此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。
思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。
本文档介绍安全评估无重定向流程(从ISE v2.2开始)与更早的ISE版本支持的安全评估重定向流程进行比较。
Cisco 建议您了解以下主题:
本文档中的信息基于以下软件和硬件版本:
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
本文档介绍身份服务引擎(ISE)2.2中引入的一项新功能,该功能允许ISE支持安全评估流程,而无需在网络访问设备(NAD)或ISE上进行任何类型的重定向支持。
终端安全评估是Cisco ISE的核心组件。作为组件的状态可以用三个主要元素表示:
注意:本文档基于Anyconnect ISE终端安全评估模块,该模块是唯一一个完全支持终端安全评估而不重定向的模块。
在ISE 2.2之前的流量安全评估中,NAD不仅用于验证用户和限制访问,还用于向代理软件提供有关必须联系的特定ISE节点的信息。在重定向过程中,有关ISE节点的信息会返回到代理软件。
过去,重定向支持(在NAD或ISE端)是终端安全评估实施的基本要求。在ISE 2.2中,初始客户端调配和安全评估流程不再需要支持重定向。
无重定向的客户端调配 — 在ISE 2.2中,您可以直接通过门户完全限定域名(FQDN)访问客户端调配门户(Client Provisioning Portal, CPP)。 这类似于您访问发起人门户或我的设备门户。
无重定向的安全评估流程 — 代理安装期间,从CPP门户保存有关ISE服务器的信息在客户端,使直接通信成为可能。
此图显示了ISE 2.2之前的Anyconnect ISE终端安全评估模块流的逐步说明:
图 1-1
步骤1.身份验证是流程的第一步,可以是dot1x、MAB或VPN。
步骤2. ISE需要为用户选择身份验证和授权策略。在安全评估方案中,所选授权策略必须包含对安全评估状态的引用,该引用最初必须为未知或不适用。要同时涵盖这两种情况,可以使用状况状态为不等合规性的条件。
所选授权配置文件必须包含有关重定向的信息:
例如,ASA在重定向ACL之前始终会处理DACL。同时,某些交换机平台处理流量的方式与ASA相同,而其他交换机平台首先处理重定向ACL,然后在必须丢弃或允许流量时检查DACL/接口ACL。
注意:在授权配置文件中启用Web重定向选项后,必须选择重定向的目标门户。
步骤3. ISE返回具有授权属性的Access-Accept。授权属性中的重定向URL由ISE自动生成。它包含以下组件:
如果使用静态值,则必须指向处理身份验证的同一ISE节点。
对于负载均衡器(LB),此FQDN可以指向LB VIP,但仅当LB配置为将Radius和SSL连接结合在一起时。
步骤4.NAD将授权策略应用于会话。此外,如果配置了DACL,则在应用授权策略之前请求其内容。
重要注意事项:
show authentication session interface details
,才能成功应用重定向和ACL。客户端IP地址通过IP设备跟踪功能(IPDT)获取。
步骤5.客户端发送DNS请求,请求输入Web浏览器中的FQDN。在此阶段,DNS流量必须绕过重定向,DNS服务器必须返回正确的IP地址。
步骤6.客户端将TCP SYN发送到DNS应答中收到的IP地址。数据包中的源IP地址是客户端IP,而目的IP地址是所请求资源的IP。目标端口等于80,但在客户端Web浏览器中配置直接HTTP代理的情况除外。
第7.NAD拦截客户端请求并准备SYN-ACK数据包,其中源IP等于请求的资源IP,目标IP等于客户端IP,源端口等于80。
重要注意事项:
在此场景中,数据包通过L3基础设施路由,并且必须通过L3上游设备路由回客户端。
如果L3设备是有状态防火墙,则必须为此类非对称路由提供额外的例外情况。
步骤8.客户端通过ACK完成TCP三次握手。
步骤9.客户端发送目标资源的HTTP GET。
步骤10. NAD使用HTTP代码302(页面已移动)向客户端返回重定向URL,对于某些NAD重定向,可以在位置报头中的HTTP 200 OK消息内返回。
图 1-2
步骤11.客户端从重定向URL发送FQDN的DNS请求。FQDN必须在DNS服务器端可解析。
步骤12.通过重定向URL中接收的端口建立SSL连接(默认值为8443)。 此连接受来自ISE端的门户证书保护。向用户提供客户端调配门户(CPP)。
第13步:在为客户端提供下载选项之前,ISE必须选择目标客户端调配(CP)策略。从身份验证会话(如AD/LDAP组等)检索从浏览器用户代理检测到的客户端的操作系统(OS)以及CPP策略选择所需的其他信息。ISE通过重定向URL中显示的会话ID了解目标会话。
步骤14.网络设置助手(NSA)下载链接返回到客户端。客户端下载应用。
注意:通常,您可以将NSA视为Windows和Android自带设备流程的一部分,但也可以使用此应用程序从ISE安装Anyconnect或其组件。
步骤15.用户运行NSA应用。
步骤16. NSA将第一个发现探测 — HTTP /auth/discovery发送到默认网关。因此,NSA预计会重定向URL。
注意:对于MAC OS设备上的VPN连接,此探测功能将被忽略,因为MAC OS在VPN适配器上没有默认网关。
步骤17.如果第一个探测功能失败,NSA将发送第二个探测。第二个探测是HTTP GET /auth/discovery到enroll.cisco.com
。此FQDN必须由DNS服务器成功解析。在使用拆分隧道的VPN场景中,必须通过隧道路由要传送的流量enroll.cisco.com
。
步骤18.如果任何探测成功,NSA使用从redirect-url获取的信息通过端口8905建立SSL连接。此连接受ISE管理员证书保护。在此连接内,NSA下载Anyconnect。
重要注意事项:
ip host
CLI命令)。这可能导致主题名称(SN)/主题备用名称(SAN)验证出现问题。例如,如果客户端从接口G1重定向到FQDN,则系统FQDN可以与8905通信证书的重定向URL中的FQDN不同。作为此方案的解决方案,您可以在管理员证书SAN字段中添加其他接口的FQDN,也可以在管理员证书中使用通配符。图 1-3
第19步:启动Anyconnect ISE终端安全评估流程。
Anyconnect ISE终端安全评估模块在以下任一情况下启动:
步骤20.在此阶段,Anyconnect ISE终端安全评估模块启动策略服务器检测。这通过一系列同时由Anyconnect ISE终端安全评估模块发送的探测实现。
enroll.cisco.com
。此FQDN需要由DNS服务器成功解析。在使用拆分隧道的VPN场景中,必须通过隧道路由要传送的流量enroll.cisco.com
。探测的预期结果为redirect-url。注意:由于此探测功能,即使在某些情况下不进行工作重定向,也可以成功完成终端安全评估。无重定向的成功状况要求验证会话的当前PSN必须与之前成功连接的PSN相同。请记住,在ISE 2.2之前,无重定向的成功终端安全评估更多是例外而非规则。
以下步骤说明在由于其中一个探测功能而收到重定向URL(以字母a标记的流)时的状态过程。
步骤21. Anyconnect ISE终端安全评估模块使用发现阶段检索的URL建立到客户端调配门户的连接。在此阶段,ISE使用来自已身份验证会话的信息再次进行客户端调配策略验证。
第22步:如果检测到客户端调配策略,ISE将返回重定向到端口8905。
步骤23.代理通过端口8905建立到ISE的连接。在此连接期间,ISE返回状态配置文件、合规性模块和anyconnect更新的URL。
图 1-4
第24步:从ISE下载AC ISE终端安全评估模块配置。
第25步:如有需要,更新下载和安装。
第26步:AC ISE终端安全评估模块收集有关系统的初始信息(如操作系统版本、已安装的安全产品及其定义版本)。 在此阶段,AC ISE终端安全评估模块涉及OPSWAT API,用于收集有关安全产品的信息。收集的数据将发送到ISE。作为对此请求的回复,ISE提供安全评估要求列表。由于状态策略处理,需求列表被选定。要匹配正确的策略,ISE使用设备操作系统版本(存在于请求中)和会话ID值选择其他所需的属性(AD/LDAP组)。 会话ID值也由客户端发送。
步骤27.在此步骤中,客户端涉及OPSWAT呼叫和其他机制来检查状况要求。包含要求列表及其状态的最终报告将发送到ISE。ISE需要做出有关终端合规性状态的最终决策。如果在此步骤中终端标记为不合规,将返回一组补救操作。对于合规性终端,ISE将合规性状态写入会话,并且如果配置了终端安全评估租用,则将最后一个终端安全评估时间戳放入终端属性。终端安全评估结果将发送回终端。在状况重新评估(PRA)情况下,PRA的时间也由ISE放入此数据包。
在不符合的情形中,请考虑以下几点:
注意:当安全产品必须与外部资源(内部/外部更新服务器)通信时,必须确保在Redirect-ACL/DACL中允许此通信。
第28步:ISE向NAD发送COA请求,NAD必须为用户触发新身份验证。NAD必须通过COA ACK确认此请求。请记住,对于VPN案例,使用COA推送,因此不会发送新的身份验证请求。相反,ASA会从会话中删除之前的授权参数(重定向URL、重定向ACL和DACL),并从COA请求应用新参数。
步骤29.用户的新身份验证请求。
重要注意事项:
步骤30.在ISE端根据终端安全评估状态选择新的授权策略。
步骤31.将具有新授权属性的Access-Accept发送到NAD。
下一个流程描述了以下场景:任何终端安全评估探测未检索重定向URL(用字母b标记),并且之前连接的PSN已由最后一个探测查询。此处的所有步骤与重定向URL的情况完全相同,只不过重播由PSN作为探测4的结果而返回。如果此探测位于当前身份验证会话的所有者的同一PSN上,则重播包含会话ID值,该值稍后由终端安全评估代理用于完成该过程。如果之前连接的前端与当前会话所有者不同,会话查找会失败,并且空响应返回到AC ISE终端安全评估模块。最终结果是,将消息No Policy Server Detected
“返回”给最终用户。
图 1-5
ISE 2.2及更高版本同时支持重定向和无重定向的流。这是无重定向状态流的详细解释:
图 2-1
步骤1.身份验证是流程的第一步。它可以是dot1x、MAB或VPN。
第2步:ISE必须为用户选择身份验证和授权策略。在安全评估中,所选授权策略必须包含对安全评估状态的引用,该引用最初必须为未知或不适用。要涵盖这两种情况,可以使用状况状态不相等的条件。对于没有重定向的状况不需要在授权配置文件中使用任何Web重定向配置。您仍然可以考虑使用DACL或空域ACL来限制用户访问安全评估状态不可用的阶段。
第3步:ISE返回具有授权属性的Access-Accept。
步骤4.如果在Access-Accept中返回DACL名称,则NAD启动DACL内容下载,并在获得授权配置文件后将其应用于会话。
步骤5.新方法假设无法重定向,因此用户必须手动输入客户端调配门户FQDN。必须在ISE端的门户配置中定义CPP门户的FQDN。从DNS服务器的角度来看,A记录必须指向已启用PSN角色的ISE服务器。
第6步:客户端发送HTTP以获取客户端调配门户FQDN,此请求在ISE端解析,并将完整的门户URL返回给客户端。
图 2-2
第7步:通过重定向URL中接收的端口建立SSL连接(默认8443)。 此连接受来自ISE端的门户证书保护。向用户显示客户端调配门户(CPP)。
步骤8.在此步骤中,在ISE上发生两个事件:
注意:根据数据包中的源IP与会话中的成帧IP地址之间的匹配来检索会话。ISE通常从临时记帐更新中检索成帧的IP地址,因此要求在NAD端启用记帐。此外,您必须记住,SSO仅在拥有会话的节点上可用。例如,如果会话在PSN 1上进行身份验证,但FQDN本身指向PSN2,则SSO机制将失败。
注意:由于Cisco Bug ID CSCvd11574,当外部用户是添加到外部身份库配置中的多个AD/LDAP组成员时,您会看到非SSO案例的客户端调配策略选择时出现错误。上述缺陷是从ISE 2.3 FCS开始修复的,并且修复要求在AD组的条件下使用CONTAINS而不是EQUAL。
第9步:选择客户端调配策略后,ISE向用户显示代理下载URL。点击下载NSA后,应用将被推送到用户。NSA文件名包含CPP门户的FQDN。
步骤10.在此步骤中,NSA运行探测功能建立到ISE的连接。两个探测功能是传统探测功能,第三个探测功能旨在允许在不进行url重定向的环境中进行ISE发现。
enroll.cisco.com
。此FQDN必须由DNS服务器成功解析。在使用拆分隧道的VPN场景中,必须通过隧道路由要传送的流量enroll.cisco.com
。
步骤11. NSA下载Anyconnect和/或特定模块。下载过程通过客户端调配门户端口完成。
图 2-3
步骤12.在ISE 2.2中,终端安全评估流程分为两个阶段。第一阶段包含一组传统状态发现探测功能,以支持与依赖url重定向的部署向后兼容。
步骤 13 第一阶段包含所有传统状态发现探测。要获取有关探测功能的详细信息,请查看ISE 2.2之前安全评估流程中的步骤20。
第14步。第2阶段包含两个发现探测,允许AC ISE终端安全评估模块建立到PSN的连接,其中会话在不支持重定向的环境中进行身份验证。在第二阶段,所有探测都是连续的。
ISEPostureCFG.xml
,可在文件夹 — 中找到此文件C:\ProgramData\Cisco\Cisco AnyConnect Secure Mobility Client\ISE Posture\
。/auth/ng-discovery
找。它还包含客户端IP和MAC列表。PSN会话收到此消息后,首先在本地执行查找(此查找使用来自AC ISE终端安全评估模块发送的请求的IP和MAC)。 如果未找到会话,PSN将启动MNT节点查询。此请求仅包含MAC列表,因此,必须从MNT获取所有者的FQDN。之后,PSN将所有者FQDN返回客户端。来自客户端的下一个请求将发送到会话所有者FQDN,其auth/status位于URL和IP和MAC列表中。ConnectionData.xml
。您可以在中找到此文件C:\Users\\AppData\Local\Cisco\Cisco AnyConnect Secure Mobility Client\
。AC ISE终端安全评估模块在首次终端安全评估尝试后创建此文件。文件包含ISE PSN FQDN列表。列表的内容可以在下一次连接尝试期间动态更新。此探测的最终目标是获取当前会话所有者的FQDN。实现方式与探测1相同。在探测目的地选择方面唯一的差异。步骤15.获得有关会话所有者的信息后,所有后续步骤均与ISE 2.2之前的流程相同。
本文档将ASAv用作网络接入设备。所有测试均通过VPN进行安全评估。通过VPN支持安全评估的ASA配置不属于本文档的范围。有关详细信息,请参阅ASA 9.2.1版VPN终端安全评估与ISE配置示例。
注意:对于使用VPN用户的部署,建议设置为基于重定向的安全状态。不建议配置呼叫列表。对于所有基于VPN的用户,请确保应用DACL,使其不与配置了终端安全评估的PSN通信。
图 3-1
此拓扑用于测试。使用ASA,由于NAT功能,当客户端调配门户的SSO机制在PSN端发生故障时,可以轻松模拟场景。对于通过VPN的常规安全评估流,SSO必须正常工作,因为当用户进入企业网络时,通常不会对VPN IP实施NAT。
以下是准备Anyconnect配置的步骤。
步骤1.下载Anyconnect软件包。Anyconnect软件包本身无法从ISE直接下载,因此开始之前,请确保您的PC上提供交流电源。此链接可用于AC下载 — https://www.cisco.com/site/us/en/products/security/secure-client/index.html。在本文档中anyconnect-win-4.4.00243-webdeploy-k9.pkg
,使用的是软件包。
步骤2.要将AC软件包上传到ISE,请导航至Policy > Policy Elements > Results > Client Provisioning > Resources
并点击Add
。从本地磁盘选择代理资源。在新窗口中,选择Cisco Provided Packages
,单击browse
,然后选择PC上的AC软件包。
图 3-2
单击Submit
,完成导入。
步骤3.合规性模块必须上传到ISE。在同一页上,单击Add
,然后选择Agent resources from Cisco site
。在资源列表中,必须检查合规性模块。对于本文档, AnyConnectComplianceModuleWindows 4.2.508.0
使用合规性模块。
步骤4.现在必须创建交流终端安全评估配置文件。单击Add
,然后选择NAC agent or Anyconnect posture profile
。
图 3-3
Posture Protocol
。图 3-4
Server Name Rules
,此字段不能为空。该字段可以包含带有通配符的FQDN,从而限制从相应命名空间到PSN的AC ISE终端安全评估模块连接。如果必须允许任何FQDN,请放置星号。注意:请记住,Call home地址的存在对于多用户PC至关重要。在ISE 2.2之后的终端安全评估流程中查看步骤14。
步骤5.创建AC配置。导航到Policy > Policy Elements > Results > Client Provisioning > Resources
,单击Add
,然后选择AnyConnect Configuration
。
图 3-5
步骤6.配置客户端调配策略。导航到Policy > Client Provisioning
。如果是初始配置,您可以在显示有默认值的策略中填充空值。如果需要将策略添加到现有的状态配置,请导航到可重用的策略,然后选择Duplicate Above
Duplicate Below
。也可以创建全新的策略。
这是文档中使用的策略示例。
图 3-6
在结果部分选择您的AC配置。请记住,在SSO失败的情况下,ISE只能拥有从登录到门户的属性。这些属性仅限于可从内部和外部身份库检索到的用户相关信息。在本文档中,AD组用作客户端调配策略中的条件。
使用简单的状态检查。ISE配置为检查终端设备端Window Defender服务的状态。实际场景可能更为复杂,但一般配置步骤是相同的。
步骤1.创建安全评估条件。安全评估条件位于中Policy > Policy Elements > Conditions > Posture
。选择安全评估条件的类型。下面是一个服务条件的示例,必须检查是否正在运行Windows Defender服务。
图 3-7
步骤2.状况要求配置。导航至Policy > Policy Elements > Results > Posture > Requirements
。下面是Window Defender检查的一个示例:
图 3-8
在新要求中选择您的状况条件,并指定补救操作。
步骤3.状态策略配置。导航至Policy > Posture
。在这里,您可以找到用于此文档的策略示例。策略已将Windows Defender要求指定为强制要求,并且仅包含外部AD组名称作为条件。
图 3-9
对于无重定向的安全状态,必须编辑客户端调配门户的配置。导航到Administration > Device Portal Management > Client Provisioning
。您可以使用默认门户或创建自己的门户。同一门户可用于有重定向和无重定向的姿态。
图 3-10
以下设置必须在非重定向方案的门户配置中编辑:
终端安全评估状态不可用时客户端的初始访问必须受到限制。这可以通过多种方式实现:
步骤1.配置DACL。由于此示例基于ASA,因此可以使用NAD DACL。对于实际场景,必须考虑将VLAN或Filter-ID作为可能的选项。
要创建DACL,请导航至Policy > Policy Elements > Results > Authorization > Downloadable ACLs
并点击Add
。
在未知状态期间,必须至少提供以下权限:
以下是不使用补救服务器的DACL示例:
图 3-11
步骤2.配置授权配置文件。
与往常一样,安全评估需要两个授权配置文件。第一个必须包含任何类型的网络访问限制(本示例中使用了DACL的配置文件)。 此配置文件可应用于状态不等于合规的身份验证。第二个授权配置文件可以只包含允许访问,并且可以应用于状态状态等于合规性的会话。
要创建授权配置文件,请导航至Policy > Policy Elements > Results > Authorization > Authorization Profiles
。
受限访问配置文件示例:
图 3-12
在本示例中,默认ISE配置文件PermitAccess用于成功状态检查后的会话。
步骤3.配置授权策略。在此步骤中,必须创建两个授权策略。一个是匹配初始身份验证请求与未知的安全评估状态,第二个是在成功的安全评估流程后分配完全访问权限。
以下是适用于此情况的简单授权策略示例:
图 3-13
身份验证策略的配置不是本文档的一部分,但您必须记住,在授权策略处理成功身份验证之前,必须先进行身份验证。
流的基本验证可包含三个主要步骤:
步骤1.验证流验证。
图 4-1
由于本示例将ASA用作NAD,因此您不会看到用户的后续身份验证请求。发生这种情况的原因是ISE对ASA使用COA推送,从而避免VPN服务中断。在这种情况下,COA本身包含新的授权参数,因此不需要重新身份验证。
第2步:客户端调配策略选择验证 — 为此,您可以在ISE上运行报告,该报告可帮助您了解哪些客户端调配策略已应用于用户。
导航Operations > Reports Endpoint and Users > Client Provisioning
,并在需要日期运行报表。
图 4-2
通过此报告,您可以验证选择了哪个客户端调配策略。此外,如果发生故障,原因必须显示在列Failure Reason
。
第3步:状态报告验证 — 导航至Operations > Reports Endpoint and Users > Posture Assessment by Endpoint
。
图 4-3
您可以从此处打开每个特定事件的详细报告,例如,检查此报告属于哪个会话ID、ISE为终端选择的确切状态要求以及每个要求的状态。
对于安全评估流程故障排除,必须启用以下ISE组件才能在可能发生安全评估流程的ISE节点上进行调试:
client-webapp
— 负责代理程序调配的组件。目标日志文件guest.log
ise-psc.log
。guestacess
— 负责客户端调配门户组件和会话所有者查找的组件(当请求到达错误的PSN时)。 目标日志文件 — guest.log
。provisioning
— 负责客户端调配策略处理的组件。目标日志文件 — guest.log
。posture
— 所有状态相关事件。目标日志文件 — ise-psc.log
。
对于客户端故障排除,可以使用以下命令:
acisensa.log
— 如果客户端的客户端调配失败,此文件会在下载NSA的同一文件夹中创建(通常为Windows下载目录)。AnyConnect_ISEPosture.txt
— 此文件可在目录中的DART捆绑包中找到Cisco AnyConnect ISE Posture Module
。有关ISE PSN发现和状态流程常规步骤的所有信息均记录在此文件中。如果SSO成功,您可以在中看到这些消息 ise-psc.log
,此组消息表示会话查找已成功完成,可以跳过门户上的身份验证。
2016-11-09 15:07:35,951 DEBUG [http-bio-10.48.30.40-8443-exec-12][] cisco.cpm.posture.runtime.PostureRuntimeFactory -::::- looking for Radius session with input values : sessionId: null, MacAddr: null, ipAddr: 10.62.145.121
2016-11-09 15:07:35,989 DEBUG [http-bio-10.48.30.40-8443-exec-12][] cisco.cpm.posture.runtime.PostureRuntimeFactory -::::- looking for session using session ID: null, IP addrs: [10.62.145.121], mac Addrs [null]
2016-11-09 15:07:35,989 DEBUG [http-bio-10.48.30.40-8443-exec-12][] cisco.cpm.posture.runtime.PostureRuntimeFactory -::::- looking for session using IP 10.62.145.121
2016-11-09 15:07:35,989 DEBUG [http-bio-10.48.30.40-8443-exec-12][] cisco.cpm.posture.runtime.PostureRuntimeFactory -::::- nasPortType = 5
2016-11-09 15:07:35,989 DEBUG [http-bio-10.48.30.40-8443-exec-12][] cisco.cpm.posture.runtime.PostureRuntimeFactory -::::- nasPortType equal to 5 ( 5 is virtual NAS_PORT_TYPE for VPN ). Found a VPN session null using ip address 10.62.145.121
2016-11-09 15:07:35,989 DEBUG [http-bio-10.48.30.40-8443-exec-12][] cisco.cpm.posture.runtime.PostureRuntimeFactory -::::- Found session c0a801010002600058232bb8 using ipAddr 10.62.145.121
文本窗口5-1
您可以使用终端IP地址作为搜索密钥来查找此信息。
稍后在访客日志中,您必须看到已跳过身份验证:
2016-11-09 15:07:35,989 DEBUG [http-bio-10.48.30.40-8443-exec-12][] guestaccess.flowmanager.step.cp.CPInitStepExecutor -::- SessionInfo is not null and session AUTH_STATUS = 1
2016-11-09 15:07:35,989 DEBUG [http-bio-10.48.30.40-8443-exec-12][] com.cisco.ise.portalSessionManager.PortalSession -::- Putting data in PortalSession with key and value: Radius.Session c0a801010002600058232bb8
2016-11-09 15:07:35,989 DEBUG [http-bio-10.48.30.40-8443-exec-12][] com.cisco.ise.portalSessionManager.PortalSession -::- Putting data in PortalSession with key : Radius.Session
2016-11-09 15:07:35,989 DEBUG [http-bio-10.48.30.40-8443-exec-12][] guestaccess.flowmanager.step.cp.CPInitStepExecutor -::- Login step will be skipped, as the session =c0a801010002600058232bb8 already established for mac address null , clientIPAddress 10.62.145.121
2016-11-09 15:07:36,066 DEBUG [http-bio-10.48.30.40-8443-exec-12][] cpm.guestaccess.flowmanager.processor.PortalFlowProcessor -::- After executeStepAction(INIT), returned Enum: SKIP_LOGIN_PROCEED
文本窗口5-2
如果SSO不起作用,则文件包含有ise-psc log
有关会话查找失败的信息:
2017-02-23 17:59:00,779 DEBUG [http-bio-10.48.17.249-8443-exec-2][] cisco.cpm.posture.runtime.PostureRuntimeFactory -::::- looking for Radius session with input values : sessionId: null, MacAddr: null, ipAddr: 10.62.145.44
2017-02-23 17:59:00,779 DEBUG [http-bio-10.48.17.249-8443-exec-2][] cisco.cpm.posture.runtime.PostureRuntimeFactory -::::- looking for session using session ID: null, IP addrs: [10.62.145.44], mac Addrs [null]
2017-02-23 17:59:00,779 DEBUG [http-bio-10.48.17.249-8443-exec-2][] cisco.cpm.posture.runtime.PostureRuntimeFactory -::::- looking for session using IP 10.62.145.44
2017-02-23 17:59:00,779 DEBUG [http-bio-10.48.17.249-8443-exec-2][] cisco.cpm.posture.runtime.PostureRuntimeFactory -::::- nasPortType = null
2017-02-23 17:59:00,779 DEBUG [http-bio-10.48.17.249-8443-exec-2][] cisco.cpm.posture.runtime.PostureRuntimeFactory -::::- nasPortType == null or is not a virtual NAS_PORT_TYPE ( 5 ).
2017-02-23 17:59:00,779 DEBUG [http-bio-10.48.17.249-8443-exec-2][] cisco.cpm.posture.runtime.PostureRuntimeFactory -::::- No Radius session found
文本窗口5-3
在此种guest.log
情况下,您必须在门户上看到完整的用户身份验证:
2017-02-23 17:59:00,779 DEBUG [http-bio-10.48.17.249-8443-exec-2][] cpm.guestaccess.flowmanager.step.StepExecutor -::- Find Next Step=LOGIN
2017-02-23 17:59:00,779 DEBUG [http-bio-10.48.17.249-8443-exec-2][] cpm.guestaccess.flowmanager.step.StepExecutor -::- Step : LOGIN will be visible!
2017-02-23 17:59:00,779 DEBUG [http-bio-10.48.17.249-8443-exec-2][] cpm.guestaccess.flowmanager.step.StepExecutor -::- Returning next step =LOGIN
2017-02-23 17:59:00,780 INFO [http-bio-10.48.17.249-8443-exec-2][] cpm.guestaccess.flowmanager.step.StepExecutor -::- Radius Session ID is not set, assuming in dry-run mode
文本窗口5-4
如果门户上的身份验证失败,您必须专注于门户配置验证 — 哪个身份库正在使用中?哪些组有权登录?
如果客户端调配策略失败或策略处理不正确,您可以检查文件guest.log
,了解更多详细信息:
2017-02-23 17:59:07,080 DEBUG [http-bio-10.48.17.249-8443-exec-2][] guestaccess.flowmanager.step.guest.ClientProvStepExecutor -:user1:- In Client Prov : userAgent =Mozilla/5.0 (Windows NT 6.1; WOW64; rv:51.0) Gecko/20100101 Firefox/51.0, radiusSessionID=null, idGroupName=S-1-5-21-70538695-790656579-4293929702-513, userName=user1, isInUnitTestMode=false
2017-02-23 17:59:07,080 DEBUG [http-bio-10.48.17.249-8443-exec-2][] cpm.guestaccess.common.utils.OSMapper -:user1:- UserAgent : Mozilla/5.0 (Windows NT 6.1; WOW64; rv:51.0) Gecko/20100101 Firefox/51.0
2017-02-23 17:59:07,080 DEBUG [http-bio-10.48.17.249-8443-exec-2][] cpm.guestaccess.common.utils.OSMapper -:user1:- Client OS: Windows 7 (All)
2017-02-23 17:59:07,080 DEBUG [http-bio-10.48.17.249-8443-exec-2][] guestaccess.flowmanager.step.guest.ClientProvStepExecutor -:user1:- Retrieved OS=Windows 7 (All)
2017-02-23 17:59:07,080 DEBUG [http-bio-10.48.17.249-8443-exec-2][] guestaccess.flowmanager.step.guest.ClientProvStepExecutor -:user1:- Updating the idGroupName to NAC Group:NAC:IdentityGroups:S-1-5-21-70538695-790656579-4293929702-513
2017-02-23 17:59:07,080 DEBUG [http-bio-10.48.17.249-8443-exec-2][] guestaccess.flowmanager.step.guest.ClientProvStepExecutor -:user1:- User Agent/Radius Session is empty or in UnitTestMode
2017-02-23 17:59:07,080 DEBUG [http-bio-10.48.17.249-8443-exec-2][] guestaccess.flowmanager.step.guest.ClientProvStepExecutor -:user1:- Calling getMatchedPolicyWithNoRedirection for user=user1
2017-02-23 17:59:07,505 DEBUG [http-bio-10.48.17.249-8443-exec-2][] guestaccess.flowmanager.step.guest.ClientProvStepExecutor -:user1:- CP Policy Status =SUCCESS, needToDoVlan=false, CoaAction=NO_COA
文本窗口5-5
在第一个字符串中,您可以看到如何将有关会话的信息注入到策略选择引擎中,如果策略不匹配或不正确策略匹配,则可以将来自此处的属性与客户端调配策略配置进行比较。最后一个字符串表示策略选择状态。
在客户机端,您必须对探测功能及其结果的调查感兴趣。这是第1阶段探测功能成功的示例:
******************************************
Date : 02/23/2017
Time : 17:59:57
Type : Unknown
Source : acise
Description : Function: Target::Probe
Thread Id: 0x4F8
File: SwiftHttpRunner.cpp
Line: 1415
Level: debug
PSN probe skuchere-ise22-cpp.example.com with path /auth/status, status is -1..
******************************************
文本窗口5-6
在此阶段,PSN将返回有关会话所有者的AC信息。稍后您可以看到以下几条消息:
******************************************
Date : 02/23/2017
Time : 17:59:58
Type : Unknown
Source : acise
Description : Function: Target::probeRecentConnectedHeadEnd
Thread Id: 0xBE4
File: SwiftHttpRunner.cpp
Line: 1674
Level: debug
Target skuchere-ise22-2.example.com, posture status is Unknown..
******************************************
文本窗口5-7
会话所有者将所需的所有信息返回座席:
******************************************
Date : 02/23/2017
Time : 17:59:58
Type : Unknown
Source : acise
Description : Function: SwiftHttpRunner::invokePosture
Thread Id: 0xFCC
File: SwiftHttpRunner.cpp
Line: 1339
Level: debug
MSG_NS_SWISS_NEW_SESSION, <?xml version="1.0" ?>
<root>
<IP></IP>
<FQDN>skuchere-ise22-2.example.com</FQDN>
<PostureDomain>posture_domain</PostureDomain>
<sessionId>c0a801010009e00058af0f7b</sessionId>
<configUri>/auth/anyconnect?uuid=106a93c0-9f71-471c-ac6c-a2f935d51a36</configUri>
<AcPackUri>/auth/provisioning/download/81d12d4b-ff58-41a3-84db-5d7c73d08304</AcPackUri>
<AcPackPort>8443</AcPackPort>
<AcPackVer>4.4.243.0</AcPackVer>
<PostureStatus>Unknown</PostureStatus>
<PosturePort>8443</PosturePort>
<PosturePath>/auth/perfigo_validate.jsp</PosturePath>
<PRAConfig>0</PRAConfig>
<StatusPath>/auth/status</StatusPath>
<BackupServers>skuchere-ise22-1.example.com,skuchere-ise22-3.example.com</BackupServers>
</root>
.
******************************************
文本窗口5-8
从PSN端guest.log
,当您预计到达节点的初始请求不拥有会话时,可以重点关注中的这些消息:
2017-02-23 17:59:56,345 DEBUG [http-bio-10.48.17.249-8443-exec-10][] cisco.cpm.client.posture.NextGenDiscoveryServlet -::- Got http request from 10.62.145.44 user agent is: Mozilla/4.0 (compatible; WINDOWS; 1.2.1.6.1.48; AnyConnect Posture Agent v.4.4.00243)
2017-02-23 17:59:56,345 DEBUG [http-bio-10.48.17.249-8443-exec-10][] cisco.cpm.client.posture.NextGenDiscoveryServlet -::- mac_list from http request ==> 00:0B:7F:D0:F8:F4,00:0B:7F:D0:F8:F4
2017-02-23 17:59:56,345 DEBUG [http-bio-10.48.17.249-8443-exec-10][] cisco.cpm.client.posture.NextGenDiscoveryServlet -::- iplist from http request ==> 172.16.31.12,10.62.145.95
2017-02-23 17:59:56,345 DEBUG [http-bio-10.48.17.249-8443-exec-10][] cisco.cpm.client.posture.NextGenDiscoveryServlet -::- Session id from http request - req.getParameter(sessionId) ==> null
2017-02-23 17:59:56,345 DEBUG [http-bio-10.48.17.249-8443-exec-10][] cpm.client.provisioning.utils.ProvisioningUtil -::- the input ipAddress from the list currently being processed in the for loop ==> 172.16.31.12
2017-02-23 17:59:56,345 DEBUG [http-bio-10.48.17.249-8443-exec-10][] cpm.client.provisioning.utils.ProvisioningUtil -::- the input ipAddress from the list currently being processed in the for loop ==> 10.62.145.95
2017-02-23 17:59:56,368 DEBUG [http-bio-10.48.17.249-8443-exec-10][] cisco.cpm.client.posture.NextGenDiscoveryServlet -::- Found Client IP null and corresponding mac address null
2017-02-23 17:59:56,369 ERROR [http-bio-10.48.17.249-8443-exec-10][] cpm.client.provisioning.utils.ProvisioningUtil -::- Session Info is null
2017-02-23 17:59:56,369 DEBUG [http-bio-10.48.17.249-8443-exec-10][] cisco.cpm.client.posture.NextGenDiscoveryServlet -::- Not able to find a session for input values - sessionId : null, Mac addresses : [00:0B:7F:D0:F8:F4, 00:0B:7F:D0:F8:F4], client Ip : [172.16.31.12, 10.62.145.95]
2017-02-23 17:59:56,369 DEBUG [http-bio-10.48.17.249-8443-exec-10][] cisco.cpm.client.posture.NextGenDiscoveryServlet -::- clientMac is null/ empty, will go over the mac list to query MNT for active session
2017-02-23 17:59:56,369 DEBUG [http-bio-10.48.17.249-8443-exec-10][] cisco.cpm.client.posture.NextGenDiscoveryServlet -::- Performing MNT look up for macAddress ==> 00-0B-7F-D0-F8-F4
2017-02-23 17:59:56,539 DEBUG [http-bio-10.48.17.249-8443-exec-10][] cisco.cpm.client.posture.NextGenDiscoveryServlet -::- Performed MNT lookup, found session 0 with session id c0a801010009e00058af0f7b
2017-02-23 17:59:56,539 DEBUG [http-bio-10.48.17.249-8443-exec-10][] cpm.client.provisioning.utils.ProvisioningUtil -::- getting NIC name for skuchere-ise22-cpp.example.com
2017-02-23 17:59:56,541 DEBUG [http-bio-10.48.17.249-8443-exec-10][] cpm.client.provisioning.utils.ProvisioningUtil -::- local interface 0 addr 10.48.17.249 name eth0
2017-02-23 17:59:56,541 DEBUG [http-bio-10.48.17.249-8443-exec-10][] cpm.client.provisioning.utils.ProvisioningUtil -::- Nic name for local host: skuchere-ise22-cpp.example.com is: eth0
2017-02-23 17:59:56,541 DEBUG [http-bio-10.48.17.249-8443-exec-10][] cpm.client.provisioning.utils.ProvisioningUtil -::- getting host FQDN or IP for host skuchere-ise22-2 NIC name eth0
2017-02-23 17:59:56,545 DEBUG [http-bio-10.48.17.249-8443-exec-10][] cpm.client.provisioning.utils.ProvisioningUtil -::- hostFQDNOrIP for host skuchere-ise22-2 nic eth0 is skuchere-ise22-2.example.com
2017-02-23 17:59:56,545 DEBUG [http-bio-10.48.17.249-8443-exec-10][] cisco.cpm.client.posture.NextGenDiscoveryServlet -::- PDP with session of 00-0B-7F-D0-F8-F4 is skuchere-ise22-2, FQDN/IP is: skuchere-ise22-2.example.com
2017-02-23 17:59:56,545 DEBUG [http-bio-10.48.17.249-8443-exec-10][] cisco.cpm.client.posture.NextGenDiscoveryServlet -::- Redirecting the request to new URL: https://skuchere-ise22-2.example.com:8443/auth/status
2017-02-23 17:59:56,545 DEBUG [http-bio-10.48.17.249-8443-exec-10][] cisco.cpm.client.posture.NextGenDiscoveryServlet -::- Session info is null. Sent an http response to 10.62.145.44.
2017-02-23 17:59:56,545 DEBUG [http-bio-10.48.17.249-8443-exec-10][] cpm.client.provisioning.utils.ProvisioningUtil -::- header X-ISE-PDP-WITH-SESSION value is skuchere-ise22-2.example.com
2017-02-23 17:59:56,545 DEBUG [http-bio-10.48.17.249-8443-exec-10][] cpm.client.provisioning.utils.ProvisioningUtil -::- header Location value is https://skuchere-ise22-2.example.com:8443/auth/status
文本窗口5-9
在这里,您可以看到PSN首先尝试在本地查找会话,并且在失败后使用IP和MAC列表向MNT发起请求以查找会话所有者。
稍后,您必须在正确的PSN上看到来自客户端的请求:
2017-02-23 17:59:56,790 DEBUG [http-bio-10.48.30.41-8443-exec-8][] cisco.cpm.posture.runtime.PostureRuntimeFactory -::::- looking for session using session ID: null, IP addrs: [172.16.31.12, 10.62.145.95], mac Addrs [00:0B:7F:D0:F8:F4, 00:0B:7F:D0:F8:F4]
2017-02-23 17:59:56,790 DEBUG [http-bio-10.48.30.41-8443-exec-8][] cisco.cpm.posture.runtime.PostureRuntimeFactory -::::- looking for session using IP 172.16.31.12
2017-02-23 17:59:56,791 DEBUG [http-bio-10.48.30.41-8443-exec-8][] cisco.cpm.posture.runtime.PostureRuntimeFactory -::::- nasPortType = 5
2017-02-23 17:59:56,792 DEBUG [http-bio-10.48.30.41-8443-exec-8][] cisco.cpm.posture.runtime.PostureRuntimeFactory -::::- nasPortType equal to 5 ( 5 is virtual NAS_PORT_TYPE for VPN ). Found a VPN session null using ip address 172.16.31.12
2017-02-23 17:59:56,792 DEBUG [http-bio-10.48.30.41-8443-exec-8][] cisco.cpm.posture.runtime.PostureRuntimeFactory -::::- Found session c0a801010009e00058af0f7b using ipAddr 172.16.31.12
文本窗口5-10
下一步,PSN将为此会话执行客户端调配策略查找:
2017-02-23 17:59:56,793 DEBUG [http-bio-10.48.30.41-8443-exec-8][] com.cisco.cpm.swiss.SwissServer -::::- null or empty value for hostport obtained from SwissServer : getHostNameBySession()
2017-02-23 17:59:56,793 DEBUG [http-bio-10.48.30.41-8443-exec-8][] cisco.cpm.posture.runtime.PostureRuntimeFactory -::::- looking for Radius session with input values : sessionId: c0a801010009e00058af0f7b, MacAddr: 00-0b-7f-d0-f8-f4, ipAddr: 172.16.31.12
2017-02-23 17:59:56,793 DEBUG [http-bio-10.48.30.41-8443-exec-8][] cisco.cpm.posture.runtime.PostureRuntimeFactory -::::- looking for session using session ID: c0a801010009e00058af0f7b, IP addrs: [172.16.31.12], mac Addrs [00-0b-7f-d0-f8-f4]
2017-02-23 17:59:56,793 DEBUG [http-bio-10.48.30.41-8443-exec-8][] cisco.cpm.posture.runtime.PostureRuntimeFactory -::::- Found session using sessionId c0a801010009e00058af0f7b
2017-02-23 17:59:56,795 DEBUG [http-bio-10.48.30.41-8443-exec-8][] cisco.cpm.posture.runtime.PosturePolicyUtil -::::- User user1 belongs to groups NAC Group:NAC:IdentityGroups:Endpoint Identity Groups:Profiled:Workstation,NAC Group:NAC:IdentityGroups:Any
2017-02-23 17:59:58,203 DEBUG [http-bio-10.48.30.41-8443-exec-8][] com.cisco.cpm.swiss.SwissServer -::::- null or empty value for hostport obtained from SwissServer : getHPortNumberBySession()
2017-02-23 17:59:58,907 DEBUG [http-bio-10.48.30.41-8443-exec-10][] cisco.cpm.posture.util.AgentUtil -::::- Increase MnT counter at CP:ClientProvisioning.ProvisionedResource.AC-44-Posture
文本窗口5-11
在下一步中,您可以看到状况要求选择的过程。在步骤结束时,会准备要求列表并返回给座席:
2017-02-23 18:00:00,372 DEBUG [http-bio-10.48.30.41-8443-exec-8][] cisco.cpm.posture.runtime.PostureHandlerImpl -:user1:::- About to query posture policy for user user1 with endpoint mac 00-0b-7f-d0-f8-f4
2017-02-23 18:00:00,423 DEBUG [http-bio-10.48.30.41-8443-exec-8][] cisco.cpm.posture.runtime.PostureManager -:user1:::- agentCMVersion=4.2.508.0, agentType=AnyConnect Posture Agent, groupName=OESIS_V4_Agents -> found agent group with displayName=4.x or later
2017-02-23 18:00:00,423 DEBUG [http-bio-10.48.30.41-8443-exec-8][] cisco.cpm.posture.runtime.PosturePolicyUtil -:user1:::- User user1 belongs to groups NAC Group:NAC:IdentityGroups:Endpoint Identity Groups:Profiled:Workstation,NAC Group:NAC:IdentityGroups:Any
2017-02-23 18:00:00,423 DEBUG [http-bio-10.48.30.41-8443-exec-8][] cisco.cpm.posture.runtime.PosturePolicyUtil -:user1:::- About to retrieve posture policy resources for os 7 Professional, agent group 4.x or later and identity groups [NAC Group:NAC:IdentityGroups:Endpoint Identity Groups:Profiled:Workstation, NAC Group:NAC:IdentityGroups:Any]
2017-02-23 18:00:00,432 DEBUG [http-bio-10.48.30.41-8443-exec-8][] cisco.cpm.posture.runtime.PosturePolicyUtil -:user1:::- Evaluate resourceId NAC Group:NAC:Posture:PosturePolicies:WinDefend by agent group with FQN NAC Group:NAC:AgentGroupRoot:ALL:OESIS_V4_Agents
2017-02-23 18:00:00,433 DEBUG [http-bio-10.48.30.41-8443-exec-8][] cisco.cpm.posture.runtime.PosturePolicyUtil -:user1:::- The evaluation result by agent group for resourceId NAC Group:NAC:Posture:PosturePolicies:WinDefend is Permit
2017-02-23 18:00:00,433 DEBUG [http-bio-10.48.30.41-8443-exec-8][] cisco.cpm.posture.runtime.PosturePolicyUtil -:user1:::- Evaluate resourceId NAC Group:NAC:Posture:PosturePolicies:WinDefend by OS group with FQN NAC Group:NAC:OsGroupRoot:ALL:WINDOWS_ALL:WINDOWS_7_ALL:WINDOWS_7_PROFESSIONAL_ALL
2017-02-23 18:00:00,438 DEBUG [http-bio-10.48.30.41-8443-exec-8][] cisco.cpm.posture.runtime.PosturePolicyUtil -:user1:::- stealth mode is 0
2017-02-23 18:00:00,438 DEBUG [http-bio-10.48.30.41-8443-exec-8][] cisco.cpm.posture.runtime.PosturePolicyUtil -:user1:::- The evaluation result by os group for resourceId NAC Group:NAC:Posture:PosturePolicies:WinDefend is Permit
2017-02-23 18:00:00,438 DEBUG [http-bio-10.48.30.41-8443-exec-8][] cisco.cpm.posture.runtime.PosturePolicyUtil -:user1:::- Evaluate resourceId NAC Group:NAC:Posture:PosturePolicies:WinDefend by Stealth mode NSF group with FQN NAC Group:NAC:StealthModeStandard
2017-02-23 18:00:00,439 DEBUG [http-bio-10.48.30.41-8443-exec-8][] cisco.cpm.posture.runtime.PosturePolicyUtil -:user1:::- Procesing obligation with posture policy resource with id NAC Group:NAC:Posture:PosturePolicies:WinDefend
2017-02-23 18:00:00,439 DEBUG [http-bio-10.48.30.41-8443-exec-8][] cisco.cpm.posture.runtime.PosturePolicyUtil -:user1:::- Found obligation id urn:cisco:cepm:3.3:xacml:response-qualifier for posture policy resource with id NAC Group:NAC:Posture:PosturePolicies:WinDefend
2017-02-23 18:00:00,439 DEBUG [http-bio-10.48.30.41-8443-exec-8][] cisco.cpm.posture.runtime.PosturePolicyUtil -:user1:::- Found obligation id PostureReqs for posture policy resource with id NAC Group:NAC:Posture:PosturePolicies:WinDefend
2017-02-23 18:00:00,439 DEBUG [http-bio-10.48.30.41-8443-exec-8][] cisco.cpm.posture.runtime.PosturePolicyUtil -:user1:::- Posture policy resource id WinDefend has following associated requirements []
2017-02-23 18:00:03,884 DEBUG [http-bio-10.48.30.41-8443-exec-8][] cpm.posture.runtime.agent.AgentXmlGenerator -:user1:::- policy enforcemnt is 0
2017-02-23 18:00:03,904 DEBUG [http-bio-10.48.30.41-8443-exec-8][] cpm.posture.runtime.agent.AgentXmlGenerator -:user1:::- simple condition: [Name=WinDefend, Descriptionnull, Service Name=WinDefend, Service Operator=Running, Operating Systems=[Windows All], Service Type=Daemon, Exit code=0]
2017-02-23 18:00:03,904 DEBUG [http-bio-10.48.30.41-8443-exec-8][] cpm.posture.runtime.agent.AgentXmlGenerator -:user1:::- check type is Service
2017-02-23 18:00:04,069 DEBUG [http-bio-10.48.30.41-8443-exec-8][] cisco.cpm.posture.runtime.PostureHandlerImpl -:user1:::- NAC agent xml <?xml version="1.0" encoding="UTF-8"?><cleanmachines>
<version>ISE: 2.2.0.470</version>
<encryption>0</encryption>
<package>
<id>10</id>
WinDefend
Enable WinDefend
3
0
3
WinDefend
3
301
WinDefend
running
(WinDefend)
</package>
</cleanmachines>
文本窗口5-12
稍后,您可以看到PSN已收到状态报告:
2017-02-23 18:00:04,231 DEBUG [http-bio-10.48.30.41-8443-exec-8][] cisco.cpm.posture.runtime.PostureHandlerImpl -::::- UDID is 8afb76ad11e60531de1d3e7d2345dbba5f11a96d for end point 00-0b-7f-d0-f8-f4
2017-02-23 18:00:04,231 DEBUG [http-bio-10.48.30.41-8443-exec-8][] cisco.cpm.posture.runtime.PostureHandlerImpl -::::- Received posture request [parameters: reqtype=report, userip=10.62.145.44, clientmac=00-0b-7f-d0-f8-f4, os=WINDOWS, osVerison=1.2.1.6.1.48, architecture=9, provider=Device Filter, state=, userAgent=Mozilla/4.0 (compatible; WINDOWS; 1.2.1.6.1.48; AnyConnect Posture Agent v.4.4.00243), session_id=c0a801010009e00058af0f7b
文本窗口5-13
在流程结束时,ISE将终端标记为合规并启动COA:
2017-02-23 18:00:04,272 INFO [http-bio-10.48.30.41-8443-exec-8][] cisco.cpm.posture.runtime.PostureManager -:user1:::- Posture state is compliant for endpoint with mac 00-0b-7f-d0-f8-f4
2017-02-23 18:00:04,272 DEBUG [http-bio-10.48.30.41-8443-exec-8][] cisco.cpm.posture.runtime.PostureCoA -:user1:::- entering triggerPostureCoA for session c0a801010009e00058af0f7b
2017-02-23 18:00:04,272 DEBUG [http-bio-10.48.30.41-8443-exec-8][] cisco.cpm.posture.runtime.PostureCoA -:user1:::- Posture CoA is scheduled for session id [c0a801010009e00058af0f7b]
2017-02-23 18:00:04,272 DEBUG [http-bio-10.48.30.41-8443-exec-8][] cisco.cpm.posture.runtime.PostureCoA -:user1:::- Posture status for session id c0a801010009e00058af0f7b is Compliant
2017-02-23 18:00:04,273 DEBUG [http-bio-10.48.30.41-8443-exec-8][] cisco.cpm.posture.runtime.PostureCoA -:user1:::- Issue CoA on active session with sessionID c0a801010009e00058af0f7b
2017-02-23 18:00:04,273 DEBUG [http-bio-10.48.30.41-8443-exec-8][] cisco.cpm.posture.runtime.PostureCoA -:user1:::- Posture CoA is scheduled for session id [c0a801010009e00058af0f7b]
文本窗口5-14
版本 | 发布日期 | 备注 |
---|---|---|
1.0 |
24-Aug-2021
|
初始版本 |