ユーザ アイデンティティ ソースに関する問題のトラブルシューティング
ライセンス:任意
ユーザ アイデンティティ ソースに関する問題のトラブルシューティングについては、次の各項を参照してください。
ユーザ エージェント
ユーザ エージェントの接続に関する問題が発生した場合は、Firepower ユーザ エージェント コンフィギュレーション ガイド [英語] を参照してください。
ユーザ エージェントによって報告されるユーザ データに関する問題が発生した場合は、次の点に注意してください。
-
システムはデータがまだデータベースにないユーザ エージェント ユーザのアクティビティを検出すると、サーバからそれらに関する情報を取得します。状況によっては、システムが Active Directory サーバからこの情報を正常に取得するために 60 分かかることもあります。データ取得が成功するまで、ユーザ エージェント ユーザから見えるアクティビティはアクセス コントロール ルールで処理され、Web インターフェイスに表示されません。
ISE/ISE-PIC
ISE/ISE-PIC 接続に問題が起こった場合は、次のことを確認してください。
-
ISE と FirePOWER システムを正常に統合するには、ISE 内の pxGrid アイデンティティ マッピング機能を有効にする必要があります。
-
すべての ISE システム証明書と FirePOWER Management Center 証明書には、serverAuth と clientAuth 拡張キー使用値が含まれている必要があります。
-
ISE デバイスの時間は、FirePOWER Management Center の時間と同期されている必要があります。アプライアンスが同期されていないと、予想外の間隔でユーザのタイムアウトが実行される可能性があります。
-
展開にプライマリとセカンダリの pxGrid ノードがある場合、両方のノードの証明書が同じ認証局によって署名されている必要があります。
-
展開にプライマリとセカンダリの MNT ノードがある場合、両方のノードの証明書が同じ認証局によって署名されている必要があります。
ISE/ISE-PIC によって報告されるユーザ データに関する問題が発生した場合は、次の点に注意してください。
-
システムはデータがまだデータベースにない ISE ユーザのアクティビティを検出すると、サーバからそれらに関する情報を取得します。状況によっては、システムが Active Directory サーバからこの情報を正常に取得するために 60 分かかることもあります。データ取得が成功するまで、ISE ユーザから見えるアクティビティはアクセス コントロール ルールで処理され、Web インターフェイスに表示されません。
-
LDAP、RADIUS、または RSA ドメイン コントローラで認証された ISE ユーザに対するユーザ制御は実行できません。
-
ASA FirePOWER モジュールは、ISE ゲスト サービス ユーザのユーザ データは受信しません。
-
使用する ISE バージョンと設定は、FirePOWER システムでの ISE の使用方法に影響を与えます。詳細については、ISE/ISE-PIC アイデンティティ ソースを参照してください。
-
ISE-PIC は ISE 属性のデータを提供しません。
キャプティブ ポータル
キャプティブ ポータル認証に関する問題が発生した場合は、次の点に注意してください。
-
キャプティブ ポータル サーバの時刻は、ASA FirePOWER モジュールの時刻と同期している必要があります。
-
設定済みの DNS 解決があり、Kerberos(または Kerberos をオプションとする場合は HTTP ネゴシエート)キャプティブ ポータルを実行するアイデンティティ ルールを作成する場合は、キャプティブ ポータル デバイスの完全修飾ドメイン名(FQDN)を解決するように DNS サーバを設定する必要があります。FQDN は、DNS 設定時に指定したホスト名と一致する必要があります。
ASA with FirePOWER Services デバイスの場合、FQDN は、キャプティブ ポータルに使用されるルーテッド インターフェイスの IP アドレスに解決される必要があります。
-
Kerberos(または Kerberos をオプションとする場合は HTTP ネゴシエート)をアイデンティティ ルールの [認証タイプ(Authentication Type)] として選択する場合は、選択する [レルム(Realm)] には、Kerberos キャプティブ ポータル アクティブ認証を実行できるようにするため、[AD 参加ユーザ名(AD Join Username)] および [AD 参加パスワード(AD Join Password)] が設定されている必要があります。
-
アイデンティティ ルールの [認証タイプ(Authentication Type)] として [HTTP 基本(HTTP Basic)] を選択した場合、ネットワーク上のユーザはセッションがタイムアウトしたことを認識しない場合があります。ほとんどの Web ブラウザは、HTTP 基本ログインからクレデンシャルをキャッシュし、古いセッションがタイムアウトした後にシームレスに新しいセッションを開始するためにそのクレデンシャルを使用します。
-
キャプティブ ポータルに使用する予定のデバイスにインライン インターフェイスとルーテッド インターフェイスの両方が含まれる場合、キャプティブ ポータル デバイス上でルーテッド インターフェイスだけを対象とするようにキャプティブ ポータル アイデンティティ ルールでゾーン条件を設定する必要があります。