Configurar sessões de usuário simultâneo máximas em ISE 2.2
Índice
Introdução
Este documento descreve como configurar a característica das sessões máxima introduzida no Identity Services Engine (ISE) 2.2. As sessões máxima caracterizam fornecem uma maneira de controlar e reforçar sessões vivas pelo usuário ou pelo grupo da identidade. Este documento é para sessões do RAIO, mas poderia ser usado também para as sessões TACACS.
Pré-requisitos
Requisitos
A Cisco recomenda que você tenha conhecimento destes tópicos:
- Protocolo de raio
- configuração do 802.1x no controlador do Wireless LAN (WLC)
- ISE e seus personas (papéis)
Componentes Utilizados
As informações neste documento são baseadas nestas versões de software e hardware:
- Versão 2.2 do motor do serviço da identidade de Cisco
- Controlador 8.0.100.0 do Wireless LAN
- Interruptor 3750 15.2(3)E2 do Cisco catalyst
- Máquina de Windows 7
- Telefone de Android que executa 6.0.1
- Telefone de Android que executa 5.0
- IOS 9.1 do iPad de Apple
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.
Informações de fundo
A versão 2.2 ISE pode detectar e construir a política da aplicação baseada na sessão simultânea de:
- Identidade do usuário - limite o número de sessões pelo usuário específico
- Grupo da identidade - limite o número de sessões pelo grupo específico
- Usuário em um grupo - limite o número de sessões pelo usuário, isso pertence ao grupo específico
A aplicação e a contagem de uma sessão simultânea são originais e controladas por cada nó do serviço da política (PSN). Não há nenhuma sincronização entre os PSN em termos do contagem de sessão. A característica da sessão simultânea é executada no processo do tempo de execução e os dados são armazenados somente na memória. Em caso do reinício PSN, restauração de contadores de MaxSessions.
A contagem da sessão do usuário é não diferenciando maiúsculas e minúsculas no que diz respeito aos nomes de usuário e ao independente do dispositivo do acesso de rede usados (enquanto você usa o mesmo nó PSN).
Diagrama de Rede
Encenações
Sessões máxima pelo usuário
Configuração
Navegue à administração > ao sistema > aos ajustes > sessões máximas, segundo as indicações da imagem:
Para permitir a característica, desmarcar sessão ilimitada pela caixa de seleção do usuário, que é verificada à revelia. No máximo pelo campo das sessões do usuário configurar o número de sessões que o usuário específico pode ter em cada PSN. Neste exemplo, é ajustado a 2.
Os usuários das fontes externos da identidade (por exemplo diretório ativo) são afetados por esta configuração também.
Exemplo
Bob é o username de uma conta do domínio do diretório ativo que é conectado e juntado ao server ISE. As sessões máxima de usuário são configuradas com valor 2, assim que significa que nenhuma sessão para o mesmo usuário além deste número não está permitida (pelo PSN).
Segundo as indicações da imagem, o usuário Bob conecta com a máquina do telefone e do Windows de Android com as mesmas credenciais:
Ambas as sessões são permitidas porque o limite das sessões máxima não é excedido. Conforme o log vivo do raio detalhado, mostrado na imagem:
Uma política máxima de 22081 sessões passada etapa fornece a informação que a verificação máxima da sessão simultânea é bem sucedida.
Uma vez que a terceira conexão com um outro dispositivo e as mesmas credenciais é iniciada, Bob recebe PermitAccess, mas a Rejeição de acesso é enviada ao autenticador:
A sessão não é permitida, mesmo que no log vivo do raio você possa ver que bate o perfil correto da autorização. A fim verificar as sessões vivas, navegue às operações > ao raio > sessões vivas:
Neste caso, ambas as sessões têm o estado começado, que indica que começo da contabilidade chegou no ISE para a sessão. É necessário receber a sessão máxima esclarecendo do raio para trabalhar corretamente, o estado autenticado (sessão permitida, mas nenhuma contabilidade) não é tomado na consideração durante o contagem de sessão:
Sessão máxima para o grupo
Configurar
Navegue à administração > a System>Settings > sessões > grupo máximos:
Esta configuração reforça 2 sessões como um máximo para o grupo interno GroupTest2 da identidade: Você pode configurar o enforcment pelo grupo somente para os grupos internos.
Exemplo
Alice, Pablo e Peter são os usuários da loja interna do usuário ISE, todo são membros de GroupTest2 nomeado grupo. Conforme a configuração neste exemplo, o valor máximo das sessões é ajustado a 2 baseados na membrasia do clube.
Pablo e Peter conectam à rede com suas credenciais do grupo interno nomeado GroupTest2:
Uma vez que Alice tenta conectar, o limite de MaxSessions pelo grupo está reforçado:
Não é permitida a Alice conectar à rede porque o limite máximo do grupo da sessão é usado acima por Peter e por Pablo:
Casos secundários
Se as sessões máxima do usuário são configuradas, ambas as características trabalham independetly. Neste exemplo, as sessões máximas do usuário são ajustadas a 1 e a sessão máxima para o grupo é ajustada a 2.
Peter deve ser permitido baseou na sessão máxima para o grupo (2 sessões), mas devido à configuração máxima das sessões do usuário (uma sessão) não conecta à rede:
Se o usuário é membro de mais de um grupo ao mesmo tempo e as sessões máximas para o grupo estão configurados para elas, uma vez que o ISE conectado aumenta o contador da sessão máxima para o esconderijo do grupo para cada grupo o usuário pertence a.
Neste exemplo, Alice e Pablo são membros de GroupTest1 e de GroupTest2. O Veronica pertence somente a GroupTest1 e a Peter a GroupTest2
A sessão máxima para o grupo é ajustada a 2 para GroupTest1 e GroupTest2:
Quando Alice e Pablo são conectados à rede, excede os limites de sessão para ambos os grupos. O Veronica, que pertence somente a GroupTest1 e a Peter, membro de GroupTest2 é incapaz de conectar devido à sessão máxima para o grupo alcançou o valor configurado máximo:
Sessões máxima para o usuário no grupo
Configurar
Navegue à administração > ao sistema > aos ajustes > sessões > grupo máximos.
Esta configuração reforça 2 sessões máximas para o grupo interno GroupTest2 da identidade.
Exemplo
Alice é membro de GroupTest2:
Esta característica trabalha similar à sessão máxima do usuário - o ISE limita o número de sessões simultâneas que o usuário dentro do grupo interno especificado pode ter. Esta configuração afeta somente o usuário, que pertence ao grupo configurado.
Alice, como um membro do GroupTest2 pode ter 2 sessões simultâneas, conecta uma vez com o terceiro dispositivo, os retornos PermitAccess ISE e a Rejeição de acesso baseada na sessão máxima excedida para o usuário no grupo:
Logs Raio-vivos detalhados:
Se as sessões máxima do usuário são permitidas também, a seguir ambas as características trabalham independentemente. Se um usuário Alice é membro do grupo GroupTest2 com sessão máxima para o usuário no grupo configurado para 2, e nas mesmas sessões máximas do usuário do tempo está configurado para permitir somente uma sessão pelo usuário, as sessões máximas do usuário tomam a precedência:
Quando Alice tenta conectar com o segundo dispositivo, o ISE retorna a Rejeição de acesso baseada no limite máximo do usuário da sessão excedido:
A razão para nega poderia ser verificação sob o Vivo-log detalhado do raio. O limite máximo do usuário das sessões é a razão da falha:
Sessão máxima para o grupo e sessão máxima para o usuário nesse grupo
Configurar
Navegue à administração > ao sistema > aos ajustes > sessões > grupo máximos.
Esta configuração reforça uma sessão máxima da sessão máxima 3 no grupo interno GroupTest2 da identidade e 2 para o usuário nesse grupo.
Exemplo
Alice e Pablo são membros de GroupTest2. Conforme a configuração neste exemplo, o máximo de 3 sessões é permitido em GroupTest2. O ISE assegura-se de que o usuário único possa ter sessões do máximo 2 dentro deste grupo.
Alice conecta através de dois dispositivos, ambos os valores-limite é conectada à rede:
Quando Alice está tentando conectar através do terceiro dispositivo, alcance é negado com sessão máxima para o usuário no limite do grupo excedido:
Se Pablo tenta alcançar a rede, pode fazer assim, desde que a sessão máxima para o grupo GroupTest2 não está ainda completa:
Quando Pablo tenta alcançar a rede do segundo dispositivo, falha porque excedeu o limite de sessão máximo para o grupo (mesmo que tem somente 1 sessão):
Como nos exemplos anteriores, se você permite sessões máxima do usuário, trabalha independentemente.
Limite de tempo contrário
Configurar
Navegue à administração > ao sistema > aos ajustes > sessões máximas > limite de tempo contrário.
O limite de tempo contrário é a característica que especifica o intervalo de tempo durante que a sessão é contada em termos do esconderijo da sessão máxima. Esta característica permite que você especifique o tempo depois do qual a supressão PSN a sessão do contador e permite sessões novas.
Para permitir a característica, você precisa de desmarcar ilimitado - nenhum limitcheckbox do tempo que é verificado à revelia. No campo editável você pode ajustar a hora durante quanto tempo a sessão deve ser tomada na consideração nos contadores de MaxSession.
Mantenha por favor na mente que sessões depois que o tempo configurado não é desligado nem é removido do base de dados da sessão. Há nenhum termina Chane da autorização (CoA) após o tempo configurado.
Exemplo
A sessão máxima do usuário é ajustada para permitir somente uma sessão para o usuário:
Alice conecta à rede usando o IPad em 11:00:34, a segunda autenticação acontece em 11:07 e mesmo a sessão máxima que do usuário o valor é acesso excedido é permitida. Ambas as autenticações são bem sucedidas devido ao limite de tempo contrário.
Alice tenta conectar com um outro dispositivo, antes que os minutos 5 da última conexão bem sucedida passem, ISE rejeita a autenticação:
Após os minutos 5 da última autenticação, Alice poderia conectar à rede com o dispositivo adicional.
Nas sessões vivas você poderia ver todas as sessão três no estado começado:
Característica da sessão máxima e acesso do convidado
Autenticação da Web central
Com a uma sessão configurada sob a característica da sessão máxima de usuário, você pode ainda conectar com o Guest1 esclarece ambas as sessões:
A fim limitar o acesso do convidado, você pode especificar os inícios de uma sessão simultâneos máximos no tipo configuração do convidado.
Navegue aos centros de trabalho > ao acesso do convidado > ao portal & aos componentes > aos tipos do convidado e mude a opção simultânea máxima dos inícios de uma sessão, segundo as indicações da imagem:
Autenticação da Web local
Com a uma sessão configurada sob a sessão máxima de usuário você é incapaz de conectar:
Conforme os Vivo-logs do raio, o Guest1 sempre é autenticado corretamente em termos da autenticação portal, uma vez que o WLC envia a requisição RADIUS com a segunda sessão para o Guest1, ISE nega o acesso devido a excede o limite do usuário:
Troubleshooting
Logs vivos do raio
O relatório detalhado do raio é muito um primeiro lugar para pesquisar defeitos a característica de MaxSession.
Esta razão da falha indica que o limite máximo global da sessão do usuário está excedido para estes sessão/usuário, segundo as indicações da imagem:
Esta razão da falha indica que o limite máximo das sessões do grupo está excedido para estes sessão/usuário, segundo as indicações da imagem:
Esta razão da falha indica que o limite máximo das sessões do usuário do grupo está excedido para estes sessão/usuário.
A verificação do esconderijo de MaxSession acontece após a seleção do perfil da autorização:
Sucesso:
Falha:
O ISE debuga
Os logs máximos da sessão são ficados situados em prrt-server.log. A fim recolher aqueles, ajuste o Runtime-AAA componente ao nível de debug (navegue à administração > ao sistema > registrando > debugam a configuração do log > o PSN), segundo as indicações da imagem:
A fim obter o arquivo prrt-server.log navegue às operações > pesquisam defeitos > transferência registra > PSN > debugam logs. Os logs máximos da sessão são recolhidos no valor-limite debugam também (as operações > Troubleshoot>Diagnostic utilizam ferramentas > Genral utilizam ferramentas > valor-limite debugam).
Verificação da sessão máxima do usuário passada corretamente:
2017-01-29 08:33:11,310 INFO [Thread-83][] cisco.cpm.prrt.impl.PrRTLoggerImpl -:::::- SessionCache,INFO ,0x7fe858867700,cntx=0000001335,sesn=pgruszczise22/275051099/8,CPMSessionID=0a3e944f00000e7d588da8a0,user=Bob,CallingStationID=c0-4a-00-14-56-f4,SessionCache::onMaxSessionsAznEvent: current global configuration data: auditSessionTtl=[3600], maxUserSessions=[2],SessionCache.cpp:283 2017-01-29 08:33:11,311 INFO [Thread-83][] cisco.cpm.prrt.impl.PrRTLoggerImpl -:::::- SessionCache,INFO ,0x7fe858867700,cntx=0000001335,sesn=pgruszczise22/275051099/8,CPMSessionID=0a3e944f00000e7d588da8a0,user=Bob,CallingStationID=c0-4a-00-14-56-f4,SessionCache::checkMaxSessions: user=[Bob] not found in cache due to first time authorization,SessionCache.cpp:1025 2017-01-29 08:33:11,311 DEBUG [Thread-83][] cisco.cpm.prrt.impl.PrRTLoggerImpl -:::::- SessionCache,DEBUG,0x7fe858867700,cntx=0000001335,sesn=pgruszczise22/275051099/8,CPMSessionID=0a3e944f00000e7d588da8a0,user=Bob,CallingStationID=c0-4a-00-14-56-f4,SessionCache::onMaxSessionsAznEvent: sessionID=[0a3e944f00000e7d588da8a0]; user=[Bob] - checkMaxSessions passed,SessionCache.cpp:360 2017-01-29 08:33:11,311 INFO [Thread-83][] cisco.cpm.prrt.impl.PrRTLoggerImpl -:::::- SessionCache,INFO ,0x7fe858867700,cntx=0000001335,sesn=pgruszczise22/275051099/8,CPMSessionID=0a3e944f00000e7d588da8a0,user=Bob,CallingStationID=c0-4a-00-14-56-f4,SessionCache::onMaxSessionsAznEvent: create a new session object sessionID=[0a3e944f00000e7d588da8a0]; user=[Bob],SessionCache.cpp:375
O ISE incrementa o SessionCounter somente depois que recebe o começo da contabilidade para a sessão:
2017-01-29 08:33:11,619 DEBUG [Thread-90][] cisco.cpm.prrt.impl.PrRTLoggerImpl -:::::- Radius,DEBUG,0x7fe858766700,cntx=0000001503,sesn=pgruszczise22/275051099/9,CPMSessionID=0a3e944f00000e7d588da8a0,CallingStationID=c0-4a-00-14-56-f4,FramedIPAddress=10.62.148.141,RADIUS PACKET:: Code=4(AccountingRequest) Identifier=0 Length=279
[1] User-Name - value: [Bob]
[4] NAS-IP-Address - value: [10.62.148.79]
[5] NAS-Port - value: [1]
[8] Framed-IP-Address - value: [10.62.148.141]
[25] Class - value: [****]
[30] Called-Station-ID - value: [80-e0-1d-8b-72-00]
[31] Calling-Station-ID - value: [c0-4a-00-14-56-f4]
[32] NAS-Identifier - value: [WLC7]
[40] Acct-Status-Type - value: [Start]
[44] Acct-Session-Id - value: [588da8a0/c0:4a:00:14:56:f4/3789]
[45] Acct-Authentic - value: [RADIUS]
[55] Event-Timestamp - value: [1485678753]
[61] NAS-Port-Type - value: [Wireless - IEEE 802.11]
[64] Tunnel-Type - value: [(tag=0) VLAN]
[65] Tunnel-Medium-Type - value: [(tag=0) 802]
[81] Tunnel-Private-Group-ID - value: [(tag=0) 481]
[26] cisco-av-pair - value: [audit-session-id=0a3e944f00000e7d588da8a0]
[26] Airespace-Wlan-Id - value: [4] ,RADIUSHandler.cpp:2003
(...)
2017-01-29 08:33:11,654 DEBUG [Thread-83][] cisco.cpm.prrt.impl.PrRTLoggerImpl -:::::- SessionCache,DEBUG,0x7fe858867700,cntx=0000001503,sesn=pgruszczise22/275051099/9,CPMSessionID=0a3e944f00000e7d588da8a0,user=Bob,CallingStationID=c0-4a-00-14-56-f4,FramedIPAddress=10.62.148.141,SessionCache::onAccountingStart: user=[Bob]; sessionID=[0a3e944f00000e7d588da8a0],SessionCache.cpp:537
2017-01-29 08:33:11,655 DEBUG [Thread-83][] cisco.cpm.prrt.impl.PrRTLoggerImpl -:::::- SessionCache,DEBUG,0x7fe858867700,cntx=0000001503,sesn=pgruszczise22/275051099/9,CPMSessionID=0a3e944f00000e7d588da8a0,user=Bob,CallingStationID=c0-4a-00-14-56-f4,FramedIPAddress=10.62.148.141,SessionCache::incrementSessionCounters: user=[Bob] current user session count=[1],SessionCache.cpp:862
Falha da verificação da sessão máxima do usuário:
2017-01-29 08:37:00,534 INFO [Thread-75][] cisco.cpm.prrt.impl.PrRTLoggerImpl -:::::- SessionCache,INFO ,0x7fe858a69700,cntx=0000005011,sesn=pgruszczise22/275051099/15,CPMSessionID=0a3e944f00000e7f588da966,user=Bob,CallingStationID=34-ab-37-60-63-88,SessionCache::onMaxSessionsAznEvent: current global configuration data: auditSessionTtl=[3600], maxUserSessions=[2],SessionCache.cpp:283 2017-01-29 08:37:00,535 INFO [Thread-75][] cisco.cpm.prrt.impl.PrRTLoggerImpl -:::::- SessionCache,INFO ,0x7fe858a69700,cntx=0000005011,sesn=pgruszczise22/275051099/15,CPMSessionID=0a3e944f00000e7f588da966,user=Bob,CallingStationID=34-ab-37-60-63-88,SessionCache::checkMaxSessions: user=[Bob] is not authorized because current active user sessions=[2] >= max-user-sessions=[2],SessionCache.cpp:1010 2017-01-29 08:37:00,535 DEBUG [Thread-75][] cisco.cpm.prrt.impl.PrRTLoggerImpl -:::::- SessionCache,DEBUG,0x7fe858a69700,cntx=0000005011,sesn=pgruszczise22/275051099/15,CPMSessionID=0a3e944f00000e7f588da966,user=Bob,CallingStationID=34-ab-37-60-63-88,SessionCache::onMaxSessionsAznEvent: sessionID=[0a3e944f00000e7f588da966]; user=[Bob] - checkMaxSessions failed,SessionCache.cpp:341 2017-01-29 08:37:00,535 DEBUG [Thread-75][] cisco.cpm.prrt.impl.PrRTLoggerImpl -:::::- RadiusAuthorization,DEBUG,0x7fe858a69700,cntx=0000005011,sesn=pgruszczise22/275051099/15,CPMSessionID=0a3e944f00000e7f588da966,user=Bob,CallingStationID=34-ab-37-60-63-88,RadiusAuthorization::onResponseMaxSessionsAznEvent return from SessionCache,RadiusAuthorization.cpp:371
OpiniãoPrecisa de ajuda
- Open a Support Case
- (Requires a Cisco Service Contract)