本產品的文件集力求使用無偏見用語。針對本文件集的目的,無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言,或引用第三方產品的語言,因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。
思科已使用電腦和人工技術翻譯本文件,讓全世界的使用者能夠以自己的語言理解支援內容。請注意,即使是最佳機器翻譯,也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責,並建議一律查看原始英文文件(提供連結)。
本檔案將介紹終端安全評估無重定向流程(從ISE v2.2開始)與早期ISE版本支援的終端安全評估重定向流程進行比較。
思科建議您瞭解以下主題:
本文中的資訊係根據以下軟體和硬體版本:
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
本檔案介紹身分識別服務引擎(ISE)2.2中引入的新功能,該功能允許ISE支援狀態流程,而無需在網路存取設備(NAD)或ISE上提供任何型別的重新導向支援。
終端安全評估是Cisco ISE的核心元件。作為元件的狀態可以用三個主要元素表示:
附註:本文檔基於Anyconnect ISE終端安全評估模組,該模組是唯一一個完全支援終端安全評估而不重定向的模組。
在ISE 2.2之前的流量狀態中,NAD不僅用於驗證使用者和限制訪問,還用於為代理軟體提供有關必須聯絡的特定ISE節點的資訊。作為重定向過程的一部分,有關ISE節點的資訊將返回到代理軟體。
過去,重定向支援(在NAD或ISE端)是終端安全評估實施的基本要求。在ISE 2.2中,初始客戶端調配和終端安全評估流程不再需要支援重定向。
無重定向的客戶端調配 — 在ISE 2.2中,您可以直接通過門戶完全限定域名(FQDN)訪問客戶端調配門戶(Client Provisioning Portal(CPP)。 這類似於您訪問發起人門戶或MyDevice Portal的方式。
無重定向的終端安全評估流程 — 代理安裝期間從CPP門戶儲存有關ISE伺服器的資訊,使直接通訊成為可能。
此圖顯示ISE 2.2之前的Anyconnect ISE終端安全評估模組流的逐步說明:
圖1-1
步驟1.身份驗證是流程的第一步,可以是dot1x、MAB或VPN。
步驟2. ISE需要為使用者選擇身份驗證和授權策略。在終端安全評估方案中,選擇的授權策略必須包含對終端安全評估狀態的引用,該引用最初必須為未知或不適用。為了同時涵蓋這兩種情況,可以使用狀況狀態不等的合規性條件。
所選授權配置檔案必須包含有關重新導向的資訊:
例如,ASA始終在重定向ACL之前處理DACL。同時,某些交換器平台會以與ASA相同的方式處理它,而其它交換器平台會先處理重新導向ACL,然後在必須捨棄或允許流量時檢查DACL/介面ACL。
附註:在授權設定檔中啟用Web重新導向選項後,必須選擇重新導向的目標入口網站。
步驟3. ISE返回具有授權屬性的Access-Accept。授權屬性中的重定向URL由ISE自動生成。它包含以下元件:
如果使用靜態值,則必須指向處理身份驗證的同一ISE節點。
對於負載平衡器(LB),此FQDN可以指向LB VIP,但僅當LB配置為將Radius和SSL連線結合在一起時。
步驟4.NAD將授權策略應用於會話。此外,如果已配置DACL,則在應用授權策略之前會請求其內容。
重要注意事項:
show authentication session interface details
,才能成功應用重定向和ACL。客戶端IP地址通過IP裝置跟蹤功能(IPDT)獲取。
步驟5.使用者端會傳送一個DNS要求,要求取得輸入到Web瀏覽器中的FQDN。在這個階段,DNS流量必須繞過重定向,並且DNS伺服器必須返回正確的IP地址。
步驟6.使用者端將TCP SYN傳送到DNS回覆中收到的IP位址。資料包中的源IP地址是客戶端IP,而目標IP地址是所請求資源的IP。目的地連線埠等於80,但在使用者端Web瀏覽器中設定直接HTTP Proxy的情況除外。
步驟7.NAD攔截客戶端請求並準備源IP等於請求的資源IP、目標IP等於客戶端IP和源埠等於80的SYN-ACK資料包。
重要注意事項:
在此案例中,封包是透過第3層基礎架構路由,且必須透過第3層上游裝置路由回使用者端。
如果L3裝置是有狀態防火牆,則必須為此類非對稱路由提供額外例外。
步驟8.客戶端通過ACK完成TCP三次握手。
步驟9.目標資源的HTTP GET由客戶端傳送。
步驟10. NAD使用HTTP代碼302(頁面已移動)將重定向URL返回給客戶端,對於某些NAD重定向,可以在位置標頭中的HTTP 200 OK消息內返回。
圖1-2
步驟11.使用者端從重新導向URL傳送對FQDN的DNS要求。FQDN必須在DNS伺服器端可解析。
步驟12.建立通過重定向URL中接收的埠的SSL連線(預設8443)。 此連線受ISE端的門戶證書保護。向使用者顯示客戶端調配門戶(CPP)。
步驟13.在向客戶端提供下載選項之前,ISE必須選擇目標客戶端調配(CP)策略。從身份驗證會話(如AD/LDAP組等)檢索從瀏覽器使用者代理檢測到的客戶端的作業系統(OS)以及CPP策略選擇所需的其他資訊。ISE通過重定向URL中顯示的會話ID瞭解目標會話。
步驟14.將網路設定助理(NSA)下載連結傳回使用者端。客戶端下載應用程式。
附註:通常,您可以將NSA視為Windows和Android自帶裝置流的一部分,但也可以使用此應用程式從ISE安裝Anyconnect或其元件。
步驟15.使用者運行NSA應用程式。
步驟16. NSA將第一個發現探測 — HTTP /auth/discovery傳送到預設網關。NSA預期結果為redirect-url。
附註:對於MAC OS裝置上的VPN連線,將忽略此探測,因為MAC OS在VPN介面卡上沒有預設網關。
步驟17.如果第一個探測失敗,NSA將傳送第二個探測。第二個探測是HTTP GET /auth/discovery到enroll.cisco.com
。此FQDN必須由DNS伺服器成功解析。在具有拆分隧道的VPN場景中,必須通過隧道路由到enroll.cisco.com
的流量。
步驟18.如果任何探測成功,NSA將使用從redirect-url獲取的資訊通過埠8905建立SSL連線。此連線受ISE管理員證書保護。在此連線中,NSA下載Anyconnect。
重要注意事項:
ip host
CLI命令)。這可能導致主題名稱(SN)/主題替代名稱(SAN)驗證出現問題。例如,如果從介面G1將客戶端重定向到FQDN,則系統FQDN可以與8905通訊證書的重定向URL中的FQDN不同。作為此方案的解決方案,可以在管理證書SAN欄位中新增其他介面的FQDN,也可以在管理證書中使用萬用字元。圖1-3
步驟19.啟動Anyconnect ISE終端安全評估流程。
Anyconnect ISE終端安全評估模組在以下任何情況下啟動:
步驟20.在此階段,Anyconnect ISE終端安全評估模組啟動策略伺服器檢測。這通過一系列同時由Anyconnect ISE終端安全評估模組傳送的探測器來實現。
enroll.cisco.com
。此FQDN需要由DNS伺服器成功解析。在具有拆分隧道的VPN場景中,必須通過隧道路由到enroll.cisco.com
的流量。探查的預期結果為redirect-url。附註:通過此探測,即使在某些情況下不進行工作重定向,也可以成功完成姿勢。成功的安全狀態而不重定向要求驗證會話的當前PSN必須與之前成功連線的PSN相同。請記住,在ISE 2.2之前的版本中,無重定向的成功終端安全評估更多是例外而不是規則。
接下來的步驟描述在由於其中一個探測器而收到重定向URL(以字母a標籤的流)時的狀態過程。
步驟21. Anyconnect ISE終端安全評估模組使用發現階段檢索的URL建立到客戶端調配門戶的連線。在此階段,ISE使用來自已驗證會話的資訊再次進行客戶端調配策略驗證。
步驟22.如果檢測到客戶端調配策略,ISE將返回重定向到埠8905。
步驟23.代理通過埠8905建立到ISE的連線。在此連線期間,ISE返回狀態配置檔案、合規性模組和anyconnect更新的URL。
圖1-4
步驟24.AC ISE終端安全評估模組配置從ISE下載。
步驟25.如有需要,更新下載和安裝。
步驟26. AC ISE終端安全評估模組收集有關系統的初始資訊(如OS版本、已安裝的安全產品及其定義版本)。 在這個階段,AC ISE終端安全評估模組包括OPSWAT API來收集有關安全產品的資訊。收集的資料將傳送到ISE。作為對此請求的回覆,ISE提供終端安全評估要求清單。需求清單是狀態策略處理的結果。為了匹配正確的策略,ISE使用裝置OS版本(存在於請求中)和會話ID值選擇其他所需的屬性(AD/LDAP組)。 會話ID值也由客戶端傳送。
步驟27.在此步驟中,客戶端涉及OPSWAT呼叫和其他機制來檢查終端安全評估要求。將包含要求清單及其狀態的最終報告傳送到ISE。ISE需要做出關於端點合規狀態的最終決定。如果終結點在此步驟中標籤為不合規,將返回一組補救操作。對於合規終結點,ISE將合規狀態寫入會話,並且如果配置了終端安全評估租約,則將最後一個安全評估時間戳放入終端屬性。終端安全評估結果將傳送回終端。在這種情況下,PRA的終端安全評估(PRA)時間也由ISE置於此封包中。
在不符合的情況下,請考慮以下幾點:
附註:如果安全產品必須與外部資源(內部/外部更新伺服器)通訊,則必須確保在Redirect-ACL/DACL中允許此通訊。
步驟28.ISE向NAD傳送COA請求,NAD必須為使用者觸發新身份驗證。NAD必須通過COA ACK確認此請求。請記住,對於VPN案例,使用COA推送,因此不會傳送新的身份驗證請求。相反,ASA從會話中刪除以前的授權引數(重定向URL、重定向ACL和DACL)並從COA請求應用新引數。
步驟29.使用者的新身份驗證請求。
重要注意事項:
步驟30.在ISE端根據終端安全評估狀態選擇新的授權策略。
步驟31.將具有新授權屬性的Access-Accept傳送到NAD。
下一個流程描述了以下場景:任何終端安全評估探測均未檢索到重定向URL(用字母b標籤),並且上次探測已查詢之前連線的PSN。此處的所有步驟與重定向URL的情況完全相同,只不過重播由PSN作為探測器4的結果返回。如果此探測器到達當前身份驗證會話的所有者同一個PSN上,則重播包含會話ID值,該值以後由狀態代理用於完成該進程。如果先前連線的頭端與當前會話所有者不同,會話查詢將失敗,並向AC ISE終端安全評估模組返回空響應。最終結果是No Policy Server Detected
,該消息將返回給終端使用者。
圖1-5
ISE 2.2和更新版本同時支援重定向和無重定向的流。這是無重定向狀態流的詳細解釋:
圖2-1
步驟1.身份驗證是流程的第一步。它可以是dot1x、MAB或VPN。
步驟2.ISE必須為使用者選擇身份驗證和授權策略。在終端安全評估中,方案選擇的授權策略必須包含對終端安全評估狀態的引用,該引用最初必須為未知或不適用。若要涵蓋這兩種情況,可以使用狀況狀態不相符的條件。對於沒有重新導向的狀況不需要在授權配置檔案中使用任何Web重新導向配置。當終端安全評估狀態不可用時,您仍可以考慮使用DACL或空域ACL來限制使用者訪問。
步驟3.ISE返回具有授權屬性的Access-Accept。
步驟4.如果在Access-Accept中返回DACL名稱,則NAD會啟動DACL內容下載,並在獲得授權配置檔案後將其應用於會話。
步驟5.新方法假設無法進行重定向,因此使用者必須手動輸入客戶端調配門戶FQDN。必須在ISE端的門戶配置中定義CPP門戶的FQDN。從DNS伺服器的角度來看,A-record必須指向已啟用PSN角色的ISE伺服器。
步驟6.客戶端傳送HTTP以獲取客戶端調配門戶FQDN,在ISE端分析此請求,並將完整的門戶URL返回給客戶端。
圖2-2
步驟7.通過重定向URL中接收的埠建立SSL連線(預設8443)。 此連線受來自ISE端的門戶證書保護。客戶端調配門戶(CPP)呈現給使用者。
步驟8.在此步驟中,ISE上發生兩個事件:
附註:根據資料包中的源IP與會話中的已框架化IP地址之間的匹配來檢索會話。框架的IP地址通常由ISE從臨時記帳更新中檢索,因此要求在NAD端啟用記帳。此外,您必須記住,SSO僅在擁有會話的節點上可用。例如,如果會話在PSN 1上進行身份驗證,但FQDN本身指向PSN2,則SSO機制將失敗。
附註:由於Cisco錯誤ID CSCvd11574,當外部使用者是新增到外部身份儲存配置中的多個AD/LDAP組成員時,在非SSO案例的客戶端調配策略選擇時會顯示錯誤。所提到的缺陷是從ISE 2.3 FCS開始修復的,並且修復要求在AD組而不是EQUAL的條件下使用CONTAINS。
步驟9.選擇客戶端調配策略後,ISE向使用者顯示代理下載URL。點選下載NSA後,該應用程式會被推送給使用者。NSA檔名包含CPP門戶的FQDN。
步驟10.在此步驟中,NSA運行探測來建立與ISE的連線。兩個探測器是經典探測器,第三個探測器旨在允許在不進行url重定向的環境中的ISE發現。
enroll.cisco.com
。此FQDN必須由DNS伺服器成功解析。在具有拆分隧道的VPN場景中,必須通過隧道路由到enroll.cisco.com
的流量。
步驟11. NSA下載Anyconnect和/或特定模組。下載過程通過客戶端調配門戶埠完成。
圖2-3
步驟12.在ISE 2.2中,終端安全評估過程分為兩個階段。第一階段包含一組傳統的狀態發現探測器,以支援與依賴於url重定向的部署的後向相容性。
步驟 13. 第一階段包含所有傳統的狀態發現探測。要獲取有關探測的更多詳細資訊,請檢視ISE 2.2之前的狀態流中的步驟20。
步驟14.階段二包含兩個發現探測,允許AC ISE終端安全評估模組建立到PSN的連線,其中會話在不支援重定向的環境中進行身份驗證。在階段2中,所有探測器都是按順序進行的。
ISEPostureCFG.xml
,可在資料夾 — 中找到此文C:\ProgramData\Cisco\Cisco AnyConnect Secure Mobility Client\ISE Posture\
。/auth/ng-discovery
找。還包含客戶端IP和MAC清單。PSN會話收到此消息後,首先在本地執行查詢(此查詢使用來自AC ISE終端安全評估模組傳送的請求的IP和MAC)。 如果未找到會話,PSN將啟動MNT節點查詢。此請求僅包含MACs清單,因此,必須從MNT獲取所有者的FQDN。之後,PSN將所有者FQDN返回給客戶端。來自客戶端的下一個請求將傳送到會話所有者FQDN,身份驗證/狀態位於URL以及IP和MAC清單中。ConnectionData.xml
。您可以在中找到此檔案C:\Users\\AppData\Local\Cisco\Cisco AnyConnect Secure Mobility Client\
。AC ISE終端安全評估模組在第一次終端安全評估嘗試後建立此檔案。該檔案包含ISE PSN FQDN清單。清單的內容可以在下一次連線嘗試期間動態更新。此探測的最終目標是獲取當前會話所有者的FQDN。實現方式與探測1相同。在探測目標選擇方面,唯一的區別是。步驟15.獲得有關會話所有者的資訊後,所有後續步驟均與ISE 2.2之前的流程相同。
本文檔將ASAv用作網路接入裝置。所有測試均通過VPN進行狀態測試。通過VPN支援安全狀態的ASA配置不在本檔案的範圍之內。有關詳細資訊,請參閱ASA 9.2.1版VPN安全評估和ISE配置示例。
附註:對於使用VPN使用者的部署,推薦的設定是基於重定向的安全狀態。建議不要配置呼叫者。對於所有基於VPN的使用者,確保應用DACL以便他們不與配置終端安全評估的PSN通訊。
圖3-1
此拓撲用於測試。使用ASA,由於NAT功能,可以輕鬆模擬客戶端調配門戶的SSO機制在PSN端發生故障時的場景。對於通過VPN的常規狀態流量,SSO必須正常工作,因為當使用者進入公司網路時,通常不會對VPN IP實施NAT。
以下是準備Anyconnect配置的步驟。
步驟1. Anyconnect軟體包下載。Anyconnect軟體包本身無法從ISE直接下載,因此開始之前,請確保您的PC上有AC。此連結可用於AC下載 — https://www.cisco.com/site/us/en/products/security/secure-client/index.html。在本文檔中anyconnect-win-4.4.00243-webdeploy-k9.pkg
,使用的是軟體包。
步驟2.若要將AC軟體包上傳到ISE,請導航到Policy > Policy Elements > Results > Client Provisioning > Resources
並按一下Add
。從本地磁碟中選擇Agent resources。在新視窗中,選擇Cisco Provided Packages
,按一下browse
,然後選擇PC上的AC軟體包。
圖3-2
按一下Submit
,完成匯入。
步驟3.合規性模組必須上傳到ISE。在同一頁上,按一下Add
,然後選擇Agent resources from Cisco site
。在資源清單中,必須檢查符合性模組。在本檔案中, AnyConnectComplianceModuleWindows 4.2.508.0
使用遵從性模組。
步驟4.現在必須建立AC狀態配置檔案。按一下Add
,然後選擇NAC agent or Anyconnect posture profile
。
圖3-3
Posture Protocol
。圖3-4
Server Name Rules
,此欄位不能為空。該欄位可以包含帶有萬用字元的FQDN,該萬用字元限制從相應名稱空間到PSN的AC ISE終端安全評估模組連線。如果必須允許任何FQDN,請放置星號。附註:請記住,Call home地址的存在對於多使用者PC至關重要。檢視步驟14.在ISE 2.2之後的狀態流程中。
步驟5.建立AC配置。導航到Policy > Policy Elements > Results > Client Provisioning > Resources
,按一下Add
,然後選擇AnyConnect Configuration
。
圖3-5
步驟6.配置客戶端調配策略。導航到Policy > Client Provisioning
。如果是初始配置,則可以在預設策略中填充空值。如果需要將策略新增到現有的狀態配置,請導航到可重用的策略,然後選擇Duplicate Above
Duplicate Below
。也可以建立全新的策略。
這是文檔中使用的策略示例。
圖3-6
在結果部分選擇您的AC配置。請記住,在SSO失敗的情況下,ISE只能擁有從登入到門戶的屬性。這些屬性僅限於可從內部和外部身份儲存庫中檢索到的有關使用者的資訊。在本文檔中,AD組用作客戶端調配策略中的條件。
使用簡單的狀態檢查。ISE配置為檢查終端裝置端的Window Defender服務的狀態。實際場景可能更為複雜,但一般配置步驟是相同的。
步驟1.建立狀態條件。安全狀態條件位於中Policy > Policy Elements > Conditions > Posture
。選擇狀態條件的型別。下面是一個服務條件的示例,必須檢查Windows Defender服務是否正在運行。
圖3-7
步驟2.狀態要求配置。導航至Policy > Policy Elements > Results > Posture > Requirements
。以下是「視窗保護器」檢查的示例:
圖3-8
在新要求中選擇您的狀態條件並指定補救操作。
步驟3.狀態策略配置。導航至Policy > Posture
。您可以在此處找到用於本文檔的策略的示例。策略將Windows Defender要求指定為強制要求,並且僅包含外部AD組名稱作為條件。
圖3-9
對於無重定向的安全狀態,必須編輯客戶端調配門戶的配置。導航到Administration > Device Portal Management > Client Provisioning
。您可以使用預設門戶或建立自己的門戶。相同入口可用於有重定向和無重定向兩種姿勢。
圖3-10
必須在非重定向方案的門戶配置中編輯這些設定:
當終端安全評估狀態不可用時,必須限制客戶端的初始訪問。這可以通過多種方式實現:
步驟1.配置DACL。由於此示例基於ASA,因此可以使用NAD DACL。對於實際案例,您必須考慮將VLAN或Filter-ID作為可能的選項。
要建立DACL,請導航到Policy > Policy Elements > Results > Authorization > Downloadable ACLs
並按一下Add
。
在未知狀態期間,必須至少提供以下許可權:
以下是沒有修正伺服器的DACL範例:
圖3-11
步驟2.配置授權配置檔案。
與往常一樣,安全狀態需要兩個授權配置檔案。第一個必須包含任何型別的網路訪問限制(本示例中使用了DACL配置檔案)。 此配置檔案可應用於狀態不等於合規性的身份驗證。第二個授權配置檔案可以只包含允許訪問,並且可以應用於狀態等於合規性的會話。
要建立授權配置檔案,請導航至Policy > Policy Elements > Results > Authorization > Authorization Profiles
。
受限訪問配置檔案示例:
圖3-12
在本示例中,預設的ISE配置檔案PermitAccess用於成功狀態檢查後的會話。
步驟3.配置授權策略。在此步驟中,必須建立兩個授權策略。一個是匹配初始身份驗證請求與未知狀態匹配,另一個是在成功狀態過程後分配完全訪問許可權。
以下是適用於此案例的簡單授權原則範例:
圖3-13
身份驗證策略的配置不是本文檔的一部分,但您必須記住,在授權策略處理成功身份驗證之前,必須執行此步驟。
基本驗證流程可包含三個主要步驟:
步驟1.驗證流驗證。
圖4-1
由於本示例將ASA用作NAD,因此您看不到使用者的後續身份驗證請求。這是因為ISE使用ASA的COA推送避免了VPN服務中斷。在這種情況下,COA本身包含新的授權引數,因此不需要重新身份驗證。
步驟2.客戶端調配策略選擇驗證 — 為此,您可以在ISE上運行報告,該報告可幫助您瞭解為使用者應用了哪些客戶端調配策略。
導覽至Operations > Reports Endpoint and Users > Client Provisioning
,然後根據需要日期運行報表。
圖4-2
通過此報告,您可以驗證選擇了哪個客戶端調配策略。此外,如果出現故障,必須在列中說明原因Failure Reason
。
步驟3.狀態報告驗證 — 導航至Operations > Reports Endpoint and Users > Posture Assessment by Endpoint
。
圖4-3
您可以從此處開啟每個特定事件的詳細報告,以檢查該報告所屬的會話ID、ISE為終端選擇的確切狀態要求以及每個要求的狀態。
為了進行終端安全評估流程故障排除,必須啟用這些ISE元件以在可以發生終端安全評估流程的ISE節點上進行調試:
client-webapp
— 負責代理程式調配的元件。目標日誌文件guest.log
和ise-psc.log
。guestacess
— 負責客戶端調配門戶元件和會話所有者查詢的元件(當請求指向錯誤的PSN時)。 目標日誌檔案 — guest.log
。provisioning
— 負責客戶端調配策略處理的元件。目標日誌檔案 — guest.log
。posture
— 所有狀態相關事件。目標日誌檔案 — ise-psc.log
。
對於客戶端故障排除,可以使用以下命令:
acisensa.log
— 如果客戶端上的客戶端調配失敗,則此檔案會在下載NSA的同一資料夾中建立(通常為Windows下載目錄)。AnyConnect_ISEPosture.txt
— 此檔案可以在目錄中的DART捆綁包中找到Cisco AnyConnect ISE Posture Module
。所有有關ISE PSN發現和狀態流程常規步驟的資訊均記錄在此檔案中。如果SSO成功,您可以在以下位置檢視這些消息: ise-psc.log
,此組消息表示會話查詢已成功完成,並且可以跳過門戶上的身份驗證。
2016-11-09 15:07:35,951 DEBUG [http-bio-10.48.30.40-8443-exec-12][] cisco.cpm.posture.runtime.PostureRuntimeFactory -::::- looking for Radius session with input values : sessionId: null, MacAddr: null, ipAddr: 10.62.145.121
2016-11-09 15:07:35,989 DEBUG [http-bio-10.48.30.40-8443-exec-12][] cisco.cpm.posture.runtime.PostureRuntimeFactory -::::- looking for session using session ID: null, IP addrs: [10.62.145.121], mac Addrs [null]
2016-11-09 15:07:35,989 DEBUG [http-bio-10.48.30.40-8443-exec-12][] cisco.cpm.posture.runtime.PostureRuntimeFactory -::::- looking for session using IP 10.62.145.121
2016-11-09 15:07:35,989 DEBUG [http-bio-10.48.30.40-8443-exec-12][] cisco.cpm.posture.runtime.PostureRuntimeFactory -::::- nasPortType = 5
2016-11-09 15:07:35,989 DEBUG [http-bio-10.48.30.40-8443-exec-12][] cisco.cpm.posture.runtime.PostureRuntimeFactory -::::- nasPortType equal to 5 ( 5 is virtual NAS_PORT_TYPE for VPN ). Found a VPN session null using ip address 10.62.145.121
2016-11-09 15:07:35,989 DEBUG [http-bio-10.48.30.40-8443-exec-12][] cisco.cpm.posture.runtime.PostureRuntimeFactory -::::- Found session c0a801010002600058232bb8 using ipAddr 10.62.145.121
文本視窗5-1
您可以使用終端IP地址作為搜尋金鑰來查詢此資訊。
稍後,在訪客日誌中,您必須看到已跳過身份驗證:
2016-11-09 15:07:35,989 DEBUG [http-bio-10.48.30.40-8443-exec-12][] guestaccess.flowmanager.step.cp.CPInitStepExecutor -::- SessionInfo is not null and session AUTH_STATUS = 1
2016-11-09 15:07:35,989 DEBUG [http-bio-10.48.30.40-8443-exec-12][] com.cisco.ise.portalSessionManager.PortalSession -::- Putting data in PortalSession with key and value: Radius.Session c0a801010002600058232bb8
2016-11-09 15:07:35,989 DEBUG [http-bio-10.48.30.40-8443-exec-12][] com.cisco.ise.portalSessionManager.PortalSession -::- Putting data in PortalSession with key : Radius.Session
2016-11-09 15:07:35,989 DEBUG [http-bio-10.48.30.40-8443-exec-12][] guestaccess.flowmanager.step.cp.CPInitStepExecutor -::- Login step will be skipped, as the session =c0a801010002600058232bb8 already established for mac address null , clientIPAddress 10.62.145.121
2016-11-09 15:07:36,066 DEBUG [http-bio-10.48.30.40-8443-exec-12][] cpm.guestaccess.flowmanager.processor.PortalFlowProcessor -::- After executeStepAction(INIT), returned Enum: SKIP_LOGIN_PROCEED
文本視窗5-2
如果SSO不起作用,則檔案包含有關ise-psc log
「會話查詢」失敗的資訊:
2017-02-23 17:59:00,779 DEBUG [http-bio-10.48.17.249-8443-exec-2][] cisco.cpm.posture.runtime.PostureRuntimeFactory -::::- looking for Radius session with input values : sessionId: null, MacAddr: null, ipAddr: 10.62.145.44
2017-02-23 17:59:00,779 DEBUG [http-bio-10.48.17.249-8443-exec-2][] cisco.cpm.posture.runtime.PostureRuntimeFactory -::::- looking for session using session ID: null, IP addrs: [10.62.145.44], mac Addrs [null]
2017-02-23 17:59:00,779 DEBUG [http-bio-10.48.17.249-8443-exec-2][] cisco.cpm.posture.runtime.PostureRuntimeFactory -::::- looking for session using IP 10.62.145.44
2017-02-23 17:59:00,779 DEBUG [http-bio-10.48.17.249-8443-exec-2][] cisco.cpm.posture.runtime.PostureRuntimeFactory -::::- nasPortType = null
2017-02-23 17:59:00,779 DEBUG [http-bio-10.48.17.249-8443-exec-2][] cisco.cpm.posture.runtime.PostureRuntimeFactory -::::- nasPortType == null or is not a virtual NAS_PORT_TYPE ( 5 ).
2017-02-23 17:59:00,779 DEBUG [http-bio-10.48.17.249-8443-exec-2][] cisco.cpm.posture.runtime.PostureRuntimeFactory -::::- No Radius session found
文本視窗5-3
在這種情況下guest.log
,您必須在入口上看到完整的使用者身份驗證:
2017-02-23 17:59:00,779 DEBUG [http-bio-10.48.17.249-8443-exec-2][] cpm.guestaccess.flowmanager.step.StepExecutor -::- Find Next Step=LOGIN
2017-02-23 17:59:00,779 DEBUG [http-bio-10.48.17.249-8443-exec-2][] cpm.guestaccess.flowmanager.step.StepExecutor -::- Step : LOGIN will be visible!
2017-02-23 17:59:00,779 DEBUG [http-bio-10.48.17.249-8443-exec-2][] cpm.guestaccess.flowmanager.step.StepExecutor -::- Returning next step =LOGIN
2017-02-23 17:59:00,780 INFO [http-bio-10.48.17.249-8443-exec-2][] cpm.guestaccess.flowmanager.step.StepExecutor -::- Radius Session ID is not set, assuming in dry-run mode
文本視窗5-4
如果門戶上的身份驗證失敗,您必須專注於門戶配置驗證 — 哪個身份儲存正在使用中?哪些組有權登入?
如果客戶端調配策略失敗或策略處理不正確,您可以檢查檔案guest.log
,瞭解更多詳細資訊:
2017-02-23 17:59:07,080 DEBUG [http-bio-10.48.17.249-8443-exec-2][] guestaccess.flowmanager.step.guest.ClientProvStepExecutor -:user1:- In Client Prov : userAgent =Mozilla/5.0 (Windows NT 6.1; WOW64; rv:51.0) Gecko/20100101 Firefox/51.0, radiusSessionID=null, idGroupName=S-1-5-21-70538695-790656579-4293929702-513, userName=user1, isInUnitTestMode=false
2017-02-23 17:59:07,080 DEBUG [http-bio-10.48.17.249-8443-exec-2][] cpm.guestaccess.common.utils.OSMapper -:user1:- UserAgent : Mozilla/5.0 (Windows NT 6.1; WOW64; rv:51.0) Gecko/20100101 Firefox/51.0
2017-02-23 17:59:07,080 DEBUG [http-bio-10.48.17.249-8443-exec-2][] cpm.guestaccess.common.utils.OSMapper -:user1:- Client OS: Windows 7 (All)
2017-02-23 17:59:07,080 DEBUG [http-bio-10.48.17.249-8443-exec-2][] guestaccess.flowmanager.step.guest.ClientProvStepExecutor -:user1:- Retrieved OS=Windows 7 (All)
2017-02-23 17:59:07,080 DEBUG [http-bio-10.48.17.249-8443-exec-2][] guestaccess.flowmanager.step.guest.ClientProvStepExecutor -:user1:- Updating the idGroupName to NAC Group:NAC:IdentityGroups:S-1-5-21-70538695-790656579-4293929702-513
2017-02-23 17:59:07,080 DEBUG [http-bio-10.48.17.249-8443-exec-2][] guestaccess.flowmanager.step.guest.ClientProvStepExecutor -:user1:- User Agent/Radius Session is empty or in UnitTestMode
2017-02-23 17:59:07,080 DEBUG [http-bio-10.48.17.249-8443-exec-2][] guestaccess.flowmanager.step.guest.ClientProvStepExecutor -:user1:- Calling getMatchedPolicyWithNoRedirection for user=user1
2017-02-23 17:59:07,505 DEBUG [http-bio-10.48.17.249-8443-exec-2][] guestaccess.flowmanager.step.guest.ClientProvStepExecutor -:user1:- CP Policy Status =SUCCESS, needToDoVlan=false, CoaAction=NO_COA
文本視窗5-5
在第一個字串中,您可以看到如何將有關會話的資訊注入到策略選擇引擎中,如果沒有策略匹配或不正確的策略匹配,您可以將此處的屬性與客戶端調配策略配置進行比較。最後一個字串表示策略選擇狀態。
在客戶機端,您必須對探測及其結果的調查感興趣。下面是一個成功的第1階段探測的示例:
******************************************
Date : 02/23/2017
Time : 17:59:57
Type : Unknown
Source : acise
Description : Function: Target::Probe
Thread Id: 0x4F8
File: SwiftHttpRunner.cpp
Line: 1415
Level: debug
PSN probe skuchere-ise22-cpp.example.com with path /auth/status, status is -1..
******************************************
文本視窗5-6
在這個階段,PSN將返回有關會話所有者的AC資訊。稍後您可以看到以下幾條消息:
******************************************
Date : 02/23/2017
Time : 17:59:58
Type : Unknown
Source : acise
Description : Function: Target::probeRecentConnectedHeadEnd
Thread Id: 0xBE4
File: SwiftHttpRunner.cpp
Line: 1674
Level: debug
Target skuchere-ise22-2.example.com, posture status is Unknown..
******************************************
文本視窗5-7
會話所有者將所需的所有資訊返回給座席:
******************************************
Date : 02/23/2017
Time : 17:59:58
Type : Unknown
Source : acise
Description : Function: SwiftHttpRunner::invokePosture
Thread Id: 0xFCC
File: SwiftHttpRunner.cpp
Line: 1339
Level: debug
MSG_NS_SWISS_NEW_SESSION, <?xml version="1.0" ?>
<root>
<IP></IP>
<FQDN>skuchere-ise22-2.example.com</FQDN>
<PostureDomain>posture_domain</PostureDomain>
<sessionId>c0a801010009e00058af0f7b</sessionId>
<configUri>/auth/anyconnect?uuid=106a93c0-9f71-471c-ac6c-a2f935d51a36</configUri>
<AcPackUri>/auth/provisioning/download/81d12d4b-ff58-41a3-84db-5d7c73d08304</AcPackUri>
<AcPackPort>8443</AcPackPort>
<AcPackVer>4.4.243.0</AcPackVer>
<PostureStatus>Unknown</PostureStatus>
<PosturePort>8443</PosturePort>
<PosturePath>/auth/perfigo_validate.jsp</PosturePath>
<PRAConfig>0</PRAConfig>
<StatusPath>/auth/status</StatusPath>
<BackupServers>skuchere-ise22-1.example.com,skuchere-ise22-3.example.com</BackupServers>
</root>
.
******************************************
文本視窗5-8
從PSN端,當預期到達節點的初始請求不擁有會話時guest.log
,可以集中關注中的這些消息:
2017-02-23 17:59:56,345 DEBUG [http-bio-10.48.17.249-8443-exec-10][] cisco.cpm.client.posture.NextGenDiscoveryServlet -::- Got http request from 10.62.145.44 user agent is: Mozilla/4.0 (compatible; WINDOWS; 1.2.1.6.1.48; AnyConnect Posture Agent v.4.4.00243)
2017-02-23 17:59:56,345 DEBUG [http-bio-10.48.17.249-8443-exec-10][] cisco.cpm.client.posture.NextGenDiscoveryServlet -::- mac_list from http request ==> 00:0B:7F:D0:F8:F4,00:0B:7F:D0:F8:F4
2017-02-23 17:59:56,345 DEBUG [http-bio-10.48.17.249-8443-exec-10][] cisco.cpm.client.posture.NextGenDiscoveryServlet -::- iplist from http request ==> 172.16.31.12,10.62.145.95
2017-02-23 17:59:56,345 DEBUG [http-bio-10.48.17.249-8443-exec-10][] cisco.cpm.client.posture.NextGenDiscoveryServlet -::- Session id from http request - req.getParameter(sessionId) ==> null
2017-02-23 17:59:56,345 DEBUG [http-bio-10.48.17.249-8443-exec-10][] cpm.client.provisioning.utils.ProvisioningUtil -::- the input ipAddress from the list currently being processed in the for loop ==> 172.16.31.12
2017-02-23 17:59:56,345 DEBUG [http-bio-10.48.17.249-8443-exec-10][] cpm.client.provisioning.utils.ProvisioningUtil -::- the input ipAddress from the list currently being processed in the for loop ==> 10.62.145.95
2017-02-23 17:59:56,368 DEBUG [http-bio-10.48.17.249-8443-exec-10][] cisco.cpm.client.posture.NextGenDiscoveryServlet -::- Found Client IP null and corresponding mac address null
2017-02-23 17:59:56,369 ERROR [http-bio-10.48.17.249-8443-exec-10][] cpm.client.provisioning.utils.ProvisioningUtil -::- Session Info is null
2017-02-23 17:59:56,369 DEBUG [http-bio-10.48.17.249-8443-exec-10][] cisco.cpm.client.posture.NextGenDiscoveryServlet -::- Not able to find a session for input values - sessionId : null, Mac addresses : [00:0B:7F:D0:F8:F4, 00:0B:7F:D0:F8:F4], client Ip : [172.16.31.12, 10.62.145.95]
2017-02-23 17:59:56,369 DEBUG [http-bio-10.48.17.249-8443-exec-10][] cisco.cpm.client.posture.NextGenDiscoveryServlet -::- clientMac is null/ empty, will go over the mac list to query MNT for active session
2017-02-23 17:59:56,369 DEBUG [http-bio-10.48.17.249-8443-exec-10][] cisco.cpm.client.posture.NextGenDiscoveryServlet -::- Performing MNT look up for macAddress ==> 00-0B-7F-D0-F8-F4
2017-02-23 17:59:56,539 DEBUG [http-bio-10.48.17.249-8443-exec-10][] cisco.cpm.client.posture.NextGenDiscoveryServlet -::- Performed MNT lookup, found session 0 with session id c0a801010009e00058af0f7b
2017-02-23 17:59:56,539 DEBUG [http-bio-10.48.17.249-8443-exec-10][] cpm.client.provisioning.utils.ProvisioningUtil -::- getting NIC name for skuchere-ise22-cpp.example.com
2017-02-23 17:59:56,541 DEBUG [http-bio-10.48.17.249-8443-exec-10][] cpm.client.provisioning.utils.ProvisioningUtil -::- local interface 0 addr 10.48.17.249 name eth0
2017-02-23 17:59:56,541 DEBUG [http-bio-10.48.17.249-8443-exec-10][] cpm.client.provisioning.utils.ProvisioningUtil -::- Nic name for local host: skuchere-ise22-cpp.example.com is: eth0
2017-02-23 17:59:56,541 DEBUG [http-bio-10.48.17.249-8443-exec-10][] cpm.client.provisioning.utils.ProvisioningUtil -::- getting host FQDN or IP for host skuchere-ise22-2 NIC name eth0
2017-02-23 17:59:56,545 DEBUG [http-bio-10.48.17.249-8443-exec-10][] cpm.client.provisioning.utils.ProvisioningUtil -::- hostFQDNOrIP for host skuchere-ise22-2 nic eth0 is skuchere-ise22-2.example.com
2017-02-23 17:59:56,545 DEBUG [http-bio-10.48.17.249-8443-exec-10][] cisco.cpm.client.posture.NextGenDiscoveryServlet -::- PDP with session of 00-0B-7F-D0-F8-F4 is skuchere-ise22-2, FQDN/IP is: skuchere-ise22-2.example.com
2017-02-23 17:59:56,545 DEBUG [http-bio-10.48.17.249-8443-exec-10][] cisco.cpm.client.posture.NextGenDiscoveryServlet -::- Redirecting the request to new URL: https://skuchere-ise22-2.example.com:8443/auth/status
2017-02-23 17:59:56,545 DEBUG [http-bio-10.48.17.249-8443-exec-10][] cisco.cpm.client.posture.NextGenDiscoveryServlet -::- Session info is null. Sent an http response to 10.62.145.44.
2017-02-23 17:59:56,545 DEBUG [http-bio-10.48.17.249-8443-exec-10][] cpm.client.provisioning.utils.ProvisioningUtil -::- header X-ISE-PDP-WITH-SESSION value is skuchere-ise22-2.example.com
2017-02-23 17:59:56,545 DEBUG [http-bio-10.48.17.249-8443-exec-10][] cpm.client.provisioning.utils.ProvisioningUtil -::- header Location value is https://skuchere-ise22-2.example.com:8443/auth/status
文本視窗5-9
在這裡,您可以看到PSN首先嘗試在本地查詢會話,並在失敗後使用IP和MAC清單向MNT發起請求以查詢會話所有者。
稍後,您必須在正確的PSN上看到來自客戶端的請求:
2017-02-23 17:59:56,790 DEBUG [http-bio-10.48.30.41-8443-exec-8][] cisco.cpm.posture.runtime.PostureRuntimeFactory -::::- looking for session using session ID: null, IP addrs: [172.16.31.12, 10.62.145.95], mac Addrs [00:0B:7F:D0:F8:F4, 00:0B:7F:D0:F8:F4]
2017-02-23 17:59:56,790 DEBUG [http-bio-10.48.30.41-8443-exec-8][] cisco.cpm.posture.runtime.PostureRuntimeFactory -::::- looking for session using IP 172.16.31.12
2017-02-23 17:59:56,791 DEBUG [http-bio-10.48.30.41-8443-exec-8][] cisco.cpm.posture.runtime.PostureRuntimeFactory -::::- nasPortType = 5
2017-02-23 17:59:56,792 DEBUG [http-bio-10.48.30.41-8443-exec-8][] cisco.cpm.posture.runtime.PostureRuntimeFactory -::::- nasPortType equal to 5 ( 5 is virtual NAS_PORT_TYPE for VPN ). Found a VPN session null using ip address 172.16.31.12
2017-02-23 17:59:56,792 DEBUG [http-bio-10.48.30.41-8443-exec-8][] cisco.cpm.posture.runtime.PostureRuntimeFactory -::::- Found session c0a801010009e00058af0f7b using ipAddr 172.16.31.12
文本視窗5-10
下一步,PSN將為此會話執行客戶端調配策略查詢:
2017-02-23 17:59:56,793 DEBUG [http-bio-10.48.30.41-8443-exec-8][] com.cisco.cpm.swiss.SwissServer -::::- null or empty value for hostport obtained from SwissServer : getHostNameBySession()
2017-02-23 17:59:56,793 DEBUG [http-bio-10.48.30.41-8443-exec-8][] cisco.cpm.posture.runtime.PostureRuntimeFactory -::::- looking for Radius session with input values : sessionId: c0a801010009e00058af0f7b, MacAddr: 00-0b-7f-d0-f8-f4, ipAddr: 172.16.31.12
2017-02-23 17:59:56,793 DEBUG [http-bio-10.48.30.41-8443-exec-8][] cisco.cpm.posture.runtime.PostureRuntimeFactory -::::- looking for session using session ID: c0a801010009e00058af0f7b, IP addrs: [172.16.31.12], mac Addrs [00-0b-7f-d0-f8-f4]
2017-02-23 17:59:56,793 DEBUG [http-bio-10.48.30.41-8443-exec-8][] cisco.cpm.posture.runtime.PostureRuntimeFactory -::::- Found session using sessionId c0a801010009e00058af0f7b
2017-02-23 17:59:56,795 DEBUG [http-bio-10.48.30.41-8443-exec-8][] cisco.cpm.posture.runtime.PosturePolicyUtil -::::- User user1 belongs to groups NAC Group:NAC:IdentityGroups:Endpoint Identity Groups:Profiled:Workstation,NAC Group:NAC:IdentityGroups:Any
2017-02-23 17:59:58,203 DEBUG [http-bio-10.48.30.41-8443-exec-8][] com.cisco.cpm.swiss.SwissServer -::::- null or empty value for hostport obtained from SwissServer : getHPortNumberBySession()
2017-02-23 17:59:58,907 DEBUG [http-bio-10.48.30.41-8443-exec-10][] cisco.cpm.posture.util.AgentUtil -::::- Increase MnT counter at CP:ClientProvisioning.ProvisionedResource.AC-44-Posture
文本視窗5-11
在下一步中,您可以看到終端安全評估需求選擇的過程。在步驟結束時,將準備一個要求清單並返回給代理:
2017-02-23 18:00:00,372 DEBUG [http-bio-10.48.30.41-8443-exec-8][] cisco.cpm.posture.runtime.PostureHandlerImpl -:user1:::- About to query posture policy for user user1 with endpoint mac 00-0b-7f-d0-f8-f4
2017-02-23 18:00:00,423 DEBUG [http-bio-10.48.30.41-8443-exec-8][] cisco.cpm.posture.runtime.PostureManager -:user1:::- agentCMVersion=4.2.508.0, agentType=AnyConnect Posture Agent, groupName=OESIS_V4_Agents -> found agent group with displayName=4.x or later
2017-02-23 18:00:00,423 DEBUG [http-bio-10.48.30.41-8443-exec-8][] cisco.cpm.posture.runtime.PosturePolicyUtil -:user1:::- User user1 belongs to groups NAC Group:NAC:IdentityGroups:Endpoint Identity Groups:Profiled:Workstation,NAC Group:NAC:IdentityGroups:Any
2017-02-23 18:00:00,423 DEBUG [http-bio-10.48.30.41-8443-exec-8][] cisco.cpm.posture.runtime.PosturePolicyUtil -:user1:::- About to retrieve posture policy resources for os 7 Professional, agent group 4.x or later and identity groups [NAC Group:NAC:IdentityGroups:Endpoint Identity Groups:Profiled:Workstation, NAC Group:NAC:IdentityGroups:Any]
2017-02-23 18:00:00,432 DEBUG [http-bio-10.48.30.41-8443-exec-8][] cisco.cpm.posture.runtime.PosturePolicyUtil -:user1:::- Evaluate resourceId NAC Group:NAC:Posture:PosturePolicies:WinDefend by agent group with FQN NAC Group:NAC:AgentGroupRoot:ALL:OESIS_V4_Agents
2017-02-23 18:00:00,433 DEBUG [http-bio-10.48.30.41-8443-exec-8][] cisco.cpm.posture.runtime.PosturePolicyUtil -:user1:::- The evaluation result by agent group for resourceId NAC Group:NAC:Posture:PosturePolicies:WinDefend is Permit
2017-02-23 18:00:00,433 DEBUG [http-bio-10.48.30.41-8443-exec-8][] cisco.cpm.posture.runtime.PosturePolicyUtil -:user1:::- Evaluate resourceId NAC Group:NAC:Posture:PosturePolicies:WinDefend by OS group with FQN NAC Group:NAC:OsGroupRoot:ALL:WINDOWS_ALL:WINDOWS_7_ALL:WINDOWS_7_PROFESSIONAL_ALL
2017-02-23 18:00:00,438 DEBUG [http-bio-10.48.30.41-8443-exec-8][] cisco.cpm.posture.runtime.PosturePolicyUtil -:user1:::- stealth mode is 0
2017-02-23 18:00:00,438 DEBUG [http-bio-10.48.30.41-8443-exec-8][] cisco.cpm.posture.runtime.PosturePolicyUtil -:user1:::- The evaluation result by os group for resourceId NAC Group:NAC:Posture:PosturePolicies:WinDefend is Permit
2017-02-23 18:00:00,438 DEBUG [http-bio-10.48.30.41-8443-exec-8][] cisco.cpm.posture.runtime.PosturePolicyUtil -:user1:::- Evaluate resourceId NAC Group:NAC:Posture:PosturePolicies:WinDefend by Stealth mode NSF group with FQN NAC Group:NAC:StealthModeStandard
2017-02-23 18:00:00,439 DEBUG [http-bio-10.48.30.41-8443-exec-8][] cisco.cpm.posture.runtime.PosturePolicyUtil -:user1:::- Procesing obligation with posture policy resource with id NAC Group:NAC:Posture:PosturePolicies:WinDefend
2017-02-23 18:00:00,439 DEBUG [http-bio-10.48.30.41-8443-exec-8][] cisco.cpm.posture.runtime.PosturePolicyUtil -:user1:::- Found obligation id urn:cisco:cepm:3.3:xacml:response-qualifier for posture policy resource with id NAC Group:NAC:Posture:PosturePolicies:WinDefend
2017-02-23 18:00:00,439 DEBUG [http-bio-10.48.30.41-8443-exec-8][] cisco.cpm.posture.runtime.PosturePolicyUtil -:user1:::- Found obligation id PostureReqs for posture policy resource with id NAC Group:NAC:Posture:PosturePolicies:WinDefend
2017-02-23 18:00:00,439 DEBUG [http-bio-10.48.30.41-8443-exec-8][] cisco.cpm.posture.runtime.PosturePolicyUtil -:user1:::- Posture policy resource id WinDefend has following associated requirements []
2017-02-23 18:00:03,884 DEBUG [http-bio-10.48.30.41-8443-exec-8][] cpm.posture.runtime.agent.AgentXmlGenerator -:user1:::- policy enforcemnt is 0
2017-02-23 18:00:03,904 DEBUG [http-bio-10.48.30.41-8443-exec-8][] cpm.posture.runtime.agent.AgentXmlGenerator -:user1:::- simple condition: [Name=WinDefend, Descriptionnull, Service Name=WinDefend, Service Operator=Running, Operating Systems=[Windows All], Service Type=Daemon, Exit code=0]
2017-02-23 18:00:03,904 DEBUG [http-bio-10.48.30.41-8443-exec-8][] cpm.posture.runtime.agent.AgentXmlGenerator -:user1:::- check type is Service
2017-02-23 18:00:04,069 DEBUG [http-bio-10.48.30.41-8443-exec-8][] cisco.cpm.posture.runtime.PostureHandlerImpl -:user1:::- NAC agent xml <?xml version="1.0" encoding="UTF-8"?><cleanmachines>
<version>ISE: 2.2.0.470</version>
<encryption>0</encryption>
<package>
<id>10</id>
WinDefend
Enable WinDefend
3
0
3
WinDefend
3
301
WinDefend
running
(WinDefend)
</package>
</cleanmachines>
文本視窗5-12
稍後,您可以看到PSN已收到狀態報告:
2017-02-23 18:00:04,231 DEBUG [http-bio-10.48.30.41-8443-exec-8][] cisco.cpm.posture.runtime.PostureHandlerImpl -::::- UDID is 8afb76ad11e60531de1d3e7d2345dbba5f11a96d for end point 00-0b-7f-d0-f8-f4
2017-02-23 18:00:04,231 DEBUG [http-bio-10.48.30.41-8443-exec-8][] cisco.cpm.posture.runtime.PostureHandlerImpl -::::- Received posture request [parameters: reqtype=report, userip=10.62.145.44, clientmac=00-0b-7f-d0-f8-f4, os=WINDOWS, osVerison=1.2.1.6.1.48, architecture=9, provider=Device Filter, state=, userAgent=Mozilla/4.0 (compatible; WINDOWS; 1.2.1.6.1.48; AnyConnect Posture Agent v.4.4.00243), session_id=c0a801010009e00058af0f7b
文本視窗5-13
在流程結束時,ISE將終端標籤為符合併啟動COA:
2017-02-23 18:00:04,272 INFO [http-bio-10.48.30.41-8443-exec-8][] cisco.cpm.posture.runtime.PostureManager -:user1:::- Posture state is compliant for endpoint with mac 00-0b-7f-d0-f8-f4
2017-02-23 18:00:04,272 DEBUG [http-bio-10.48.30.41-8443-exec-8][] cisco.cpm.posture.runtime.PostureCoA -:user1:::- entering triggerPostureCoA for session c0a801010009e00058af0f7b
2017-02-23 18:00:04,272 DEBUG [http-bio-10.48.30.41-8443-exec-8][] cisco.cpm.posture.runtime.PostureCoA -:user1:::- Posture CoA is scheduled for session id [c0a801010009e00058af0f7b]
2017-02-23 18:00:04,272 DEBUG [http-bio-10.48.30.41-8443-exec-8][] cisco.cpm.posture.runtime.PostureCoA -:user1:::- Posture status for session id c0a801010009e00058af0f7b is Compliant
2017-02-23 18:00:04,273 DEBUG [http-bio-10.48.30.41-8443-exec-8][] cisco.cpm.posture.runtime.PostureCoA -:user1:::- Issue CoA on active session with sessionID c0a801010009e00058af0f7b
2017-02-23 18:00:04,273 DEBUG [http-bio-10.48.30.41-8443-exec-8][] cisco.cpm.posture.runtime.PostureCoA -:user1:::- Posture CoA is scheduled for session id [c0a801010009e00058af0f7b]
文本視窗5-14
修訂 | 發佈日期 | 意見 |
---|---|---|
1.0 |
24-Aug-2021
|
初始版本 |