シームレスな操作が実行されます。
アップグレードプロセスを開始する前に、ヘルスチェックを実行するようにしてください。
ビジネス成果:重要な問題を特定し、ダウンタイムやブロッカーを回避します。
ヘルスチェックの詳細については、『Cisco Identity Services Engine Administrator Guide』の「Troubleshooting」の章を参照してください。
テレメトリの更新
追加のネットワーク統計情報が収集されます。
ビジネス成果:顧客ネットワークについて収集できる情報が多くなればなるほど、製品の改善方法を分析できるようになります。
TCP ダンプの機能拡張
TCP ダンプファイルをより詳細に制御できるようになりました。その他のインターフェイスで TCP ダンプを実行することもできます。
ビジネス成果:TCP トラフィックに関するデータの収集が簡単になりました。
Azure Active Directory でユーザーを認証するためのリソース所有者パスワード クレデンシャル フロー
リソース所有者パスワードクレデンシャル(ROPC)フローでは、Cisco ISE がクラウドベースのアイデンティティ プロバイダーを使用してネットワーク内で認可と認証を実行できます。これは制御された導入機能です。この機能を実稼働環境で使用する前に、テスト環境で十分にテストすることを推奨します。
ビジネス成果:ROPC フローでは、Cisco ISE で Azure Active Directory ユーザーを認証および認証できます。
インタラクティブヘルプ
インタラクティブヘルプを使用すると、タスクを簡単に実行するためのヒントと段階的なガイダンスが表示されます。
ビジネス成果:これにより、エンドユーザーが作業フローを容易に理解し、タスクを簡単に実行できるようになります。
Advantage ライセンス
次の機能には Cisco ISE Advantage ライセンスが必要です。
新しい pxGrid のページ
新しい pxGrid インターフェイスには、pxGrid v1 と pxGrid v2を 分離する新しいページがあります。セッションとクライアントの情報を含む新しい [概要(Summary)] ウィンドウもあります。
ビジネス成果:pxGrid セッションを管理する際のワークフローが向上しました。
(注) |
pxGrid 1.0 はレガシー Extensible Messaging and Presence Protocol(XMPP)を使用します。この実装はメンテナンスモードになっており、間もなく削除されます。Cisco ISE リリース 2.4 で pxGrid 2.0 が導入されました。 pxGrid 2.0 は REST プロトコルと Websocket プロトコルを使用します。これらのプロトコルは、標準化されたシンプルなアプリケーション間通信インターフェイスです。pxGrid クライアントの実装をこれらの新しいプロトコルに切り替えることを推奨します。 pxGrid 2.0 へのスイッチを推奨する理由については、『Welcome to Learning Cisco Platform Exchange Grid (pxGrid)』を参照してください。 |
Desktop Device Manager からのベースラインポリシーの設定
Cisco ISE リリース 3.0 にアップグレードするときに、接続されている Desktop Device Manager サーバーから設定のベースラインポリシーを選択するのにルートパッチを使用しないことをお勧めします。
また、ドングル、ドッキングステーション、または MAC アドレスのランダム化技術が使用されている場合、MAC アドレスの代わりにデバイス識別子を使用して Windows エンドポイントを検証し、精度を高めることもできます。
ビジネス成果:Desktop Device Manager サーバーで作成された設定のベースラインポリシーを使用して、エンドポイントのコンプライアンスを確認できます。エンドポイント識別の精度を高めるには、MAC アドレスではなくデバイス識別子を使用します。
Cisco ISE ACI-SDA と VN 認識の統合
Cisco ISE リリース 3.0 は、Cisco ACI インフラストラクチャと組み合わせることで、Cisco Software Defined Access(SDA)ファブリックの情報交換とクロスドメイン自動化の変換が強化されます。この実装により、IP-SGT バインディングの交換や pxGrid ドメインと SXPドメインへのバインディングの送信とともに、EPG および SGT 情報の交換と変換、Cisco ACI ファブリックへの SDA 仮想ネットワーク(VN)の拡張、SDA および ACI ファブリックデータプレーンの自動化をサポートします。
ビジネス成果:セキュリティとトラフィック管理が向上しました。
ウイルス対策とマルウェア対策の最小バージョン
Cisco ISE リリース 3.0 以降では、ポスチャポリシーを作成して、ネットワーク内のエンドポイントにウイルス対策とマルウェア対策の最小バージョンを設定できます。このポリシーは、エンドポイントがネットワークポリシーのウイルス対策とマルウェア対策の最小バージョンに確実に準拠するようにします。また、新しいバージョンのウイルス対策とマルウェア対策で状態を自動的に更新し、それにより、状態を修正するために必要な手作業が軽減されます。
ビジネス成果:エンドポイントがネットワークポリシーに準拠することにより、セキュリティが強化されました。
ポスチャセッションの共有
ポスチャステータスは PSN 間で共有されます。ステータスは設定できません。常にオンです。
ビジネス成果:異なる PSN に切り替える際に、クライアント接続でポスチャを再実行する必要はありません。
エージェントレスポスチャ
この新しいポスチャタイプは、SSH を介してクライアントにエージェントを配信し、必要に応じてポスチャが完了したときにクライアントを削除します。AnyConnect は必要ありません。
ビジネス成果:フットプリントが低く、一時的なポスチャエージェントが顧客に表示されません。
マルチ DNAC のサポート
Cisco DNA Center システムは、25,000 ~ 100,000 のエンドポイントの範囲を超えて拡張できません。Cisco ISE は 200 万エンドポイントまで拡張できます。現在、1 つの Cisco DNA Center システムと 1 つの Cisco ISE システムのみを統合できます。大規模な Cisco ISE 展開では、複数の DNA Center のクラスタを 1 つの Cisco ISE に統合することでメリットが得られます。シスコは、Cisco ISE 展開ごとに複数の Cisco DNA Center のクラスタ(マルチ DNAC とも呼ばれる)をサポートするようになりました。
ビジネス成果:Cisco DNA Center のアクセス制御アプリケーションのこの機能を使用すると、1 つの Cisco ISE システムに最大 4 つの Cisco DNA Center クラスタを統合できます。
Premier ライセンス
次の機能には Cisco ISE Premier ライセンスが必要です。
エンドポイント スクリプト ウィザード
エンドポイント スクリプト ウィザードを使用すると、接続されているエンドポイントでスクリプトを実行して、組織の要件に準拠した管理タスクを実行できます。これには、使用されていないソフトウェアのアンインストール、プロセスやアプリケーションの開始または終了、特定のサービスの有効化または無効化などのタスクが含まれます。
ビジネス成果:接続されたエンドポイントで管理タスクを簡単に実行し、組織の要件に準拠します。
システム要件
Cisco ISE の設定を継続使用する場合は、次のシステム要件が満たされていることを確認してください。
この Cisco ISE リリースのハードウェア プラットフォームとインストールの詳細については、『Cisco Identity Services Engine Hardware Installation Guide』 [英語] を参照してください。
サポート対象ハードウェア
Cisco ISE リリース 3.0 は、次のプラットフォームにインストールできます。
ハードウェア プラットフォーム |
設定 |
---|---|
Cisco SNS-3515-K9(小規模) |
アプライアンスハードウェアの仕様については、『Cisco Secure Network Server Appliance Hardware Installation Guide』を参照してください。 |
Cisco SNS-3595-K9(大規模) |
|
Cisco SNS-3615-K9(小規模) |
|
Cisco SNS-3655-K9(中規模) |
|
Cisco SNS-3695-K9(大規模) |
インストール後、上記の表に記載されているプラットフォームで、管理、モニターリング、pxGrid などの特定のコンポーネントペルソナを使用して Cisco ISE を設定できます。これらのペルソナに加えて、Cisco ISE では、プロファイリングサービス、セッションサービス、脅威中心型 NAC サービス、TrustSec 用の SXP サービス、TACACS+ デバイス管理サービス、およびパッシブ ID サービスなど、ポリシーサービス内に他のタイプのペルソナが含まれています。
注意 |
|
サポートされる仮想環境
Cisco ISE は次の仮想環境プラットフォームをサポートしています。
-
VMware ESXi 5.x、6.x、7.x
Cisco ISE リリース 3.0 以降のリリースでは、VMware ESXi 7.0.3 以降のリリースに更新することを推奨します。
-
Cisco ISE は、VMware ESXi 6.5 を搭載したCisco HyperFlex HX シリーズで検証済みです。
-
次のパブリック クラウド プラットフォーム上の VMware クラウドソリューションに Cisco ISE を展開できます。
-
Amazon Web サービス(AWS)の VMware クラウド:Cisco ISE をAWS の VMware クラウドが提供するソフトウェアデファインド データセンターでホストします。
-
Azure VMware ソリューション:Azure VMware ソリューションは、Microsoft Azure 上でネイティブに VMware ワークロードを実行します。Cisco ISE を VMware 仮想マシンとしてホストできます。
-
Google Cloud VMware Engine:Google Cloud VMware Engine は、Google Cloud 上の VMware によってソフトウェアデファインド データセンターを実行します。VMware Engine によって提供されるソフトウェアデファインド データセンターで、VMware 仮想マシンとして Cisco ISE をホストできます。
-
-
-
Microsoft Windows Server 2012 R2 以降の Microsoft Hyper-V
-
QEMU 1.5.3-160 上の KVM
-
Nutanix AHV 20201105.2096
仮想マシンの要件に関する情報については、お使いの Cisco ISE バージョンの『Cisco Identity Services Engine インストールガイド』を参照してください。
(注) |
Cisco ISE リリース 3.0 以降、Cisco ISE 仮想マシンをホストする仮想化プラットフォームの CPU は、ストリーミング SIMD 拡張(SSE)4.2 手順セットをサポートしている必要があります。そうでない場合、特定の ISE サービス(ISE API ゲートウェイなど)が機能せず、Cisco ISE GUI を起動できません。2011 年以降は、Intel プロセッサと AMD プロセッサの両方が SSE バージョン 4.2 をサポートしています。 |
連邦情報処理標準(FIPS)モードのサポート
Cisco ISE は、組み込みの連邦情報処理標準(FIPS)140-2 検証済み暗号化モジュール、Cisco FIPS オブジェクト モジュール バージョン 6.2(証明書 #2984)を使用します。FIPS コンプライアンス要求の詳細については、Global Government Certifications を参照してください。
Cisco ISE で FIPS モードが有効になっている場合は、次の点を考慮してください。
-
すべての FIPS 非準拠暗号スイートは無効になります。
-
証明書と秘密キーには、FIPS 準拠ハッシュと暗号化アルゴリズムのみを使用する必要があります。
-
RSA 秘密キーには、2048 ビット以上を指定する必要があります。
-
楕円曲線デジタル署名アルゴリズム(ECDSA)の秘密キーには、224 ビット以上を指定する必要があります。
-
Diffie–Hellman Ephemeral(DHE)暗号方式は 2048 ビット以上の Diffie–Hellman(DH)パラメータを使用して動作します。
-
SHA1 は、ISE ローカルサーバー証明書の生成を許可されていません。
-
EAP-FAST の匿名 PAC プロビジョニングオプションは無効です。
-
ローカル SSH サーバーは FIPS モードで動作します。
-
RADIUS の場合、次のプロトコルは FIPS モードではサポートされていません。
-
EAP-MD5
-
PAP
-
CHAP
-
MS-CHAPv1
-
MS-CHAPv2
-
LEAP
-
サポートされるブラウザ
管理者ポータルでサポートされているブラウザは次のとおりです。
-
Mozilla Firefox 96 以前のバージョン(バージョン 82 以降)
-
Mozilla Firefox ESR 91.3 以前のバージョン
-
Google Chrome 97 以前のバージョン (バージョン 86 以降)
-
Microsoft Edge の最新バージョンと最新バージョンより 1 つ前のバージョン
検証済み外部 ID ソース
(注) |
サポートされている Active Directory バージョンは、Cisco ISE と Cisco ISE-PIC の両方で同じです。 |
外部 ID ソース |
バージョン |
---|---|
Active Directory 12 |
|
Microsoft Windows Active Directory 2012 |
Windows Server 2012 |
Microsoft Windows Active Directory 2012 R2 3 |
Windows Server 2012 R2 |
Microsoft Windows Active Directory 2016 |
Windows Server 2016 |
Microsoft Windows Active Directory 2019 4 |
Windows Server 2019 |
LDAP サーバー |
|
SunONE LDAP ディレクトリサーバー |
バージョン 5.2 |
OpenLDAP ディレクトリサーバー |
バージョン 2.4.23 |
任意の LDAP v3 準拠サーバー |
LDAP v3 準拠のすべてのバージョン |
トークンサーバー |
|
RSA ACE/サーバー |
6.x シリーズ |
RSA 認証マネージャ |
7.x および 8.x シリーズ |
Any RADIUS RFC 2865 準拠のトークン サーバー |
RFC 2865 準拠のすべてのバージョン |
セキュリティ アサーション マークアップ言語(SAML)シングルサインオン(SSO) |
|
Microsoft Azure |
最新 |
Oracle Access Manager(OAM) |
バージョン 11.1.2.2.0 |
Oracle Identity Federation(OIF) |
バージョン 11.1.1.2.0 |
PingFederate サーバー |
バージョン 6.10.0.4 |
PingOne クラウド |
最新 |
セキュア認証 |
8.1.1 |
SAMLv2 準拠の ID プロバイダ |
SAMLv2 準拠の任意の ID プロバイダバージョン |
Open Database Connectivity(ODBC)アイデンティティソース |
|
Microsoft SQL Server |
Microsoft SQL Server 2012 |
Oracle |
Enterprise Edition リリース 12.1.0.2.0 |
PostgreSQL |
9.0 |
Sybase |
16.0 |
MySQL |
6.3 |
ソーシャルログイン(ゲストユーザーアカウントの場合) |
|
|
最新 |
CISCO ISE OCSP 機能は Microsoft Windows Active Directory 2008 以降でのみ使用できます。
Cisco ISE には最大 200 のドメインコントローラのみを追加できます。制限を超えると、次のエラーが表示されます:
<DC FQDN> の作成エラー:許可される DC の数が最大数 200 を超えています(Error creating <DC FQDN> - Number of DCs Exceeds allowed maximum of 200)
Cisco ISE は、Microsoft Windows Active Directory 2012 R2 のすべてのレガシー機能をサポートしていますが、保護ユーザーグループなどの Microsoft Windows Active directory 2012 R2 の新機能はサポートされていません。
Cisco ISE 2.6 パッチ 4 は、Microsoft Windows Active Directory 2012 R2 のすべてのレガシー機能をサポートしています。
詳細については、『Cisco Identity Services Engine Administrator Guide』を参照してください。
サポート対象のウイルス対策およびマルウェア対策製品
Cisco ISE ポスチャエージェントでサポートされているウイルス対策およびマルウェア対策製品の詳細については、Cisco AnyConnect ISE ポスチャのサポート表を参照してください。
検証済み OpenSSL のバージョン
Cisco ISE は、OpenSSL 1.0.2.x(CiscoSSL 6.0)を使用して検証されます。
既知の制限事項と回避策
このセクションでは、さまざまな既知の制限と対応する回避策に関する情報を提供します。
不正なスマートライセンス消費レポート
Cisco ISE リリース 3.0 パッチ 7 にアップグレードした後、スマートライセンス設定で直接 HTTPS または HTTPS プロキシの接続方法を使用している場合、誤ったコンプライアンスステータスが報告されることがあります。Cisco ISE と CSSM 間の通信エラーが原因で、誤ったライセンス消費数が報告されることがあります。
通信エラーをトラブルシューティングするには、Cisco ISE 管理ポータルの [ライセンス(Licensing)] ウィンドウで、スマートライセンスを登録解除してから再登録します。
誤ったハッシュ値が原因で SNMP ユーザーの認証がアップグレード後に失敗する可能性
Cisco ISE 2.7 以前のリリースから Cisco ISE 3.0 にアップグレードする場合は、アップグレード後に SNMP ユーザーの設定を再設定する必要があります。そうしないと、誤ったハッシュ値が原因で SNMP ユーザーの認証が失敗する可能性があります。
SNMPv3 ユーザーの設定を再設定するには、次のコマンドを使用します。
no snmp-server user <snmp user> <snmp version> <auth password> <priv password>
snmp-server user <snmp user> <snmp version> <auth password> <priv password>
日本語のオンラインヘルプ
Cisco ISE で日本語を有効にするようにローカリゼーションを設定している場合は、オンラインヘルプにこのリリースで導入された新機能に関する情報が含まれていないことに注意してください。これらの機能の詳細については、 『Cisco ISE Administration Guide, Release 3.0』を参照してください。
認証の Radius ログ
認証イベントの詳細は、[Radius認証(Radius Authentications)] ウィンドウの [詳細(Details)] フィールドで確認できます。認証イベントの詳細を使用できるのは 7 日間のみで、その後は認証イベントのデータを表示することはできません。すべての認証ログ データは、パージがトリガーされると削除されます。
アップグレード後の LDAP サーバーの再設定
制限事項
プライマリホスト名または IP が更新されないため、認証が失敗します。これは、Cisco ISE 展開のアップグレード中に、展開 ID がリセットされる傾向があるためです。
条件
[接続(Connection)] ウィンドウで [各ISEノードのサーバーの指定(Specify server for each ISE node)] オプションを有効にした場合。このウィンドウを表示するには、[メニュー(Menu)] アイコン()をクリックして、 の順に選択します。または既存のサーバーを選択した後、PSN がある Cisco ISE 展開をアップグレードすると、展開 ID がリセットされる傾向があります。
回避策
各ノードの LDAP サーバー設定を再設定します。詳細については、Cisco Identity Services Engine 管理者ガイド、リリース 2.4 [英語] の「Administrative Access to Cisco ISE Using an External Identity Store」の章の「LDAP Identity Source Settings」の項を参照してください。
有効なユーザーエージェントヘッダー
Cisco ISE では、Cisco ISE リリース 2.7 以降、Cisco ISE スポンサーポータルなどの Cisco ISE エンドユーザー向けポータルで正常な応答またはリダイレクト応答を受信するため、Web 要求で送信される有効なユーザーエージェントヘッダーが必要です。
応答ステータス行
Cisco ISE リリース 2.7 以降、Cisco ISE Web サービスおよびポータルは、HTTP バージョンとステータスコードのみを含む応答ステータス行を返しますが、対応する理由フレーズは返しません。
Trustsec AAAサーバーリストのサーバー IP の更新
Cisco ISE インスタンスの IP アドレスを CLI を使用して変更すると、Cisco ISE サービスは再起動されます。サービスが起動した後、Trustsec AAA サーバーの IP アドレスを変更する必要があります。Cisco ISE GUI で [メニュー(Menu)] アイコン()をクリックして、 を選択します。
アップグレード情報
リリース 3.0 へのアップグレード
次の Cisco ISE リリースからリリース 3.0 に直接アップグレードできます。
-
2.4
-
2.6
-
2.7
Cisco ISE リリース 2.4 より前のバージョンの場合は、まず上記のリリースのいずれかにアップグレードしてから、リリース 3.0 にアップグレードする必要があります。
(注) |
アップグレードの開始前に、既存のバージョンで最新のパッチにアップグレードすることをお勧めします。 |
Cisco ISE リリース 3.0 には、Cisco ISE パッチリリース(2.4 パッチ 13、2.6 パッチ 7、2.4 パッチ 10、および 2.7 パッチ 2)とのパリティがあります。
アップグレードパッケージ
アップグレードパッケージおよびサポートされているプラットフォームに関する情報は、Cisco ISE Software Download [英語] から入手できます。
ライセンスの変更
Cisco ISE リリース 2.x に使用されている Base、Plus、Apex などのライセンスが新しいライセンスタイプに置き換えられました。Cisco ISEリリース 3.0 では、Essentials、Advantage、Premier のライセンスを使用します。『Cisco Identity Services Engine Administrator Guide』の「Licensing」の章を参照してください。
Cisco ISE リリース 3.0 でライセンスの消費を有効にするには、Cisco Smart Software Manager(CSSM)を使用して既存のスマートライセンスか従来のライセンスを新しいライセンスタイプに変換する必要があります。
アップグレード手順の前提条件
-
設定されたデータを必要な Cisco ISE バージョンにアップグレードできるかどうかを確認するには、アップグレードの前にアップグレード準備ツール(URT)を実行します。ほとんどのアップグレードの失敗は、データのアップグレードの問題が原因で発生します。URT により実際のアップグレード前にデータを検証し、問題があれば報告します。URT は Cisco ISE Download Software Center [英語] からダウンロードできます。
-
アップグレードの開始前に関連するすべてのパッチをインストールすることをお勧めします。
詳細については、『Cisco Identity Services Engine Upgrade Guide』 [英語] を参照してください。
テレメトリ
インストール後の管理者ポータルへの初回ログイン時には、Cisco ISE テレメトリバナーが表示されます。この機能を使用して、Cisco ISE は、ユーザーの展開、ネットワーク アクセス デバイス、プロファイラ、およびユーザーが使用している他のサービスに関する非機密情報を安全に収集します。このデータは、今後のリリースでサービスを向上させ、より多くの機能を提供するために使用されます。デフォルトでは、テレメトリは有効になっています。アカウント情報を無効または変更するには、[管理(Administration)] > [設定(Settings)] > [ネットワーク設定診断(Network Settings Diagnostics)] > [テレメトリ(Telemetry)] を選択します。アカウントは、各展開に固有です。各管理者ユーザーが個別に提供する必要はありません。
テレメトリは、Cisco ISE のステータスと機能に関する貴重な情報を提供します。シスコは、Cisco ISE を導入した IT チームのアプライアンス ライフサイクル管理を改善するためにテレメトリを使用します。このデータを収集することで、製品チームは顧客により優れたサービスを提供できるようになります。このデータと関連する分析情報により、シスコは潜在的な問題をプロアクティブに特定し、サービスとサポートを改善し、ディスカッションを促進して新規および既存の機能からより多くの価値を収集し、IT チームによるライセンス権限のインベントリレポートと今後の更新を支援します。
Cisco ISE でテレメトリ機能が無効になり、テレメトリデータの共有が停止するまでに最大 24 時間かかる場合があります。
収集されるデータのタイプには、製品使用状況テレメトリや Cisco Support Diagnostics などがあります。
Cisco Support Diagnostics
Cisco Support Diagnostics Connector は、Cisco Technical Assistance Center(TAC)とシスコのサポートエンジニアがプライマリ管理ノードから展開の情報を取得するのに役立つ 。デフォルトでは、この機能は無効になっています。この機能を有効にする手順については、『Cisco Identity Services Engine Administrator Guide』を参照してください。
Cisco ISE ライブアップデートポータル
Cisco ISE ライブアップデートポータルは、サプリカント プロビジョニング ウィザード、AV/AS サポート(コンプライアンスモジュール)、およびクライアント プロビジョニングとポスチャポリシーサービスをサポートするエージェント インストーラ パッケージを自動的にダウンロードするのに役立ちます。このライブアップデートポータルは、Cisco ISE を使用して Cisco.com から該当するデバイスに最新のクライアント プロビジョニングおよびポスチャソフトウェアを直接取得するように、初期展開時に Cisco ISE で設定します。
デフォルトのアップデートポータル URL にアクセスできず、ネットワークにプロキシサーバーが必要な場合は、プロキシを設定します。ライブアップデートポータルにアクセスする前に、[管理(Administration)] > [システム(System)] > [設定(Settings)] > [プロキシ(Proxy)] の順に選択します。Cisco ISE GUI で [メニュー(Menu)] アイコン()をクリックして、プロキシ設定でプロファイラ、ポスチャ、およびクライアント プロビジョニング フィードへのアクセスが許可されている場合、Cisco ISE は MDM 通信のプロキシサービスをバイパスできないため、モバイルデバイス管理(MDM)サーバーへのアクセスがブロックされます。これを解決するには、MDM サーバーとの通信を許可するようにプロキシサービスを設定できます。プロキシ設定の詳細については、『Cisco Identity Services Engine Administrator Guide』の「Specify Proxy Settings in Cisco ISE」の項を参照してください。
クライアント プロビジョニングとポスチャのライブアップデートポータル
次の場所からクライアント プロビジョニング リソースをダウンロードできます。
Cisco ISE GUI で [メニュー(Menu)] アイコン()をクリックして、 。
次のソフトウェア要素は、次の URL から入手できます。
-
Windows および Mac OS X ネイティブサプリカント向けのサプリカント プロビジョニング ウィザード
-
最新の Cisco ISE の永続的なエージェントおよび一時的なエージェントの Windows バージョン
-
最新の Cisco ISE の永続的なエージェントの Mac OS X バージョン
-
ActiveX および Java アプレット インストーラ ヘルパー
-
AV/AS コンプライアンス モジュール ファイル
クライアント プロビジョニング アップデート ポータルで利用可能なソフトウェアパッケージを Cisco ISE に自動的にダウンロードする方法については、『Cisco Identity Services Engine Administrator Guide』の「Configure Client Provisioning」の章の「Download Client Provisioning Resources Automatically」の項を参照してください。
次の場所からポスチャ更新をダウンロードできます。
Cisco ISE GUI で [メニュー(Menu)] アイコン()をクリックして、
次のソフトウェア要素は、次の URL から入手できます。
-
シスコで事前定義されたチェックとルール
-
Windows および Mac OS X の AV/AS サポート表
-
Cisco ISE オペレーティングシステムのサポート
このポータルで利用可能なソフトウェアパッケージを Cisco ISE に自動的にダウンロードする方法については、『Cisco Identity Services Engine Administrator Guide』の「Download Posture Updates Automatically」の項を参照してください。
自動ダウンロード機能を有効にしていない場合、更新をオフラインでダウンロードすることができます。
Cisco ISE オフライン更新
このオフライン更新オプションを使用すると、Cisco ISE を使用してデバイスから Cisco.com にインターネット経由で直接アクセスできない場合、またはセキュリティポリシーによって許可されていない場合に、クライアント プロビジョニングおよびポスチャ更新をダウンロードできます。
オフラインのクライアント プロビジョニング リソースをアップロードするには、次の手順を実行します。
Procedure
Step 1 |
https://software.cisco.com/download/home/283801620/type/283802505/release/3.0.0に進みます。 |
Step 2 |
ログインクレデンシャルを入力します。 |
Step 3 |
Cisco Identity Services Engine のダウンロードウィンドウに移動し、リリースを選択します。 次のオフライン インストール パッケージをダウンロードできます。
|
Step 4 |
[ダウンロード(Download)] または [カートに追加(Add to Cart)] のいずれかをクリックします。 |
ダウンロードしたインストールパッケージを Cisco ISE に追加する方法については、『Cisco Identity Services EngineAdministrator Guide』の「Add ClientProvisioning Resources from a Local Machine」のセクションを参照してください。
ポスチャ更新を使用して、ローカルシステムのアーカイブから Windows および Mac オペレーティングシステムのチェック、オペレーティングシステム情報、ウイルス対策とスパイウェア対策サポート表を更新できます。
オフライン更新の場合は、アーカイブファイルのバージョンが設定ファイルのバージョンと一致していることを確認します。Cisco ISE を設定した後にオフラインでポスチャ更新を使用し、ポスチャポリシーサービスの動的更新を有効にします。
オフラインのポスチャ更新をダウンロードするには、次のようにします。
Procedure
Step 1 |
https://www.cisco.com/web/secure/spa/posture-offline.htmlに進みます。 |
||
Step 2 |
ローカルシステムに posture-offline.zip ファイルを保存します。このファイルを使用すると、Windows および Mac オペレーティングシステムのオペレーティングシステム情報、チェック、ルール、ウイルス対策とスパイウェア対策サポート表が更新されます。 |
||
Step 3 |
[管理(Administration)] > [システム(System)] > [設定(Settings)] > [ポスチャ(Posture)]の順に選択します。Cisco ISE GUI で [メニュー(Menu)] アイコン()をクリックして、 |
||
Step 4 |
矢印をクリックすると、ポスチャの設定が表示されます。 |
||
Step 5 |
[更新(Updates)] をクリックします。 [ポスチャ更新(Posture Updates)] ウィンドウが表示されます。
|
||
Step 6 |
[オフライン(Offline)] オプションをクリックします。 |
||
Step 7 |
[参照(Browse)] をクリックし、システムのローカルフォルダからアーカイブファイル(posture-offline.zip)を検索します。
|
||
Step 8 |
[今すぐ更新(Update Now)] をクリックします。 |
設定要件
-
関連する Cisco ISE ライセンス料金を支払う必要があります。
-
最新のパッチをインストールする必要があります。
-
Cisco ISE ソフトウェア機能がアクティブになっている必要があります。
モニターリングおよびトラブルシューティング
システムのモニタリングおよびトラブルシューティングに関する詳細については、『 Cisco Identity Services Engine Administrator Guide』の「Monitoring and Troubleshooting Cisco ISE」のセクションを参照してください。
発注情報
Cisco ISE の詳細な発注およびライセンス情報については、『 Cisco Identity Services Engine Ordering Guide』 [英語] を参照してください。
Cisco ISE と Cisco Digital Network Architecture Center との統合
Cisco ISE は Cisco DNA Center と統合できます。Cisco DNA Center と連携するように Cisco ISE を設定する方法については、Cisco DNA Center のドキュメントを参照してください。
Cisco ISE と Cisco DNA Center との互換性については、『Cisco SD-Access Compatibility Matrix』 [英語] を参照してください。
Cisco AI エンドポイント分析
Cisco AI エンドポイント分析は、エンドポイント プロファイリングの忠実度を改善する Cisco DNA Center のソリューションです。きめ細かいエンドポイント識別を提供し、さまざまなエンドポイントにラベルを割り当てます。ディープパケット インスペクション、および Cisco ISE、Cisco SD-AVC、ネットワークデバイスなどのソースからのプローブによって収集された情報は、エンドポイント プロファイリングのために分析されます。
Cisco AI エンドポイント分析は、人工知能(AI)と機械学習機能を使用して、同様の属性を持つエンドポイントを直感的にグループ化します。IT 管理者は、これらのグループを確認してラベルを割り当てることができます。割り当てられたエンドポイントラベルは、Cisco ISE アカウントがオンプレミスの Cisco DNA Center に接続されている場合、Cisco ISE で使用できます。
Cisco AI エンドポイント分析の結果割り当てられたエンドポイントラベルは、Cisco ISE 管理者がカスタム認証ポリシーを作成するために使用できます。それらの認証ポリシーを使用して、エンドポイントまたはエンドポイントグループに適切なアクセス権限のセットを提供できます。
新しいパッチのインストール
Cisco ISE にパッチを適用するために必要なパッチファイルを取得するには、Cisco ダウンロード ソフトウェア サイト(https://software.cisco.com/download/home)にログインし(Cisco.com ログイン情報の入力が必要になる場合があります)、[セキュリティ(Security)] > [アクセス制御およびポリシー(Access Control and Policy)] > [Cisco Identity Services Engine] > [Cisco Identity Services Engine ソフトウェア(Cisco Identity Services Engine Software)] に移動し、ローカルマシンにパッチファイルのコピーを保存します。
システムへのパッチの適用方法については、『Cisco Identity Services Engine Upgrade Journey』の「Cisco ISE Software Patches」セクション [英語] を参照してください。
CLI を使用したパッチのインストール方法については、『Cisco Identity Services Engine CLI Reference Guide』の「Patch Install」セクション [英語] を参照してください。
(注) |
Cisco ISE リリース 3.0 パッチ 2 以降のリリースでは、SSM オンプレミス接続方式のライセンス機能がサポートされています。この機能を有効にした後、Cisco ISE 3.0 パッチ 1 以前にロールバックする必要がある場合は、ライセンス機能を含むパッチをアンインストールする前にライセンス機能を無効にする必要があります。 |
ルート CA 証明書の自動再生成
Cisco ISE リリース 3.0 パッチ 6 以降では、新しいパッチをインストールするときにルート CA 証明書を再生成する必要があります。
-
スタンドアロンノードでは、CLI または GUI を使用してパッチをインストールすると、ルート CA 証明書が自動的に再生成されます。
-
分散型展開では、CLI を使用してパッチをインストールする場合、パッチのインストール後にルート CA 証明書を再生成する必要があります。Cisco ISE GUI を使用してパッチをインストールすると、ルート CA 証明書が自動的に再生成されます。
Cisco ISE リリース 3.0 パッチ 6 以降のリリースから Cisco ISE リリース 3.0 パッチ 5 以前のリリースにロールバックする場合は、ロールバックする Cisco ISE リリースでルート CA 証明書を再生成する必要があります。
ルート CA 証明書を生成する方法については、『Cisco ISE Administrator Guide』の「Basic Setup」の章の「Generate Root CA and Subordinate CAs on the Primary PAN and PSN」のトピックを参照してください。
警告
「不具合」セクションには、バグ ID とそのバグの簡単な説明が含まれています。特定の不具合の症状、条件、および回避策に関する詳細については、シスコのバグ検索ツール(BST)を使用してください。バグ ID は英数字順にソートされます。
(注) |
「未解決の不具合」セクションには、現在のリリースに該当し、Cisco ISE 3.0 よりも前のリリースにも該当する可能性のある未解決の不具合が記載されています。これまでのリリースで未解決で、まだ解決されていない不具合は、解決されるまで、今後のすべてのリリースに適用されます。 |
BST は Bug Toolkit の後継オンラインツールであり、ネットワークリスク管理およびデバイスのトラブルシューティングにおいて効率性を向上させるように設計されています。製品、リリース、またはキーワードに基づいてソフトウェアのバグを検索し、バグの詳細、製品、バージョンなどの主要データを集約することができます。ツールの詳細については、http://www.cisco.com/web/applicat/cbsshelp/help.html のヘルプページ [英語] を参照してください。
Cisco ISE リリース 3.0 の解決済みの不具合:累積パッチ 8
次の表に、リリース 3.0 累積パッチ 8 の解決済みの不具合を示します。
ID |
見出し |
---|---|
P-PIC がダウンしている間に FMC を再統合すると、pxGrid セッションのパブリッシュが停止する |
|
Cisco Identity Services Engine 情報の開示の脆弱性 |
|
Cisco Identity Services Engine のパストラバーサルの脆弱性 |
|
ISE スマートライセンスは Smart Transport を使用するようになった |
|
Mac OS Beta Monterey(MacOS 12 beta 2)で NSP MacOsXSPWizard v3.1.0.2 に失敗する |
|
巨大なサイズのスケジュールされたレポートが、エクスポート時にリポジトリで空として表示される。 |
|
ISE 信頼ストアに無効な証明書がある場合、ISE - Cisco DNAC 統合が失敗する |
|
ISE で特定の URL を使用すると、tomcat スタックトレースが表示される |
|
ISE 3.1 パッチ 4:GUI:証明書認証:権限 |
|
アップグレード中、登録解除コールで DB からのすべてのノードの削除に失敗する |
|
ISE および CVE-2023-24998 |
|
[高度な調整(Advanced Tuning)] ページで PBIS 登録キー設定が検証されない |
|
2.7 以降、ISE の Get All Endpoints 要求の実行に時間がかかる |
|
LSD により、帯域幅の使用率が高くなる |
|
ISE 3.2:APIC 統合:fvIP サブスクリプションがない |
|
EAP-TLS セッションの再開時に ISE がクライアント証明書から複数の属性値を取得できない |
|
ゲストスポンサーポータルの国コードの問題 |
|
ISE 3.2/3.1/3.0 で「Get All Endpoints」レポートに一致しない情報が表示される |
|
/ in コマンドの引数が T+ コマンドセットの CSV インポート後に保持されない |
|
タイムゾーンの変更中に更新警告メッセージが表示される |
|
Cisco Identity Services Engine の XML 外部エンティティ インジェクションの脆弱性 |
|
[ネットワーク デバイスプロファイル(Network Device Profile)] に HTML コードが名前として表示される |
|
RADIUS の使用済みスペースで、いくつかの TACACS テーブルも考慮されるため、誤った使用状況が報告される |
|
ISE 3.0 管理者ポータルで TLS 1.0/1.1 が受け入れられる |
|
前回ポートバウンス CoA が成功した後も、ISE が reath CoA で古い監査セッション ID を送信している |
|
GUI TCPDUMP が Stop_In_Progress でスタックする |
|
ISE:NAS-Port-id の長さが原因で収集失敗アラームに SQLException が送信される |
|
ISE が msRASSavedFramedIPAddress の AD 属性の変換に失敗する |
|
証明書ベースの GUI 管理者ログインがスタックする |
|
ISE が音声 VLAN のサブネットまたは IP アドレスプール名を保存できない。 |
|
Chrome および Edge ブラウザでの認証ポリシーのロード中に UI がクラッシュした |
|
Cisco Identity Services Engine の XML 外部エンティティ インジェクションの脆弱性 |
|
Cisco Identity Services Engine のサービス拒否の脆弱性 |
|
RADIUS トークンサーバー設定がセカンダリサーバーの空のホスト IP を受け入れる |
|
ISE は Tenable Security Center のリポジトリとスキャンポリシーを取得できない |
|
TACACS コマンド アカウンティング レポートのエクスポートが機能しない |
|
Mnt ログプロセッササービスが毎晩停止する |
|
ISE が DNAC にホスト名属性を送信しない |
|
フィード増分更新後に再プロファイリング結果の保持が Oracle/VCS に更新されない |
|
スイッチポートに複数のセッションが存在する場合、プロファイラがポートバウンスをトリガーする |
|
ID ソースを内部から外部の RSA/RADIUS トークンサーバーに変更できません |
|
条件別ポスチャ評価で ORA-00904: "SYSTEM_NAME": invalid identifier が生成される |
|
ISE デバッグウィザードのポスチャプロファイルに、デバッグするための client-webapp コンポーネントが含まれていない |
|
異なるセッション ID を持つ同じ IP + VN + VPN の組み合わせに対する複数のリクエストにより、重複するレコードが作成される |
|
MS が ADAL を廃止しているため、SCCM と ISE の統合に MSAL のサポートが必要 |
|
ISE SXP の競合に関連するログの改善により、Cisco Digital Network Architecture Center で警告が発生する |
|
ポータルアクセス用に 2 つのインターフェイスが設定されている ISE が破損している |
|
異常な動作の検出が期待どおりに機能しない |
|
プロファイラ CoA が誤ったセッション ID で送信される |
|
MDM:CVE-2021-26414 の Windows DCOM サーバー強化後に Microsoft SCCM への接続が失敗する |
|
IMS を使用した ISE vPSN のパフォーマンスが、UDP syslog と比較して 30 〜 40% 低下する |
|
展開への登録後にセカンダリノードに証明書をインポートできない |
|
9644 での例外が原因で、SXP サービスが初期化中にスタックする。 |
|
パッチ管理、アップグレード、およびヘルスチェックで起動ページレベルのヘルプが機能しない |
|
ユーザー定義 NAD プロファイルを使用した Cisco NAD でのセッションディレクトリ書き込み失敗アラーム |
|
ISE レプリケーション:SyncRequest タイムアウト モニター スレッドがタイムアウト後にファイル転送を強制終了しない |
|
説明に複数のバックスラッシュ文字が連続して含まれる SG とコントラクトは、ISE に同期できない |
|
「Is IPSEC Device」NDG を削除しようとすると、後続のすべての RADIUS/T+ 認証が失敗する |
|
ISE GUI の Meraki コネクタページのオンラインページレベルのヘルプ ID |
|
パッチ 4/5 へのアップグレード後に ISE 3.1 の特定の SFTP サーバーが動作を停止する |
|
デバイス管理ライセンスのみが有効になっている場合、ISE 3.1/ 証明書ベースのログインでライセンスファイルが要求される |
|
ISE 2.6 p7 は、認証ポリシーの「identityaccessrestricted equals true」と一致しない。 |
|
CIAM:xstream 1.4.17 |
|
Cisco Identity Services Engine のコマンド インジェクションの脆弱性 |
|
ISE が EAP-TLS 認証中にピア証明書を取得できない |
|
ISE:フィルタが 1 つのネットワークデバイスのみに一致する場合にのみプロンプトを表示する、ネットワークデバイスのキャプチャ |
|
バインディングのクエリでの H2 DB の遅延が原因で、SXP サービスが初期化中にスタックする |
|
2.6/2.7 から 3.1 へのアップグレードで URT が失敗する |
|
CSCvz85074 の修正により、ISE での AD グループの取得が中断される |
|
IPv6 アドレスを使用して ISE GUI に正常にログインできない |
|
ISE アフリカ/カイロのタイムゾーン DST |
|
[ENH] ISE PIC エージェントによるセッションスティッチングのサポート |
|
ISE:メキシコのタイムゾーンが誤って夏時間に変更される |
|
コールが失敗した場合、ISE SXP バインディング API コールが 2xx 応答を返す |
|
jszip 3.0.0 の脆弱性 |
|
Collector.log ファイルの権限が、自動的にルート root として設定される |
|
GUI から 1GB を超えるサイズのサポートバンドルをダウンロードできない |
|
内部 CA 証明書の増加による Cisco DNA Center 統合の問題 |
|
ISE 2.7 パッチ 8 により、CLI からの読み取りテスト速度が低下し、「Insufficient Virtual Machine Resources」が発生する |
|
EP 消去呼び出しに伴うメモリリークによる CPU スパイク |
|
ISE:ライブセッションが「認証済み」状態でスタックする |
|
NDG の場所と IP でフィルタ処理を実行すると、すべての NAD が削除される |
Cisco ISE リリース 3.0 の未解決の不具合:累積パッチ 8
Cisco ISE リリース 3.0 パッチ 8 には未解決の不具合はありません。
Cisco ISE リリース 3.0 の新機能:累積パッチ 7
Cisco Secure Client の延長サポート
Cisco ISE 3.0 パッチ 7 は、Windows、MacOS、Linux オペレーティングシステム用の AnyConnect と Cisco Secure Client の両方をサポートしています。これらのオペレーティングシステムでは、次の Cisco Secure Client バージョンがサポートされています。
-
Windows:Cisco Secure Client バージョン 5.00529 以降
-
MacOS:Cisco Secure Client バージョン 5.00556 以降
-
Linux:Cisco Secure Client バージョン 5.00556 以降
これらのオペレーティングシステムではエンドポイントに対して AnyConnect と Cisco Secure Client の両方を構成できますが、エンドポイントでの実行時に考慮されるのは 1 つのポリシーのみです。
スマートライセンスに必要な URL
Cisco ISE リリース 3.0 パッチ 7 は、https://smartreceiver.cisco.com を使用してスマートライセンス情報を取得します。
Cisco ISE リリース 3.0 の解決済みの不具合:累積パッチ 7
次の表に、リリース 3.0 累積パッチ 7 の解決済みの不具合を示します。
不具合 ID 番号 |
説明 |
---|---|
削除されたネットワーク デバイス グループがポリシーセットに引き続き表示される |
|
[Make a Wish] リンクの場所を新しい場所に更新 |
|
XML 外部エンティティ インジェクションの脆弱性 |
|
Gig 0 以外のインターフェイスのゲートウェイを使用した静的デフォルトルートにより、ネットワーク接続が切断される |
|
[Download Logs] ページがバックグラウンドで読み込まれるため、[Support Bundle] ページの読み込みが遅くなる |
|
携帯電話番号フォーマットのエラー処理/メッセージが明確でない |
|
[Profiler Condition] に [Attribute Value] が表示されない |
|
設定の読み取りに例外がある場合、Duplicate Manager でパケットが削除されない |
|
クライアントまたはブラウザから複数の証明書が送信されると、証明書ベースの管理者ログインが機能しない |
|
ISE 3.0 パッチ 6:スケジュールされたレポートが欠落している |
|
ISE で、自己署名証明書の上への CA 署名付き証明書のインポートが許可されない |
|
ゲストポータルでアンダースコアが脆弱である |
|
ERS SDK の認証設定が API コールを介して無効化されていない |
|
31p5:アプリサーバーと API ゲートウェイサービスが実行されない |
|
ENH:SMS ゲートウェイ用の Twilio MessagingServiceSid を使用した ISE |
|
複製停止アラームはトリガーされない |
|
ERS API を使用してネストされたエンドポイントグループを作成する |
|
ISE 2.7P2 ~ 3.0 で内部 CA とキーをインポートできない |
|
ERS SDK ネットワークデバイスの一括要求のドキュメントが正しくない |
|
CIAM:openssl 1.0.2n |
|
GUI のダウンロードログから rest-id-store をダウンロードできない |
|
インスタンスが使用する PGA メモリが MNT ノードで PGA_AGGREGATE_LIMIT を超えている |
|
NetworkSetupAssistance.exe デジタル署名証明書が Windows SPW を使用した BYOD フローで期限切れになる |
|
毎時 cron では、95% 使用されているメモリではなく、キャッシュされたバッファがクリーンアップされる必要がある |
|
TACACS 認証プロファイルに引用文字を追加できない |
|
エージェントレスポスチャが設定されている場合に CPU 使用率が高くなる |
|
専用 MnT ノードを使用する ISE でパッシブ Easy Connect が機能しない |
|
高稼働時の DB 使用率アラームのパーセンテージを設定可能にする必要がある。 |
|
メタスペースを使い果たすと ISE ノードでクラッシュが発生する |
|
保存されたクロスサイト スクリプティングの脆弱性 |
|
SAML が使用されている場合、ISE 3.1 パッチ 3 で csv ファイルからエンドポイントをインポートできない |
|
復元操作後に、コンテキストの可視性のエンドポイントと NAD が既存の展開から削除されない |
|
アカウンティング終了のために変更された pxGrid パブリッシング |
|
DomainName\UserName 形式を使用してログインしている場合、作成したサポートバンドルを GUI からダウンロードできない |
|
ポート 8084 で TLSv1.1 が有効になっている |
|
2.7 p7 の platform.properties でハードウェアアプライアンスに基づいて制御する RMQForwarder スレッド |
|
PRA フェールオーバー |
|
SXP バージョン 4 で、ISE から 4,096 バイトのサイズの SXP メッセージが送信される |
|
IMS にサードパーティの署名付き証明書を使用している場合に「不明な CA」キューリンクエラーが表示される |
|
ISE 3.0:セカンダリインターフェイス GigabitEthernet 1 および Bond 1 で ISE GUI に管理アクセスが許可される |
|
3.2:Maxscale:PPAN アプリケーションサーバーが初期化状態でスタックする |
|
GC アクティビティによるポリシー評価の認証ステップの遅延 |
|
新しいインスタンスの使用時に機能する、新しいパスワードを持つ SCCM MDM サーバーオブジェクトが ISE 3.0 で保存されない |
|
VN 値が変更されている場合、複数の再認証後に IP から SGT へのマッピングの一貫性がなくなる |
|
ISE 3.1:REST API を介してネットワーク デバイス グループを作成中にエラーが発生する |
|
ISE が大規模な VM をサポート対象外として検出する |
|
クロスサイト スクリプティングの脆弱性 |
|
ISE 3.1 ERS コール /ers/config/sgmapping/{id} でカスタム SGT の SGT 値が返されない |
|
インターフェイス機能の不十分なアクセス制御の脆弱性 |
|
ISE 3.1:[Context Visibility Endpoint Authentication] タブにデータが表示されない |
|
コマンドインジェクションの脆弱性 |
|
カスタム属性の追加中に GUI でデフォルト値が検証されない |
|
SNMP パスワードパラメータの ISE 3.1 REST API のタイプミス |
|
ISE 3.2 で次のエラーが表示される:「TypeError:未定義のプロパティを読み取れません(「attr」の読み取り)(TypeError: Cannot read properties of undefined (reading 'attr'))」 |
|
新しいホストキーアルゴリズム(rsa-sha2-512 など)を使用したホストに SSH/SFTP を追加できない |
|
CIAM:jackson-databind 2.9.8 |
|
アップグレードされたノードで一時的な MnT ペルソナを無効化すると、分割アップグレードで失敗する |
|
CIAM:openssl を 1.0.2ze および 1.1.1o にアップグレード |
|
SAML 構成の保存ボタンがグレー表示される |
|
ERS 検証エラー:必須フィールドの欠落:[validDays] |
|
サードパーティの CA 証明書が管理者用に使用されている場合、ヘルスチェックとフルアップグレードの事前チェックがタイムアウトする |
|
MAC:CSC 5.0554 Web 展開パッケージのアップロードに失敗する |
|
認証 VLAN を使用したゲストリダイレクトが ISE 3.1 で機能しなくなった |
|
Sec_txnlog_master テーブルは、レコード数が 200 万を超えたら切り捨てる必要がある |
|
不正な証明書の有効期限チェックの結果として、すべてのノードから OUT_OF_SYNC がスローされる |
|
containerd.io RPM パッケージ openssl 1.0.2r CIAM CVE-2021-23841 + その他 |
|
PPAN の ise-psc.log でオプティミスティックロックが失敗すると、事前チェックがタイムアウトすることがある |
|
クロスサイト スクリプティングの脆弱性 |
|
保存されたクロスサイト スクリプティングの脆弱性 |
|
サポートされる HTTP メソッドが表示される |
|
Digital Network Architecture Center から ISE(ERS)へのペイロードでの PUT 操作が失敗する |
|
ISE RADIUS および PassiveID セッションのマージ |
|
有用性を追加し、ISE 3.0 の「プールが枯渇しているためリソースを取得できませんでした(Could not get a resource since the pool is exhausted)」エラーを修正 |
|
Session.PostureStatus のクエリ中に遅延が発生する |
|
非 TACACS トラフィックのライブログ内の「無効な長さ」による TACACS 認証の失敗 |
|
変更構成監査レポートに、SGT の作成および削除イベントが明確に表示されない |
|
EAP-TLS を使用した EAP-TEAP が「CERTIFICATE.Issuer - Common Name」を持つ条件に一致しない |
|
3.1 および 3.2.0.804 のアップグレードに関する制約を変更中にスキーマのアップグレードが失敗する |
|
ISE 3.1 GUI がログイン後にロードされない |
|
LSD によって CPU が高くなる |
|
プロファイラは、デフォルトの RADIUS プローブからの転送について、否定的な RADIUS Syslog メッセージを無視する必要がある |
|
RADIUS を使用したデバイス管理が基本ライセンスを使用しない |
|
ISE から FIPS 対応デバイスへの SSH が機能しない |
|
[Network Devices] の [Export Selected] を使用し、X 回以上選択するとログイン画面が中断される |
|
SYS_EXPORT_SCHEMA_01 が原因で ISE 設定のバックアップが失敗する |
|
ISE インデックスエンジンのバックアップが失敗するとスケジュール済みバックアップが失敗する |
|
ERS API で、「ネットワーク デバイス グループ」名にマイナス文字を使用できない |
|
ISE 3.0 NFS 共有がスタックする |
|
親 ID グループ名を変更すると、認証リファレンスが壊れます |
|
結合操作中に ISE AD コネクタでエラーが発生する |
|
RADIUS 共有秘密の先頭に += 文字がある場合、CSV NAD インポートが拒否される |
|
サードパーティ Syslog サーバーからの PassiveID セッションの使用を ISE が突然停止する |
|
ISE 3.2 ERS POST /ers/config/networkdevicegroup が失敗する:破損した属性 othername/type/ndgtype |
|
エンドポイントグループの削除後にスポンサーポータルが中断する |
|
CIAM:rpm 4.11.3 CVE-2021-20271 |
|
eth 1 での IP アドレスの変更中に、ISE 3.1 サービスの自動再起動が内部エラーで失敗する |
|
シングル接続が有効になっていると、TACACS 応答が送信されないことがある |
|
csv ファイルからユーザーをインポートしようとすると、「電話番号が無効です(The phone number is invalid)」と表示される |
|
TrustCertQuickView がすべての信頼できる証明書について同じ情報を提供する |
|
ISE でのトークンの処理が正しくないため、ロードバランサを使用した SAML フローが失敗する |
|
ANC CoA がデバイス IP アドレスではなく NAS IP アドレスに送信される |
|
名前を変更後、[Export Summary] ページでリポジトリ名が更新されない |
|
CRUD を実行しないと、ノードのリロード後に [My Devices] ポータルが開かない |
|
証明書署名要求では大文字と小文字を区別すべきでない |
Cisco ISE リリース 3.0 の未解決の不具合:累積パッチ 7
Cisco ISE リリース 3.0 パッチ 7 には未解決の不具合はありません。
Cisco ISE リリース 3.0 の解決済みの不具合:累積パッチ 6
ID |
見出し |
---|---|
CIAM:sqlite 3.7.17 |
|
正しくない cryptoLib 初期化が原因で Cisco ISE PSN ノードがクラッシュする |
|
64 文字の制限は、ユーザープリンシパル名などの外部ユーザー ID に対応するには小さすぎる |
|
CIAM:unixodbc 2.3.0 |
|
ISE CLI の公開キー暗号化を使用するバックアップログで、コアファイルのキャプチャが許可されない |
|
ISE GUI で Essential ライセンスが無効になっている場合、スマートライセンスポータルがライセンスの使用を報告しない |
|
ISE-PIC が特殊文字で始まるライブセッションを転送しない |
|
ISE で、ユーザーが現在のパスワードを検証せずに管理者パスワードを変更可能 |
|
ISE で空の Cisco AV-Pair を access-accept パケットで送信しないようにする必要がある |
|
nss rpm が更新された最新のパッチに移行した後、スレッドが使い果たされる(3.0p5 と 2.7p7、3.1P1 のみ) |
|
P5 のインストール後、ISE 2.7 EST サービスが実行されず、CA サービスが初期化状態でスタックする |
|
ISE 2.7:認証成功設定が成功/成功 URL を示す |
|
ISE で外部 ID ソースを持つ無効なシャドウ管理アカウントを使用して GUI にログインできる。 |
|
CIAM:samba 4.8.3 |
|
内部 Docker IP 169.254.2.2 に関連する RMQ TLS syslog が監査ログに送信される |
|
[コネクタ設定(connector settings)] ページが開くと、REST ID がクラウドからグループを取得する |
|
CVE-2021-4034 Polkit の Cisco Identity Services Engine 評価 |
|
条件スタジオに新しいオブジェクトが存在しない |
|
CIAM:cyrus-sasl 2.1.27 |
|
Get-By-Id サーバーシーケンスが GUI を介してシーケンスで最初の変更を行った後に空のサーバーリストを返す |
|
複数の値を持つフィールドの処理ミスが原因でレポートが使用できない |
|
スポンサーポータル管理者が 60 分/1 時間以下のランダムゲストアカウントを作成できない |
|
DNA Center - ISE 統合:ISE で pxGrid エンドポイントの古い DNAC 証明書が表示される |
|
3.1:Maxscale:/opt/CSCOcpm/prrt/diag/bin/diagRunner によって生成されたコアが開始される |
|
2 つ以上の NTP サーバーが設定されている NTP 同期エラーアラーム |
|
セッションディレクトリの書き込みに失敗する。SQLException:ISE3.0P4 で文字列データの右側が切り捨てられる |
|
CIAM:jszip 2.5.0 |
|
認証ポリシーに日時条件がある Tacacs+ 要求で高遅延が発生する |
|
ISE 3.1:属性の特殊文字がサポートされていない |
|
ISE 内部 CA の生成時に ISE が pxGrid 証明書を置き換える |
|
IP-SGT マッピングが新しいネットワークアクセスのデバイスグループとリンクしない |
|
CIAM:libpng 1.6.20 |
|
CIAM:net-snmp 5.7.2 |
|
ゲストユーザー(AD または内部)が特定のノードで自分のデバイスを削除または追加できない |
|
RADIUS 共有シークレットの先頭にある特殊記号 @ により、CSV NAD インポートが拒否される |
|
CSCvu35802 の修正により、EAP チェーンのアイデンティティとして証明書属性をもつ AD グループの取得が中断される |
|
ISE 3.0 P5:分散型展開で RSA 2FA を使用して MnT ノードの GUI にログインできない |
|
長いカスタム属性文字列を使用した ISE API のユーザー追加操作に、Curl を使用して 4 分かかる |
|
ISE 3.1 ゲストのユーザー名/パスワードポリシーを変更できない |
|
メモリ割り当ての不整合が原因で複数のランタイムがクラッシュする |
|
ポスチャポリシーで AD セキュリティグループの OU の末尾をドット文字にできない |
|
RADIUS 認証レポートの「エラーの理由(Failure Reasons)」列が重複する |
|
3.0P6:パッチロールバックおよびパッチインストール後にシステムサマリーが更新されない |
|
間違った期間を示す $ui_time_left$ 変数 |
|
Pingnode 呼び出しにより、CRL 検証中にアプリサーバーがクラッシュする(OOM は除く) |
|
ポスチャファイアウォールの修復アクションを変更できない |
|
失敗したアップグレード前チェックを修正しても、[続行(Proceed)] ボタンが使用できない |
|
レポートで過去 7 日間のフィルタが機能しない |
|
オンプレミス SSM サーバーの IPv6 アドレスを入力できない |
|
属性値 dc-opaque がライブログの問題を引き起こす |
|
CIAM:nss 3.44.0 |
|
ISE での EAP-FAST-Chaining で最大セッション数が適用されない |
|
電子メールアドレスにアポストロフィが含まれている場合、ゲストポータル登録ページで「ページの読み込みエラー」が表示される |
|
ISE ポータルでのゲスト SMS 通知の複数行の問題 |
|
ISE 3.0 および 3.1:デバイス管理ライセンスだけですべての TACACS 必須メニューへのアクセスが許可される必要がある |
|
「GET /ers/config/radiusserversequence」API の JSON 応答に nextPage フィールドがない |
|
「不明なNAD(Unknown NAD)」および「正しく設定されていないネットワークデバイスを検出(Misconfigured Network Device Detected)」アラーム |
|
CIAM:perl 5.16.3 |
|
展開ノードのエンドポイントに 8 オクテット MAC が存在する場合、ポスチャの有効期限を処理する必要がある |
|
CIAM:glib 2.56.4 |
|
sysodbcini ファイルに PermSize 属性がない |
|
EP が不明なポスチャでスタックする:MAC で LSD のセッションが見つからない |
|
ISE が SMTP API 本文で $mobilenumber$ 値を送信しない |
|
ISE スマートライセンス認証更新の失敗:詳細 = ライセンスクラウドからの無効な応答 |
|
削除されたルート ネットワーク デバイス グループがネットワークデバイスでエクスポートされた CSV レポートで引き続き参照されている |
|
CIAM:jspdf 2.3.0 |
|
CIAM:openjdk - 複数のバージョン |
|
3.x の RMQ にハード Q キャップが必要 |
|
Spring Hibernate TPS アップグレード(Hibernate 5.5.2、Spring 5.3.8) |
|
ODBC 動作のフェールオーバーの問題 |
|
名前にスペースを含むグループがファイルを所有している場合、Linux SFTP リポジトリから CFG バックアップを復元できない |
|
「EDF_DB_LOG」が原因で構成バックアップが失敗する |
|
MTU の変更後、既存のルートがルーティングテーブルにインストールされない |
|
ISE 条件スタジオ - [IDグループ(Identity Groups)] ドロップダウンを 1000 個に制限 |
|
マトリックスが変更されていないスイッチの ISE で CoA が開始されなかったため、ポリシーの同期に失敗した |
|
「場所」と「デバイスタイプ」の場所が、[ネットワークデバイス(Network Devices)] > [追加(Add)] をクリックするたびに交換される |
|
パッシブ Syslog プロバイダーのデフォルトのドメイン構成が ISE 3.1 で機能しない |
|
ISE 3.X:外部 RADIUS トークン共有秘密の無効な文字 |
|
3.0 に移行後、外部 RADIUS サーバーのアップグレードリストが表示されない |
|
ISE キューリンクエラー:Message=From Node1 To Node2、Cause=Timeout in NAT'ed deployment |
|
ISE 3.1 パッチ 1:SSH:FIPS:エラー:Xkey_sign:無効なダイジェスト |
|
展開ページでデバイスの管理プロセスを無効にしても、T+ ポート(49)が開いている |
|
テーブルが見つからないため、p5 または p6 をインストールするとアプリケーションサーバーが初期化中にスタックする |
|
ネットワークデバイスに設定された SNMP 構成で SNMP レコードの処理中に 20 秒の遅延が発生する |
|
ISE:管理者グループの無効な文字エラー |
|
ISE 3.1:説明が設定されていない場合、REST API を介して作成されたエンドポイント ID グループを削除できない |
|
200 以上の内部証明書を持つ PAN ノードで、Deployment-RegistrationPoller がパフォーマンスの問題を引き起こす |
|
CIAM:kafka CVE-2019-12399 |
|
電子メールの送信元アドレスが .com または .net で終わっていない場合は無効になる |
|
15 のコレクションフィルタが設定された ISE で 15 番目のフィルタが非表示になる |
|
PAN のパフォーマンスを向上させるために bouncy-castle クラスを最適化する |
|
VN を使用した SGT-IP マッピングの競合処理で必要なログの改善 |
|
3.0P5 -> 3.0P3 で PLR が返される |
|
ISE 3.0 P4 でのバックアップの復元後にコンテキストの可視性が壊れる |
|
パスワードの不正確な辞書の単語評価 |
|
hotpatch.log をサポートバンドルに含める必要がある |
|
ゲストポータルのボタンのテキスト要素により、Apple VoiceOver の単語が繰り返される |
|
DST/TZ が自動的に更新される |
|
管理者ログイン時の SCM js ファイルのブラウザダウンロード |
|
ISE 3.0 の AD ユーザーの SamAccountName パラメータがユーザーセッションで null になる |
|
ISE キューリンクエラー:ISE iptables の 169.254.2.0/25 による Cause=Timeout |
|
ISE 3.0:PAN 自動フェールオーバーアラームを編集できない |
|
ユーザー ID グループに基づいた内部ユーザーの並べ替えが、[IDの管理(Identity Management)] > [ID] で機能しない |
|
ISE pxGrid の例外のログレベルは DEBUG ではなく ERROR である必要がある |
|
ISE 3.0p2:[すべてをモニター(Monitor All)] 設定が複数のマトリックスと異なるビューで正しく表示されない |
|
ISE で、CRL の nextUpdate の日付に 6 時間追加される |
|
T+ コマンドの安全でない文字が 16 進数の文字参照に格納される |
|
クライアント プロビジョニング ポリシーの AD セキュリティグループで OU の末尾をドット文字にできない |
|
スケジュール設定されたレポートを作成した管理者が利用できなくなった場合、そのスケジュール設定されたレポートを編集または削除できない |
|
エンドポイントグループに対する ERS API の並べ替えが一貫していない |
|
CIAM:dom4j 1.6.1 |
|
Rest API を使用して外部パスワードタイプで内部ユーザーを有効にしているときに 400 Bad Request が発生する |
|
ISE 3.0:APIC 統合:secGroup を作成できない |
|
プライマリ PAN の管理証明書を変更した後、すべてのノードでアプリケーションサーバーが再起動する |
|
PAN での CA の初期化中、ルート CA の再生成が「メッセージが定義されていません」というエラーで失敗する |
|
ID グループに対する ERS API の並べ替えが一貫していない |
Cisco ISE リリース 3.0 の未解決の不具合:累積パッチ 6
ID |
見出し |
---|---|
[新しいケースを開く(Open New Case)] ウィンドウのフォーマットが正しく表示されません。 |
Cisco ISE リリース 3.0 の新機能:累積パッチ 5
Microsoft Graph の更新による Microsoft Intune の統合の変更
Microsoft は Azure Active Directory(Azure AD)Graph を廃止しており、2022 年 6 月 30 日以降、Azure AD Graph 対応の統合をサポートしません。Azure AD Graph を使用するすべての統合を Microsoft Graph に移行する必要があります。Cisco ISE は通常、エンドポイント管理ソリューション Microsoft Intune との統合に Azure AD Graph を使用します。
Azure AD Graph から Microsoft Graph への移行の詳細については、次のリソースを参照してください。
Cisco ISE リリース 3.0 パッチ 5 は、Microsoft Graph を使用する Microsoft Intune 統合をサポートします。Cisco ISE と Microsoft Intune 間の統合の中断を回避するには、Cisco ISE を Cisco ISE リリース 3.0 パッチ 5 に更新します。次に、2022 年 6 月 30 日までに、Azure AD Graph の代わりに Microsoft Graph を使用するよう、Microsoft Azure の Cisco ISE 統合を更新します。Cisco ISE では、Microsoft Intune 統合を更新して、[自動検出URL(Auto Discovery URL)] フィールドを更新する必要があります。https://graph.windows.net<Directory (tenant) ID> を https://graph.microsoft.com に置き換えます。
設定手順の詳細については、「Connect Microsoft Intune to Cisco ISE as a Mobile Device Management Server」を参照してください。
Cisco ISE リリース 3.0 の解決済みの不具合:累積パッチ 5
不具合 ID 番号 |
説明 |
---|---|
コレクタログのアクセス許可が拒否されるため、MnT ログプロセッサが実行されない |
|
すべての ISE Syslog で「black list/blacklist」および「white list/whitelist」を適切な用語に置き換える |
|
CSCvz77905 | Cisco Identity Services Engine RADIUS のサービス拒否の脆弱性 |
ISE 3.0 BH:TACACS ライブログにネットワークデバイス IP の選択オプションが表示されない |
|
ISE-2.x:接続に関する Intune MDM アラーム || 401 未承認(401 Unauthorized) |
|
DOC:ISE システム時間と OCSP 応答の間の最大時間差が不明。OCSP 応答の更新 |
|
/erc/config/authorizationprofile/{id} に対する PUT の更新されたフィールドリストは通常空になる |
|
CIAM で POI の脆弱性が検出された |
|
3.0P2:アカウンティングレポートのエクスポートの完了に時間がかかる |
|
CIAM:画面 4.1.0 CVE-2021-26937 |
|
ISE の Syslog レベルとメッセージレベルの不一致 |
|
DOC:Windows のエージェントレス ポスチャ ドキュメントの要件が正しくない |
|
TCP ポート 19444 が ISE 3.0 のみで開いている |
|
マシン認証フラグが誤って「True」に設定されているため、EAP チェーン認証が失敗する |
|
特定の証明書監査中に証明書の検証の Syslog メッセージが送信された - ISE |
|
DOC:ISE:SAML 証明書は ISE 展開から削除すべきではない |
|
ISE ドキュメントバグ:エージェントレスおよび一時的なポスチャの制限事項:説明が不完全 |
|
CIAM:nettle 3.4.1 |
|
ISE 2.7 パッチ 4 pxGrid の [サービス(Services)] > [すべてのクライアント(All Clients)] が java.lang.NullPointerException で終了する |
|
Cisco Identity Services Engine の XML 外部エンティティ インジェクションの脆弱性 |
|
不適切なポスチャ複合条件のホットフィックス |
|
POST /ers/config/internaluser/ の Cookie を有効にすると、「IDグループが存在しません(Identity Group(s) does not exist)」というエラーが発生する |
|
ISE:DST ルート CA X3 認証局:2021 年 9 月 30 日で失効(90 日以内) |
|
[ISE復元(ISE restore)] ポップアップメニューに誤ったテキストが表示される |
|
EAP チェーンフローを実行して関連する ID を処理する際に、セッションキャッシュを更新する必要がある |
|
ログ「この更新フィールドは現在の時刻よりも1週間以上前です(this update field is earlier than currunet time more than week)」のログレベルを変更する |
|
PnSLongevity:3.0P3 で Longevity テストベッドのレプリケーション失敗エラーが発生する |
|
「関心のあるグループ」が、改行が 1 つ入った単一文字列として返される |
|
GUI アクセスに証明書ベースの認証を使用しているときに AD グループが存在しない場合、ISE GUI がロード中にスタックする |
|
ISE GUI がすべてのライセンスをコンプライアンス違反として表示する:スマートライセンス |
|
VN が作成者からリーダーに複製されない |
|
CiscoSSL 1.0.2za を使用した ISE 3.0 以前のパッチのアップグレード |
|
1 日の特定の時間(分)について時刻と日付の条件で設定されたポリシーで認証がブロックされない |
|
ISE:MDM 設定が原因でバックアップの復元後にアプリケーションサーバーの初期化がスタックする |
|
ユーザーがサポートバンドルを生成できない |
|
MDM 検証時の ISE ヘルスチェックで誤ったアラームが発生する |
|
/ers/config/downloadableacl を使用した DACL の GET で、存在する nextPage または previousPage が追加されない |
|
キューリンクエラー:WARN:{socket_closed_unexpectedly;'connection.start'} |
|
NTP(' - ')ソースの状態の説明が ISE CLI にない |
|
NTP サーバーに到達する ISE が構成で定義されていない |
|
「名前による」呼び出しの場合、スポンサーのアクセス許可がゲスト REST API に渡されない。 |
|
同じローカルユーザーが存在する場合、ISE 3.0 エージェントレスポスチャでドメイン認証が使用されない |
|
ISE 管理アカウントの選択に関する問題 |
|
jquery v1.10.2 を使用する ISE が脆弱になっている |
|
ISE ドキュメントの更新:Microsoft Intune 統合:権限 |
|
CIAM:jsoup 1.10.3 |
|
ISE CTS TLSv1.2 のサポート |
|
ISE GUI:net::ERR_ABORTED 404 : /admin/ng/nls/fr-fr/ |
|
CIAM:bind 9.11.20 |
|
Cisco:cisco-av-pair AuthZ 条件の機能が停止した |
|
セカンダリ PAN ISE ノードにより、プライマリ PAN ノードでサービスが再起動し、ドキュメントと一致しない |
|
ISE 3.0 で最初の SAN エントリのみがチェックされる |
|
TPS が高いときに Active Directory の遅延が大きいと、ADRT で HOL ブロッキングが発生する |
|
CSCvz63405 | ISE クライアントの pxgrid 証明書が DNAC に配信されない |
ISE 2.7:EndpointPersister スレッドが停止する |
|
[コンテキストの可視性(Context Visibility)] > [エンドポイント(Endpoints)] の [追加(Add)] ボタンをクリックして、[ゲスト(Guest)] タブを選択すると nullpoint エラーが発生する |
|
CLI リポジトリまたはディスクリポジトリが使用されている場合、パッチでフルアップグレードが機能しない |
|
7 日以上前の Radius レポートが空(CSCvw78289 の回帰) |
|
SMS JavaScript のカスタマイズが SMS 電子メールゲートウェイで機能しない |
|
すべてのフィールドの [ローカルログの設定(Local Log Settings)] ツールチップに、無関係で役に立たない「信頼できる証明書(Trust Certificates)」が表示される |
|
ゲストタイプの設定変更が監査レポートで更新されない |
|
SNMPv3 COA 要求が ISE 2.7 によって発行されない |
|
CIAM:nss - 複数のバージョン |
|
ISE 3.1:[認証(Authentication)] タブで、[コンテキストの可視性(Context Visivility)] に空白の結果が表示される |
|
ディスカバリホストに FQDN を追加すると、ディスカバリホストの IP アドレスまたはホスト名が無効になる |
|
エージェントレスポスチャがマルウェア対策チェックに合格しない |
|
ERS API で「ネットワーク デバイス グループ」名にドット文字の使用または作成/更新が許可されていない |
|
ISE 3.0 はゲストの自己登録ポータルの一部として「場所」設定を選択解除できません |
|
登録された ISE での ISE 3.0 評価期限切れエラー |
|
3.2 のフルアップグレードでバージョンの事前チェックが失敗する |
|
ISE でポスチャフロー中に発生した不適切なインデックスから URL 属性値を取得できない |
|
認証の高度な属性設定に含まれる空のユーザーカスタム属性により、誤った AVP が発生する |
|
ISE ヘルスチェックの I/O 帯域幅パフォーマンスチェックで誤ったアラームが発生する |
|
「開かれているファイルが多すぎます(too many files open)」というエラーにより、ライブログまたはセッションに最新のデータが表示されない |
|
サポートされていないメッセージコード 91104 および 91105 アラーム |
|
CSCvz88188 |
セッションキャッシュのユーザー名が null であるため、ユーザー名に対する TACACS 認証ポリシーのクエリ実行に失敗する |
API フローを使用してユーザーを作成すると、外部パスワードストアを使用する内部ユーザーが無効になる |
|
ISE を 3.0 パッチ 3 にアップグレードすると、ODBC から属性を取得できない |
|
Gig0 とは異なるインターフェイスでホストされている場合に、ゲストポータルがロードされない |
|
ISE で ACI 統合を有効にしようとすると、複数の ACI IP アドレスまたはホスト名を追加できなくなる |
|
特定の NAD 削除により、すべての NAD が削除された |
|
一部の言語で ISE CPP が正しくロードされない |
|
「TACACSで確認された古いセッションで選択したサービスが見つかりませんでした(Stale Sessions observed for Tacacs Could not find selected service)」というエラー |
|
ユーザー名に $ が含まれている場合、アイデンティティユーザーを作成できない |
|
セッションに IPv4 アドレスと IPv6 アドレスの両方がある場合に、IPv4 マッピングがない |
|
専用の MNT を使用した PxGrid セッションディレクトリでセッションサービスを利用できない |
|
SSL 監査イベントが原因で Catalina.out ファイルが巨大化する |
|
ISE 2.7 p 4、5、6 で「デバイスのIPアドレスが重複しています(There is an overlapping IP Address in your device)」というエラーが報告される |
|
セッションキャッシュが入力されていないため、RCM および MDM フローが失敗する |
|
KONG が Postgres に到達できず、ISE GUI アクセスに影響を与える |
|
ISE 評価 log4j CVE-2021-44228 |
Cisco ISE リリース 3.0 の未解決の不具合:累積パッチ 5
不具合 ID 番号 |
説明 |
---|---|
UDN pxGrid デバイス割り当て API で大きな遅延が発生する |
|
3.0P5 -> 3.0P3 で PLR が返される |
Cisco ISE リリース 3.0 の解決済みの不具合:累積パッチ 4
不具合 ID 番号 |
説明 |
---|---|
Apache log4j の複数の脆弱性。 |
|
CIAM:openjdk の複数の脆弱性。 |
|
GRUB2 の任意のコード実行の脆弱性。 |
|
メモリリーク:エンドポイントが Cisco ISE にある場合、PKCS11 キーストアによりメモリリークが発生する。 |
|
Cisco ISE:Cisco ISE リリース 2.7 へのアップグレード後に NTP が同期しなくなる。 |
|
Cisco ISE 3.0 エージェントレスポスチャがエンドポイントの信頼ストアに CA 証明書チェーンをインストールしない。 |
|
Cisco Identity Services Engine クロスサイト スクリプティングの脆弱性。 |
|
CTS-SXP-CONN:デバイスから Cisco ISE SXP 接続への ph_tcp_close:Hawkeye。 |
|
設定のバックアップがキャンセルされたために Cisco ISE アプリケーションサーバーがクラッシュまたは再起動する。 |
|
[CFD] ユーザーがポータルの作成手順でゲスト SSID を作成できない:Cisco ISE がビジーエラー。 |
|
all-numbers サブドメインが使用されている場合、Cisco ISE のインストールがデータベースのプライミング失敗エラーで失敗する。 |
|
Cisco ISE 2.7 p2:[400] Apple デバイスでの SAML SSO OKTA による不正な要求。 |
|
CIAM:cpio 2.12。 |
|
passive-id サービスが有効になった後、Cisco ISE AD 結合に使用されるアカウントがロックされることがある。 |
|
Cisco ISE:名前、場所、またはデバイスタイプを使用してネットワーク デバイス グループを作成できない。 |
|
Mydevice ポータルを更新する際の「[400]不正な要求([400] Bad Request)」というエラー。 |
|
ネットワーク デバイス グループへの変更が変更監査ログに反映されない。 |
|
Plus ライセンスがコンプライアンス違反エラーのため、Cisco ISE ルート CA を再生成できない。 |
|
ISE UI およびコード内のいかなる場所においても「blacklist portal」を「blocked list portal」に更新する。 |
|
CSCvr96003 の修正にもかかわらず SYSAUX テーブルスペースが満杯である |
|
PSN ノードの CPU 使用率が高い:CSCvt34876 の拡張機能。 |
|
ネットワーク デバイス グループの名前と説明を同時に変更できない。 |
|
証明書の一括生成に Cisco ISE の自己署名証明書が含まれていない。 |
|
編集/または保存中に Cisco ISE 認証プロファイルオプションが切り捨てられる(Chrome のみ)。 |
|
3.0P2:アカウンティングレポートのエクスポートの完了に時間がかかる。 |
|
セッションディレクトリのトピックで、ダイナミック認証後もユーザーの SGT 属性が更新されない。 |
|
ERS 自己登録ポータルの更新で PSN で期待されるようにフィールドが削除されない。 |
|
Radius ベンダー ID が重複している場合、ネットワークデバイスを変更すると PSN がクラッシュする場合がある。 |
|
Cisco ISE リリース 2.7 で EAP チェーンのポスチャリースが中断する。 |
|
TACACS 認証でセッションキャッシュがクリアされないエラーにより、ヒープの使用率が高くなり、認証の遅延が発生する。 |
|
DELETE /ers/config/networkdevicegroup/{id} が機能しない、CRUD の例外。 |
|
Cisco Identity Services Engine のストアド クロスサイト スクリプティングの脆弱性。 |
|
Cisco ISE レポート:上位認証で、スケジュール済みレポートのフィルタが表示されない。 |
|
パスワードに Base64 以外の文字が含まれていると、Cisco ISE リリース 3.0 ROPC 認証が失敗する。 |
|
Cisco ISE 内部 ERS ユーザーが外部 ID ストア経由で認証を試行すると、REST の遅延が発生する。 |
|
バックアップ インターフェイスが設定されている場合に、Cisco ISE 2.7P3 が src add :169.254.2.2 で他のノードにパケットを送信する。 |
|
再認証用の MNT REST API が分散型展開(別の MnT)で使用されると失敗する。 |
|
完全な数値 ID エントリを照合すると、Cisco ISE リリース 2.6 とリリース 2.7 の TACACS レポートの詳細フィルタが機能しない。 |
|
[すべてのSXPマッピング(All SXP Mappings)] にセッション経由で学習した IPv6 マッピングが表示されない。 |
|
Cisco ISE 管理証明書 CN が FQDN と等しくない場合、Cisco ISE リリース 3.0 エージェントレスポスチャが失敗する。 |
|
Windows ユーザー名にスペースが含まれている場合、Cisco ISE リリース 3.0 エージェントレスポスチャが中断する。 |
|
一部の記号を使用すると、認証プロファイルでエラーが発生する。 |
|
[RADIUSアカウンティングの詳細(RADIUS Accounting Details)] レポートにアカウンティングの詳細が表示されない。 |
|
一部のオブジェクトの [説明(Descriptions)] フィールドで以前は許可されていた特殊文字が使用できない。 |
|
Cisco ISE で RADIUS シーケンス属性において 7 個以上の属性を変更できない。 |
|
Cisco ISE:CLI バックアップ中に「/opt/CSCOcpm/config/cpmenv.sh:line 396:<ipv6>:command not found」というエラーが表示される。 |
|
Cisco ISE が認証プロファイルで Framed-IPv6-Address のカスタム属性名を受け入れない。 |
|
オプションに他の変更を加え、保存すると、LDAP グループがスポンサーグループから消える。 |
|
Cisco ISE が管理者ポータルで証明書チェーンを送信しない。 |
|
証明書テンプレートの曲線タイプ P-192 が原因でアプリケーションサーバーが「初期化(initializing)」状態でスタックする。 |
|
Cisco ISE リリース 2.3 以降のリリースはコマンドセットで「改行」<cr> 文字をサポートしていない。 |
|
TCP ポート 19444 が Cisco ISE リリース 3.x で開いている。 |
|
Cisco ISE リリース 2.7 P3 GUI にすべてのデバイス管理認証ポリシーが表示されない。 |
|
ERS リクエストで 1 つのカスタム属性を更新すると、別のカスタム属性が削除される。 |
|
ポリシーの条件としての TACACS カスタム AV ペアが機能していない。 |
|
[電話番号をユーザー名として使用(Use Phone number as username)] が有効な場合に、重複ユーザーの Cisco ISE ゲスト自己登録エラーが発生する。 |
|
Cisco DNA Center からポリシーを展開しようとしているときに、Cisco DNA Center で断続的なエラーが発生する。 |
|
Cisco ISE 認証プロファイル ERS の更新で accessType 属性の変更が無視される。 |
|
Cisco ISE リリース 2.7 で NAD の IP デフォルトラベルを GUI で削除しようとすると、エラーが表示される。 |
|
NAD の編集中に、間違ったデバイスプロファイルがマッピングされる。 |
|
セットアップウィザードのパスワードはハイフンをサポートしているが、CLI を使用して設定をリセットすると、ウィザードがハイフンをサポートしなくなる。 |
|
エンドポイントが新しいスイッチポートに変更され、EP IdGroup で EP の削除またはすべて削除が実行されると、Cisco ISE リリース 2.4 CoA が失敗する。 |
|
Cisco ISE リリース 2.7 パッチ 3 の ERS コールが 3 文字の RADIUS 共有秘密を受け入れない。 |
|
UI:キーペアの生成でスペースを使用できるが、そのキーをエクスポートできない。 |
|
CoA の REST API が任意のサーバー IP で動作する。 |
|
PassiveID:% を含む AD アカウントパスワードを使用して WMI を設定すると、エラーになる。 |
|
ゲストポータルの [顧客(Customer)] フィールドに & - $ # が含まれる。 |
|
非アクティブタイマーに達した後も Cisco ISE 内部ユーザーが無効にならない。 |
|
Cisco ISE DACL 構文バリデータが ASA のコード要件に準拠していない。 |
|
[ネットワークデバイス(Network device)] タブの [複製(duplicate)] オプションを使用すると、IPv6 のサブネットが /128 に変更される。 |
|
Cisco ISE:NAD ページのフィルタの有無にかかわらず、デバイスの [すべて選択(Select All)] チェックボックスをオンにする必要がある。 |
|
Cisco ISE ゲスト SAML 認証が [アクセス権が検証されました(Access rights validated)] HTML ページで失敗する。 |
|
[ネットワークアクセスユーザー(Network Access Users)] の [姓名(First/Last name)] に誤った中国語の Unicode が表示される。 |
|
ISE:DST ルート CA X3 認証局:2021 年 9 月 30 日で失効(90 日以内) |
|
Cisco ISE リリース 3.0 デバイス管理ライセンスだけで、[管理(Administration)] > [システム(System)] > [ログ記録(Logging)] メニューへのアクセスが許可される必要がある。 |
|
NAD でポリシーペルソナなしでセカンダリ PAN を選択し、設定変更をデバイス CoA に送信できる。 |
|
EPOCH 時間が Null になっているため、TACACS レポートに重複したエントリが表示される。 |
|
TACACS 認証レポートに重複したエントリが表示される。 |
|
NMAP が積極的な推測を実行するため、エンドポイントが「cisco-router」として不適切にプロファイリングされる。 |
|
外部 RADIUS サーバーが設定されている場合に、Cisco ISE リリース 2.4 パッチ 13 から Cisco ISE リリース 2.7 へのアップグレードプロセスが失敗する。 |
|
バナーで特殊文字を使用すると、SFTP リポジトリがブロックされる。 |
|
Cisco ISE リリース 2.7 パッチ 4 で Umbrella セキュリティプロファイルの .json ファイルをアップロードできない。 |
|
ディスクサイズが 1 TB を超える Cisco ISE のプラットフォームチェックが失敗する。 |
|
Cisco ISE リリース 2.6 パッチ 9:新しいグループを追加した後、デフォルトの権限がデフォルトのグループ内部に戻らない。 |
|
Cisco ISE リリース 2.7:エンドポイントをグループに追加できない。 |
|
PEAP セッションのタイムアウト値が最大で 604800 に制限されている。 |
|
ポリシーエンジンの機能強化。 |
|
メニューアクセスのカスタマイズが機能していない。 |
|
SQLException 発生時に Cisco ISE リリース 3.0 TimesTen 接続が終了する。 |
|
[電話(phone)] フィールドまたは [電子メール(email)] フィールドが入力されている場合に、スポンサーユーザーはデータを編集できない。 |
|
Cisco ISE リリース 3.0 でサービスの再起動後に REST ID ストアが見つけられない。 |
|
Cisco ISE のフェールオーバー後にポリシーの変更がネットワークデバイスにプッシュされない。 |
|
再認証の問題:Aruba:サードパーティのデバイス。 |
|
[発行された証明書(Issued Certficates)] ページで別のページにスクロールできない。 |
|
パスワードリセットの携帯電話番号検証が e.164 形式を満たしていない。 |
Cisco ISE リリース 3.0 の未解決の不具合:累積パッチ 4
Cisco ISE リリース 3.0 パッチ 4 には未解決の不具合はありません。
Cisco ISE リリース 3.0 の新機能:累積パッチ 3
Cisco ISE GUI に追加されたフルアップグレードと分割アップグレードのオプション
[管理(Administration)] > [システム(System)] > [アップグレード(Upgrade)] > [アップグレードを選択(Upgrade Selection)] ウィンドウで次のオプションのいずれかを選択して、Cisco ISE 展開をアップグレードできます。
-
[フルアップグレード(Full Upgrade)]:フルアップグレードは、Cisco ISE 展開の連続した完全なアップグレードを可能にするマルチステッププロセスです。この方法により、すべてのノードが並行してアップグレードされ、分割アップグレードプロセスよりも短時間でアップグレードされます。すべてのノードが並行してアップグレードされるため、アップグレードプロセス中にアプリケーションサービスがダウンします。
(注)
フルアップグレード方法は、Cisco ISE 3.1 以降でサポートされています。フルアップグレード方法の詳細については、「Cisco Identity Services Engine Upgrade Journey, Release 3.1」を参照してください。
-
[分割アップグレード(Split Upgrade)]:分割アップグレードは、アップグレードプロセス中にサービスを引き続き利用できるようにしながら、Cisco ISE 展開のアップグレードを可能にするマルチステッププロセスです。このアップグレード方法では、展開時にアップグレードする Cisco ISE ノードを選択できます。
Cisco ISE リリース 3.0 の解決済みの不具合:累積パッチ 3
不具合 ID 番号 |
説明 |
---|---|
ISE RADIUS session-timeout 値が 65535 までに制限される |
|
「ゲストユーザー情報を保存」の RADIUS アカウンティングおよびアクセス許可でゲストユーザー名が送信されない |
|
スクロールバーを使用すると、AD グループの完全なリストを表示できない |
|
アラームの受信:認証の失敗が多すぎるため、アカウントが一時的に停止される |
|
GNU gettext default_add_message ダブルフリーの脆弱性 |
|
MIT Kerberos 5 KDC krbtgt チケット S4U2Self リクエストのサービス妨害 ... |
|
ISE-PIC GUI 管理者ユーザー設定を変更しようとするとエラーが発生する |
|
ISC BIND managed-keys トラストアンカーのサービス妨害の脆弱性 |
|
show running-config を完了できない |
|
Info-ZIP UnZip ファイルの重複したサービス拒否の脆弱性 CVSS v3.0 Base 7.5 |
|
cURL および libcurl tftp_receive_packet() 関数ヒープ バッファ オーバーフローの脆弱性 CVSS v3.1 Base:9.8 |
|
cURL および libcurl tftp_receive_packet() 関数ヒープ バッファ オーバーフロー ... |
|
GNU パッチ pch_write_line 関数のサービス妨害の脆弱性 |
|
SSSD グループ ポリシー オブジェクトの実装における不適切なアクセス制御の脆弱性 |
|
ISC BIND Dynamically Loadable Zones における不正アクセスの脆弱性 |
|
libssh2 packet.c の整数オーバーフローの脆弱性 CVSS v3.1 Base:8.1 |
|
Samba ファイル名パス区切り文字の不正アクセスの脆弱性 |
|
ISE 2.4 p5 が深夜に継続的にクラッシュし、コアファイルが生成される |
|
gllibc LD_PREFER_MAP_32BIT_EXEC 環境変数の ASLR バイパスの脆弱性 |
|
ユーザー認証が失敗しマシン認証が成功すると、ライブログと NAD に Anonymous が表示される |
|
libxml2 xmlParseBalancedChunkMemoryRecover メモリリークの脆弱性 |
|
libcurl の複数の脆弱性 |
|
systemd button_open のメモリリークの脆弱性 |
|
python の複数の脆弱性 |
|
ポスチャ条件が「vc_visInst_v4_CiscoAnyConnectSecureMobilityのチェックでClient_4_xが見つかりません(Check vc_visInst_v4_CiscoAnyConnectSecureMobility Client_4_x is not found)」で失敗する |
|
io.netty.buffer.PoolChunk での疑わしいメモリリーク |
|
2.4.50 より前の OpenLDAP の slapd の filter.c では、LDAP 検索で wit がフィルタリングされる |
|
AD グループの追加/削除中にスポンサー グループ メンバーシップが削除される |
|
DUO を外部 RADIUS プロキシとする ISE で access-reject がドロップされる |
|
CIAM:batik 1.7 |
|
CIAM:cups 1.6.3 |
|
CIAM:ksh |
|
CIAM:libssh |
|
CIAM:perl 5.14.1 |
|
CIAM:procps 3.3.10 |
|
CIAM: python(version 2.7.5、2.7.14、3.7.1) |
|
CIAM:vim 7.4.160 |
|
ISE UI およびコード内のいかなる場所においても「blacklist portal」を「blocked list portal」に更新する |
|
プライマリ PSN/PAN に到達できない場合にポスチャが失敗する |
|
すべての認証および認可のルール/プロファイルで「blacklist」を「blocked list」に置き換える |
|
CIAM:d-bus 1.10.24 |
|
証明書チェーンがポータルで送信されない |
|
Cisco Identity Services Engine クロスサイト スクリプティングの脆弱性 |
|
CIAM:libjpeg と libjpeg-turbo |
|
ドロップされたセッションのセッションキャッシュがクリアされず、PSN で高い CPU 使用率が発生する |
|
最大セッション数制限がユーザーとグループに対して機能しない |
|
データベース内の無効なオブジェクト |
|
ISE ユーザーが [DNACアシュアランス(DNAC Assurance)] ページでゲスト ID を確認できない |
|
ISE 2.4 で HTTPS、EAP、DTLS、および PORTAL の ISE 証明書を更新すると、PORTAL ロールと Admin ロールのみが適用される |
|
Cisco DNA の ACA SG 同期が「JDBCException:ステートメントを準備できませんでした(JDBCException:could not prepare statement)」で失敗する |
|
ライブセッション詳細レポートで、VPN ポスチャシナリオについて誤った認証プロファイルと認証ポリシーが表示される |
|
Livelog セッションで、VPN ポスチャシナリオに誤った認証ポリシーが表示される |
|
NFS リポジトリが GUI から機能しない |
|
自己署名証明書を生成すると、CSR のデフォルトパラメータが事前にインストールされた証明書に対応していない |
|
ノードが展開から削除されたときに内部 CA 証明書が削除されない |
|
running-config の保存エラーにより、スタートアップ設定が失われる |
|
NDG 列が 255 文字を超えると、TrustSec が有効になった NAD が TrustSec マトリックスに表示されない |
|
[CFD] Cisco DNA Center で SG 名が変更された場合、マッピングされた SGT エントリが ISE で認証ルールからクリアされる |
|
ISE ノードのリセット設定後にヒープダンプの生成が失敗する |
|
ISE ホットスポット ゲスト ポータルのフローが中断する |
|
合計レコード数が 500 万を超えると、認証概要レポートがスタックする |
|
ISE SXP にはセッションから学習した古いマッピングをクリアするメカニズムが必要である |
|
ISE に内部ユーザーのカスタム属性の IP データ型にスラッシュを使用する機能を追加する |
|
異なる SNMP サーバーに対して一意のコミュニティストリングを作成できない |
|
プロキシバイパス設定で大文字を使用できない |
|
メモリリーク:PSN rmi GC の収集が正しく機能せず、パッシブ ID フローでメモリリークが発生する |
|
アクションの使用頻度が高すぎると ISE 3.0 REST ID プロセスが失敗する |
|
ドメインが SXP ピアに割り当てられない |
|
Cisco Identity Services Engine の信頼できないファイルアップロードの脆弱性 |
|
ローカルまたはグローバルの例外を使用する場合、ISE がプラスライセンスを使用しない |
|
ISE 3.0 REST ID ログファイルがサポートバンドルに含まれていない |
|
ISE が内部の「ネットワーク管理者」ユーザーのリクエストを外部の RADIUS トークンサーバーに絶えず送信する |
|
RMA'd pPAN の後、「予期しないエラーが発生しました(An unexpected error occurred)」というメッセージと共に証明書の一括生成が失敗する |
|
ISE で SAN の hostname-x を使用して CSR を生成するとエラーになる |
|
ROPC の CTL に DigitCert グローバルルート G2 が必要 |
|
ropc.log の REST エラーにはエンドポイント URL を含める必要がある |
|
任意の認証ルールにセキュリティグループのみがあり、認証プロファイルがない場合、ポリシーセットが保存されない |
|
メモリリーク:PassiveID ストレス時の使用者 CAD_ValidateUser で割り当てが高くなる |
|
WebUI の復元が IE11 で機能しない |
|
新しいウィンドウで PxGrid サービスメニューを開くと、ISE 3.0 で「PxGridが無効になっています(PxGrid disabled)」と表示される |
|
ISE 2.6p3 で SFTP サーバーのファイルパスに二重のスラッシュ「//」が追加される |
|
[CFD] ACA 同期の中断:「移行中にエラーが発生しました:同期ランタイムの待機がタイムアウトしました(Error occurs during migration: Waiting for Sync Runtime timed out)」 |
|
Cisco Identity Services Engine のストアド クロスサイト スクリプティングの脆弱性 |
|
ISE 2.7p2 のカスタムビューの [コンテキストの可視性(Context Visibility)] ページをロードできない |
|
ISE Config Restore が 40% で失敗し、「IMPDPを使用したDBの復元が失敗しました(DB Restore using IMPDP failed)」というエラーメッセージが表示される |
|
ISE 管理 Web UI および CLI のキーワード kong を API GW に置き換える |
|
Chrome 85/86 での ISE 管理者またはポータルログインで「問題が発生しました(Oops. Something went wrong)」というエラーが発生する場合がある。 |
|
AD グループの追加後にパッシブ ID フローでメモリリークが発生する |
|
スポンサーが自身のユーザー ID でポータルにアクセスしたときに、作成されたゲストユーザーのリストを表示できない |
|
サードパーティの NAD のダイナミック リダイレクションでポスチャが機能しない |
|
GNU.org bash rbash BASH_CMDS の変更特権昇格の脆弱性 |
|
PMNT のリロード後にスケジュール済みの OPS のバックアップがトリガーされない |
|
デフォルトルートがタグ付けされている場合、IP から SGT へのマッピングを ISE からスイッチにプッシュできない |
|
外部データ ソースのポスチャ条件を編集すると、常に間違った AD が表示される |
|
NAD の場所が [コンテキストの可視性のエラスティック検索(Context Visibility ElasticSearch)] で更新されない |
|
Windows ネットワーク インターフェイスよりも先にエージェントサービスが起動した場合、ISE 2.6 p5 エージェントで DC がダウンとしてマークされる |
|
NAD プロファイルが削除された後、認証プロファイルに「データがありません(No data available)」と表示される |
|
pxGrid ANC applyEndpointPolicy ですべての MAC アドレス形式を正しく扱われない |
|
例外が原因でエンドポイントが消去されない |
|
Cisco Identity Services Engine の信頼できないファイルアップロードの脆弱性 |
|
ISE TACACS ロギングタイムスタンプに将来の日付が表示される |
|
ISE 3.0 で CN および SAN が欠落している証明書が信頼できる証明書ストアにインポートされない |
|
DOC:ISE:ISE 2.7 インストールガイドに OVA テンプレート予約テーブルを追加する必要がある |
|
API の使用中に NAD の共有秘密がログに表示される |
|
内部ユーザーのカスタム属性が CoA プッシュで送信されない |
|
SAML グループがスポンサーポータルグループで適用した場合に機能しない |
|
VPN のユースケースで ISE MNT ライブセッションのステータスが「ポスチャ済み」に変わらない |
|
スケジュールされた運用バックアップが「バックアップが進行中です...(Backup is in progress...)」でスタックする |
|
IP アクセス制限を適用した後、GUI にアクセスできない |
|
パスワードに特殊文字を使用すると、ISE サービスアカウントがロックされ、WMI が確立されない |
|
ISE で内部コールにホスト名が使用されるため ANC CoA が機能しない |
|
SBET:[バックアップと復元(Backup & Restore)] ページのロード中に ise-psc.log のリポジトリに関する例外が発生する。 |
|
機能:ISE 3.0 でゲストポータル作成が失敗する |
|
ISE 3.0 Syslog プロバイダーが設定を適用できない |
|
同じ ID グループが複数回作成され、ERS REST API 送信を使用すると UI に表示される |
|
Cisco ADE-OS のローカル ファイル インクルードの脆弱性 |
|
SNMPv3 | エンドポイントについて収集された SNMP 情報が ISE で処理されない:ストリングインデックスが範囲外:8 |
|
API IP SGT マッピングが [No Devices] の結果を返さない |
|
TACACS コマンドの前にスペースを含むサードパーティデバイスについて、TACACS コマンド アカウンティング レポートがない |
|
猶予アクセスの期限が切れたときに Aruba WLC に対する CoA-disconnect が ISE で発行されない |
|
RBAC ポリシーで AD セキュリティグループの OU の末尾をドット文字にできない |
|
ISE ライブセッションの「ポスチャ済み」セッションが暫定アップデート時に「開始済み」に 切り替わる |
|
ACI エンドポイントのライブログが情報を表示せずに「ロード中(loading)」でスタックする |
|
SB で Hibernate.log を収集する必要がある |
|
日本語の GUI に 50 以上のルールがある場合、ISE は完全認可のルールを表示しない |
|
ISE が PSN からの CoA の送信に「識別子割り当てに失敗しました(Identifier Allocation Failed)」というエラーで失敗する |
|
GNOME GLib file_copy_fallback 関数の不適切な権限の脆弱性 |
|
バージョン 1.4.15 より前の XStream の複数の脆弱性 |
|
Freetype の CVE-2020-15999 および CVE-2018-6942 のヒープ バッファ オーバーフロー |
|
moment モジュールの日付文字列の正規表現に関するサービス妨害の脆弱性 |
|
6.1.0 より前の Highcharts JS の js/parts/SvgRenderer.js での使用 ... |
|
c3p0 の複数の脆弱性 |
|
glibc の複数の脆弱性 |
|
ISE ポリシー評価:ポリシーセットの削除後に RADIUS 要求がドロップされる |
|
スキーマオブジェクトをドロップする前に復元プロセスのすべてのプロセスを停止する必要がある |
|
ISE 3.0 ポリシー条件スタジオ GUI バグ |
|
CIAM で mariadb の脆弱性が検出された |
|
CIAM:go 1.12 CVE-2019-9634 など |
|
Doc:syslog カテゴリに関する ISE 3.0 のドキュメントがない |
|
選択した外部サーバーのリストが変更された後に RADIUS サーバーの順序が間違った順序になる |
|
CIAM で jspdf の脆弱性が検出された |
|
ISE の [合計(TOTAL)] フィールドに正しくない数値が表示される |
|
ゲスト ユーザーが誤った有効期間で作成される |
|
「すべての SXP マッピング(All SXP Mapping)」表に、ISE で終了したセッションが含まれる |
|
関連のない NTP 同期失敗アラームを変更する必要がある |
|
CIAM:libssh2 CVE-2019-17498 など |
|
CIAM:libcurl CVE-2016-8622 など |
|
CIAM:json-sanitizer 1.2.0 CVE-2020-13973 |
|
MNTHA:IP アクセスが有効な場合に、MnT ノード名が NULL に設定される |
|
パスコードフィールドに特殊文字が含まれていると、ホットスポット ゲスト ポータルでページロードエラーが表示される |
|
Dot1x 認証がマネージャの重複で失敗する:add=false |
|
CWE-20:ノードグループの作成の入力検証が正しくない |
|
50 文字を超えるプロファイル名を使用している場合、認証に成功したことを示すライブログが表示されない |
|
IMS(ISE メッセージングサービス)が無効になっている場合、「Radius認証の詳細(Radius Authentication Details)」レポートに時間がかかる |
|
ISE 2.6/2.7 のユーザー ID グループでユーザー名に基づくソートが機能しない |
|
ISE 3.0 で TACACS+ のエンドステーション ネットワーク条件のスクロールバーが機能しない |
|
認証プロファイルの CWA オプションが一部のネットワーク デバイス プロファイルで正しく機能しない |
|
ISE:設定監査の詳細にどのポリシーセットが変更されたかが表示されない |
|
TACACS+ N/W 条件および PORT N/W 条件のスクロールバーが機能しない |
|
ライブセッションで正しいアクティブセッションが表示されない |
|
ISE 2.4 p13 で MAB 認証済みエンドポイントの AD 許可ルックアップが中断される |
|
Active Directory を使用した MAB 認証が AD オブジェクトが無効でも成功する |
|
DB クリーンアップの毎時 cron で DB ロックが取得される結果、展開の登録に失敗する |
|
PKI ベースの SFTP の場合、MnT ノードの GUI キーのエクスポートは PAN に昇格した場合にのみ可能となる |
|
RBAC ルールが 2.7 で適用されない |
|
ISE 2.4 パッチ 8 でゲストポータルを編集、複製、削除できない |
|
ISE BYOD ポータルで iPod がオプションとして表示されない |
|
外部 MDM サーバー(Microsoft_intune)でポーリング間隔の変更が反映されない |
|
API からカスタム属性を更新すると、EP から静的ポリシーとグループの割り当てが失われる |
|
内部ユーザーエクスポート機能でパスワードに無効な文字が含まれていてもエラーが表示されない |
|
ISE RBAC:ネットワークデバイスを追加すると、「ネットワークデバイスをロードできません(Unable to load NetworkDevices)」というエラーが表示される |
|
ACI が学習したマッピングが xgrid 一括ダウンロードに表示されない |
|
login.jsp に直接アクセスすると証明書ベースの認証による管理アクセスがバイパスされる |
|
ISE 2.7:コンテキストの可視性:実行中のプロセスでエンドポイント アプリケーションをソートすると、すべてのシャードが失敗する |
|
スマートライセンスに登録した後も ISE が評価期限切れ状態のままになる |
|
CIAM:json-sanitizer 1.2.0 CVE-2021-23899 など |
|
CLI を介した 2.7 P3 から 3.1.236 へのアップグレードフローがマルチノード展開の証明書の問題で失敗する |
|
ヘルスチェック:DNS 解決可能性:CNAME(エイリアス)として ISE FQDN を使用時に誤ったエラーが発生する |
|
ヘルスチェック:ディスク容量:不十分な障害情報 |
|
シスコ製品に影響する Sudo 権限昇格の脆弱性:2021 年 1 月 |
|
結合インターフェイスの IP アドレスを変更すると、ISE の「ipv6 address autoconfig」が削除される |
|
ISE 3.0 GUI 証明書認証:サポートされていない証明書の目的 |
|
IdenTrust Commercial Root CA 1 証明書を ISE トラストストアに追加 |
|
認証では [ODBCストアドプロシージャ(ODBC Stored-Procedures)] ページで設定された形式で MAC アドレスを検索する必要がある |
|
ISE 2.7 以降のバージョンのサポートバンドルで ise-jedis.log ファイルがキャプチャされない |
|
ISE 2.7:ルート CA の再作成時に Jedis DB 接続プールが再作成されない |
|
NetworkAccess:ポリシーセットのエントリの評価で認証方式の条件が照合されない |
|
予期しない電源イベントの後に TC-NAC サービスが実行されない |
|
Azure AD からのページングが ROPC に実装されない |
|
ISE ヘルスチェック プラットフォーム サポートが結果に従って UI を直接更新する |
|
すべてのペルソナを同じノードで実行している SNS3515 の SGA 値が Under-Provisioned になる |
|
シングルサインオン/Kerberos ユーザーによるスポンサーポータルへの認証でエラー 400 が発生する。 |
|
ポータル設定で「携帯電話番号(mobile number)」フィールドにチェックが付いていない場合、スポンサーポータルが「無効な入力」を提供する |
|
Tenable SC 5.17 ですべての tenable アダプタリポジトリを取得できない |
|
外部のユーザー名を使用している場合に、パスワードの誤りによるログインの失敗がログに記録されない |
|
NAS-IP アドレスが指定されていない acct stop を受信した場合にセッションが開始状態のままになる |
|
ISE AD ランタイムで a1-a2-a3-a4-a5-a6 から a1a2a3a4a5a6 への書き換えをサポートする必要がある |
|
ISE 2.4 でエンドポイントを新規スイッチポートに変更し、エンドポイント ID グループを変更した場合、CoA が失敗する |
|
EAP チェーンの場合に、ポスチャポリシーでマシン AD グループメンバーシップを取得できない |
|
ISE で新しいエンドポイントの AMP イベントが正しくマッピングされない |
|
TACACS フローのメモリリーク |
|
CIAM:bind:複数のバージョン CVE-2020-8625 |
|
Smart Call Home およびスマートライセンス用に IdenTrust Commercial Root CA 1 証明書を追加 |
|
Network Success Diagnostics 用に IdenTrust Commercial Root CA 1 証明書を追加 |
|
NIC ボンディングにより、MAR キャッシュが複製されない |
|
ISE 3.0 で認証ポリシー条件の形式が正しくない |
|
[ネットワークデバイス(Network Devices)] > [デフォルトのデバイス(Default Device)] ページで設定のために Plus ライセンスが要求される |
|
TrustSec ポリシーマトリックスにより、ISE 3.0 での制限付きスクロールが許可される |
|
isedailycron temp1 のトラッキングにより AWR レポートで遅延が発生する |
|
ユーザーは、所定の時点で完全アップグレードか分割アップグレードのどちらか 1 つのオプションのみを選択できる。 |
|
ネットワークデバイス別上位 N の認証の詳細が表示されない |
|
PLR でプロファイラオンライン更新エラー:ライセンスファイルデータの取得に失敗:Null |
|
ISE ログ収集エラー「セッション ディレクトリの書き込みに失敗しました(Session directory write failed)」 |
|
ISE で AnyConnect 出力設定ファイルの Json ファイルの情報が更新されない |
|
国コードのドロップダウンを使用すると、モバイルデバイスで「無効な電話番号形式(Invalid phone number format)」が表示される |
|
PnSLongevity:データベース接続が利用できないため、展開で同期ができない |
|
ISE の Adv Trustsec の構成展開で EXEC またはイネーブルモードのパスワードに % を使用できない |
|
バックアップ インターフェイスが設定されている場合、REST 認証サービスは無効になる |
|
ISE 2.7 | 電子メールアドレスが設定されていない場合でも、すべてのシステムアラームについて電子メールが送信される |
|
ISE との Qualys の統合が失敗する |
|
ログイン文字の大文字小文字が原因で内部ユーザーの非アクティブタイマーが更新されない |
|
ISE が、競合状態が原因の SXP-IP マッピング伝搬の削除/追加を処理できない |
|
ISE および ISE-PIC で、登録解除フローのスマートライセンスが機能しない |
|
ログインページのメッセージが空の場合は説明のボックスを削除する必要がある |
|
TrustSec のページの UI に問題がある |
|
RADIUS トークン ID のソースプロンプトと TACACS 認証の内部ユーザープロンプト |
|
2/7 p2 以降で EST サービスが実行されない |
|
XStream 1.4.16 で修正された脆弱性 |
|
ISE で「-」 または「 *」 を使用した NAD IP 定義がパッチ適用後に完全な IP 比較を実行しない |
|
「手動アクティブセッション(Manual Active Session)」レポートが空になっている |
|
読み取り専用管理者によるアップグレードの実行は許可されないようにする |
|
アップグレードサポートから 3515 を削除する |
|
PIP クエリ評価が原因で ISE 2.6P3 以降の PSN ノードで CPU 使用率が高くなる |
|
API 経由でドメインを「ブロック/許可する」に更新できない |
|
Cisco Identity Services Engine のセルフ クロスサイト スクリプティングの問題 |
|
ISE REST API が IP-SGT マッピングに重複する値を返す |
|
FF 88 で最大高さが小さすぎる |
|
任意の認証ルールにセキュリティグループのみがあり、認証プロファイルがない場合、アクセスが拒否される |
|
Framed-IP 値のない AAA 要求により、SXP プロセスで例外が発生する |
|
データサイズが全体で 40GB を超える場合、フルアップグレードで警告がスローされる必要がある |
|
コンテキストの可視性で「All」関数を削除し、CAPTCHA ポップアップに {0} 個のエンドポイントを表示する |
Cisco ISE リリース 3.0 の未解決の不具合:累積パッチ 3
不具合 ID 番号 |
説明 |
---|---|
PnSLongevity:3.0P3 で Longevity テストベッドのレプリケーション失敗エラーが発生する |
Cisco ISE リリース 3.0 の新機能:累積パッチ 2
エアギャップネットワークのライセンス方式
Cisco ISE リリース 3.0 パッチ 2 は、エアギャップネットワークの次のライセンスソリューションをサポートしています。
-
Smart Software Manager(SSM)オンプレミス接続方式
SSM オンプレミスは、Cisco ISE 対応ネットワークでスマートライセンスを管理する SSM オンプレミスサーバーを設定する接続方式です。この接続方法では、Cisco ISE はインターネットへの永続的な接続を必要としません。
『Cisco Identity Services Engine リリース3.0 管理者ガイド』の「ライセンス」の章を参照してください。
DNS キャッシュ
ホストの DNS 要求をキャッシュできるため、DNS サーバーの負荷が軽減されます。
この機能は、次のコマンドを使用してコンフィギュレーション モードで有効にできます。
service cache enable hosts ttl ttl
この機能をディセーブルにするには、このコマンドの no 形式を使用します。
no service cache enable hosts ttl ttl
管理者は、キャッシュを有効にしながら、キャッシュ内のホストの存続可能時間(TTL)値を秒単位で設定できます。ttl のデフォルト設定はありません。1 ~ 2147483647 の範囲の値を指定できます。
(注) |
TTL 値は、否定応答に対して受け入れられます。DNS サーバーで設定された TTL 値は、肯定応答に対して受け入れられます。DNS サーバーで TTL が定義されていない場合は、コマンドで設定された TTL が受け入れられます。機能を無効にするとキャッシュも無効になります。 |
ビジネス成果:DNS サーバーの負荷が軽減されます。
Cisco ISE リリース 3.0 の解決済みの不具合:累積パッチ 2
不具合 ID 番号 |
説明 |
---|---|
DNS の不正な設定により、TACACS 認証または RADIUS 認証に失敗する |
|
ISE が syslog ターゲットに対してのみ IP を許可するか、DNS キャッシングを提供する |
|
MacOS 11 で BYOD 証明書のプロビジョニングフローが失敗する |
|
HTTPS、EAP、DTLS、および PORTAL の ISE 証明書を更新すると、PORTAL ロールと Admin ロールのみが適用される |
|
[コンテキストの可視性(Context Visibility)] には、VPN ポスチャシナリオの誤った認可プロファイルとポリシーが表示される |
|
TACACS 設定の更新中はデバイス管理サービスが無効になる |
|
ISE_EST_Local_Host の RADIUS 共有秘密が見つからない場合、ISE アプリケーションサーバーが初期化状態になる |
|
CLI からエクスポートされたコンテキストの可視性の CVS に IP アドレスが表示されない |
|
ISE ノードのリロード後に ISE 2.6/2.7 リポジトリが削除される |
|
一時停止されたゲストユーザーがエンドポイントグループから自動的に削除されない |
|
ISE 3.0 ヘルスチェックライセンス検証の誤ったアラーム |
|
接続に失敗すると、[スマートライセンスの権限付与(Smart Licensing Entitlement)] タブが [更新(Refreshing)] でスタックする |
|
IP オーバーラップの場合にエラーがスローされない |
|
パッシブ ID がマルチ接続 syslog クライアントで安定して動作しない |
|
Essentials ライセンスを有効にすると、[ネットワークデバイス(Network Devices)] タブの [追加/変更(Add/Modify)] へのアクセスのみがブロックされる |
|
日本語の GUI に 50 以上のルールがある場合、ISE は完全認可のルールを表示しない |
|
cisco.com から取得する ISE 3.0 評価仕様 |
|
スマートライセンスと永久ライセンスの予約に [オンプレミスサテライト(OnPrem Satellite)] オプションがない |
|
侵入テスト時に ISE 条件ライブラリが破損する |
|
CWE-20:ノードグループの作成の入力検証が正しくない |
|
Cisco Identity Services Engine の機密情報の開示における脆弱性 |
|
Cisco Identity Services Engine の機密情報の開示における脆弱性 |
|
Cisco Identity Services Engine の機密情報の開示における脆弱性 |
|
Cisco Identity Services Engine の機密情報の開示における脆弱性 |
|
Cisco Identity Services Engine の機密情報の開示における脆弱性 |
|
保存中に Itune 統合がエラーをスローするが、テスト接続は正常に動作している |
|
Azure AD グループを取得できない |
Cisco ISE リリース 3.0 の未解決の不具合:累積パッチ 2
不具合 ID 番号 |
説明 |
---|---|
PnSLongevity:3.0P3 で Longevity テストベッドのレプリケーション失敗エラーが発生する |
Cisco ISE 3.0 パッチ 2 の既知の制限事項
[名前(Name)] および [説明(Description)] フィールドでの特殊文字の使用に関する制限
-
TACACS+ プロファイルおよびデバイス管理ネットワーク条件の [説明(Description)] フィールドでは、特殊文字 [%\<>*^:"|',=/()$.@;&-!#{}.?] は使用できません。サポートされる文字は、英数字、アンダースコア(_)、およびスペースです。
-
認証プロファイルの [名前(Name)] および [説明(Description)] フィールドでは、特殊文字 %\<>*^:\"|',= は使用できません。[名前(Name)] および [説明(Description)] フィールドでサポートされる文字は、英数字、ハイフン(-)、ドット(.)、アンダースコア(_)、およびスペースです。
-
時刻と日付の条件の [名前(Name)] および [説明(Description)] フィールドでは、 特殊文字 [%\#$&()~+*@{}!/?;:',=^`]"<>" は使用できません。[名前(Name)] および [説明(Description)] フィールドで サポートされる文字は、英数字、ハイフン(-)、ドット(.)、アンダースコア(_)、およびスペースです。
Cisco ISE リリース 3.0 の解決済みの不具合:累積パッチ 1
不具合 ID 番号 |
説明 |
---|---|
「認証プロファイル」に対する ERS の更新/作成で XML スキーマの検証が失敗する |
|
ポスチャリースが原因で 1 日を超えた猶予期間を設定できない |
|
共有秘密キーに特殊文字が含まれていると、サポートされていないエラーによりインポート NAD が失敗する |
|
アプリケーションサーバーの初期化に時間がかかる |
|
SMTP サーバーの変更後にゲスト電子メールが送信されない |
|
ISE GUI のすべてで「マスターゲストレポート」を「プライマリゲストレポート」に更新 |
|
ISE GUI 内のいかなる場所においても「blacklist portal」を「blocked list portal」に更新する |
|
ISE GUI 内のいかなる場所においても「blacklist identity group」を「blocked list identity group」に更新する |
|
「show interface」コマンドの「master/slave」という用語を「primary/ subordinate」に更新する |
|
すべての認証および認可のルール/プロファイルで「blacklist」を「blocked list」に置き換える |
|
ゲストパスワードポリシー設定がアルファベットまたは数字で設定されていると保存できない |
|
ISE の [Radiusライブセッション(Radius Live Sessions)] ページで [データが見つかりません(No Data Found)] と表示される |
|
ISE 2.6 パッチ 7 が MAC リスト内のすべての MAC アドレスのルックアップを実行しないため、リダイレクトなしのポスチャが失敗する |
|
エンドポイントのデバッグを有効にすると、ISE 2.4 アプリケーションサーバーが初期化状態になる |
|
停止状態への移行中にアプリケーションサーバーがクラッシュする |
|
エンドポイントデータがセカンダリ管理ノードに表示されない |
|
ログ収集エラーアラームが表示される |
|
共通タスクでセキュリティグループを選択すると、認可プロファイルが適切な属性で保存されない |
|
pxGrid 内部クライアントを ping できない |
|
ISE で TACACS+ および TCP を強化するための TCP 設定の変更 |
|
iOS 14 beta で BYOD フローが破損している |
|
ディスカバリホストの説明テキストが紛らわしい |
|
内部 ID ストア内の選択したユーザーに対して CSV エクスポートを開始できない |
|
無効な IPv6 アドレスが原因で RADIUS に認証済みライブログが送信されない |
|
カスタムポートのみが有効な場合、手動 NMAP が動作しない |
|
LANDESK のポスチャ条件を作成できない |
|
キーに < 記号または > 記号が含まれていると、PSK cisco-av-pair がエラーをスローする |
|
スタティックホスト名 SGT マッピングの作成で SXP ドメインを選択できない |
|
ISE で NIC チーミングが有効になっていると、ヘルスチェックが機能しない |
|
Aruba ダイナミック URL リダイレクトを使用して NetworkSetupAssistant.exe のダウンロードリンクを取得できない |
|
ISE ホットスポット ゲスト ポータル フローが破損している |
|
現在のアクティブセッションのレポートのエクスポートでは、午前 0 時以降に更新されたセッションのみが表示される |
|
TACACS コマンドセットでカッコ付きのコマンドを保存するとエラーが発生する(ISE 2.7 パッチ 2) |
|
TRACE レベルのデバッグによって pxGrid ノードでデッドロックが発生する |
|
コンテキストに空の値が追加され、グループの検索に失敗する |
|
EST サービスを初期化する認証局サービスが ISE 2.7 パッチ 2 へのアップグレード後に実行しない |
|
ISE RADIUS ライブログの詳細で、[その他の属性(Other Attributes)] セクションに AD グループ名がない |
|
エンドポイントの GUI ページに Clinda のカスタム属性が表示されない |
|
存在しないネットワークデバイスを照会すると、ネットワークデバイス API コールがエラー 500 をスローする |
|
ユーザー アイデンティティ グループで大文字と小文字が区別されると、[スポンサーグルー プメンバーの選択(Select Sponsor Group Members)] ウィンドウがロードされない |
|
[RADIUSサーバー順序(RADIUS Server Sequences)] ページに「no data available(使用可能なデータがありません)」と表示される |
|
TAC サポートケースのリダイレクションの問題 |
|
状態別ポスチャ アセスメント レポートに、状態ステータスフィルタのあるデータが表示されない |
|
認証プロファイルのセキュリティグループの値が取得直後に表示されない |
|
AUP テキストを変更できない |
|
ISE 3.0 DNS 解決可能性の誤アラーム |
|
SAML アイデンティティ プロバイダーでの ISE 3.0 GUI の不具合 |
|
バインドパスワードで % 文字が 2 回以上使用されている場合、LDAP グループ/サブジェクト属性を取得できない |
|
アップグレードおよびデータベースでの偏向のないテキスト/コード |
|
ローカルリポジトリの使用状況情報が表示されない |
|
ISE ポスチャ自動更新が実行されていない |
|
ネットワークデバイス IP フィルタがサブネット内の IP と一致しない |
|
RuleResultsSGTUpgradeService ステップで ISE 3.0 アップグレードが失敗する |
|
プライマリ MNT がダウンしていると、ISE 2.6 のスケジュール済みレポートが機能しない |
|
収集フィルタが [ロギング(Logging)] ページに表示されない |
|
ISE 2.6 パッチ 6:「Employees」という名前で SGT を作成しようとすると「 |
|
スポンサーグループに属していないユーザーはスポンサーポータルにログインできない |
|
Chrome 85/86で ISE GUI ログインページに次のエラーが表示される: |
|
削除メッセージの送信後も ACI マッピングが削除されない |
|
ISE 2.6 パッチ 7:MAC OSX のマルウェア対策条件に Sophos 10.x の定義がない |
|
ステップ UPSUpgradeHandler で ISE 3.0 の設定バックアップの復元が失敗する |
Cisco ISE リリース 3.0 の未解決の不具合:累積パッチ 1
不具合 ID 番号 |
説明 |
---|---|
スマートライセンス のオンプレミス サテライト オプションのポーティングの変更 |
Cisco ISE リリース 3.0 の解決済みの不具合
不具合 ID 番号 |
説明 |
---|---|
ISE が access-reject で設定済みの Radius AVP 18 を返さない |
|
ホームページの更新時に GET-BY-ID が実装されない例外 |
|
ライブ認証で ISE が VPN ユーザーの MAC アドレスではなく IP アドレスを表示することがある |
|
ISE RBAC ネットワークデバイスタイプ/ロケーションビューが機能しない |
|
AD が authC と authZ の両方に使用されている場合、RA-VPN/CWA に対して AD ドメイン属性が取得されない |
|
MNT API が特殊文字をサポートしない |
|
3.6.11362.2 コンプライアンスモジュールへのアップグレード後に MAC OX が失敗する |
|
nas-update = true アカウンティング属性により、セッションが削除されない |
|
ENH // HTTPS プロキシを使用したスマートライセンスの登録が失敗する |
|
マルチノード展開では、ポスチャセッション状態を PSN 間で共有する必要がある |
|
CSCvi62805 ISE ODBC が設定されたストアドプロシージャに従って MAC アドレスを変換しない |
|
ノードグループメンバーが到達不能の場合、ISE はアクティブ準拠のセッションに CoA を送信する |
|
IOS デバイスのオンボードポータルでの入力ミス |
|
OS のアップグレード時に 2.3P4、2.4P3 のアップグレードが失敗する |
|
ISE ゲスト/BYOD ポータルの再試行が 1.1.1.1 にリダイレクトされる |
|
ホスト名の変更時に、RADIUS DTLS とポータルの使用が新しい自己署名証明書に割り当てられない |
|
Cisco IP Phone のプロファイラ更新を含める:8832、7832 |
|
AD 属性のポリシー評価中に ISE がクラッシュする |
|
コンテキストの可視性のページ全体のすべてのエンドポイントのチェックボックスを選択しても機能しない |
|
エンドポイントプロファイルが不明に設定されていない EAP-TLS 認証は、2 番目の認証で失敗する |
|
要求キャッシュの制御が private、no-cache、および no-store に設定される |
|
コンテキストの可視性でアドレスが HTML コードとして表示される |
|
ISE 2.4 URT は、ノードがサポートされているアプライアンス上にあることを確認しない |
|
Cisco 経時的エージェントを使用すると、AnyConnect に Cisco NAC エージェントエラーが表示される |
|
ページのカスタマイズで [自己登録成功(Self-Reg Success)] ページの [ユーザー名/パスワード(Username/password)] を有効または無効にしてもページのカスタマイズに保持されない |
|
バージョン 2.4.44 を実行している openldap rpm を使用した ISE ノードでのメモリリーク |
|
ゲスト ERS API の「SearchResult」の合計が他の API と一致しない |
|
ISE セカンダリ PAN ノードが送信元アドレス 169.254.2.2 で RST を他の ISE ノードに送信する |
|
(機能拡張)パッチのインストールフェーズ中にアーカイブが削除される |
|
特定の NAS IP アドレスを使用してフィルタ処理するオプションが ISE TACACS ライブログにない |
|
新しい論理プロファイルが認証ポリシーの例外で使用されている場合でも、ISE CoA が送信されない |
|
有効期限テスト中に MNT でメモリが大幅に増加する |
|
リロード後に ISE 2.4 SNMPv3 ユーザーが誤ったハッシュで追加され、SNMPv3 認証が失敗する |
|
ポスチャと RADIUS フロー中、コンテキスト属性を取得している間に ISE PSN ノードがクラッシュする |
|
PSN ペルソナが無効になっていても、TACACS ポート 49 が開いたままになる |
|
レプリケーション失敗アラームが生成され、ise-psc.log に ORA-00001 例外が表示される |
|
SAML 認証を使用した BYOD オンボーディング後、デバイスポータルにデバイスが表示されない |
|
自己登録ゲストポータルのプレビューに「Registration Code」ラベルが表示されない |
|
AP に接続されたアクセススイッチ上の SNMP トラップによって不正なプロファイリングが発生する |
|
EAP チェーン:動的属性値が使用できない |
|
RADIUS 認証と RADIUSアカウントレポートのパフォーマンスが遅い |
|
機能拡張:ネイティブイベントログ API、パッシブ ID 機能の EVT API をサポート |
|
脅威イベントに対するアクションの空白のコースが CTA クラウドから TC-NAC アダプタに受信された |
|
秘密キーの暗号化に失敗したときに、共有暗号がないため EAP-FAST 認証に失敗した |
|
秘密キーの暗号化で ISE GUI にエラーメッセージがあったときに、ISE GUI でエクスポートに失敗した |
|
pxGrid が MnT イベントをパブリッシュしない |
|
(機能拡張)SCCM の対応デバイス再認証クエリの時間間隔の範囲を拡大 |
|
REST を介して追加された 2.4P10 エンドポイントには「編集」モードでのみポリシーの割り当てが表示される |
|
ISE IP ルーティングの優先順位の問題 |
|
高負荷時に ISE ポスチャモジュールに「ポリシーサーバーが検出されません(No policy server detect)」が表示される |
|
ネットワークデバイスの CSV インポートが失敗し、理由なくサイレントにプロセスが終了される |
|
ISE:アカウント OU の変更後、キャッシュ済みの AD OU を新しい OU よりも優先させる |
|
ISE ゲスト OS で tzdata を更新する必要がある |
|
ユーザー API による ISE アプリのクラッシュ |
|
ACI マッピングは SXP pxGrid トピックにパブリッシュされない |
|
接続の切断後に ISE が外部 syslog 接続を再確立できない |
|
SYSAUX テーブルスペースが AWR および OPSSTAT データでいっぱいになる |
|
ユーザーの入力が 2 回異なると、ISE は RADIUS レポートに正しいユーザーを表示しない |
|
ISE:TACACS:TACACS+ の PSN クラッシュ |
|
App server と EST サービスが毎朝 1 時にクラッシュ/再起動する |
|
ISE:正常に終了しているにもかかわらず、2.4 パッチ 9 のリセット設定がいくつかのエラーをスローする |
|
ISE のグループノード間の MAR キャッシュチェックが原因で失敗した COA を除外する機能を追加する |
|
Cisco Identity Services Engine クロスサイト スクリプティングの脆弱性 |
|
ルールが一致した後でも、ポリシーエンジンがすべてのポリシーセットの評価を続行する |
|
ブルートフォースのパスワード攻撃に対する動作を改善する |
|
無効なルート CA 証明書が受け入れられた |
|
ISE 2.6 では、ユーザーが IPv4 または IPv6 を選択しても、dACL シンタックスに複数の空白行が許可される必要がある |
|
ISE 2.x ネットワーク デバイス スタックのローディング |
|
ISE 2.6 で 2 つのカッコを使用して CRL URL を設定できない |
|
古いデータをプッシュする TrustSec マトリックス |
|
NAD グループ CSV のインポートでは、説明フィールドにサポートされているすべての文字を許可する必要がある |
|
Xms 値を持つ Mnt ノードの高負荷 |
|
信頼できる CA 証明書の削除中に SEC_ERROR_BAD_DATABASE がシステム/アプリデバッグログに表示される |
|
自己登録済みゲストポータルがゲストタイプの設定を保存できない |
|
静的グループの割り当てを編集できない |
|
SMS と LDAP ページでサーバーから返されたサービス アカウント パスワード |
|
CRL が特定の条件で期限切れになる |
|
Cisco Identity Services Engine クロスサイト スクリプティングの脆弱性 |
|
ISE が SGT を正しく更新しない |
|
RADIUS アカウンティングレポートが機能しない:アカウンティングレコードが表示されない |
|
URL リダイレクトの AuthZ プロファイルの詳細プロファイルでカスタム HTTPS 宛先が許可されない |
|
DNA-C との統合中に、信頼できるストアから削除されたものと同じ CN の ISE 2.6 CA 証明書 |
|
条件はライブラリから削除されたが、DB 内にはまだある |
|
ISE2.6 で内部 CA とキーをインポートできない |
|
ISE バージョンが新しい Oracle データベースと互換性のない古い JDBC バージョン(11.2.0.3)を使用する |
|
ISE では、コマンドセットのコマンドの前にスペースを挿入できる |
|
NFS マウントが原因でクラッシュする |
|
暗号化キーの特殊文字でバックアップがトリガーされない |
|
MACAdress API が機能していない(API/mnt/Session/MACAddress) |
|
ISE 2.4:管理者ログインレポートが証明書ベースの管理者認証を使用すると認証に失敗する |
|
スポンサーポータルで新しいユーザーを作成すると、「無効な入力(invalid input)」が表示される |
|
ランダム認証の場合、期限切れまでの日数が 0 としてマークされる |
|
キャプティブポータルでユーザーが自由に電子メールの送信をトリガーできる |
|
NAD CSV のインポートでは、サポートされているすべての文字を TrustSecDeviceID に許可する必要がある |
|
ISE 管理者ユーザーが内部ユーザーのグループを変更できない |
|
コレクタログに pxGrid メッセージと DNAC メッセージが繰り返し入力される |
|
REST API を使用すると Tacacs プロファイルが正しく取得されない |
|
認証プロファイルが REST API を使用して正しくプルされていない(改ページがない) |
|
Cisco Identity Services Engine のストアド クロスサイト スクリプティングの脆弱性 |
|
ネットワークデバイス/グループをインポートした後、新しいロケーションを追加できない |
|
ISE 2.2+ がメモリリークの影響を受けるInflater() によってネイティブメモリが毎日 1 ~ 2% 増加する |
|
ERS API を介して下線を使用してセキュリティグループを作成すると、ISE エラーが発生する |
|
ISE 2.2+ がメモリリークの影響を受けるPORT_Alloc_Util() によってネイティブメモリが毎日 1 ~ 2% 増加する |
|
ISE:SCEP RA の設定時に 2.4p9 CA 中間証明書がインストールされない |
|
エラーをスローするため、% または < を含むレジストリキー値条件を追加できない |
|
「証明書プロビジョニングポータル」のポータルカスタマイズを実行できない |
|
RadiusProxyFlow::stripUserName() にユーザー名ではなく空の文字列があるために ISE がクラッシュする |
|