Configurar o máximo de sessões simultâneas de usuário no ISE 2.2

Introduction

Este documento descreve como configurar o recurso Sessões Máximas introduzido no Identity Services Engine (ISE) 2.2. O recurso Máximo de sessões fornece uma maneira de controlar e aplicar sessões ao vivo por usuário ou por grupo de identidade. Este documento é para sessões RADIUS, mas também pode ser usado para sessões TACACS.

Prerequisites

Requirements

A Cisco recomenda que você tenha conhecimento destes tópicos:

• Protocolo RADIUS
• Configuração 802.1x no Wireless LAN Controller (WLC)
• O ISE e seus personas (funções)

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

• Cisco Identity Service Engine versão 2.2
• Controlador de LAN sem fio 8.0.100.0
• Switch Cisco Catalyst 3750 15.2(3)E2
• Computador Windows 7
• Telefone Android com 6.0.1
• Android Phone em execução 5.0
• Apple iPad iOS 9.1

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Informações de Apoio

O ISE versão 2.2 pode detectar e criar políticas de aplicação com base na sessão simultânea de:

• Identidade do usuário - limite o número de sessões por usuário específico
• Grupo de Identidades - limite de número de sessões por grupo específico
• Usuário em um grupo - limite o número de sessões por usuário, que pertence a um grupo específico

A aplicação e a contagem de uma sessão simultânea são exclusivas e gerenciadas por cada nó de serviço de política (PSN). Não há sincronização entre os PSNs em termos de contagem de sessões. O recurso de sessão simultânea é implementado no processo de tempo de execução e os dados são armazenados somente na memória. Em caso de reinicialização de PSN, os contadores MaxSessions são redefinidos.

A contagem de sessões do usuário não diferencia maiúsculas de minúsculas em relação aos nomes de usuário e independente do dispositivo de acesso à rede usado (desde que você use o mesmo nó PSN).

Diagrama de Rede

Cenários

Máximo de sessões por usuário

Configuração

Navegue até Administration > System > Settings > Max Sessions, como mostrado na imagem:

Para habilitar o recurso, desmarque a caixa de seleção Sessão ilimitada por usuário, marcada por padrão. No campo Máximo de sessões por usuário, configure o número de sessões que um usuário específico pode ter em cada PSN. Neste exemplo, ele é definido como 2.

Os usuários de fontes de identidade externas (por exemplo, o Ative Diretory) também são afetados por essa configuração.

Exemplo

Bob é o nome de usuário de uma conta do Domínio do Ative Diretory conectada e associada ao servidor ISE. As sessões máximas do usuário são configuradas com o valor 2, o que significa que nenhuma sessão para o mesmo usuário além desse número é permitida (por PSN).

Como mostrado na imagem, o usuário Bob se conecta ao telefone Android e à máquina Windows com as mesmas credenciais:




Ambas as sessões são permitidas porque o limite máximo de sessões não é excedido. Conforme o log detalhado do Radius Live, mostrado na imagem:

2081 O máximo de sessões passadas na etapa fornece informações de que a verificação Máximo de Sessão Simultânea foi bem-sucedida.

Uma vez iniciada a terceira conexão com outro dispositivo e as mesmas credenciais, Bob recebe PermitAccess, mas Access-Reject é enviado para o autenticador:

A sessão não é permitida, mesmo que no registro ao vivo do Radius você possa ver que ele atinge o perfil de autorização correto. Para verificar as sessões ao vivo, navegue para Operations > Radius > Live Sessions:



Nesse caso, ambas as sessões têm o status Iniciado, que indica que a Contabilidade Iniciada chegou no ISE para a sessão. É necessário receber o RADIUS Accounting for Max Session para que funcione corretamente, status Authenticated (Sessão permitida, mas sem relatório) não é considerado durante a contagem de sessões:

Sessão máxima para grupo

Configurar

Navegue até Administration > System>Settings > Max Sessions > Group:

Esta configuração reforça 2 sessões como um máximo para o grupo de identidade interno GroupTest2: Você pode configurar a aplicação por grupo somente para os grupos internos.

Exemplo

Alice, Pablo e Peter são os usuários da Loja de Usuários Interna do ISE, todos eles são membros do grupo chamado GroupTest2. De acordo com a configuração neste exemplo, o valor máximo de sessões é definido como 2 com base na associação do grupo.

Pablo e Peter se conectam à rede com suas credenciais do Grupo Interno chamado GroupTest2:

Quando Alice tenta se conectar, o limite de MaxSessions por grupo é imposto:

Alice não tem permissão para se conectar à rede porque o limite máximo de grupos da sessão é usado por Peter e Pablo:

Casos de canto

Se o número máximo de sessões do usuário estiver configurado, ambos os recursos funcionarão de forma independente. Neste exemplo, o número máximo de sessões do usuário é definido como 1 e o número máximo de sessões do grupo é 2.

Peter deve ser permitido com base na sessão máxima do grupo (2 sessões), mas devido à configuração de sessão máxima do usuário (uma sessão) ele não consegue se conectar à rede:

Se o usuário for membro de mais de um grupo ao mesmo tempo e o número máximo de sessões do grupo estiver configurado para ele, uma vez conectado, o ISE aumentará o contador de Máximo de sessões do cache de grupo para cada grupo ao qual o usuário pertence.

Neste exemplo, Alice e Pablo são membros de GroupTest1 e GroupTest2. Verônica pertence somente a GroupTest1 e Peter a GroupTest2

A sessão máxima para o grupo está definida como 2 para GroupTest1 e GroupTest2:

Quando Alice e Pablo estão conectados à rede, eles excedem os limites de sessão para ambos os grupos. Veronica, que pertence somente a GroupTest1 e Peter, membro do GroupTest2 não consegue se conectar devido a Max Session for Group ter atingido o valor máximo configurado:

Máximo de sessões para usuário em grupo

Configurar

Navegue até Administration > System > Settings > Max Sessions > Group.



Esta configuração aplica no máximo 2 sessões para Internal Identity group GroupTest2.

Exemplo

Alice é membro do GroupTest2:



Esse recurso funciona de forma semelhante à sessão máxima do usuário - o ISE limita o número de sessões simultâneas que o usuário no grupo interno especificado pode ter. Essa configuração afeta somente o usuário, que pertence ao grupo configurado.

Alice, como membro do GroupTest2, pode ter duas sessões simultâneas, uma vez conectada ao terceiro dispositivo, o ISE retorna PermitAccess e Access-Reject com base na Exceção de sessão máxima para usuário em grupo:



Logs detalhados do Radius-Live:

Se o número máximo de sessões do usuário também estiver ativado, ambos os recursos funcionarão independentemente. Se um usuário Alice for membro do grupo GroupTest2 com sessão máxima para usuário em grupo configurada para 2 e, ao mesmo tempo, as sessões máximas de usuário estiverem configuradas para permitir apenas uma sessão por usuário, as sessões máximas de usuário terão precedência:

Quando Alice tenta se conectar ao segundo dispositivo, o ISE retorna Access-Reject com base no limite máximo de usuários da sessão excedido:

O motivo da negação pode ser verificado em Radius Live-Log detalhado. O limite máximo de usuários de sessões é o motivo da falha:

Sessão máxima para grupo e sessão máxima para usuário nesse grupo

Configurar

Navegue até Administration > System > Settings > Max Sessions > Group.

Essa configuração reforça a sessão máxima de 3 no grupo de identidade interno GroupTest2 e 2 na sessão máxima para o usuário nesse grupo.

Exemplo

Alice e Pablo são membros do GroupTest2. Conforme a configuração neste exemplo, é permitido um máximo de 3 sessões em GroupTest2. O ISE garante que um único usuário possa ter no máximo 2 sessões nesse grupo.



Alice se conecta por meio de dois dispositivos, ambos os endpoints estão conectados à rede:

Quando Alice está tentando se conectar via terceiro dispositivo, o acesso é negado com o limite máximo de sessão para usuário em grupo excedido:

ISe Pablo tentar acessar a rede, ele poderá fazê-lo, já que Max Session for Group GroupTest2 ainda não está cheio:

Quando Pablo tenta acessar a rede a partir do segundo dispositivo, ele falha porque excedeu o limite máximo de sessão para o grupo (mesmo que tenha apenas uma sessão):





Como em exemplos anteriores, se você habilitar as sessões máximas do usuário, elas funcionarão independentemente.

Limite de tempo do contador

Configurar

Navegue até Administration > System > Settings > Max Sessions > Counter Time Limit.


O limite de tempo do contador é o recurso que especifica o intervalo de tempo durante o qual a sessão é contada em termos do cache de sessão máxima. Esse recurso permite especificar o tempo após o qual o PSN excluirá a sessão do contador e permitirá novas sessões.

Para ativar o recurso, você precisa desmarcar a caixa de seleção Ilimitado - sem limite de tempo, marcada por padrão. No campo editável, você pode definir o tempo para quanto tempo a sessão deve ser considerada nos contadores de MaxSession.

Lembre-se de que as sessões após a hora configurada não são desconectadas ou removidas do banco de dados da sessão. Não há Alteração de Término da Autorização (CoA) após o tempo configurado.

Exemplo

A sessão máxima do usuário está definida para permitir apenas uma sessão para o usuário:

Alice se conecta à rede usando o IPad às 11:00:34, a segunda autenticação acontece às 11:07 e até mesmo o valor de sessão máxima do usuário é excedido. Ambas as autenticações foram bem-sucedidas devido ao limite de tempo do contador.

Alice tenta se conectar a outro dispositivo, antes de 5 minutos após a última conexão bem-sucedida passar, o ISE rejeita a autenticação:

Após 5 minutos da última autenticação, Alice pode se conectar à rede com um dispositivo adicional.

Nas sessões ao vivo, você pode ver as três sessões no estado Iniciado:

Recurso de sessão máxima e acesso de convidado

Autenticação da Web central

Com uma sessão configurada no recurso Sessão Máxima do Usuário, você ainda pode se conectar à conta Convidado1 para ambas as sessões:

Para limitar o Acesso de Convidado, você pode especificar o Máximo de logins simultâneos na configuração do Tipo de Convidado.

Navegue até Centros de trabalho > Acesso para convidados > Portal & Components > Guest Types e altere a opção Máximo de logins simultâneos, como mostrado na imagem:

Autenticação da Web local

Com uma sessão configurada em Sessão Máxima do Usuário, você não consegue se conectar:

De acordo com os registros ao vivo do Radius, o Convidado1 é sempre autenticado corretamente em termos de autenticação do portal, uma vez que a WLC envia a solicitação do RADIUS com a segunda sessão do Convidado1, o ISE nega o acesso devido ao limite de usuário excedido:

Troubleshoot

Logs ao vivo do Radius

O Relatório de RADIUS detalhado é um primeiro lugar para a solução de problemas do Recurso MaxSession.

Esse motivo de falha indica que o limite máximo global de sessão do usuário foi excedido para esta sessão/usuário, como mostrado na imagem:

Esse motivo de falha indica que o limite de sessões máximas de grupo foi excedido para esta sessão/usuário, como mostrado na imagem:

Esse motivo de falha indica que o limite máximo de sessões de usuário do grupo foi excedido para esta sessão/usuário.

A verificação do cache MaxSession acontece após a seleção do perfil de autorização:

Sucesso:



Falha:

Depurações do ISE

O número máximo de registros de sessão está localizado no servidor da porta.log. Para coletá-los, defina o componente AAA de tempo de execução como nível DEBUG ( navegue para Administração > Sistema > Registro > Depurar Configuração do Log > PSN), como mostrado na imagem:

Para obter File prrt-server.log, navegue para Operations > Troubleshoot > Download Logs > PSN > Debug Logs. Registros máximos de sessão são coletados nas depurações de endpoint também (Operações > Solução de problemas > Ferramentas de diagnóstico > Ferramentas gerais > Depuração de endpoint).

A verificação da sessão máxima do usuário foi aprovada corretamente:

2017-01-29 08:33:11,310 INFO   [Thread-83][] cisco.cpm.prrt.impl.PrRTLoggerImpl -:::::- SessionCache,INFO ,0x7fe858867700,cntx=0000001335,sesn=pgruszczise22/275051099/8,CPMSessionID=0a3e944f00000e7d588da8a0,user=Bob,CallingStationID=c0-4a-00-14-56-f4,SessionCache::onMaxSessionsAznEvent: current global configuration data: auditSessionTtl=[3600], maxUserSessions=[2],SessionCache.cpp:283
2017-01-29 08:33:11,311 INFO   [Thread-83][] cisco.cpm.prrt.impl.PrRTLoggerImpl -:::::- SessionCache,INFO ,0x7fe858867700,cntx=0000001335,sesn=pgruszczise22/275051099/8,CPMSessionID=0a3e944f00000e7d588da8a0,user=Bob,CallingStationID=c0-4a-00-14-56-f4,SessionCache::checkMaxSessions: user=[Bob] not found in cache due to first time authorization,SessionCache.cpp:1025
2017-01-29 08:33:11,311 DEBUG  [Thread-83][] cisco.cpm.prrt.impl.PrRTLoggerImpl -:::::- SessionCache,DEBUG,0x7fe858867700,cntx=0000001335,sesn=pgruszczise22/275051099/8,CPMSessionID=0a3e944f00000e7d588da8a0,user=Bob,CallingStationID=c0-4a-00-14-56-f4,SessionCache::onMaxSessionsAznEvent: sessionID=[0a3e944f00000e7d588da8a0]; user=[Bob] - checkMaxSessions passed,SessionCache.cpp:360
2017-01-29 08:33:11,311 INFO   [Thread-83][] cisco.cpm.prrt.impl.PrRTLoggerImpl -:::::- SessionCache,INFO ,0x7fe858867700,cntx=0000001335,sesn=pgruszczise22/275051099/8,CPMSessionID=0a3e944f00000e7d588da8a0,user=Bob,CallingStationID=c0-4a-00-14-56-f4,SessionCache::onMaxSessionsAznEvent: create a new session object sessionID=[0a3e944f00000e7d588da8a0]; user=[Bob],SessionCache.cpp:375

O ISE incrementa o SessionCounter somente após receber o Accounting Start para a sessão:

2017-01-29 08:33:11,619 DEBUG  [Thread-90][] cisco.cpm.prrt.impl.PrRTLoggerImpl -:::::- Radius,DEBUG,0x7fe858766700,cntx=0000001503,sesn=pgruszczise22/275051099/9,CPMSessionID=0a3e944f00000e7d588da8a0,CallingStationID=c0-4a-00-14-56-f4,FramedIPAddress=10.62.148.141,RADIUS PACKET:: Code=4(AccountingRequest) Identifier=0 Length=279
     [1] User-Name - value: [Bob] 
     [4] NAS-IP-Address - value: [10.62.148.79] 
     [5] NAS-Port - value: [1] 
     [8] Framed-IP-Address - value: [10.62.148.141] 
     [25] Class - value: [****] 
     [30] Called-Station-ID - value: [80-e0-1d-8b-72-00] 
     [31] Calling-Station-ID - value: [c0-4a-00-14-56-f4] 
     [32] NAS-Identifier - value: [WLC7] 
     [40] Acct-Status-Type - value: [Start] 
     [44] Acct-Session-Id - value: [588da8a0/c0:4a:00:14:56:f4/3789] 
     [45] Acct-Authentic - value: [RADIUS] 
     [55] Event-Timestamp - value: [1485678753] 
     [61] NAS-Port-Type - value: [Wireless - IEEE 802.11] 
     [64] Tunnel-Type - value: [(tag=0) VLAN] 
     [65] Tunnel-Medium-Type - value: [(tag=0) 802] 
     [81] Tunnel-Private-Group-ID - value: [(tag=0) 481] 
     [26] cisco-av-pair - value: [audit-session-id=0a3e944f00000e7d588da8a0] 
     [26] Airespace-Wlan-Id - value: [4] ,RADIUSHandler.cpp:2003

(...)	 

2017-01-29 08:33:11,654 DEBUG  [Thread-83][] cisco.cpm.prrt.impl.PrRTLoggerImpl -:::::- SessionCache,DEBUG,0x7fe858867700,cntx=0000001503,sesn=pgruszczise22/275051099/9,CPMSessionID=0a3e944f00000e7d588da8a0,user=Bob,CallingStationID=c0-4a-00-14-56-f4,FramedIPAddress=10.62.148.141,SessionCache::onAccountingStart: user=[Bob]; sessionID=[0a3e944f00000e7d588da8a0],SessionCache.cpp:537
2017-01-29 08:33:11,655 DEBUG  [Thread-83][] cisco.cpm.prrt.impl.PrRTLoggerImpl -:::::- SessionCache,DEBUG,0x7fe858867700,cntx=0000001503,sesn=pgruszczise22/275051099/9,CPMSessionID=0a3e944f00000e7d588da8a0,user=Bob,CallingStationID=c0-4a-00-14-56-f4,FramedIPAddress=10.62.148.141,SessionCache::incrementSessionCounters: user=[Bob] current user session count=[1],SessionCache.cpp:862

Falha na verificação de sessão máxima do usuário:

2017-01-29 08:37:00,534 INFO   [Thread-75][] cisco.cpm.prrt.impl.PrRTLoggerImpl -:::::- SessionCache,INFO ,0x7fe858a69700,cntx=0000005011,sesn=pgruszczise22/275051099/15,CPMSessionID=0a3e944f00000e7f588da966,user=Bob,CallingStationID=34-ab-37-60-63-88,SessionCache::onMaxSessionsAznEvent: current global configuration data: auditSessionTtl=[3600], maxUserSessions=[2],SessionCache.cpp:283
2017-01-29 08:37:00,535 INFO   [Thread-75][] cisco.cpm.prrt.impl.PrRTLoggerImpl -:::::- SessionCache,INFO ,0x7fe858a69700,cntx=0000005011,sesn=pgruszczise22/275051099/15,CPMSessionID=0a3e944f00000e7f588da966,user=Bob,CallingStationID=34-ab-37-60-63-88,SessionCache::checkMaxSessions: user=[Bob] is not authorized because current active user sessions=[2] >= max-user-sessions=[2],SessionCache.cpp:1010
2017-01-29 08:37:00,535 DEBUG  [Thread-75][] cisco.cpm.prrt.impl.PrRTLoggerImpl -:::::- SessionCache,DEBUG,0x7fe858a69700,cntx=0000005011,sesn=pgruszczise22/275051099/15,CPMSessionID=0a3e944f00000e7f588da966,user=Bob,CallingStationID=34-ab-37-60-63-88,SessionCache::onMaxSessionsAznEvent: sessionID=[0a3e944f00000e7f588da966]; user=[Bob] - checkMaxSessions failed,SessionCache.cpp:341
2017-01-29 08:37:00,535 DEBUG  [Thread-75][] cisco.cpm.prrt.impl.PrRTLoggerImpl -:::::- RadiusAuthorization,DEBUG,0x7fe858a69700,cntx=0000005011,sesn=pgruszczise22/275051099/15,CPMSessionID=0a3e944f00000e7f588da966,user=Bob,CallingStationID=34-ab-37-60-63-88,RadiusAuthorization::onResponseMaxSessionsAznEvent return from SessionCache,RadiusAuthorization.cpp:371