ISEポスチャを使用したAnyconnectセキュアリモートアクセスとのDuo SAML SSOの統合
内容
はじめに
このドキュメントでは、Duo SAML SSOを適応型セキュリティアプライアンス(ASA)のCisco AnyConnectセキュアモビリティクライアントアクセスと統合し、Cisco ISEを活用して詳細なポスチャアセスメントを行うための設定例について説明します。Duo SAML SSOは、Duo Access Gateway(DAG)を使用して実装されます。DAGは、初期ユーザ認証ではActive Directoryと通信し、多要素認証ではDuo Security(クラウド)と通信します。Cisco ISEは、ポスチャ評価を使用してエンドポイントを検証するための認証サーバとして使用されます。
著者:Cisco HTTSエンジニア、Dinesh MoudgilおよびPulkit Saxena
前提条件
要件
- Duo Access GatewayとDuoセキュリティの基礎
- ASA でのリモート アクセス VPN 設定に関する基本的な知識
- ISE サービスとポスチャ サービスに関する基本的な知識
使用するコンポーネント
- Cisco適応型セキュリティアプライアンスソフトウェアバージョン9.12(3)12
- Duoアクセスゲートウェイ
- Duo Security
- Cisco Identity Services Engine(ISE)バージョン2.6以降
- AnyConnectバージョン4.8.03052が稼働するMicrosoft Windows 10
設定
ネットワーク図
Traffic flow
- AnyconnectクライアントがCisco ASAへのSSL VPN接続を開始する
- Cisco ASAは、Duo Access Gateway(DAG)でプライマリ認証用に設定されており、Anyconnectクライアントに組み込まれているブラウザをSAML認証用のDAGにリダイレクトします
- AnyconnectクライアントがDuo Access Gatewayにリダイレクトされる
- AnyConnectクライアントがクレデンシャルを入力すると、SAML認証要求が作成され、Cisco ASAからDuo Access Gatewayに発行されます
- Duo Access Gatewayは、オンサイトのActive Directoryとの統合を活用して、Anyconnectクライアントのプライマリ認証を実行します
- プライマリ認証が成功すると、Duo Access GatewayはDuo Security over TCPポート443に要求を送信して、二要素認証を開始します
- AnyConnectクライアントに「Duo Interactive Prompt」が表示され、ユーザが任意の方式(プッシュまたはパスコード)を使用してDuoの2要素認証を完了します
- Duo Securityが認証応答を受信し、Duo Access Gatewayに情報を返す
- 認証応答に基づいて、Duo Access GatewayはSAMLアサーションを含むSAML認証応答を作成し、Anyconnectクライアントに応答します
- AnyconnectクライアントがCisco ASAとのSSL VPN接続の認証に成功する
- 認証が成功すると、Cisco ASAはCisco ISEに許可要求を送信します
- Cisco ISEが許可要求を処理し、クライアントポスチャステータスがUnknownであるため、Cisco ASA経由のAnyconnectクライアントへのアクセスが制限されたポスチャリダイレクトを返します
- Anyconnectクライアントにコンプライアンスモジュールがない場合、ポスチャ評価を続行するためにダウンロードするように求められます
- Anyconnectクライアントにコンプライアンスモジュールがある場合、Cisco ASAとのTLS接続が確立され、ポスチャフローが開始されます
- ISEで設定されたポスチャ条件に応じて、ポスチャチェックが実行され、AnyconnectクライアントからCisco ISEに詳細が送信されます
- クライアントポスチャステータスが不明から準拠に変わると、認可変更(CoA)要求がCisco ISEからCisco ASAに送信され、クライアントへのフルアクセスが許可され、VPNが完全に確立されます
コンフィギュレーション
- Duo管理ポータルの構成
このセクションでは、Duo AdminポータルでASAアプリケーションを設定します。
1. 「Duo Admin Portal」にログインして「アプリケーション>アプリケーションの保護」に移動し、保護タイプが「2FA with Duo Access Gateway, self-hosted」の「ASA」を検索します。右端の「Protect」をクリックして、Cisco ASAを設定します
2. 保護されたアプリケーションの「サービスプロバイダー」の下に次の属性を設定します。ASA
| ベースURL | firebird.cisco.com |
| トンネルグループ | TG_SAML |
| メール属性 | sAMAccountName,メール |
ページの下部にある「保存」をクリックします
このドキュメントの残りの設定ではデフォルトのパラメータを使用しますが、お客様の要件に基づいて設定できます。
この時点で、アプリケーションの名前をデフォルト値から変更したり、セルフサービスを有効にしたり、グループポリシーを割り当てたりするなど、新しいSAMLアプリケーションの追加設定を調整できます。
3. 「コンフィギュレーションファイルのダウンロード」リンクをクリックして、Cisco ASAアプリケーションの設定を(JSONファイルとして)取得します。このファイルは、後の手順でDuo Access Gatewayにアップロードされます
4. 「ダッシュボード>アプリケーション」で、新しく作成されたASAアプリケーションは次の図のように表示されます。
5. 図に示すように「Users」>「Add User」に移動します。
Anyconnectリモートアクセス認証に使用する「duouser」という名前のユーザを作成し、エンドユーザデバイスでDuo Mobileをアクティブにします
図のように電話番号を追加するには、 [電話の追加]オプションを選択します。
特定のユーザーの「Duo Mobile」をアクティブにします
図に示すように、「Duo Mobileアクティベーションコードの生成」を選択します。
図に示すように、「SMSで指示を送信」を選択します。
図に示すように、SMSのリンクをクリックすると、Duoアプリがデバイス情報セクションのユーザアカウントにリンクされます。
- Duo Access Gateway(DAG)の設定
- Duo Access Gateway(DAG)をネットワーク内のサーバに導入
- Duo Access Gatewayホームページで、「Authentication Source」に移動します
- [ソースの構成]で、Active Directoryの次の属性を入力し、[設定の保存]をクリックします
- 「Set Active Source」で、ソース・タイプとして「Active Directory」を選択し、「Set Active Source」をクリックします。
- 「Add Application」サブメニューの「Applications」に移動し、「Configuration file」セクションのDuo Admin Consoleからダウンロードした.jsonファイルをアップロードします。対応する.jsonファイルは、手順3の「Duo Admin Portalの設定」でダウンロードしました
- アプリケーションが正常に追加されると、「アプリケーション」サブメニューに表示されます
- 「Metadata」サブメニューで、XMLメタデータとIdP証明書をダウンロードし、後でASAで設定する次のURLをメモします
- SSOのURL
- ログアウトURL
- エンティティID
- エラーURL
-ASA の設定
この項では、SAML IDP認証と基本的なAnyConnect設定のためにASAを設定する方法について説明します。このドキュメントでは、ASDM設定手順とCLI実行コンフィギュレーションについて概説します。
1. Duo Access Gateway証明書のアップロード
A. 「Configuration > Device Management > Certificate Management > CA Certificates」の順に移動し、「Add」をクリックします。
B. 「証明書のインストール」ページで、トラストポイント名をDuo_Access_Gatewayに設定します。
C. [参照]をクリックしてDAG証明書に関連付けられているパスを選択し、選択したら[証明書のインストール]をクリックします
2. AnyConnectユーザ用のIPローカルプールの作成
Configuration > Remote Access VPN > Network (Client) Access > Address Assignment > Address Poolsの順に選択し、Addをクリックします。
3. AAAサーバグループの設定
A.このセクションでは、AAAサーバグループを設定し、認可を実行する特定のAAAサーバの詳細を指定します
B. 「Configuration > Remote Access VPN > AAA/Local Users > AAA Server Groups」に移動し、「Add」をクリックします。
C.同じページの「Servers in the Selected group」セクションで「Add」をクリックし、AAAサーバのIPアドレスの詳細を入力します
4. AnyConnectクライアントソフトウェアのマッピング
A. WebVPNで使用するAnyConnectクライアントソフトウェアwebdeployイメージ4.8.03052 for windowsをマッピングします
B. 「設定> Remote Access VPN > Network (Client) Access > AnyConnect Client Software」に移動し、「追加」をクリックします。
5. ISEからプッシュされるリダイレクトACLの設定
A. 「Configuration > Firewall > Advanced > ACL Manager」に移動し、AddをクリックしてリダイレクトACLを追加します。設定後のエントリは次のようになります。
6. 既存のグループポリシーの検証
A.この設定ではデフォルトのグループポリシーが使用されており、「設定>リモートアクセスVPN >ネットワーク(クライアント)アクセス>グループポリシー」で確認できます。
7. 接続プロファイルの設定
A. AnyConnectユーザが接続する新しい接続プロファイルを作成します
B. 「設定>リモートアクセスVPN >ネットワーク(クライアント)アクセス> Anyconnect接続プロファイル」に移動し、「追加」をクリックします。
C.接続プロファイルに関連付けられた次の詳細を設定します。
| [名前(Name)] | TG_SAML |
| エイリアス | SAML_Users |
| メソッド | SAML |
| AAAサーバグループ | Local |
| クライアントアドレスプール | AC_プール |
| グループ ポリシー | DfltGrpPolicy |
D.同じページで、次に示すようにSAML IDプロバイダーの詳細を設定します。
E. 「Manage > Add」をクリックします。
F.接続プロファイルのAdvancedセクションで、認可用のAAAサーバを定義します
Advanced > Authorizationに移動して、Addをクリックします。
G. Group Aliasで、接続エイリアスを定義します
「Advanced > Group Alias/Group URL」に移動し、「Add」をクリックします。
H.これでASAの設定は完了です。コマンドラインインターフェイス(CLI)でも同じことが次のように表示されます
! hostname firebird domain-name cisco.com !
!
name 10.197.164.7 explorer.cisco.com name 10.197.164.3 firebird.cisco.com ! !--------------------Client pool configuration--------------------
!
ip local pool AC_Pool 10.197.164.6-explorer.cisco.com mask 255.255.255.0 !
!--------------------Redirect Access-list-------------------------
! access-list redirect extended deny udp any any eq domain access-list redirect extended deny ip any host 10.197.243.116 access-list redirect extended deny icmp any any access-list redirect extended permit ip any any access-list redirect extended permit tcp any any eq www !
!--------------------AAA server configuration---------------------
! aaa-server ISE protocol radius authorize-only interim-accounting-update periodic 1 dynamic-authorization aaa-server ISE (outside) host 10.106.44.77 key ***** !
!-----Configure Trustpoint for Duo Access Gateway Certificate-----
! crypto ca trustpoint Duo_Access_Gateway enrollment terminal crl configure !
!-------Configure Trustpoint for ASA Identity Certificate---------
! crypto ca trustpoint ID_CERT enrollment terminal fqdn firebird.cisco.com subject-name CN=firebird.cisco.com ip-address 10.197.164.3 keypair ID_RSA_KEYS no ca-check crl configure !
!------Enable AnyConnect and configuring SAML authentication------
! webvpn enable outside hsts enable max-age 31536000 include-sub-domains no preload anyconnect image disk0:/anyconnect-win-4.8.03052-webdeploy-k9.pkg 1 anyconnect enable saml idp https://explorer.cisco.com/dag/saml2/idp/metadata.php url sign-in https://explorer.cisco.com/dag/saml2/idp/SSOService.php url sign-out https://explorer.cisco.com/dag/saml2/idp/SingleLogoutService.php?ReturnTo=https://explorer.cisco.com/dag/module.php/duosecurity/logout.php base-url https://firebird.cisco.com trustpoint idp Duo_Access_Gateway trustpoint sp ID_CERT no signature no force re-authentication timeout assertion 1200 tunnel-group-list enable cache disable error-recovery disable !
!--------------------Group Policy configuration--------------------
! group-policy DfltGrpPolicy attributes vpn-tunnel-protocol ikev1 ikev2 l2tp-ipsec ssl-client ssl-clientless !
!----------Tunnel-Group (Connection Profile) Configuraiton----------
! tunnel-group TG_SAML type remote-access tunnel-group TG_SAML general-attributes address-pool AC_Pool authorization-server-group ISE accounting-server-group ISE tunnel-group TG_SAML webvpn-attributes authentication saml group-alias SAML_Users enable saml identity-provider https://explorer.cisco.com/dag/saml2/idp/metadata.php !
-ISE 設定
1. ネットワークデバイスとしてのCisco ASAの追加
「Administration」>「Network Resources」>「Network Devices」で、「Add」をクリックします。
ネットワークデバイスの名前、関連するIPアドレスを設定し、「Radius Authentication Settings」で「Shared Secret」を設定して「Save」をクリックします。
2. 最新のポスチャアップデートをインストールする
Administration > System > Settings > Posture > Updatesの順に移動し、Update Nowをクリックします。
3. ISEでのコンプライアンスモジュールとAnyConnectヘッドエンド導入パッケージのアップロード
「Policy > Policy Elements > Results > Client Provisioning > Resources」の順に移動します。「Add」をクリックし、ファイルをローカルワークステーションからフェッチするか、シスコサイトからフェッチするかに基づいて、「Agent resources from local disk」または「Agent resources from Cisco site」を選択します。
この場合、ローカルワークステーションのカテゴリからファイルをアップロードするには、「Cisco Provided Packages」を選択し、「Browse」をクリックして必要なパッケージを選択し、「Submit」をクリックします。
このドキュメントでは、コンプライアンスモジュールとして「anyconnect-win-4.3.1012.6145-isecomplexity-webdeploy-k9.pkg」、AnyConnectヘッドエンド導入パッケージとして「anyconnect-win-4.8.03052-webdeploy-k9.pkg」を使用します。
4. AnyConnectポスチャプロファイルの作成
A. 「Policy > Policy Elements > Results > Client Provisioning > Resources」の順に移動します。「Add」をクリックして「AnyConnect Posture Profile」を選択します。
B. Anyconnectポスチャプロファイルの名前を入力し、サーバ名ルールでサーバ名を「*」として設定し、「保存」をクリックします。
5. Anyconnect設定の作成
A. 「Policy > Policy Elements > Results > Client Provisioning > Resources」の順に移動します。「Add」をクリックして「AnyConnect Configuration」を選択します。
B. AnyConnectパッケージを選択し、構成名を入力し、必要なコンプライアンスモジュールを選択します。
C. 「AnyConnect Module Selection」で、「Diagnostic and Reporting Tool」にチェックマークを付けます。
D. 「プロファイルの選択」で「ポスチャプロファイル」を選択し、「保存」をクリックします。
6. クライアントプロビジョニングポリシーの作成
A. Policy > Client Provisioningの順に移動します
B. 「編集」をクリックし、 「上にルールを挿入」を選択します
C.ルール名を入力し、必要なオペレーティングシステムを選択し、結果( 「エージェント」 > 「エージェント設定」内)で、ステップ5で作成した「AnyConnect設定」を選択し、「保存」をクリックします
7. ポスチャ条件の作成
A. 「Policy」>「Policy Elements」>「Conditions」>「Posture」>「File Condition」に移動します。
B. 「追加」をクリックし、条件名「VPN_Posture_File_Check」、必要なオペレーティングシステム「Windows 10(All)」、ファイルタイプ「FileExistence」、ファイルパス「ABSOLUTE_PATH」、フルパスとファイル名「C:\custom.txt」を設定し、File Operatorを「Exists」として選択します。
C.この例では、ファイル条件としてC:ドライブに「custom.txt」という名前のファイルがあることを使用します
8. ポスチャ修復アクションの作成
「Policy > Policy Elements > Results > Posture > Remediation Actions」に移動し、対応するファイル修復アクションを作成します。このドキュメントでは、次の手順で設定する修復操作として「メッセージテキストのみ」を使用します。
9. ポスチャ要件ルールの作成
A. "Policy > Policy Elements > Results > Posture > Requirements"の順に移動します
B. 「編集」をクリックし、 「新規要件の挿入」を選択します
C.条件名「VPN_Posture_Requirement」、必要なオペレーティングシステム「Windows 10(All)」、コンプライアンスモジュール「4.x or later」、ポスチャタイプ「Anyconnect」を設定
D. 「VPN_Posture_File_Check」(ステップ7で作成)として条件を設定し、「Remediations Actions」で「Action」に「Message Text Only」を選択し、エージェントユーザのカスタムメッセージを入力します。
10. ポスチャポリシーの作成
A. Policies > Postureの順に移動します
B.ステップ9で設定したルール名を「VPN_Posture_Policy_Win」、必要なオペレーティングシステムを「Windows 10(All)」、コンプライアンスモジュールを「4.x以降」、ポスチャタイプを「Anyconnect」、要件を「VPN_Posture_Requirement」に設定します。
11. ダイナミックACL(DACL)の作成
「Policy > Policy Elements > Results > Authorization > Downlodable ACL」に移動し、異なるポスチャステータスのDACLを作成します。
このドキュメントでは、次のDACLを使用します。
A. Posture Unknown:DNS、PSN、HTTP、およびHTTPSトラフィックへのトラフィックを許可します
B.ポスチャ非準拠:プライベートサブネットへのアクセスを拒否し、インターネットトラフィックのみを許可します
C.ポスチャ準拠:ポスチャ準拠エンドユーザのすべてのトラフィックを許可します。
12. 許可プロファイルの作成
「Policy > Policy Elements > Results > Authorization > Authorization Profiles」の順に移動します。
A.不明なポスチャの認可プロファイル
DACL「PostureUnknown」を選択し、Web Redirectionをチェックし、Client Provisioning(Posture)を選択し、リダイレクトACL名「redirect」を設定し(ASAで設定)、クライアントプロビジョニングポータルを選択します(デフォルト)
B.ポスチャ非準拠の認証プロファイル
DACL「PostureNonCompliant」を選択して、ネットワークへのアクセスを制限します。
C.ポスチャ準拠の認証プロファイル
ネットワークへのフルアクセスを許可するには、DACL「PostureCompliant」を選択します。
12. 許可ポリシーの設定
前の手順で設定した認可プロファイルを使用して、ポスチャ準拠、ポスチャ非準拠、およびポスチャ不明の3つの認可ポリシーを設定します。
各ポリシーの結果を判断するために、共通の条件「セッション:ポスチャステータス」が使用されます。
確認
ここでは、設定が正常に機能しているかどうかを確認します。
ユーザが正常に認証されたことを確認するには、ASAで次のコマンドを実行します。
firebird(config)# show vpn-sess detail anyconnect
Session Type: AnyConnect Detailed
Username : _585b5291f01484dfd16f394be7031d456d314e3e62
Index : 125
Assigned IP : explorer.cisco.com Public IP : 10.197.243.143
Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License : AnyConnect Premium
Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)AES-GCM-256 DTLS-Tunnel: (1)AES-GCM-256
Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA384 DTLS-Tunnel: (1)SHA384
Bytes Tx : 16404 Bytes Rx : 381
Pkts Tx : 16 Pkts Rx : 6
Pkts Tx Drop : 0 Pkts Rx Drop : 0
Group Policy : DfltGrpPolicy Tunnel Group : TG_SAML
Login Time : 07:05:45 UTC Sun Jun 14 2020
Duration : 0h:00m:16s
Inactivity : 0h:00m:00s
VLAN Mapping : N/A VLAN : none
Audt Sess ID : 0ac5a4030007d0005ee5cc49
Security Grp : none
AnyConnect-Parent Tunnels: 1
SSL-Tunnel Tunnels: 1
DTLS-Tunnel Tunnels: 1
AnyConnect-Parent:
Tunnel ID : 125.1
Public IP : 10.197.243.143
Encryption : none Hashing : none
TCP Src Port : 57244 TCP Dst Port : 443
Auth Mode : SAML
Idle Time Out: 30 Minutes Idle TO Left : 29 Minutes
Client OS : win
Client OS Ver: 10.0.15063
Client Type : AnyConnect
Client Ver : Cisco AnyConnect VPN Agent for Windows 4.8.03052
Bytes Tx : 7973 Bytes Rx : 0
Pkts Tx : 6 Pkts Rx : 0
Pkts Tx Drop : 0 Pkts Rx Drop : 0
SSL-Tunnel:
Tunnel ID : 125.2
Assigned IP : explorer.cisco.com Public IP : 10.197.243.143
Encryption : AES-GCM-256 Hashing : SHA384
Ciphersuite : ECDHE-RSA-AES256-GCM-SHA384
Encapsulation: TLSv1.2 TCP Src Port : 57248
TCP Dst Port : 443 Auth Mode : SAML
Idle Time Out: 30 Minutes Idle TO Left : 29 Minutes
Client OS : Windows
Client Type : SSL VPN Client
Client Ver : Cisco AnyConnect VPN Agent for Windows 4.8.03052
Bytes Tx : 7973 Bytes Rx : 0
Pkts Tx : 6 Pkts Rx : 0
Pkts Tx Drop : 0 Pkts Rx Drop : 0
Filter Name : #ACSACL#-IP-PostureUnknown-5ee45b05
DTLS-Tunnel:
Tunnel ID : 125.3
Assigned IP : explorer.cisco.com Public IP : 10.197.243.143
Encryption : AES-GCM-256 Hashing : SHA384
Ciphersuite : ECDHE-ECDSA-AES256-GCM-SHA384
Encapsulation: DTLSv1.2 UDP Src Port : 49175
UDP Dst Port : 443 Auth Mode : SAML
Idle Time Out: 30 Minutes Idle TO Left : 29 Minutes
Client OS : Windows
Client Type : DTLS VPN Client
Client Ver : Cisco AnyConnect VPN Agent for Windows 4.8.03052
Bytes Tx : 458 Bytes Rx : 381
Pkts Tx : 4 Pkts Rx : 6
Pkts Tx Drop : 0 Pkts Rx Drop : 0
Filter Name : #ACSACL#-IP-PostureUnknown-5ee45b05
ISE Posture:
Redirect URL : https://ise261.pusaxena.local:8443/portal/gateway?sessionId=0ac5a4030007d0005ee5cc49&portal=27b1bc30-2...
Redirect ACL : redirect
ポスチャ評価が完了すると、「Filter Name」フィールドにプッシュされたDACLに示されるように、ユーザアクセスがフルアクセスに変更されます
firebird(config)# show vpn-sess detail anyconnect
Session Type: AnyConnect Detailed
Username : _585b5291f01484dfd16f394be7031d456d314e3e62
Index : 125
Assigned IP : explorer.cisco.com Public IP : 10.197.243.143
Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License : AnyConnect Premium
Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)AES-GCM-256 DTLS-Tunnel: (1)AES-GCM-256
Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA384 DTLS-Tunnel: (1)SHA384
Bytes Tx : 16404 Bytes Rx : 381
Pkts Tx : 16 Pkts Rx : 6
Pkts Tx Drop : 0 Pkts Rx Drop : 0
Group Policy : DfltGrpPolicy Tunnel Group : TG_SAML
Login Time : 07:05:45 UTC Sun Jun 14 2020
Duration : 0h:00m:36s
Inactivity : 0h:00m:00s
VLAN Mapping : N/A VLAN : none
Audt Sess ID : 0ac5a4030007d0005ee5cc49
Security Grp : none
AnyConnect-Parent Tunnels: 1
SSL-Tunnel Tunnels: 1
DTLS-Tunnel Tunnels: 1
AnyConnect-Parent:
Tunnel ID : 125.1
Public IP : 10.197.243.143
Encryption : none Hashing : none
TCP Src Port : 57244 TCP Dst Port : 443
Auth Mode : SAML
Idle Time Out: 30 Minutes Idle TO Left : 29 Minutes
Client OS : win
Client OS Ver: 10.0.15063
Client Type : AnyConnect
Client Ver : Cisco AnyConnect VPN Agent for Windows 4.8.03052
Bytes Tx : 7973 Bytes Rx : 0
Pkts Tx : 6 Pkts Rx : 0
Pkts Tx Drop : 0 Pkts Rx Drop : 0
SSL-Tunnel:
Tunnel ID : 125.2
Assigned IP : explorer.cisco.com Public IP : 10.197.243.143
Encryption : AES-GCM-256 Hashing : SHA384
Ciphersuite : ECDHE-RSA-AES256-GCM-SHA384
Encapsulation: TLSv1.2 TCP Src Port : 57248
TCP Dst Port : 443 Auth Mode : SAML
Idle Time Out: 30 Minutes Idle TO Left : 29 Minutes
Client OS : Windows
Client Type : SSL VPN Client
Client Ver : Cisco AnyConnect VPN Agent for Windows 4.8.03052
Bytes Tx : 7973 Bytes Rx : 0
Pkts Tx : 6 Pkts Rx : 0
Pkts Tx Drop : 0 Pkts Rx Drop : 0
Filter Name : #ACSACL#-IP-PERMIT_ALL_IPV4_TRAFFIC-57f6b0d3
DTLS-Tunnel:
Tunnel ID : 125.3
Assigned IP : explorer.cisco.com Public IP : 10.197.243.143
Encryption : AES-GCM-256 Hashing : SHA384
Ciphersuite : ECDHE-ECDSA-AES256-GCM-SHA384
Encapsulation: DTLSv1.2 UDP Src Port : 49175
UDP Dst Port : 443 Auth Mode : SAML
Idle Time Out: 30 Minutes Idle TO Left : 29 Minutes
Client OS : Windows
Client Type : DTLS VPN Client
Client Ver : Cisco AnyConnect VPN Agent for Windows 4.8.03052
Bytes Tx : 458 Bytes Rx : 381
Pkts Tx : 4 Pkts Rx : 6
Pkts Tx Drop : 0 Pkts Rx Drop : 0
Filter Name : #ACSACL#-IP-PERMIT_ALL_IPV4_TRAFFIC-57f6b0d3
ISEで認可が正常に実行されたことを確認するには、「Operations」>「RADIUS」>「Live Logs」に移動します。
このセクションでは、認証ユーザに関連する情報(ID、認証プロファイル、認証ポリシー、ポスチャステータス)を示します。
ユーザ エクスペリエンス
トラブルシュート
ここでは、設定のトラブルシューティングに使用できる情報を示します。
ほとんどのSAMLのトラブルシューティングでは、SAML設定のチェックやデバッグの実行によって発生する設定の誤りが検出されます。
「debug webvpn saml 255」は、ほとんどの問題のトラブルシューティングに使用できますが、このデバッグで有益な情報が得られない場合は、追加のデバッグを実行できます。
debug webvpn 255 debug webvpn anyconnect 255 debug webvpn session 255 debug webvpn request 255
ASAの認証と認可の問題をトラブルシューティングするには、次のdebugコマンドを使用します。
debug radius all debug aaa authentication debug aaa authorization To troubleshoot Posture related issues on ISE, set the following attributes to debug level:
posture (ise-psc.log) portal (guest.log) provisioning (ise-psc.log) runtime-AAA (prrt-server.log) nsf (ise-psc.log) nsf-session (ise-psc.log) swiss (ise-psc.log)
関連情報
https://www.youtube.com/watch?v=W6bE2GTU0Is&
https://duo.com/docs/cisco#asa-ssl-vpn-using-saml
https://www.cisco.com/c/en/us/support/docs/security/identity-services-engine/215236-ise-posture-over-anyconnect-remote-acces.html#anc0
フィードバック