O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.
A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.
Este documento descreve como configurar e solucionar problemas de implantação do Identity Services Engine Passive Identity Connector (ISE PIC) com o provedor do Ative Diretory Windows Management Instrumentation (AD WMI). O ISE PIC é uma versão leve do ISE que se concentra nos recursos de ID passiva.
O ISE PIC é uma solução de ID única para todo o portfólio de segurança da Cisco que usa apenas identidade passiva. Significa que a autorização ou as políticas não podem ser configuradas no ISE PIC. Ele suporta diferentes provedores (Agentes, WMI, Syslog, API) e pode ser integrado via API REST. Ele tem habilidades para consultar endpoints (O usuário está conectado? O endpoint ainda está conectado?)
A Cisco recomenda que você tenha conhecimento básico sobre estes tópicos:
Cisco Identity Service Engine
As informações neste documento são baseadas nestas versões de software e hardware:
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
A quantidade máxima de nós na implantação de ISE PIC é 2. Este exemplo mostra como configurar a implantação do ISE PIC para alta disponibilidade, de modo que 2 máquinas virtuais (VMs) são usadas. Em uma implantação de ISE PIC, os nós podem ter funções: Primário e Secundário. Neste, apenas um nó pode ser Primário de cada vez e as funções podem ser alteradas somente manualmente por meio da GUI. Em caso de falha primária, todos os recursos ainda são executados em Secundário, exceto a IU. Somente a promoção manual para Primário habilita a IU.
Este exemplo mostra como configurar o Provedor WMI para o Ative Diretory. A WMI consiste em um conjunto de extensões do Modelo de Driver do Windows que fornece uma interface de sistema operacional através da qual os componentes instrumentados fornecem informações e notificações. WMI é a implementação pela Microsoft dos padrões WBEM (Web-Based Enterprise Management, gerenciamento corporativo baseado na Web) e CIM (Common Information Model, modelo de informações comuns) da DMTF (Distributed Management Task Force, força tarefa de gerenciamento distribuído).
Note: Mais informações sobre a WMI podem ser encontradas no site oficial da Microsoft: Sobre o WMI
As informações no documento usam a configuração de rede mostrada na imagem:
No ISE PIC, é possível somente ativar/desativar as provas de endpoint. O nó primário consulta todos os endpoints, o nó secundário é somente para alta disponibilidade.
A cadeia completa de certificados da autoridade de certificação (AC) deve ser instalada no armazenamento confiável do ISE. Faça login na GUI do ISE PIC e navegue para Certificados > Gerenciamento de Certificados > Certificados Confiáveis. Clique em Importar e selecione o certificado da AC no PC.
Como mostrado na imagem, clique em Enviar para salvar as alterações. Repita essa etapa para todos os certificados da cadeia. Repita as etapas também no nó secundário.
Opção 1. Certificados já gerados pela CA junto com a chave privada.
Navegue até Certificados > Gerenciamento de Certificados > Certificados do Sistema e clique em Importar. Selecione Arquivo de certificado e Arquivo de chave privada, insira o campo Senha se a chave privada estiver criptografada.
Como mostrado na imagem, verifique as opções de uso:
Note: Como o ISE PIC é baseado no código ISE e pode ser facilmente convertido para o ISE completo com licenças apropriadas, todas as opções de uso estão disponíveis. Funções como Autenticação EAP, RADIUS DTLS, SAML e Portal não são usadas pelo ISE PIC.
Clique em Enviar para instalar o certificado. Repita esse procedimento em um nó secundário também.
Note: Todos os serviços no nó PIC do ISE são reiniciados após a importação do certificado do servidor.
Opção 2. Gere uma Solicitação de Assinatura de Certificado (CSR), assine-a com CA e vincule-a ao ISE.
Navegue até a página Certificados > Gerenciamento de Certificados > Solicitações de Assinatura de Certificado e clique em Gerar Solicitações de Assinatura de Certificado (CSR).
Selecione o nó e o uso, insira os outros campos, se necessário:
Clique em Gerar. Nova janela aparece com uma opção para Exportar CSR gerado:
Clique em Exportar, salvar o arquivo *.pem gerado e assiná-lo com CA. Quando o CSR estiver assinado, navegue de volta para a página Certificados > Gerenciamento de Certificados > Solicitações de Assinatura de Certificado, selecione seu CSR e clique em Vincular Certificado:
Selecione o certificado assinado com a AC e clique em Enviar para aplicar as alterações:
Todos os serviços no nó PIC do ISE são reiniciados depois de clicar em Enviar para instalar o certificado.
O ISE PIC permite ter 2 nós em uma implantação para alta disponibilidade. Ele não exige uma confiança bidirecional de certificados (comparando com a implantação usual do ISE). Para adicionar um nó secundário à implantação, navegue até a página Administração > Implantação no nó PIC principal do ISE, como mostrado na imagem:
Insira o Nome de domínio totalmente qualificado (FQDN) do nó secundário, as credenciais do administrador desse nó e clique em Salvar. Caso o nó primário do ISE PIC não possa verificar o certificado de administrador do segundo nó, ele solicita a confirmação antes de instalar esse certificado no armazenamento confiável.
Nesse caso, clique em Importar certificado e em Continuar para aderir ao nó da implementação. Você deve receber uma notificação de que o nó foi adicionado com êxito. Todos os serviços no nó secundário são reiniciados.
Dentro de 10 a 20 minutos, os nós devem ser sincronizados e o status do nó deve ser alterado de
O ISE PIC usa a Instrumentação de Gerenciamento do Windows (WMI) para coletar informações sobre sessões do AD e atua como uma sub-comunidade Pub, o que significa:
Para ingressar no ISE PIC no domínio, navegue até Providers > Ative Diretory e clique em Add:
Preencha os campos Unir Nome do Ponto e Domínio do Ative Diretory e clique em Enviar para salvar as alterações. Join Point Name é um nome usado somente em ISE PIC. Domínio do Ative Diretory é o nome do domínio no qual o ISE PIC deve ser associado e deve ser resolvido com o servidor DNS configurado no ISE PIC.
Após a criação do ponto de união, o PIC do ISE deve perguntar se você deseja ingressar nos nós no domínio. Clique em Sim. Deve aparecer uma janela para que você forneça credenciais para ingressar no domínio:
Preencha os campos Administrador do domínio e Senha e clique em OK.
Embora o campo seja chamado de Administrador de domínio, não é necessário usar o usuário administrador para ingressar no ISE PIC no domínio. Este usuário deve ter privilégios suficientes para criar e remover contas de máquina no domínio ou alterar as senhas de contas de máquina criadas anteriormente. As permissões de conta do Ative Diretory necessárias para executar várias operações podem ser encontradas neste documento.
No entanto, é necessário utilizar as credenciais de Administrador de Domínio durante a adesão se pretender utilizar a WMI. A opção Config WMI requer:
Note: As credenciais de armazenamento sempre são ativadas no ISE PIC, pois são necessárias para as provas de endpoint e a configuração WMI. O ISE os armazena criptografados internamente.
Como mostrado na imagem, ISE PIC mostra o resultado da operação em uma nova janela:
Verificar e ajustar permissões para o usuário no AD de acordo com o documento: Guia de Instalação e Administrador do Identity Passive Identity Connector (ISE-PIC) do Identity Services Engine:
Para o Windows 2008 R2, Windows 2012 e Windows 2012 R2, o grupo Admin de Domínio não tem controle total sobre determinadas chaves de registro no sistema operacional Windows por padrão. O administrador do Ative Diretory deve conceder ao usuário do Ative Diretory permissões de Controle Total na seguinte chave de registro
Na página de domínio do AD, navegue até a guia PassiveID e clique em Adicionar DCs, como mostrado na imagem:
Uma nova janela é exibida e o ISE carrega uma lista de todos os controladores de domínio disponíveis. Selecione DCs nos quais você gostaria de configurar o WMI e clique em OK para salvar as alterações, como mostrado na imagem:
Os DCs selecionados são adicionados à lista de Controladores de Domínio PassivoID. Selecione seus DCs e clique no botão Config WMI:
O ISE PIC mostra uma mensagem de que o processo de configuração está em andamento:
Após alguns minutos, ele mostra uma mensagem de que a WMI foi configurada com êxito em DCs selecionados:
O status da implantação pode ser verificado de algumas maneiras:
Navegue até Administração > Página de implantação, o estado atual da implantação pode ser verificado:
Nessa página, o nó secundário pode cancelar o registro, se necessário. A sincronização manual pode ser iniciada e o Status de sincronização pode ser verificado.
Em uma página principal do ISE PIC, há um dashlet chamado Assinantes. Com este dashlet, você pode verificar o status atual dos nós PIC do ISE, como mostrado na imagem:
O ISE PIC cria 2 assinantes para cada nó - admin e mnt. Todos devem estar no status Online, o que significa que os nós são alcançáveis e operacionais.
A página Assinantes é uma versão estendida do dashlet de assinantes da página inicial do ISE PIC. Esta página mostra todos os pxGrid relacionados, no entanto, o status dos nós PIC do ISE também pode ser verificado aqui:
O ISE PIC permite monitorar o Resumo da integridade dos nós também. Este dashlet pode ser encontrado em Home > Dashboard > Additional:
A latência de autenticação é sempre 0ms, pois o ISE PIC não executa autenticações/autorizações.
Os status dos provedores, sua quantidade e quantidade de sessões encontradas podem ser verificados enquanto você navega para Home > Dashboard page:
Informações detalhadas sobre todas as sessões de usuários encontradas podem ser encontradas na página Sessões ao Vivo:
Contém informações como:
Para solucionar problemas de implantação e replicação, examine esses arquivos de log:
Para habilitar as depurações, navegue para Administration > Logging > Debug Log Configuration:
Essas depurações são gravadas no arquivo Replication.log. Aqui está um exemplo de um processo de replicação normal:
2017-02-24 10:11:06,893 INFO [pool-215-thread-1][] cisco.cpm.deployment.replication.PublisherImpl -::::- Calling the publisher job from clusterstate processor
2017-02-24 10:11:06,893 DEBUG [pool-214-thread-1][] cisco.cpm.deployment.replication.PublisherImpl -::::- Started executing publisher job
2017-02-24 10:11:06,894 DEBUG [pool-214-thread-1][] cisco.cpm.deployment.replication.PublisherImpl -::::- Number of messages with no sequence number is 0
2017-02-24 10:11:06,894 DEBUG [pool-214-thread-1][] cisco.cpm.deployment.replication.PublisherImpl -::::- Finished executing publisher job
2017-02-24 10:11:06,895 DEBUG [pool-214-thread-1][] api.services.persistance.dao.ChangeDataDaoImpl -::::- Data returned in getMinMaxBySequence method=[id=[63ce2fe0-f8cd-11e6-b0ad-005056991a2e],startTime=[0],endTime=[0],applied=[false],data length=[794],sequenceNumber=[502]2017-02-22 08:06:10.782]
2017-02-24 10:11:06,895 DEBUG [pool-214-thread-1][] api.services.persistance.dao.ChangeDataDaoImpl -::::- Data returned in getMinMaxBySequence method=[id=[3ded93c0-fa70-11e6-b684-005056990fbb],startTime=[0],endTime=[0],applied=[false],data length=[794],sequenceNumber=[1600]2017-02-24 10:04:26.364]
2017-02-24 10:11:06,895 DEBUG [pool-214-thread-1][] cisco.cpm.deployment.replication.ClientNodeProxy -::::- Calling setClusterState(name: ise22-pic-1, minSequence: 502, sequence: 1600, active: {ise22-pic-1-5015})
2017-02-24 10:11:06,896 INFO [pool-214-thread-1][] cisco.cpm.deployment.replication.PublisherImpl -::::- Finished sending the clusterState !!!
2017-02-24 10:11:06,899 DEBUG [pool-216-thread-1][] cisco.cpm.deployment.replication.NodeStateMonitorImpl -:::NodeStateMonitor:- MonitorJob starting
2017-02-24 10:11:06,901 DEBUG [pool-216-thread-1][] cisco.cpm.deployment.replication.ClientNodeProxy -:::NodeStateMonitor:- Calling getNodeStates()
2017-02-24 10:11:06,904 INFO [pool-216-thread-1][] cisco.cpm.deployment.replication.NodeStateMonitorImpl -:::NodeStateMonitor:- Nodes in distrubution: {ise22-pic-2=nodeName: ise22-pic-2, status: SYNC COMPLETED, transientStatus: , lastStatusTime: 1487927436906, seqNumber: 1600, createTime: 2017-02-24 10:04:26.364} --- Nodes in cluster: [name: ise22-pic-2, Address: ise22-pic-2-38077, sequence: 1600, createtime: 2017-02-24 10:04:26.364]
2017-02-24 10:11:06,904 DEBUG [pool-216-thread-1][] cisco.cpm.deployment.replication.NodeStateMonitorImpl -:::NodeStateMonitor:- Adding [ nodeName: ise22-pic-2, status: SYNC COMPLETED, transientStatus: , lastStatusTime: 1487927436906, seqNumber: 1600, createTime: 2017-02-24 10:04:26.364 ] to liveDeploymentMembers
2017-02-24 10:11:06,905 DEBUG [pool-216-thread-1][] api.services.persistance.dao.ChangeDataDaoImpl -:::NodeStateMonitor:- Data returned in getMinMaxBySequence method=[id=[63ce2fe0-f8cd-11e6-b0ad-005056991a2e],startTime=[0],endTime=[0],applied=[false],data length=[794],sequenceNumber=[502]2017-02-22 08:06:10.782]
2017-02-24 10:11:06,905 DEBUG [pool-216-thread-1][] api.services.persistance.dao.ChangeDataDaoImpl -:::NodeStateMonitor:- Data returned in getMinMaxBySequence method=[id=[3ded93c0-fa70-11e6-b684-005056990fbb],startTime=[0],endTime=[0],applied=[false],data length=[794],sequenceNumber=[1600]2017-02-24 10:04:26.364]
2017-02-24 10:11:06,905 INFO [pool-216-thread-1][] cisco.cpm.deployment.replication.NodeStateMonitorImpl -:::NodeStateMonitor:- Primary node current status minmum sequence[ 1600 ], cluster state: [ name: ise22-pic-1, minSequence: 502, sequence: 1600, active: {ise22-pic-1-5015} ]
2017-02-24 10:11:06,905 DEBUG [pool-216-thread-1][] cisco.cpm.deployment.replication.NodeStateMonitorImpl -:::NodeStateMonitor:- Processing node state [ name: ise22-pic-2, Address: ise22-pic-2-38077, sequence: 1600, createtime:2017-02-24 10:04:26.364 ]
2017-02-24 10:11:06,905 DEBUG [pool-216-thread-1][] cisco.cpm.deployment.replication.NodeStateMonitorImpl -:::NodeStateMonitor:- ise22-pic-2 - [ nodeName: ise22-pic-2, status: SYNC COMPLETED, transientStatus: , lastStatusTime: 1487927436906, seqNumber: 1600, createTime: 2017-02-24 10:04:26.364 ]
2017-02-24 10:11:06,905 DEBUG [pool-216-thread-1][] cisco.cpm.deployment.replication.NodeStateMonitorImpl -:::NodeStateMonitor:- Adding nodeName: ise22-pic-2, status: SYNC COMPLETED, transientStatus: , lastStatusTime: 1487927436906, seqNumber: 1600, createTime: 2017-02-24 10:04:26.364 to liveJGroupMembers
2017-02-24 10:11:06,905 INFO [pool-216-thread-1][] cisco.cpm.deployment.replication.NodeStateMonitorImpl -:::NodeStateMonitor:- No Of deployedNodes: [ 1 ], No Of liveJGroupNodes: [ 1 ], deadOrSyncInPrgMembersExist: [ false ], latestMinSequence: [ 502 ]
2017-02-24 10:11:06,905 DEBUG [pool-216-thread-1][] cisco.cpm.deployment.replication.NodeStateMonitorImpl -:::NodeStateMonitor:- deadOrSyncInPrgMembersExist =[false], minSequence=[1598],clusterState=[502]
Uma mensagem do ise-psc.log:
2017-02-24 10:19:36,902 INFO [pool-216-thread-1][] api.services.persistance.dao.DistributionDAO -:::NodeStateMonitor:- Host Name: ise22-pic-2, DB 'SEC_REPLICATIONSTATUS' = SYNC COMPLETED, Node Persona: SECONDARY, ReplicationStatus obj status: SYNC_COMPLETED
Se o nó secundário ficar inacessível, ele será exibido na página Administração > Implantação:
ise-psc.log contém esta mensagem:
2017-02-24 10:43:21,587 INFO [admin-http-pool155][] admin.restui.features.deployment.DeploymentIDCUIApi -::::- Replication status for node ise22-pic-2 = NODE NOT REACHABLE
Esta mensagem explica o que não pode ser alcançado, por exemplo, o nó não responde ao ping:
2017-02-24 11:03:53,359 INFO [counterscheduler-call-1][] cisco.cpm.infrastructure.utils.GenericUtil -::::- Received pingNode response : Node is reachable
Ações a tomar: verifique se o FQDN do nó sofisticado é resolvível, verifique a conectividade básica de rede entre os nós.
Caso os aplicativos não estejam em estado de execução no nó secundário ou haja um firewall entre os nós, o ise-psc.log pode mostrar essas mensagens:
2017-02-24 11:08:14,656 INFO [Thread-10][] com.cisco.epm.util.NodeCheck -::::- Now checking against secondary pap ise22-pic-2 2017-02-24 11:08:14,656 INFO [Thread-10][] com.cisco.epm.util.NodeCheckHelper -::::- inside getHostConfigRemoteServer 2017-02-24 11:08:14,766 WARN [Thread-10][] deployment.client.cert.validator.HttpsCertPathValidatorImpl -::::- Error while connecting to host: ise22-pic-2.vkumov.local. java.net.ConnectException: Connection refused 2017-02-24 11:08:14,871 WARN [Thread-10][] com.cisco.epm.util.NodeCheckHelper -::::- Unable to retrieve the host config from standby pap java.net.ConnectException: Connection refused 2017-02-24 11:08:14,871 WARN [Thread-10][] com.cisco.epm.util.NodeCheckHelper -::::- returning null from getHostConfigRemoteServer 2017-02-24 11:08:14,871 INFO [Thread-10][] com.cisco.epm.util.NodeCheck -::::- remotePrimaryConfig.getNodeRoleStatus() NULL 2017-02-24 11:08:14,871 INFO [Thread-10][] com.cisco.epm.util.NodeCheck -::::- remoteClusterInfo.getDeploymentName NULL
Ações a tomar: verificar o status do aplicativo no nó secundário, verificar a conectividade da rede se todas as conexões são permitidas entre os nós.
Para solucionar problemas do Ative Diretory, a WMI examina esses arquivos:
E as depurações úteis podem ser ativadas em Administração > Registro > Configuração do registro de depuração:
E:
Aqui está um exemplo de uma nova sessão aprendida de passive-wmi.log com depurações habilitadas:
2017-02-24 11:36:22,584 DEBUG [Thread-11][] com.cisco.idc.dc-probe- New login event retrieved from Domain Controller. Identity Mapping.ticket = instance of __InstanceCreationEvent { SECURITY_DESCRIPTOR = {1, 0, 20, 128, 96, 0, 0, 0, 112, 0, 0, 0, 0, 0, 0, 0, 20, 0, 0, 0, 2, 0, 76, 0, 3, 0, 0, 0, 0, 0, 20, 0, 69, 0, 15, 0, 1, 1, 0, 0, 0, 0, 0, 5, 18, 0, 0, 0, 0, 0, 24, 0, 69, 0, 0, 0, 1, 2, 0, 0, 0, 0, 0, 5, 32, 0, 0, 0, 32, 2, 0, 0, 0, 0, 24, 0, 65, 0, 0, 0, 1, 2, 0, 0, 0, 0, 0, 5, 32, 0, 0, 0, 61, 2, 0, 0, 1, 2, 0, 0, 0, 0, 0, 5, 32, 0, 0, 0, 32, 2, 0, 0, 1, 1, 0, 0, 0, 0, 0, 5, 18, 0, 0, 0}; TargetInstance = instance of Win32_NTLogEvent { Category = 14339; CategoryString = "Kerberos Authentication Service"; ComputerName = "MainDC.vkumov.local"; EventCode = 4768; EventIdentifier = 4768; EventType = 4; InsertionStrings = {"Administrator", "vkumov.local", "S-1-5-21-2952046201-2792970045-1866348404-500", "krbtgt", "S-1-5-21-2952046201-2792970045-1866348404-502", "0x40810010", "0x0", "0x12", "2", "::1", "0", "", "", ""}; Logfile = "Security"; Message = "A Kerberos authentication ticket (TGT) was requested. \n \nAccount Information: \n\tAccount Name:\t\tAdministrator \n\tSupplied Realm Name:\tvkumov.local \n\tUser ID:\t\t\tS-1-5-21-2952046201-2792970045-1866348404-500 \n \nService Information: \n\tService Name:\t\tkrbtgt \n\tService ID:\t\tS-1-5-21-2952046201-2792970045-1866348404-502 \n \nNetwork Information: \n\tClient Address:\t\t::1 \n\tClient Port:\t\t0 \n \nAdditional Information: \n\tTicket Options:\t\t0x40810010 \n\tResult Code:\t\t0x0 \n\tTicket Encryption Type:\t0x12 \n\tPre-Authentication Type:\t2 \n \nCertificate Information: \n\tCertificate Issuer Name:\t\t \n\tCertificate Serial Number:\t \n\tCertificate Thumbprint:\t\t \n \nCertificate information is only provided if a certificate was used for pre-authentication. \n \nPre-authentication types, ticket options, encryption types and result codes are defined in RFC 4120."; RecordNumber = 918032; SourceName = "Microsoft-Windows-Security-Auditing"; TimeGenerated = "20170224103621.575178-000"; TimeWritten = "20170224103621.575178-000"; Type = "Audit Success"; }; TIME_CREATED = "131324061825752057"; }; , Identity Mapping.dc-domainname = vkumov.local , Identity Mapping.dc-connection-type = Current events , Identity Mapping.dc-name = MainDC.vkumov.local , Identity Mapping.dc-host = MainDC.vkumov.local/10.48.26.52 , 2017-02-24 11:36:22,587 DEBUG [Thread-11][] com.cisco.idc.dc-probe- Replaced local IP. Identity Mapping.ticket = instance of __InstanceCreationEvent { SECURITY_DESCRIPTOR = {1, 0, 20, 128, 96, 0, 0, 0, 112, 0, 0, 0, 0, 0, 0, 0, 20, 0, 0, 0, 2, 0, 76, 0, 3, 0, 0, 0, 0, 0, 20, 0, 69, 0, 15, 0, 1, 1, 0, 0, 0, 0, 0, 5, 18, 0, 0, 0, 0, 0, 24, 0, 69, 0, 0, 0, 1, 2, 0, 0, 0, 0, 0, 5, 32, 0, 0, 0, 32, 2, 0, 0, 0, 0, 24, 0, 65, 0, 0, 0, 1, 2, 0, 0, 0, 0, 0, 5, 32, 0, 0, 0, 61, 2, 0, 0, 1, 2, 0, 0, 0, 0, 0, 5, 32, 0, 0, 0, 32, 2, 0, 0, 1, 1, 0, 0, 0, 0, 0, 5, 18, 0, 0, 0}; TargetInstance = instance of Win32_NTLogEvent { Category = 14339; CategoryString = "Kerberos Authentication Service"; ComputerName = "MainDC.vkumov.local"; EventCode = 4768; EventIdentifier = 4768; EventType = 4; InsertionStrings = {"Administrator", "vkumov.local", "S-1-5-21-2952046201-2792970045-1866348404-500", "krbtgt", "S-1-5-21-2952046201-2792970045-1866348404-502", "0x40810010", "0x0", "0x12", "2", "::1", "0", "", "", ""}; Logfile = "Security"; Message = "A Kerberos authentication ticket (TGT) was requested. \n \nAccount Information: \n\tAccount Name:\t\tAdministrator \n\tSupplied Realm Name:\tvkumov.local \n\tUser ID:\t\t\tS-1-5-21-2952046201-2792970045-1866348404-500 \n \nService Information: \n\tService Name:\t\tkrbtgt \n\tService ID:\t\tS-1-5-21-2952046201-2792970045-1866348404-502 \n \nNetwork Information: \n\tClient Address:\t\t::1 \n\tClient Port:\t\t0 \n \nAdditional Information: \n\tTicket Options:\t\t0x40810010 \n\tResult Code:\t\t0x0 \n\tTicket Encryption Type:\t0x12 \n\tPre-Authentication Type:\t2 \n \nCertificate Information: \n\tCertificate Issuer Name:\t\t \n\tCertificate Serial Number:\t \n\tCertificate Thumbprint:\t\t \n \nCertificate information is only provided if a certificate was used for pre-authentication. \n \nPre-authentication types, ticket options, encryption types and result codes are defined in RFC 4120."; RecordNumber = 918032; SourceName = "Microsoft-Windows-Security-Auditing"; TimeGenerated = "20170224103621.575178-000"; TimeWritten = "20170224103621.575178-000"; Type = "Audit Success"; }; TIME_CREATED = "131324061825752057"; }; , Identity Mapping.dc-domainname = vkumov.local , Identity Mapping.dc-connection-type = Current events , Identity Mapping.probe = WMI , Identity Mapping.event-local-ip-address = ::1 , Identity Mapping.dc-name = MainDC.vkumov.local , Identity Mapping.dc-host = MainDC.vkumov.local/10.48.26.52 , Identity Mapping.server = ise22-pic-2 , Identity Mapping.event-ip-address = 10.48.26.52 , 2017-02-24 11:36:22,589 DEBUG [Thread-11][] com.cisco.idc.dc-probe- Received login event. Identity Mapping.ticket = instance of __InstanceCreationEvent { SECURITY_DESCRIPTOR = {1, 0, 20, 128, 96, 0, 0, 0, 112, 0, 0, 0, 0, 0, 0, 0, 20, 0, 0, 0, 2, 0, 76, 0, 3, 0, 0, 0, 0, 0, 20, 0, 69, 0, 15, 0, 1, 1, 0, 0, 0, 0, 0, 5, 18, 0, 0, 0, 0, 0, 24, 0, 69, 0, 0, 0, 1, 2, 0, 0, 0, 0, 0, 5, 32, 0, 0, 0, 32, 2, 0, 0, 0, 0, 24, 0, 65, 0, 0, 0, 1, 2, 0, 0, 0, 0, 0, 5, 32, 0, 0, 0, 61, 2, 0, 0, 1, 2, 0, 0, 0, 0, 0, 5, 32, 0, 0, 0, 32, 2, 0, 0, 1, 1, 0, 0, 0, 0, 0, 5, 18, 0, 0, 0}; TargetInstance = instance of Win32_NTLogEvent { Category = 14339; CategoryString = "Kerberos Authentication Service"; ComputerName = "MainDC.vkumov.local"; EventCode = 4768; EventIdentifier = 4768; EventType = 4; InsertionStrings = {"Administrator", "vkumov.local", "S-1-5-21-2952046201-2792970045-1866348404-500", "krbtgt", "S-1-5-21-2952046201-2792970045-1866348404-502", "0x40810010", "0x0", "0x12", "2", "::1", "0", "", "", ""}; Logfile = "Security"; Message = "A Kerberos authentication ticket (TGT) was requested. \n \nAccount Information: \n\tAccount Name:\t\tAdministrator \n\tSupplied Realm Name:\tvkumov.local \n\tUser ID:\t\t\tS-1-5-21-2952046201-2792970045-1866348404-500 \n \nService Information: \n\tService Name:\t\tkrbtgt \n\tService ID:\t\tS-1-5-21-2952046201-2792970045-1866348404-502 \n \nNetwork Information: \n\tClient Address:\t\t::1 \n\tClient Port:\t\t0 \n \nAdditional Information: \n\tTicket Options:\t\t0x40810010 \n\tResult Code:\t\t0x0 \n\tTicket Encryption Type:\t0x12 \n\tPre-Authentication Type:\t2 \n \nCertificate Information: \n\tCertificate Issuer Name:\t\t \n\tCertificate Serial Number:\t \n\tCertificate Thumbprint:\t\t \n \nCertificate information is only provided if a certificate was used for pre-authentication. \n \nPre-authentication types, ticket options, encryption types and result codes are defined in RFC 4120."; RecordNumber = 918032; SourceName = "Microsoft-Windows-Security-Auditing"; TimeGenerated = "20170224103621.575178-000"; TimeWritten = "20170224103621.575178-000"; Type = "Audit Success"; }; TIME_CREATED = "131324061825752057"; }; , Identity Mapping.dc-domainname = vkumov.local , Identity Mapping.dc-connection-type = Current events , Identity Mapping.probe = WMI , Identity Mapping.event-local-ip-address = ::1 , Identity Mapping.dc-name = MainDC.vkumov.local , Identity Mapping.event-user-name = Administrator , Identity Mapping.dc-host = MainDC.vkumov.local/10.48.26.52 , Identity Mapping.server = ise22-pic-2 , Identity Mapping.event-ip-address = 10.48.26.52 ,
Exemplo de verificação de ponto de extremidade de passive-endpoint.log (nesse caso, o ponto de extremidade não pôde ser alcançado do ISE):
2017-02-23 13:48:29,298 INFO [EndPointProbe-Workers-Check-2][] com.cisco.idc.endpoint-probe- [PsExec-10.48.26.51] is User=vkumov.local/Administrator Still There ? ... 2017-02-23 13:48:32,335 INFO [EndPointProbe-Workers-Check-2][] com.cisco.idc.endpoint-probe- [PsExec-10.48.26.51] Identity check result is - > Endpoint UNREACHABLE
Se o usuário usado para ingressar no ISE PIC no domínio não tiver permissões suficientes, o ISE PIC emitirá um erro durante a configuração do WMI:
As depurações apropriadas podem ser encontradas no arquivo ad_agent.log (o nível de log do Ative Diretory deve ser definido como DEBUG):
26/02/2017 19:15:45,VERBOSE,139954093012736,SMBGSSContextNegotiate: state = 1,lwio/server/smbcommon/smbkrb5.c:460 26/02/2017 19:15:45,VERBOSE,139956055955200,Session 0x7f49bc001430 is eligible for reaping,lwio/server/rdr/session2.c:290 26/02/2017 19:15:45,VERBOSE,139954101405440,Error at ../../lsass/server/auth-providers/ad-open-provider/provider-main.c:7503 [code: C0000022],lsass/server/auth-providers/ad-open-provider/provider-main.c:7503 26/02/2017 19:15:45,VERBOSE,139954101405440,Extended Error code: 60190 (symbol: LW_ERROR_ISEEXEC_CP_OPEN_REMOTE_FILE),lsass/server/auth-providers/ad-open-provider/provider-main.c:7627 26/02/2017 19:15:45,VERBOSE,139954101405440,Error at ../../lsass/server/auth-providers/ad-open-provider/provider-main.c:7628 [code: C0000022],lsass/server/auth-providers/ad-open-provider/provider-main.c:7628 26/02/2017 19:15:45,VERBOSE,139954101405440,Error code: 5 (symbol: ERROR_ACCESS_DENIED),lsass/server/auth-providers/ad-open-provider/provider-main.c:7782 26/02/2017 19:15:45,VERBOSE,139954101405440,Error code: 5 (symbol: ERROR_ACCESS_DENIED),lsass/server/auth-providers/ad-open-provider/provider-main.c:7855 26/02/2017 19:15:45,VERBOSE,139954101405440,Error code: 5 (symbol: ERROR_ACCESS_DENIED),lsass/server/api/api2.c:2713 26/02/2017 19:15:45,VERBOSE,139956064347904,(session:ee880a4e15e682f4-08401b84f371a140) Dropping: LWMSG_STATUS_PEER_CLOSE,lwmsg/src/peer-task.c:625 26/02/2017 19:15:50,VERBOSE,139956055955200,RdrSocketRelease(0x7f496800b6e0, 38): socket is eligible for reaping,lwio/server/rdr/socket.c:2239
Ações a executar: Reingressar nos nós PIC do ISE no domínio com credenciais de Administrador de Domínio ou adicionar o usuário que é usado para a operação de adesão ao grupo Administradores de Domínio no AD.