 (注) |
content.cisco.com のコンテンツハブに移動します。ここでは、ファセット検索機能を使用して、必要なコンテンツを正確に拡大できます。参照用にカスタマイズした PDF ブックを簡単に作成するなど、数多くのことが可能です。 早速始めましょう。content.cisco.com をクリックしてください。 また、コンテンツハブをすでに体験したことがある場合は、ご意見をお聞かせください。 ページの [フィードバック(Feedback)] アイコンをクリックして、ご意見をお寄せください。 |
はじめに
Cisco Identity Services Engine(ISE)は、ネットワークリソースへのセキュアなアクセスを提供するセキュリティポリシー管理プラットフォームです。企業は、Cisco ISE を使用して、ネットワーク、ユーザ、およびデバイスからコンテキスト情報をリアルタイムで収集できます。その後、管理者はこの情報を使用して、積極的に管理上の決定を下すことができます。これを行うには、アクセススイッチ、シスコ ワイヤレス コントローラ、バーチャル プライベート ネットワーク(VPN)ゲートウェイ、データセンタースイッチなどのさまざまなネットワーク要素のアクセス コントロール ポリシーを作成します。Cisco ISE は、Cisco TrustSec ソリューションのポリシーマネージャとして機能し、TrustSec ソフトウェアによって定義されたセグメンテーションをサポートします。
Cisco ISE は、異なるパフォーマンス特性を持つセキュアなネットワーク サーバ アプライアンス上で、および仮想マシン(VM)で実行可能なソフトウェアとして使用できます。パフォーマンス向上のためにアプライアンスを展開に追加できます。
Cisco ISE は、スタンドアロンおよび分散展開をサポートする拡張性の高いアーキテクチャを使用しますが、設定および管理は一元化されています。また、ペルソナとサービスの設定と管理を個別に行うこともできます。このため、ネットワーク内で必要なサービスを作成して適用することができますが、Cisco ISE 展開を完全な統合システムとして運用することもできます。
この Cisco ISE リリースでサポートされている機能の詳細については、『Cisco Identity Services Engine Administrator Guide』を参照してください。
cisco.com のマニュアルにアクセスするには、End-User Documentation [英語] にアクセスしてください。
システム要件
Cisco ISE の設定を継続使用する場合は、次のシステム要件が満たされていることを確認してください。
この Cisco ISE リリースのハードウェア プラットフォームおよびインストールの詳細については、『Cisco Identity Services Engine Hardware Installation Guide』を参照してください。
サポート対象ハードウェア
Cisco ISE リリース 2.6 は、次のプラットフォームにインストールして実行できます。
 注意 |
Cisco Secure Network Server(SNS)3600 シリーズ アプライアンス サポート(SNS-3615-K9、SNS-3655-K9、SNS-3695-K9)の場合は、新しい ISO ファイル(ise-2.4.0.357.SPA.x86_64_SNS-36x5_APPLIANCE_ONLY.iso)のみを使用する必要があります。Cisco ISE 2.4 パッチ 9 以降はインストール後に適用する必要があります。SNS 3500 シリーズ アプライアンス、VMware、KVM、または Hyper-V のインストールでは、この ISO ファイルを使用しないことをお勧めします。 |
|
ハードウェア プラットフォーム |
設定 |
|---|---|
|
Cisco SNS-3515-K9(小規模) |
アプライアンスハードウェアの仕様については、Cisco Secure Network Server アプライアンスハードウェアの設置ガイド [英語] を参照してください。 |
|
Cisco SNS-3595-K9(大規模) |
|
|
Cisco SNS-3615-K9(小規模) |
|
|
Cisco SNS-3655-K9(中規模) |
|
|
Cisco SNS-3695-K9(大規模) |
|
|
Cisco ISE-VM-K9(VMware、Linux KVM、Microsoft Hyper-V) |
|
|
ESXi 5.x、6.x、7.x |
インストール後、上記の表に記載されているプラットフォームで、管理、モニタリング、pxGrid などの特定のコンポーネントペルソナを使用して Cisco ISE を設定できます。これらのペルソナに加えて、Cisco ISE では、プロファイリングサービス、セッションサービス、脅威中心型 NAC サービス、TrustSec 用の SXP サービス、TACACS+ デバイス管理サービス、およびパッシブ ID サービスなど、ポリシーサービス内に他のタイプのペルソナが含まれています。
注意 |
|
連邦情報処理標準モードサポート
Cisco ISE は、組み込みの連邦情報処理標準(FIPS)140-2 検証済み暗号化モジュール、Cisco FIPS オブジェクト モジュール バージョン 6.2(証明書 #2984)を使用します。FIPS コンプライアンス要求の詳細については、Global Government Certifications を参照してください。
Cisco ISE で FIPS モードが有効になっている場合は、次の点を考慮してください。
-
すべての FIPS 非準拠暗号スイートは無効になります。
-
証明書と秘密キーには、FIPS 準拠ハッシュと暗号化アルゴリズムのみを使用する必要があります。
-
RSA 秘密キーには、2048 ビット以上を指定する必要があります。
-
楕円曲線デジタル署名アルゴリズム(楕円曲線 DSA)の秘密キーには、224 ビット以上を指定する必要があります。
-
Diffie–Hellman Ephemeral(DHE)暗号方式は 2048 ビット以上の Diffie–Hellman(DH)パラメータを使用して動作します。
-
SHA1 は、ISE ローカルサーバ証明書の生成を許可されていません。
-
EAP-FAST の匿名 PAC プロビジョニングオプションは無効です。
-
ローカル SSH サーバは FIPS モードで動作します。
-
RADIUS の場合、次のプロトコルは FIPS モードではサポートされていません。
-
EAP-MD5
-
PAP
-
CHAP
-
MS-CHAPv1
-
MS-CHAPv2
-
LEAP
-
サポートされる仮想環境
Cisco ISE は次の仮想環境プラットフォームをサポートしています。
-
ESXi 5.x、6.x、7.x
-
Cisco ISE は、ESXi 6.5 を搭載したCisco HyperFlex HX シリーズで検証済みです。
-
仮想マシンは VMware クラウドが提供するソフトウェア定義型データセンター(SDDC)でホストできます。VMware クラウドに Cisco ISE をインストールするプロセスは、VMware 仮想マシンに Cisco ISE をインストールするプロセスとまったく同じです。オンプレミス展開へのアクセスを可能にするために、セキュリティ グループ ポリシーが VMware クラウドで設定されていることを確認します([ネットワーキングとセキュリティ(Networking&Security)] > [セキュリティ(Security)] > [ゲートウェイ ファイアウォール(Gateway Firewall)])。
-
-
Microsoft Windows Server 2012 R2 以降の Microsoft Hyper-V
-
RHEL 7.1、7.3、および 7.5 上の KVM
詳細については、Cisco Identity Services Engine 互換性ガイド [英語] を参照してください。
注意 |
Cisco ISE は、ISE データのバックアップ用の VMware スナップショットをサポートしていません。これは、VMware スナップショットが特定の時点で VM のステータスを保存するためです。マルチノード Cisco ISE 環境では、すべてのノードのデータは、現在のデータベース情報と継続的に同期されます。スナップショットを復元すると、データベースのレプリケーションと同期の問題を引き起こす可能性があります。データのバックアップおよび復元用に、Cisco ISE に含まれるバックアップ機能を使用することを推奨します。 VMware スナップショットを使用して ISE データをバックアップすると、Cisco ISE サービスが停止します。ISE ノードを起動するには、再起動が必要です。 |
サポートされるブラウザ
管理者ポータルでサポートされているブラウザは次のとおりです。
-
Mozilla Firefox 96 以前のバージョン(バージョン 82 以降)
-
Mozilla Firefox ESR 91.3 以前のバージョン
-
Google Chrome 96 以前のバージョン (バージョン 86 以降)
-
Microsoft Internet Explorer 11.x
-
Microsoft Edge の最新バージョンと最新バージョンより 1 つ前のバージョン
Microsoft Active Directory のサポート
Cisco ISE は、すべての機能レベルで Microsoft Active Directory サーバ 2003、2003 R2、2008、2008 R2、2012、 2012 R2、2016、および 2019 と連携して動作します。
(注) |
|
Cisco ISE は、マルチドメインフォレストと Active Directory インフラストラクチャとの統合をサポートし、大規模なエンタープライズ ネットワーク全体の認証および属性の収集をサポートしています。Cisco ISE は最大 50 個のドメイン参加ポイントをサポートしています。
ユーザ識別の改善
Cisco ISE は、ユーザ名が一意でなくても Active Directory ユーザを識別できます。マルチドメインの Active Directory 環境で短いユーザ名を使用する場合、一般的にユーザ名が重複します。ソフトウェア資産管理(SAM)、顧客名(CN)、またはその両方を使用してユーザを識別できます。Cisco ISE は、ユーザを一意に識別するために属性を使用します。
次の値を更新します。
-
SAM:クエリで SAM のみを使用するには、この値を更新します(デフォルト)。
-
CN:クエリで CN のみを使用するには、この値を更新します。
-
CNSAM:クエリで CN および SAM を使用するには、この値を更新します。
Active Directory ユーザの識別用に上記の属性を設定するには、Active Directory を実行しているサーバのレジストリで IdentityLookupField パラメータを更新します。
REGISTRY.Services\lsass\Parameters\Providers\ActiveDirectory\IdentityLookupField
サポート対象のウイルス対策およびマルウェア対策製品
サポート対象の暗号方式
Cisco ISE のクリーンインストールまたは新規インストールでは、SHA1 暗号はデフォルトで無効になっています。ただし、既存のバージョンの Cisco ISE からアップグレードする場合、SHA1 暗号は以前のバージョンのオプションのままです。SHA1 暗号の設定は、[SHA1暗号を許可する(Allow SHA1 Ciphers)] フィールド([管理(Administration)] > [システム(System)] > [設定(Settings)] > [セキュリティ設定(Security Settings)])を使用して表示および変更できます。
(注) |
この暗号は、管理者ポータルには適用されません。連邦情報処理標準モード(FIPS)で実行している場合、アップグレードでは管理者ポータルから SHA1 暗号が削除されません。 |
Cisco ISE は、TLS バージョン 1.0、1.1、および 1.2 をサポートします。
Cisco ISE は、RSA および ECDSA サーバ証明書をサポートしています。次の楕円曲線をサポートしています。
-
secp256r1
-
secp384r1
-
secp521r1
次の表に、サポートされている暗号スイートが表示されています。
| 暗号スイート |
Cisco ISE が EAP サーバとして設定されている場合 Cisco ISE が RADIUS DTLS サーバとして設定されている場合 |
Cisco ISE が、HTTPS またはセキュア LDAP サーバから CRL をダウンロードする場合 Cisco ISE がセキュアな LDAP クライアントとして設定されている場合 Cisco ISE が CoA の RADIUS DTLS クライアントとして設定されている場合 |
|
TLS 1.0 のサポート |
TLS 1.0 が許可されている場合 (DTLS サーバは DTLS 1.2 のみをサポート) Cisco ISE 2.3 以上では、[TLS 1.0を許可(Allow TLS 1.0)] オプションがデフォルトで無効になっています。このオプションが無効の場合、TLS 1.0 では、TLS ベースの EAP 認証方式(EAP-TLS、EAP-FAST/TLS)および 802.1 X サプリカントがサポートされません。TLS ベースの EAP 認証方式を TLS 1.0 で使用するには、[セキュリティ設定(Security Settings)] ウィンドウの [TLS 1.0 を許可(Allow TLS 1.0) ] チェックボックスをオンにします。このウィンドウを表示するには、[管理(Administration)] > [システム(System)] > [設定(Settings)] > [プロトコル(Protocols)] > [セキュリティ設定(Security Settings)] を選択します。 |
TLS 1.0 が許可されている場合 (DTLS クライアントは DTLS 1.2 のみをサポート) |
|
TLS 1.1 のサポート |
TLS 1.1 が許可されている場合 Cisco ISE 2.3 以上では、[TLS 1.1を許可(Allow TLS 1.0)] オプションがデフォルトで無効になっています。このオプションが無効の場合、TLS 1.1 では、TLS ベースの EAP 認証方式(EAP-TLS、EAP-FAST/TLS)および 802.1 X サプリカントがサポートされません。TLS ベースの EAP 認証方式を TLS 1.1 で使用するには、[セキュリティ設定(Security Settings)] ウィンドウ([管理(Administration)] > [システム(System)] > [設定(Settings)] > [プロトコル(Protocols)] > [セキュリティ設定(Security Settings)])で [TLS 1.1を許可(Allow TLS 1.1)] チェック ボックスをオンにします。 |
TLS 1.1 が許可されている場合 |
|
ECC DSA 暗号方式 |
||
|
ECDHE-ECDSA-AES256-GCM-SHA384 |
Yes |
○ |
|
ECDHE-ECDSA-AES128-GCM-SHA256 |
Yes |
○ |
|
ECDHE-ECDSA-AES256-SHA384 |
Yes |
○ |
|
ECDHE-ECDSA-AES128-SHA256 |
Yes |
○ |
|
ECDHE-ECDSA-AES256-SHA |
SHA-1 が許可されている場合 |
SHA-1 が許可されている場合 |
|
ECDHE-ECDSA-AES128-SHA |
SHA-1 が許可されている場合 |
SHA-1 が許可されている場合 |
|
ECC RSA 暗号方式 |
||
|
ECDHE-RSA-AES256-GCM-SHA384 |
ECDHE-RSA が許可されている場合 |
ECDHE-RSA が許可されている場合 |
|
ECDHE-RSA-AES128-GCM-SHA256 |
ECDHE-RSA が許可されている場合 |
ECDHE-RSA が許可されている場合 |
|
ECDHE-RSA-AES256-SHA384 |
ECDHE-RSA が許可されている場合 |
ECDHE-RSA が許可されている場合 |
|
ECDHE-RSA-AES128-SHA256 |
ECDHE-RSA が許可されている場合 |
ECDHE-RSA が許可されている場合 |
|
ECDHE-RSA-AES256-SHA |
ECDHE-RSA/SHA-1 が許可されている場合 |
ECDHE-RSA/SHA-1 が許可されている場合 |
|
ECDHE-RSA-AES128-SHA |
ECDHE-RSA/SHA-1 が許可されている場合 |
ECDHE-RSA/SHA-1 が許可されている場合 |
|
DHE RSA 暗号方式 |
||
|
DHE-RSA-AES256-SHA256 |
× |
可 |
|
DHE-RSA-AES128-SHA256 |
× |
可 |
|
DHE-RSA-AES256-SHA |
× |
SHA-1 が許可されている場合 |
|
DHE-RSA-AES128-SHA |
× |
SHA-1 が許可されている場合 |
|
RSA 暗号方式 |
||
|
AES256-SHA256 |
Yes |
○ |
|
AES128-SHA256 |
Yes |
○ |
|
AES256-SHA |
SHA-1 が許可されている場合 |
SHA-1 が許可されている場合 |
|
AES128-SHA |
SHA-1 が許可されている場合 |
SHA-1 が許可されている場合 |
|
3DES 暗号方式 |
||
|
DES-CBC3-SHA |
3DES/SHA-1 が許可されている場合 |
3DES/DSS および SHA-1 が有効になっている場合 |
|
DSS 暗号方式 |
||
|
DHE-DSS-AES256-SHA |
× |
3DES/DSS および SHA-1 が有効になっている場合 |
|
DHE-DSS-AES128-SHA |
× |
3DES/DSS および SHA-1 が有効になっている場合 |
|
EDH-DSS-DES-CBC3-SHA |
× |
3DES/DSS および SHA-1 が有効になっている場合 |
|
弱い RC4 暗号方式 |
||
|
RC4-SHA |
[許可されているプロトコル(Allowed Protocols)] ページで [脆弱な暗号を許可(Allow weak ciphers)] オプションが有効になっていて、SHA-1 が許可されている場合 |
× |
|
RC4-MD5 |
[許可されているプロトコル(Allowed Protocols)] ページで [脆弱な暗号を許可(Allow weak ciphers)] オプションが有効になっている場合 |
× |
|
EAP-FAST 匿名プロビジョニングのみの場合: ADH-AES-128-SHA |
Yes |
× |
|
ピア証明書の制限 |
||
|
KeyUsage の検証 |
クライアント証明書では、以下の暗号に対し、KeyUsage=Key Agreement および ExtendedKeyUsage=Client Authentication が必要です。
|
|
|
ExtendedKeyUsage の検証 |
クライアント証明書では、以下の暗号に対し、KeyUsage=Key Encipherment および ExtendedKeyUsage=Client Authentication が必要です。
|
サーバ証明書では ExtendedKeyUsage=Server Authentication が必要です |
Cisco ISE リリース 2.6 の新機能
基本ライセンス
以下に示す機能を使用するには、Cisco ISE 基本ライセンスが必要です。
外部 ID ストアによる CLI アクセス
ISE は、Active Directory などの外部 ID ソースによる CLI 管理者の認証をサポートしています。
ビジネス成果:複数のパスワードポリシーを管理したり、ISE 内で内部ユーザを管理したりする必要なしに、パスワードの単一ソースを管理できるため、時間の節約と労力の軽減を実現できます。
IPv6 のサポート
Cisco ISE リリース 2.6 では、IPv4 のサポートに加えて、次の機能や項目に対して IPv6 のサポートが拡張されています。
-
ISE 管理
IPv6 アドレスを介して Cisco ISE ノードにアクセスして管理し、セットアップウィザードおよび CLI で IPv6 アドレスを Eth0(インターフェイス)に設定できます。
(注)
IPv6 アドレスを設定する場合は、Cisco ISE ノード通信用に(IPv6 アドレスに加えて)IPv4 アドレスも設定する必要があります。したがって、デュアルスタック(IPv4 と IPv6 の両方の組み合わせ)が必要です。
また、IPv6 アドレスを使用してセキュアソケットシェル(SSH)を管理することもできます。Cisco ISE では、任意のインターフェイス上で複数の IPv6 アドレスを利用でき、CLI を使用してこれらの IPv6 アドレスを設定および管理できます。
-
Network Time Protocol のサポート
IPv4、FQDN、IPv6 アドレス、またはこれらの組み合わせを使用して、Network Time Protocol(NTP)サーバにアクセスし、設定および管理できます。
また、Cisco ISE は、IPv6 アドレスを介した NTP サーバのフォールバックメカニズムおよびサーバ認証もサポートしています。
-
ドメインネームシステムのサポート
IPv4 と IPv6 のドメインネームシステム(DNS)サーバを組み合わせて設定し、CLI および GUI を使用して IPv4 ベースまたは IPv6 ベースの DNS サーバを管理することもできます。スタティックホスト名を IPv6 アドレスにマッピングできます。
詳細については、『ISE Cisco Identity Services Engine CLI Reference Guide, Release 2.6』を参照してください。
-
外部リポジトリ
IPv6 アドレスを使用して、Cisco ISE に外部リポジトリを追加できます。Cisco ISE ノードの IPv6 アドレスが Eth0 に設定されている場合は、ノードと IPv6 外部リポジトリとの間で通信できます。
詳細については、『ISE Cisco Identity Services Engine CLI Reference Guide, Release 2.6』を参照してください。
-
監査ログとレポート
IPv6 アドレスを使用して Cisco ISE にアクセスしながら、ユーザによるログインとログアウトのアクティビティ、パスワードの変更、操作上の変更に関するレポートを表示できます。これらのイベントは、Cisco ISE ダッシュボードで使用可能な監査レポートで確認できます。
-
Simple Network Management Protocol
Simple Network Management Protocol(SNMP)トラップと MIB は IPv6 アドレスを介して通信できます。IPv4 ベースの SNMP サーバ、IPv6 ベースの SNMP サーバ、または複数の SNMP サーバ(IPv4 と IPv6 の組み合わせ)を設定できます。
-
アクセスコントロールリストと動的アクセスコントロールリスト
Cisco ISE リリース 2.6 以降では、IPv6 アドレスを使用してアクセスコントロールリスト(ACL)、動的アクセスコントロールリスト(DACL)、Cisco Airespace ACL を定義できます。
-
Active Directory
Cisco ISE から IPv6 Active Directory に接続できます。
-
外部 Restful サービスポータル
IPv6 クライアントでは外部 Restful サービスを使用できます。
-
syslog クライアントまたはロギングターゲット
IPv6 ベースの syslog ターゲットを設定できます。
-
ポスチャ
IPv6 アドレスを使用して RADIUS サーバにアクセスできます。
Cisco ISE リリース 2.6 での IPv6 のサポートに関する詳細については、『Cisco Identity Services Engine Administrator Guide, Release 2.6』を参照してください。
ビジネス成果:IPv6 ベースのネットワークに移行すると、上記の項目を達成できます。
管理者ポータルの日本語表示または英語表示
管理コンソールは、現在、日本語と英語の 2 つの言語に対応しています。[アカウント設定(Account Settings)] で、日本語表示または英語表示を選択できます。
ビジネス成果:日本語または英語がわかる管理者は Cisco ISE を適切に設定および使用できます。
ポリシーサービスノードとライト セッション ディレクトリ
ライト セッション ディレクトリ機能を使用すると、ユーザセッション情報を保存し、展開のポリシーサービスノード(PSN)全体で複製できるため、ユーザセッションの詳細について、プライマリ管理ノード(PAN)またはモニタリングとトラブルシューティング(MnT)ノードから完全に独立できます。ライト セッション ディレクトリ機能では、認可変更(CoA)に必要なセッション属性のみが保存されます。ライト セッション ディレクトリ機能を有効にするには、[管理(Administration)] > [設定(Settings)] > [ライトセッションディレクトリ(Light Session Directory)] を選択し、[ライトセッションディレクトリの有効化(Enable Light Session Directory)] チェックボックスをオンにします。
ビジネス成果:Cisco ISE ノードのパフォーマンスと拡張性が向上しました。
外部管理者向けの REST のサポート
Cisco ISE 2.6 から、外部 RESTful サービス(ERS)ユーザは、内部ユーザとなることも、外部 Active Directory に属することもできます。外部ユーザが所属する Active Directory グループは、ERS 管理者または ERS オペレータのいずれかのグループにマッピングする必要があります。この機能強化により、管理者は、ERS サービスにアクセスする必要がある外部ユーザに対応する内部ユーザを作成する必要がなくなりました。
ビジネス成果:外部管理者による RESTful サービスへのアクセスを可能にするプロセスが簡素化されます。
Manufacturer Usage Descriptor のサポート
製造元使用率記述子(MUD)は IETF 標準で、オンボード IoT デバイスに対する方法を定義します。IoT デバイスのシームレスな可視化とセグメンテーションの自動化を提供します。MUD は IETF プロセスで承認されており、RFC8520 としてリリースされています。
https://datatracker.ietf.org/doc/draft-ietf-opsawg-mud/.
Cisco ISE リリース 2.6 では、IoT デバイスの識別がサポートされています。Cisco ISE は、プロファイリングポリシーとエンドポイント ID グループを自動的に作成します。MUD は、IoT デバイスのプロファイリング、プロファイリングポリシーの動的作成、ポリシーとエンドポイント ID グループの作成プロセス全体の自動化をサポートします。管理者はこれらのプロファイリングポリシーを使用して、許可ポリシーおよびプロファイルを手動で作成できます。DHCP と LLDP のパケットで MUD URL を出力する IoT デバイスは、これらのプロファイルとポリシーを使用して登録されています。システム内での適用を含む完全な自動化は、今後のリリースに追加される予定です。
Cisco ISE は IoT デバイスを符号なしで分類し、プロファイラポリシーを使用してアクセスします。ISE は MUD 属性を保存しません。属性は現在のセッションのみで使用されます。[コンテキストと可視性(Context and Visibility)] > [エンドポイント(Endpoints)] ウィンドウの [エンドポイントプロファイル(Endpoint Profile)] フィールドで、IoT デバイスをフィルタリングできます。
次のデバイスは、Cisco ISE への MUD データの送信をサポートしています。
-
Cisco Identity Services Engine 2.6
-
Cisco IOS XE バージョン 16.9.1 と 16.9.2 を実行している Cisco Catalyst 3850 シリーズ スイッチ
-
Cisco IOS バージョン 15.2(6)E2 を実行している Cisco Catalyst デジタル ビルディング シリーズ スイッチ
-
Cisco IOS バージョン 15.2(6)E2 を実行している Cisco Industrial Ethernet 4000 シリーズ スイッチ
-
MUD 機能が組み込まれた Internet of Things(IoT)デバイス
プロファイラのサポート
Cisco ISE は、次のプロファイリングプロトコルおよびプロファイリングプローブをサポートします。
-
LLDP と RADIUS - TLV 127
-
DHCP - オプション 161
ビジネス成果:エンタープライズ ネットワークに接続される Internet of Things(IoT)デバイスの数は増え続けています。これまで、Cisco ISE では、これらのデバイスを分類できませんでした。リリース 2.6 から、Cisco ISE では、自動プロセスを使用して、組織のネットワークに接続されている IoT デバイスを分類して表示できます。
ISE メッセージングを介した syslog
Cisco ISE リリース 2.6 から、モニタリングとトラブルシューティング(MnT)WAN 存続可能性を UDP syslog 収集に利用できます。syslog は ISE メッセージングサービスを使用して記録されます。syslog が収集および保存されるリモートロギングターゲットでは、ポート TCP 8671 とセキュアな Advanced Message Queuing Protocol(AMQP)を使用して、syslog を MnT に送信します。
Cisco ISE リリース 2.6 パッチ 1 まで、[ISEメッセージングサービス(ISE Messaging Service)] オプションはデフォルトで無効になっています。
Cisco ISE リリース 2.6 パッチ 2 以降では、[ISEメッセージングサービス(ISE Messaging Service)] オプションはデフォルトで有効になっています。
詳細については、『Cisco Identity Services Engine Administrator Guide, Release 2.6』を参照してください。
ビジネス成果:MnT ノードにアクセスできない場合でも、運用データが一定期間保持されます。
強化するための改善
Cisco ISE を強化するための改善として、次の不具合が修正されています。
-
CSCvj85532:管理者の認証失敗に対するセキュリティの適用が簡素化されました。
-
CSCvk46033:Cisco ISE SSH サーバへの接続のセキュリティを強化するように改善されました。
-
CSCvk09565:RFC 3164 標準に準拠しました。
-
CSCvj96345:Cisco ISE 管理アプリケーションへの接続のセキュリティが強化されました。
TrustSec 展開の検証レポート
このレポートを使用すると、最新の TrustSec ポリシーがすべてのネットワークデバイスに展開されているかどうか、および Cisco ISE で設定されたポリシーとネットワークデバイスに展開されたポリシーに不一致があるかどうかを確認できます。
ビジネス成果:最新の TrustSec ポリシーがネットワークデバイスに展開されているかどうかや、不一致があるかどうかを簡単に確認できます。
NFS リポジトリのクレデンシャル
リポジトリを追加し、プロトコルとして [NFS] を選択しても、リポジトリ接続用のクレデンシャルを入力できなくなりました。
ビジネス成果:クレデンシャルを使用して NFS リポジトリに接続すると、問題が発生しました。
Apex ライセンス
以下に示す機能を使用するには、Cisco ISE Apex ライセンスが必要です。
ダイナミック MAC アドレスを使用した管理対象デバイスの識別
AnyConnect 4.7 は、接続ユーザを識別するための固有デバイス ID(UDID)を提供するようになりました。UDID 値はモバイル デバイス管理(MDM)プロバイダーからの情報にマッピングできるため、同じ MAC アドレスを持つユーザを識別しやすくなります。MAC アドレス共有は、複数の人がドックまたは USB ドングルを共有しているオープンオフィスでは一般的です。
ビジネス成果:デバイス接続が共有されている場合に UDID を使用してユーザを一意に識別するソリューションを開発できます。
柔軟な修復通知
Cisco ISE リリース 2.6 以降では、猶予期間の一定割合が経過するまで、猶予期間の通知をユーザに表示するのを遅らせることができます。
たとえば、[ポリシー(Policy)] > [ポスチャ(Posture)] > [ポスチャポリシー(Posture Policy)] ウィンドウの [通知の遅延(Delay Notification)] フィールドが 50 パーセントに設定され、設定されている猶予期間が 10 分の場合、Cisco ISE は、5 分後にポスチャステータスをチェックし、エンドポイントが準拠していないと判断したときは猶予期間通知を表示します。エンドポイントのステータスが準拠している場合、猶予期間通知は表示されません。通知遅延期間が 0 パーセントに設定されている場合は、猶予期間の開始時に直ちに問題の解決を促すメッセージが表示されます。ただし、エンドポイントは、猶予期間の有効期限が切れるまで、アクセス権が付与されます。
ビジネス成果:JAMF ソフトウェアや Microsoft System Center Configuration Manager(SCCM)の更新を待っているエンドポイントに対して不必要に修復を求めることを避けられます。
Cisco AnyConnect を介した汎用またはカスタムメッセージング
Cisco AnyConnect は、Cisco ISE ポスチャサービスに関連して使用する場合、より詳しい情報メッセージを表示できるようになりました。エンドユーザはポスチャステータスやエラーに関するメッセージを表示できるようになりました。AnyConnect のポスチャプロファイルに表示される内容は変更できます。この機能を使用するには Cisco AnyConnect バージョン 4.7 が必要であることに注意してください。
ビジネス成果:エンドユーザとの通信が改善します。
プラットフォーム
Cisco Secure Network Server 3600 シリーズ アプライアンスのサポート
Cisco ISE 2.6 は、Cisco Secure Network Server 3615、Secure Network Server 3655、および Secure Network Server 3695 アプライアンスをサポートしています。
Cisco Secure Network Server(SNS)3600 シリーズ アプライアンス サポート(SNS-3615-K9、SNS-3655-K9、SNS-3695-K9)の場合は、新しい ISO ファイル(ise-2.4.0.357.SPA.x86_64_SNS-36x5_APPLIANCE_ONLY.iso)のみを使用する必要があります。Cisco ISE 2.4 パッチ 9 以降はインストール後に適用する必要があります。SNS 3500 シリーズ アプライアンス、VMware、KVM、または Hyper-V のインストールでは、この ISO ファイルを使用しないことをお勧めします。
ビジネス成果:SNS 35xx シリーズ アプライアンスでのパフォーマンス、拡張性、プラットフォームの管理性が向上しました。
既知の制限事項と回避策
アップグレード後の LDAP サーバの再設定
制限事項
プライマリホスト名または IP が更新されないため、認証が失敗します。これは、Cisco ISE 展開のアップグレード中に、展開 ID がリセットされる傾向があるためです。
条件
[接続(Connection)] ウィンドウ()で [各 ISE ノードのサーバの指定(Specify server for each ISE node) ] オプションを有効にするか、既存のサーバを選択し、PSN を使用して Cisco ISE 展開をアップグレードすると、展開 ID がリセットされる傾向があります。
回避策
各ノードの LDAP サーバ設定を再設定します。詳細については、Cisco Identity Services Engine 管理者ガイド、リリース 2.4 [英語] の「Administrative Access to Cisco ISE Using an External Identity Store」の章の「LDAP Identity Source Settings」の項を参照してください。
アップグレード GUI 通知
制限事項
アップグレード GUI に、アップグレードが 100% になるまでセカンダリ PAN のアップグレードが 0% で進行していることが示されます。アップグレードプロセスはバックグラウンドで続行され、アップグレードには影響しません。
条件
Cisco ISE 2.4 パッチ 8 から新しいリリースにアップグレードする場合。
回避策
show logging system ade/ADE.log詳細については、CSCvp78781 を参照してください。
pxGrid 証明書の問題
制限事項
pxGrid のデフォルトの自己署名証明書が失敗します。
条件
Cisco ISE 2.7 パッチ 7 から新しいリリースにアップグレードする場合。
回避策
別の証明書を使用するか、または既存の証明書に「SSLクライアント」を追加します。
特定の条件下で IP-SGT バインディングが伝播されない
次の条件下では、IP-SGT マッピングは ACI に伝播されません。
ISE 管理者コンソールで、[ワークセンター(Work Centers)] > [TrustSec] > [コンポーネント(Components)] の順に移動します。
-
セキュリティグループを作成します。ただし、[ACIに伝播(Propagate to ACI)] はオンにしないでください。
-
前の手順で作成したセキュリティグループを使用して、IP-SGT バインディングを作成します。これは、スタティックバインディング、セッションバインディング、SXP バインディングのいずれかになります。
-
セキュリティグループで、[ACIに伝播(Propagate to ACI)] をオンにします。
-
[保存(Save)] をクリックします。
-
セキュリティグループは、ACI と同期しますが、セキュリティグループにマッピングされている SGT とは同期しません。
次のいずれかを行います。
-
ISE で ACI 伝播を再開し、IP-SGT マッピングを再作成します。
-
[ワークセンター(Work Centers)] > [TrustSec] > [設定(Settings)] > [ACIの設定(ACI Settings)] で、[TrustSec-ACIポリシー要素の交換(TrustSec-ACI Policy Element Exchange)] をオフにし、保存します。
-
[TrustSec-ACIポリシー要素の交換(TrustSec-ACI Policy Element Exchange)] をオンにし、保存します。
-
Cisco ISE と ACI との間の接続が再確立されます。
-
-
古い IP-SGT バインディングを削除し、[ACIに伝播(Propagate to ACI)] をオンにして再作成します。
(注) |
ACI と ISE との間の接続は 24 時間ごとに再認証されるため、同様にこの問題が修正されます。 |
SXP プロトコルセキュリティ標準
詳細については、https://tools.ietf.org/html/draft-smith-kandula-sxp-06 を参照してください。
Chrome ブラウザを使用したパッチビルドのダウンロード
認証の Radius ログ
認証イベントの詳細は、[Radius認証(Radius Authentications)] ウィンドウの [詳細(Details)] フィールドで確認できます。認証イベントの詳細を使用できるのは 7 日間のみで、その後は認証イベントのデータを表示することはできません。すべての認証ログ データは、パージがトリガーされると削除されます。
プロファイラ RADIUS プローブ
NAM TLS 1.2 非互換警告
-
Cisco ISE リリース 2.4:パッチ 5 以降。
-
Cisco ISE リリース 2.0、2.0.1、2.1。ホットパッチを適用する前に、Struts2-CVE-2018-11776 PSIRT 修正プログラムをインストールします。Struts2-CVE-2018-11776 PSIRT 修正プログラムは Cisco ソフトウェアダウンロードからダウンロードできます。
(注) |
リリース 2.4 よりも前の Cisco ISE リリースのホットパッチを入手するには、Cisco Technical Assistance Center(TAC)にお問い合わせください。ホットパッチを適用する前に、ISE ソフトウェアに最新のパッチが適用されていることを確認してください。 |
詳細については、https://www.cisco.com/c/en/us/support/docs/field-notices/703/fn70357.html を参照してください。
メモリ使用率が高い
詳細については、CSCvn07836 を参照してください。
Diffie-Hellman 最小キー長
詳細については、CSCvi76985 を参照してください。
ECDSA 証明書
(注) |
Apple iOS は、ECDSA をシステム証明書として使用する場合はサポートされません。ECDSA 証明書は、Android 6.x および Android 7.x でのみサポートされます。 |
サプリカント プロビジョニング ウィザード参照の再作成
エンドポイント保護サービス API
Cisco ISE 1.4 現在、ANC はエンドポイント保護サービスを置き換えます。ANC は、追加の分類を提供し、パフォーマンスを向上させます。Cisco ISE SDK には、ANC 用の新しい API が備わっています。ERS API がまだ機能する場合もありますが、ANC に移行することを強く推奨します。
アップグレード情報
(注) |
ホットパッチをインストールしている場合は、アップグレードパッチを適用する前にホット パッチをロールバックします。 |
リリース 2.6 へのアップグレード
次の Cisco ISE リリースからリリース 2.6 に直接アップグレードできます。
-
2.1
-
2.2
-
2.3
-
2.4
(注) |
Cisco ISE 2.6 パッチ 7 にアップグレードすると、ANC ポリシーで RE_AUTHENTICATE を使用していた場合にエラーメッセージが表示されます。既存のポリシーは引き続き機能します。 パッチ 2 を適用すると、エラーメッセージが表示されなくなります。または、アップグレードする前にこれらのポリシーを削除できます。 |
Cisco ISE リリース 2.1 より前のバージョンの場合は、はじめに上記のリリースのいずれかにアップグレードしてから、リリース 2.6 にアップグレードする必要があります。
(注) |
アップグレードの開始前に、既存のバージョンで最新のパッチにアップグレードすることをお勧めします。 |
Cisco ISE リリース 2.6 には、2.0 パッチ 7、2.1 パッチ 8、2.2 パッチ 13、2.3 パッチ 5、および 2.4 パッチ 5 とのパリティがあります。
仮想マシンでサポートされるオペレーティングシステム
GUI または CLI のいずれかからリリース 2.6 にアップグレードできます。
Cisco ISE は、Red Hat Enterprise Linux(RHEL)に基づく Cisco Application Deployment Engine オペレーティングシステム(ADEOS)で動作します。Cisco ISE リリース 2.6 では、ADEOS は RHEL 7.5 に基づいています。詳細については、Cisco Identity Services Engine アップグレードプロセス [英語] を参照してください。
VMware 仮想マシンの Cisco ISE ノードをアップグレードする場合は、アップグレードの完了後に、Red Hat Enterprise Linux(RHEL)のサポートされるバージョンにゲスト オペレーティング システムを変更します。これを行うには、VM の電源をオフにし、サポートされる RHEL バージョンにゲスト オペレーティング システムを変更し、変更後に VM の電源をオンにする必要があります。
パッチの互換性
このパッチは、次のパッチリリースと互換性があります。
-
2.2 パッチ 15
-
2.3 パッチ 7
-
2.4 パッチ 10
-
2.6 パッチ 2
アップグレードパッケージ
アップグレードパッケージおよびサポートされているプラットフォームに関する情報は、Cisco ISE Software Download から入手できます。
ライセンスの変更
デバイス管理ライセンス
デバイス管理ライセンスには、クラスタとノードの 2 つのタイプがあります。クラスタライセンスでは、Cisco ISE クラスタ内のすべてのポリシーサービスノードでデバイス管理を使用できます。ノードライセンスでは、1 つのポリシー サービス ノードでデバイス管理を使用できます。ハイ アベイラビリティ スタンドアロン展開では、ノードライセンスによって、ハイアベイラビリティペアの 1 つのノードでデバイス管理を使用することが許可されます。
デバイス管理ライセンスキーは、プライマリおよびセカンダリポリシー管理ノードに対して登録されます。クラスタ内のすべてのポリシーサービスノードは、ライセンス数に達するまで必要に応じてデバイス管理ライセンスを消費します。
クラスタライセンスは Cisco ISE 2.0 のデバイス管理のリリースで導入され、Cisco ISE 2.0 以降のリリースで適用されています。ノードライセンスは後でリリースされ、リリース 2.0 ~ 2.3 で部分的にのみ適用されています。Cisco ISE 2.4 以降では、ノードライセンスはノード単位で完全に適用されています。
クラスタライセンスは廃止されました。現時点ではノードライセンスのみを販売しています。
ただし、有効なクラスタライセンスでこのリリースにアップグレードする場合は、アップグレード時に既存のライセンスを引き続き使用できます。
評価ライセンスを使用すると、1 つのポリシーサービスノードでデバイスを管理できます。
仮想マシンノードのライセンス
Cisco ISE は仮想マシン(VM)としても販売されています。このリリースでは、展開に VM ノードの適切な VM ライセンスをインストールすることをお勧めします。VM ノードの数と CPU やメモリなどの各 VM ノードのリソースに基づいて、VM ライセンスをインストールします。そうでない場合、VM ライセンスキーを調達してインストールする警告と通知が表示されます。ただし、インストールプロセスは中断されません。Cisco ISE リリース 2.4 以降、GUI から VM ライセンスを管理できます。
VM ライセンスは、小、中、大の 3 つのカテゴリで提供されます。たとえば、8 コアと 64 GB RAM を備えた 3595 相当の VM ノードを使用している場合、VM で同じ機能をレプリケートするには、中カテゴリの VM ライセンスが必要になります。展開の要件に応じて、VM とそのリソースの数に基づいて、複数の VM ライセンスをインストールできます。
VM ライセンスはインフラストラクチャ ライセンスです。このため、展開で使用可能なエンドポイントライセンスに関係なく、VM ライセンスをインストールできます。展開に Evaluation、Base、Plus、Apex ライセンスのどれもインストールされていない場合でも、VM ライセンスをインストールできます。ただし、Base、Plus、または Apex ライセンスによって有効になる機能を使用するには、適切なライセンスをインストールする必要があります。
VM ライセンスは永久ライセンスです。VM ライセンスの変更は、Cisco ISE GUI にログインするたびに表示され、通知ポップアップウィンドウで [今後、このメッセージを表示しない(Do not show this message again)] チェックボックスをオンにすると表示されなくなります。
以前に ISE VM ライセンスを購入していない場合、『Cisco Identity Services Engine Ordering Guide』を参照して購入する適切な VM ライセンスを選択します。
(注) |
PAK を使用せずに ISE VM ライセンスを購入した場合は、licensing@cisco.com に電子メールを送信して VM PAK を要求できます。電子メールに ISE VM の購入を示す SO 番号とシスコ ID を記載してください。購入した各 ISE VM ごとに 1 つの中規模 VM ライセンスキーを提供します。 |
使用中の Cisco ISE バージョンと VM の互換性に関する詳細については、該当するリリースの『Cisco Identity Services Engine Installation Guide』の「Hardware and Virtual Appliance Requirements」の章を参照してください。
ライセンスの詳細については、『Cisco Identity Services Engine Administrator Guide』の「Cisco ISE Licenses」の章を参照してください。
アップグレード手順の前提条件
-
設定されたデータを必要な ISE バージョンにアップグレードできるかどうかを確認するには、ISE ソフトウェアアップグレードの前にアップグレード準備ツール(URT)を実行します。ほとんどのアップグレードの失敗は、データのアップグレードの問題が原因で発生します。URT は、可能な場合は、必ず実際のアップグレード前にデータを検証し、問題を報告または修正するように設計されています。URT は Cisco ISE Download Software Center からダウンロードできます。
-
アップグレードの開始前に関連するすべてのパッチをインストールすることをお勧めします。
詳細については、『Cisco Identity Services Engine Upgrade Guide』を参照してください。
Cisco ISE ライブアップデートポータル
Cisco ISE ライブアップデートポータルは、サプリカント プロビジョニング ウィザード、AV/AS サポート(コンプライアンスモジュール)、およびクライアント プロビジョニングとポスチャポリシーサービスをサポートするエージェント インストーラ パッケージを自動的にダウンロードするのに役立ちます。このライブアップデートポータルは、Cisco ISE を使用して Cisco.com から該当するデバイスに最新のクライアント プロビジョニングおよびポスチャソフトウェアを直接取得するように、初期展開時に Cisco ISE で設定します。
デフォルトのアップデートポータル URL にアクセスできず、ネットワークにプロキシサーバが必要な場合は、プロキシを設定します。ライブアップデートポータルにアクセスする前に、[管理(Administration)] > [システム(System)] > [設定(Settings)] > [プロキシ(Proxy)] の順に選択します。プロキシ設定でプロファイラ、ポスチャ、およびクライアント プロビジョニング フィードへのアクセスが許可されている場合、Cisco ISE は MDM 通信のプロキシサービスをバイパスできないため、モバイルデバイス管理(MDM)サーバへのアクセスがブロックされます。これを解決するには、MDM サーバとの通信を許可するようにプロキシサービスを設定できます。プロキシ設定の詳細については、『Cisco Identity Services Engine Administrator Guide』の「Specify Proxy Settings in Cisco ISE」の項を参照してください。
クライアント プロビジョニングとポスチャのライブアップデートポータル
次の場所からクライアント プロビジョニング リソースをダウンロードできます。
。
次のソフトウェア要素は、次の URL から入手できます。
-
Windows および Mac OS X ネイティブサプリカント向けのサプリカント プロビジョニング ウィザード
-
最新の Cisco ISE の永続的なエージェントおよび一時的なエージェントの Windows バージョン
-
最新の Cisco ISE の永続的なエージェントの Mac OS X バージョン
-
ActiveX および Java アプレット インストーラ ヘルパー
-
AV/AS コンプライアンス モジュール ファイル
クライアント プロビジョニング アップデート ポータルで利用可能なソフトウェアパッケージを Cisco ISE に自動的にダウンロードする方法については、『Cisco Identity Services Engine Administrator Guide』の「Configure Client Provisioning」の章の「Download Client Provisioning Resources Automatically」の項を参照してください。
次の場所からポスチャ更新をダウンロードできます。
次のソフトウェア要素は、次の URL から入手できます。
-
シスコで事前定義されたチェックとルール
-
Windows および Mac OS X の AV/AS サポート表
-
Cisco ISE オペレーティングシステムのサポート
このポータルで利用可能なソフトウェアパッケージを Cisco ISE に自動的にダウンロードする方法については、『Cisco Identity Services Engine Administrator Guide』の「Download Posture Updates Automatically」の項を参照してください。
自動ダウンロード機能を有効にしていない場合、更新をオフラインでダウンロードすることができます。
Cisco ISE オフライン更新
このオフライン更新オプションを使用すると、Cisco ISE を使用してデバイスから Cisco.com にインターネット経由で直接アクセスできない場合、またはセキュリティポリシーによって許可されていない場合に、クライアント プロビジョニングおよびポスチャ更新をダウンロードできます。
オフラインのクライアント プロビジョニング リソースをアップロードするには、次の手順を実行します。
手順
| ステップ 1 |
https://software.cisco.com/download/home/283801620/type/283802505/release/2.6.0 に進みます。 |
| ステップ 2 |
ログインクレデンシャルを入力します。 |
| ステップ 3 |
Cisco Identity Services Engine のダウンロードウィンドウに移動し、リリースを選択します。 次のオフライン インストール パッケージをダウンロードできます。
|
| ステップ 4 |
[ダウンロード(Download)] または [カートに追加(Add to Cart)] のいずれかをクリックします。 |
ダウンロードしたインストールパッケージを Cisco ISE に追加する方法については、『Cisco Identity Services EngineAdministrator Guide』の「Add ClientProvisioning Resources from a Local Machine」のセクションを参照してください。
ポスチャ更新を使用して、ローカルシステムのアーカイブから Windows および Mac オペレーティングシステムのチェック、オペレーティングシステム情報、ウイルス対策とスパイウェア対策サポート表を更新できます。
オフライン更新の場合は、アーカイブファイルのバージョンが設定ファイルのバージョンと一致していることを確認します。Cisco ISE を設定した後にオフラインでポスチャ更新を使用し、ポスチャポリシーサービスの動的更新を有効にします。
オフラインのポスチャ更新をダウンロードするには、次のようにします。
手順
| ステップ 1 |
https://s3.amazonaws.com/ise-public/posture-offline.zipに進みます。 |
||
| ステップ 2 |
ローカルシステムに posture-offline.zip ファイルを保存します。このファイルを使用すると、Windows および Mac オペレーティングシステムのオペレーティングシステム情報、チェック、ルール、ウイルス対策とスパイウェア対策サポート表が更新されます。 |
||
| ステップ 3 |
Cisco ISE 管理者ユーザインターフェイスを起動し、[管理(Administration)] > [システム(System)] > [設定(Settings)] > [ポスチャ(Posture)] を選択します。 |
||
| ステップ 4 |
矢印をクリックすると、ポスチャの設定が表示されます。 |
||
| ステップ 5 |
[更新(Updates)] をクリックします。 [ポスチャ更新(Posture Updates)] ウィンドウが表示されます。
|
||
| ステップ 6 |
[オフライン(Offline)] オプションをクリックします。 |
||
| ステップ 7 |
[参照(Browse)] をクリックし、システムのローカルフォルダからアーカイブファイル(posture-offline.zip)を検索します。
|
||
| ステップ 8 |
[今すぐ更新(Update Now)] をクリックします。 |
設定要件
-
関連する Cisco ISE ライセンス料金を支払う必要があります。
-
最新のパッチをインストールする必要があります。
-
Cisco ISE ソフトウェア機能がアクティブになっている必要があります。
モニタリングおよびトラブルシューティング
システムのモニタリングおよびトラブルシューティングに関する詳細については、『 Cisco Identity Services Engine Administrator Guide』の「Monitoring and Troubleshooting Cisco ISE」のセクションを参照してください。
発注情報
Cisco ISE の詳細な発注およびライセンス情報については、Cisco Identity Services Engine 発生ガイド [英語] を参照してください。
Cisco ISE と Cisco Digital Network Architecture Center との統合
Cisco ISE は Cisco DNA Center と統合できます。Cisco DNA Center と連携するように Cisco ISE を設定する方法については、Cisco DNA Center のドキュメントを参照してください。
Cisco ISE と Cisco DNA Center との互換性については、「Cisco SD-Access Compatibility Matrix」を参照してください。
新しいパッチのダウンロードとインストール
Cisco ISE にパッチを適用するために必要なパッチファイルを取得するには、Cisco ダウンロード ソフトウェア サイト(https://software.cisco.com/download/home)にログインし(Cisco.com ログイン情報の入力が必要になる場合があります)、[セキュリティ(Security)] > [アクセス制御およびポリシー(Access Control and Policy)] > [Cisco Identity Services Engine] > [Cisco Identity Services Engine ソフトウェア(Cisco Identity Services Engine Software)] に移動し、ローカルマシンにパッチファイルのコピーを保存します。
システムへのパッチの適用方法については、『Cisco Identity Services Engine Administrator Guide』の「Install a Software Patch」の項を参照してください。
CLI を使用したパッチのインストール方法については、『Cisco Identity Services Engine CLI Reference Guide』の「Patch Install」セクションを参照してください。
(注) |
リリース 2.4 パッチ 4 以降をインストールする場合、カーネルのアップグレード中に CLI サービスが一時的に使用できなくなります。この間に CLI にアクセスすると、「スタブライブラリを開くことができませんでした(Stub Library could not be opened)」というエラーメッセージが CLI に表示されます。ただし、パッチのインストールが完了すると、CLI サービスが再び利用可能になります。 |
注意事項
「不具合」セクションには、バグ ID とそのバグの簡単な説明が含まれています。特定の不具合の症状、条件、および回避策に関する詳細については、シスコのバグ検索ツール(BST)を使用してください。バグ ID は英数字順にソートされます。
(注) |
「未解決の不具合」の項には、現在のリリースに適用され、Cisco ISE 2.6 よりも前のリリースにも適用されている可能性のある未解決の不具合が記載されています。これまでのリリースで未解決で、まだ解決されていない不具合は、解決されるまで、今後のすべてのリリースに適用されます。 |
BST は Bug Toolkit の後継オンラインツールであり、ネットワークリスク管理およびデバイスのトラブルシューティングにおいて効率性を向上させるように設計されています。製品、リリース、またはキーワードに基づいてソフトウェアのバグを検索し、バグの詳細、製品、バージョンなどの主要データを集約することができます。ツールの詳細については、http://www.cisco.com/web/applicat/cbsshelp/help.html のヘルプ ページを参照してください。
Cisco ISE リリース 2.6.0.156 の新機能 - 累積パッチ 7
ANC 拡張機能
MAC アドレスは、エンドポイントの一意の識別子とは限りません。USB NIC ドングルは、複数のユーザが同じ MAC アドレスを持てることを意味します。さらに、一部のエンドポイントは同じ MAC アドレスを持ちます。MAC スプーフィングには、重複する MAC アドレスも表示されます。
ANC サービスのエンドポイントをより適切に識別するために、Cisco ISE は、エンドポイントが接続されているスイッチの IP アドレスを使用します。スイッチの IP アドレスは NAS-IPAddress 属性です。
エンドポイントセッションは、ANC ポリシーで MAC アドレスと NAS-IPAddress を使用できます。
MDM ベンダーは、pxGrid v2 API で NAS-IPAddress を使用できます。
新しい API で NAS-IPAddress を使用するには、PxGrid v2 が必要です。既存の API は引き続き動作します。ただし、新旧両方の API を一緒に使用できません。
Cisco ISE のアップグレードに関する考慮事項
Cisco ISE 2.6 パッチ 7 にアップグレードすると、ANC ポリシーで RE_AUTHENTICATE を使用していた場合にエラーメッセージが表示されます。既存のポリシーは引き続き機能します。
Cisco ISE 2.6 パッチ 2 を適用すると、エラーメッセージが表示されなくなります。または、アップグレードする前にこれらのポリシーを削除できます。
プローブデータパブリッシャの有効化
プローブデータパブリッシャは、プライマリポリシー管理ノード(PAN)で pxGrid パブリッシャを開始します。プライマリ PAN が接続されたエンドポイントの属性の変更を識別すると、更新された属性データが Cisco ISE の関連する pxGrid トピックにパブリッシュされます。
デフォルトでは、このオプションは無効になっています。このオプションは、外部データコンシューマが設定されている場合にのみ有効にすることをお勧めします。
プローブデータパブリッシャを有効にするには、 に移動し、[プローブデータパブリッシャの有効化(Enable Probe Data Publisher)] チェックボックスをオンにします。
テレメトリ
インストール後の管理者ポータルへの初回ログイン時には、Cisco ISE テレメトリバナーが表示されます。この機能を使用して、Cisco ISE は、ユーザの展開、ネットワーク アクセス デバイス、プロファイラ、およびユーザが使用している他のサービスに関する非機密情報を安全に収集します。このデータは、今後のリリースでサービスを向上させ、より多くの機能を提供するために使用されます。デフォルトでは、テレメトリは有効になっています。アカウント情報を無効または変更するには、[管理(Administration)] > [設定(Settings)] > [ネットワーク設定診断(Network Settings Diagnostics)] > [テレメトリ(Telemetry)] の順に選択します。アカウントは、各展開に固有です。各管理者ユーザが個別に提供する必要はありません。
テレメトリは、Cisco ISE のステータスと機能に関する貴重な情報を提供します。シスコは、Cisco ISE を導入した IT チームのアプライアンス ライフサイクル管理を改善するためにテレメトリを使用します。このデータを収集することで、製品チームは顧客により優れたサービスを提供できるようになります。このデータと関連する分析情報により、シスコは潜在的な問題をプロアクティブに特定し、サービスとサポートを改善し、ディスカッションを促進して新規および既存の機能からより多くの価値を収集し、IT チームによるライセンス権限のインベントリレポートと今後の更新を支援します。
Cisco ISE で、機能が無効になり、テレメトリデータの共有が停止するまでに最大 24 時間かかる場合があります。 パッチ 6 以降では、テレメトリはすぐに無効になります。
インタラクティブヘルプ
インタラクティブヘルプを使用すると、タスクを簡単に実行するためのヒントと段階的なガイダンスが表示されます。
ビジネス成果:これにより、エンドユーザは作業フローを容易に理解し、タスクを簡単に実行できるようにします。
Cisco ISE リリース 2.6.0.156 の解決済みの不具合 - 累積パッチ 7
次の表に、リリース 2.6 累積パッチ 7 の解決済みの不具合を示します。
パッチ 7 は古いバージョンの SPW で機能しない可能性があります。MAC ユーザは SPW を MACOSXSPWizard 2.2.1.43 以降にアップグレードする必要があります。また、Windows ユーザはその SPW を WinSPWizard 2.2.1.53 以降にアップグレードする必要があります。
|
不具合 ID 番号 |
説明 |
|---|---|
|
ISE RBAC ネットワークデバイスタイプ/ロケーションビューが機能しない |
|
|
AD が authC と authZ の両方に使用されている場合、RA-VPN/CWA に対して AD ドメイン属性が取得されない |
|
|
ノードグループメンバーが到達不能の場合、ISE はアクティブ準拠のセッションに CoA を送信する |
|
|
AD 属性のポリシー評価中に ISE がクラッシュする |
|
|
tcpdump print_prefix 関数スタックベースのバッファオーバーリードの脆弱性 |
|
|
Logwatch ファイルのサイズの上限が定められていない |
|
|
Cisco 経時的エージェントを使用すると、AnyConnect に Cisco NAC エージェントエラーが表示される |
|
|
ISE 2.4 URT が証明書エラーで失敗する |
|
|
ISE 復元オプションに暗号キーなしの <cr> 改行がない |
|
|
「MAR キャッシュ配布が有効にならない」(有効にしていた場合でも) |
|
|
古いジャーナルログファイルを削除する |
|
|
libssh2 SSH_MSG_CHANNEL_REQUEST パケット処理が領域外メモリ参照の... |
|
|
スケジュール設定と運用バックアップを当日と同じ開始日に設定することができない |
|
|
GnuPG ファイル名ステータスメッセージのスプーフィングの脆弱性 |
|
|
ポスチャと RADIUS フロー中、コンテキスト属性を取得している間に ISE PSN ノードがクラッシュする |
|
|
TCP_SACK のポジションの評価 |
|
|
レプリケーション失敗アラームが生成され、ise-psc.log に ORA-00001 例外が表示される |
|
|
SAML 認証を使用した BYOD オンボーディング後、デバイスポータルにデバイスが表示されない |
|
|
GNU パッチ OS シェル コマンド インジェクションの脆弱性 |
|
|
FasterXML jackson-databind logback-core クラスのポリモーフィック型逆シリアル化... |
|
|
jquery の複数の脆弱性 - ゲストポータル |
|
|
GNU パッチ do_ed_script OS シェルコマンドの実行の脆弱性 |
|
|
Apache Commons Beanutils PropertyUtilsBean クラスプロパティの抑制の脆弱性 |
|
|
脅威イベントに対するアクションの空白のコースが CTA クラウドから TC-NAC アダプタに受信された |
|
|
秘密キーの暗号化に失敗したときに、共有暗号がないため EAP-FAST 認証に失敗した |
|
|
FasterXML jackson-databind ポリモーフィック型入力の脆弱性 CVSS v3.1 Base:9.8 |
|
|
Apache Commons Compress ファイル名のエンコーディング アルゴリズム DoS の脆弱性 CVSS v3.0 Base:7.5 |
|
|
大きなコアファイルに対応するためにローカルディスクサイズを拡大する必要がある |
|
|
libmspack chmd_read_headers 関数サービス妨害の脆弱性 |
|
|
ISE 2.2 パッチ 14 AD ステータスが「更新しています...(updating ..)」と表示され、プロセスがハングしていることを示す |
|
|
ユーザ API による ISE アプリのクラッシュ |
|
|
ACI マッピングは SXP pxGrid トピックにパブリッシュされない |
|
|
App server と EST サービスが毎朝 1 時にクラッシュ/再起動する |
|
|
ISE のグループノード間の MAR キャッシュチェックが原因で失敗した COA を除外する機能を追加する |
|
|
Cisco Identity Services Engine クロスサイト スクリプティングの脆弱性 |
|
|
ルールが一致した後でも、ポリシーエンジンがすべてのポリシーセットの評価を続行する |
|
|
無効なルート CA 証明書が受け入れられた |
|
|
ISE 2.6 で 2 つのカッコを使用して CRL URL を設定できない |
|
|
古いデータをプッシュする TrustSec マトリックス |
|
|
Xms 値を持つ Mnt ノードの高負荷 |
|
|
信頼できる CA 証明書の削除中に SEC_ERROR_BAD_DATABASE がシステム/アプリデバッグログに表示される |
|
|
CRL が特定の条件で期限切れになる |
|
|
Cisco Identity Services Engine クロスサイト スクリプティングの脆弱性 |
|
|
ISE が SGT を正しく更新しない |
|
|
URL リダイレクトの AuthZ プロファイルの詳細プロファイルでカスタム HTTPS 宛先が許可されない |
|
|
DNA-C との統合中に、信頼できるストアから削除されたものと同じ CN の ISE 2.6 CA 証明書 |
|
|
条件はライブラリから削除されたが、DB 内にある |
|
|
ISE2.6 で内部 CA とキーをインポートできない |
|
|
NFS マウントが原因でクラッシュする |
|
|
MACAdress API が機能していない(API/mnt/Session/MACAddress) |
|
|
スポンサーポータルで新しいユーザを作成すると、「無効な入力(invalid input)」が表示される |
|
|
ランダム認証の場合、期限切れまでの日数が 0 としてマークされる |
|
|
NAD CSV のインポートでは、サポートされているすべての文字を TrustSecDeviceID に許可する必要がある |
|
|
ISE 管理者ユーザが内部ユーザのグループを変更できない |
|
|
コレクタログが pxgid および dnac メッセージとともにダンプされる |
|
|
REST API を使用すると Tacacs プロファイルが正しく取得されない |
|
|
Cisco Identity Services Engine のストアド クロスサイト スクリプティングの脆弱性 |
|
|
ネットワークデバイス/グループをインポートした後、新しいロケーションを追加できない |
|
|
ISE 2.2+ がメモリリークの影響を受けるInflater() によってネイティブメモリが毎日 1 〜 2% 増加する |
|
|
セルフ登録ポータルのポータルページのカスタマイズで、日数が更新されない |
|
|
DNAC から送信された _(アンダースコア)を使用して SG が作成されたときにエラーが発生する |
|
|
ISE 2.2+ がメモリリークの影響を受けるPORT_Alloc_Util() によってネイティブメモリが毎日 1 〜 2% 増加する |
|
|
ISE 2.6:デフォルトのデバイス管理者が変更されていると FIPS を有効にできない |
|
|
ISE:SCEP RA の設定時に 2.4p9 CA 中間証明書がインストールされない |
|
|
「証明書プロビジョニングポータル」のポータルカスタマイズを実行できない |
|
|
RadiusProxyFlow::stripUserName() にユーザ名ではなく空の文字列があるために ISE がクラッシュする |
|
|
ISE:属性「url-redirect」を HTTPS で使用できず、HTTP を使用する同じ URL は正常に機能する |
|
|
INetworkAuthZCheck の ConditionsData 句で URT が失敗する |
|
|
中間更新が DB に保存されていない場合、API がデータを取得しない |
|
|
binutils の複数の脆弱性 |
|
|
AD join-point に文字列「TACACS」があると、AuthZ 条件で AD joinpoint が表示されない |
|
|
ゲストユーザ名に @ 記号(guest@example.com)が含まれていると、ISE 2.4 Guest ERS Call Get-By-Name が失敗する |
|
|
パッチの複数の脆弱性 |
|
|
python の複数の脆弱性 |
|
|
sudo の複数の脆弱性 |
|
|
ISE 2.6 インストール:検証の入力 - IP ドメイン名の確認 |
|
|
パッケージ展開の脆弱性 - RHEL 7 |
|
|
ハッシュパスワードを使用すると ISE SNMP サーバがクラッシュする |
|
|
特殊文字を含むメタデータ XML ファイルをインポートすると、サポートされていないタグエラーが発生する |
|
|
ISE 2.4 P11 で、OP バックアップの復元時に EPOCH_TIME 列が削除される |
|
|
.dmp ファイルが ISE の reset-config の後でも /opt/oracle/base/admin/cpm10/dpdump から削除されない |
|
|
ゲストスポンサーポータルの成功ページ更新時の 404 エラー |
|
|
NMAP:ISE のバージョン 2.6 で MCAFeeEPROOrchestratorClientscan を実行できない |
|
|
ISE の期限切れの tacacs セッションがセッションキャッシュからタイムリーにクリアされない |
|
|
Cert Revoke と CPP が APEX ライセンスなしで機能しない |
|
|
TrustSec ポリシーマトリックス -- ISE の [表示(View)] オプションの表現を変更する |
|
|
バックアップ/復元メニューに移動した後、すべての ISE ページで POST getBackupRestoreStatus が発生する |
|
|
アラーム設定での高ディスク使用率のしきい値オプションがない |
|
|
トンネルグループポリシー評価によるポスチャが Java Mem を減らしている |
|
|
ISE がインポート時にイーグレスポリシーで ANY を許可しない |
|
|
ISE 2.6 の時差 |
|
|
[ENH] ネットワークデバイスの API を使用して「GET|PUT|DELETE by Name」機能を追加する |
|
|
IP SGT スタティックマッピングのインポートがホスト名で正しく動作しない |
|
|
FasterXML jackson-databind xbean-reflect/JNDI のブロッキングの脆弱性 |
|
|
pxGrid 2.0 WebSocket 分散アップストリーム接続の問題 |
|
|
pxGrid 2.0 WebSocket ping pong がアイドル状態のスタンドアロンでも遅すぎる |
|
|
追加の authz ポリシーと例外がある場合、ISE はすべてのデバイス管理 authz ルールを表示しない |
|
|
EST サービスを初期化する認証局サービスが ISE 2.6 へのアップグレード後に実行しない |
|
|
「ゲストユーザ」ID ストアを使用すると、認証プロセスが失敗する。 |
|
|
ISE 2.6 へのアップグレード後、エラーサプリカント/不良構成サプリカントの Radius テーブルが存在しない |
|
|
JDK8 のメタスペースの代わりに PERMGEN が設定された |
|
|
Apple CNA と AUP をリンクとして使用して iPad にアクセスすると、400 Bad 要求エラーが発生する。 |
|
|
WMI と REST を同時に使用すると Pxgrid でバッチロジックをパブリッシュする |
|
|
ISE では、SGT のインポートまたはエクスポートで ANY SGT または値 65535 を公開できない |
|
|
多数のエンドポイントが存在する場合、ISE ERS API エンドポイントの更新が遅い |
|
|
許可された値をシステム使用ディクショナリへの 7 つ以上の属性に追加/変更できない |
|
|
EP ルックアップに時間がかかり、ゲストフローの遅延が大きくなる |
|
|
アイデンティティグループが ISE の内部ユーザを更新する |
|
|
リダイレクト値が URL に存在する場合、ISE 2.6 MDM フローが失敗する |
|
|
ホスト名が CARS 設定から欠落している |
|
|
[ENH] /ers/config/internaluser の API を使用して「GET|PUT|DELETE by Name」機能を追加する |
|
|
ISE:min pwd の長さを増やすと、既存の短い pwd の GUI を使用したログインがエラーなしで失敗する |
|
|
MNT ノード選択プロセスが適切に設計されない。 |
|
|
FQDN を使用して設定された Syslog ターゲットによってネットワークが停止する可能性がある |
|
|
ISE 2.6p5 の認証ステータス API コールが空白の出力を返す |
|
|
IP-access がエントリなしで送信された場合、App-server がクラッシュする |
|
|
REST API 更新操作の断続的なパスワードルールエラー |
|
|
ISE ERS API:SNMP 設定の処理中のネットワークデバイスの GET コールが遅い |
|
|
アラームダッシュレットに「データが見つかりません(No Data Found)」と表示される |
|
|
動作していない MNT ウィジェットのデバッグログがない |
|
|
ISE DACL 構文チェックで IPv4 形式エラーが検出されない |
|
|
req 格納ファイルの /ers/config/internaluser/name/{username}makes id&password&name mandatory の PUT verb |
|
|
2.6p3 からのバックアップ復元後、2.6p5 /p6 で EAP TLS 認証が失敗する |
|
|
EAP-TLS を介したマシン認証が、ユーザが見つからないというエラーを示して許可フロー中に失敗する |
Cisco ISE リリース 2.6.0.156 の未解決の不具合:累積パッチ 7
|
不具合 ID 番号 |
説明 |
|---|---|
|
2.6p7 で ojdbc の複数のバージョンを使用すると、ライセンス/管理/展開の問題が発生します。 |
Cisco ISE リリース 2.6.0.156 の解決済みの不具合 - 累積パッチ 6
次の表に、リリース 2.6 累積パッチ 6 の解決済みの不具合を示します。
パッチ 6 は古いバージョンの SPW で機能しない可能性があります。MAC ユーザは SPW を MACOSXSPWizard 2.2.1.43 以降にアップグレードする必要があります。また、Windows ユーザはその SPW を WinSPWizard 2.2.1.53 以降にアップグレードする必要があります。
|
不具合 ID 番号 |
説明 |
|---|---|
|
マルチノード展開では、ポスチャセッション状態を PSN 間で共有する必要がある |
|
|
プロビジョニングされた証明書が失効後に削除されない |
|
|
SXP バインディングが pxGrid 2.0 クライアントに公開されない |
Cisco ISE リリース 2.6.0.156 の新機能:累積パッチ 5
Cisco AI エンドポイント分析サポート
Cisco AI エンドポイント分析は、エンドポイント プロファイリングの忠実度を改善する Cisco DNA Center のソリューションです。きめ細かいエンドポイント識別を提供し、さまざまなエンドポイントにラベルを割り当てます。ディープ パケット インスペクション、および Cisco ISE、Cisco SD-AVC、ネットワークデバイスなどのソースからのプローブによって収集された情報は、エンドポイント プロファイリングのために分析されます。
Cisco AI エンドポイント分析は、人工知能と機械学習機能を使用して、同様の属性を持つエンドポイントを直感的にグループ化します。IT 管理者は、これらのグループを確認してラベルを割り当てることができます。割り当てられたエンドポイントラベルは、Cisco ISE アカウントがオンプレミスの Cisco DNA Center に接続されている場合、Cisco ISE で使用できます。
Cisco AI エンドポイント分析の結果割り当てられたエンドポイントラベルは、Cisco ISE 管理者がカスタム認証ポリシーを作成するために使用できます。それらの認証ポリシーを使用して、エンドポイントまたはエンドポイントグループに適切なアクセス権限のセットを提供できます。
Cisco ISE リリース 2.6.0.156 の未解決の不具合 - 累積パッチ 5
show running-config|
不具合 ID 番号 |
説明 |
|---|---|
|
CARS 設定からホスト名が欠落しているため、リダイレクトしない |
|
|
ISE の評価プロファイラライセンスが期限切れになると、デフォルトの radius プローブが有効になる |
Cisco ISE リリース 2.6.0.156 の解決済みの不具合:累積パッチ 5
次の表に、リリース 2.6 累積パッチ 5 の解決済みの不具合を示します。
パッチ 5 は古いバージョンの SPW で機能しない可能性があります。MAC ユーザは SPW を MACOSXSPWizard 2.2.1.43 以降にアップグレードする必要があります。また、Windows ユーザはその SPW を WinSPWizard 2.2.1.53 以降にアップグレードする必要があります。
|
不具合 ID 番号 |
説明 |
|---|---|
|
ISE ダッシュボードでは、特殊文字の < > ? " を使用できます。 |
|
|
[ライブセッション(Live Sessions)] ウィンドウの [セッションステータス(Session Status)] 列でカスタムフィルタが機能しない |
|
|
CoA REST API が ASA VPN セッションで動作していない |
|
|
エンドポイントはスタティック グループの割り当てを失う |
|
|
MNT API が特殊文字をサポートしない |
|
|
ライブセッションで、VPN とポスチャシナリオに誤った認証プロファイルと認証ポリシーが表示される |
|
|
シェルプロファイルに VSA がある場合、ルールに定義されたコマンドセットがないときは、明確な説明なしに TACACS 認証ルールが失敗する |
|
|
解析する NMAP smb-os-discovery データの削除または \x00 を実行する必要がある |
|
|
自己署名アカウントの作成エラー:「アカウント情報のテキストを入力しようとしましたが、失敗しました(An attempt to text your account information to you has failed)」 |
|
|
procps-ng の複数の脆弱性 |
|
|
リモートアクセス VPN を使用したポスチャ済みセッションのライセンスの使用が誤っている |
|
|
ISE 2.3 RSA SecurID 認証が失敗する |
|
|
ホスト名の変更後に証明書を削除できない |
|
|
openssh の複数の脆弱性 |
|
|
AnyConnect が誤ったユーザエージェントを送信しているため、ポスチャフロー後に Windows 7 が誤ってプロファイリングされる |
|
|
ISE 2.3 パッチ 5 の適用後、EOB ゲストユーザが作成されない |
|
|
AMP アダプタを使用した脅威イベントのパブリッシュ中にエラーが発生した |
|
|
isemntlogproc について /var/log/secure にエラーが 10 秒ごとに表示される |
|
|
ISE 2.4 URT は、ノードがサポートされているアプライアンス上にあるかどうかを確認しない |
|
|
ISE 2.3:一部の NAD のネットワーク デバイス グループでロケーション情報と IPSEC 情報の順序が逆になる |
|
|
krb5 の複数の脆弱性 |
|
|
CLI clock timezone コマンドを有効にする |
|
|
ProfilerCoA:Profiler.log に getting Policy details Exception の例外が表示される |
|
|
バージョン 2.4.44 を実行している openldap rpm を使用した ISE ノードでのメモリリーク |
|
|
Web GUI を介したアップロードが中断された場合、アップグレード中に 1 GB を超えるパッチアップロードファイルが削除されない |
|
|
アカウントの拡張時に、スポンサー承認型ゲストアカウントの開始日が調整されない |
|
|
UTF-8 検証チェックの失敗により、EAP-GTC マシン認証がパスワードの不一致で失敗する |
|
|
クロスサイト リクエスト フォージェリ(CSRF)[OWASP_CSRFTOKEN バイパス] |
|
|
ゲストポータルの第 2 要素の Radius トークンサーバ認証を使用した ISE 2.2 サインインボタンがグレー表示される |
|
|
認証または認証ポリシーに基づいて ISE 2.4 のライブセッションをフィルタリングできない |
|
|
ISE 2.2 で、シスコスマートライセンスのクライアントエージェントが待機状態の場合、GUI のログイン遅延が発生する |
|
|
セカンダリ管理者ノードの ISE 2.4 の CPU 使用率が高い |
|
|
外部 CA がシステム証明書に署名すると、信頼できるページから CA を削除できるようになる |
|
|
PrRTCpmBridge が検出したユーザを返しても、prrt-server で内部ユーザが断続的に検出されない |
|
|
IETF ディクショナリ属性の Ascend-Client-Primary-DNS がアップグレード後に破損する |
|
|
期限切れのゲストアカウントの消去がサマータイムの変更後に停止する |
|
|
calling-station-id に CLIENTVPN が含まれている場合、Radius セッション詳細レポートが破損する |
|
|
不正なジョブ(HOURLY_STATS_JOB)が実行されている |
|
|
IPv6 アドレスが含まれている場合、ISE へのネットワークデバイスのインポートに時間がかかる |
|
|
リポジトリをエクスポートするためのオプションを使用した MnT の消去が機能していない |
|
|
中間 CA CSR で外部 CA 証明書をバインドすると、証明書チェーンが CA ページで破損する |
|
|
30 日よりも前の ISE TACACS 認証とアカウンティングのレポートが欠落している |
|
|
CTS pac が期限切れになると、ISE がロギングを表示しない |
|
|
CVE-2018-20685 の ISE の評価 |
|
|
90140 INFO PassiveID のロギングレベルの変更:デバッグのためのメッセージ解析済みの syslog |
|
|
ページをまたがる IP SGT の静的マッピングのトラッシングが完了しない |
|
|
最大スレッド値の制限が低すぎるため、「管理スレッドプールがしきい値に到達しました(Admin thread pool reached threshold value)」というアラームがトリガーされる |
|
|
アクセスポイントに接続されたアクセススイッチ上の SNMP トラップによって不正なプロファイリングが発生する |
|
|
すべての SNMP パケットが /var/log/messages ファイルに記録される |
|
|
ISE 2.4 localhost-<date>.log ファイルのサイズが 8 Gb 以上に増加している |
|
|
ASA CLI を介して ISE 内部ユーザ有効化パスワードをユーザが変更するとパスワード監査が生成されない |
|
|
アクティブセッション数が 200K を超えた場合にしばらくすると、パッシブ ID ダッシュボードでアプリケーションサーバのクラッシュが確認される |
|
|
条件別ポスチャ評価レポートに空のレコードが表示される |
|
|
ISE ポスチャエージェントのプロファイルで空の修復タイマーを使用できない |
|
|
消去ルールを作成すると、plus ライセンスがない場合は Radius ディレクトリがハングする |
|
|
IP アドレスまたはポートが使用されている場合、ISE 2.6 MUD URL が正しく解析されない |
|
|
外部 Radius のシナリオで、アクセスチャレンジを NAD に転送する前に、ISE が状態属性を置換する必要がある |
|
|
証明書が Oracle から NSSDB に適切にロードされていない |
|
|
ISE 2.4:高度なカスタムフィルタオプションと、レポートのエクスポートが予期したとおりに機能しない |
|
|
「MDM:MDM サーバへの接続に失敗しました(MDM: Failed to connect to MDM server)」というログエントリにエンドポイント情報を含める必要がある |
|
|
IPv6 アドレスが ::xx 形式の場合、Framed-Interface-Id RADIUS 属性が access-accept に送信されない |
|
|
ISE ERS SDK NetworkDeviceGroup PUT が API コールの ID 配置を表示しない |
|
|
ISE ERS SDK NetworkDeviceGroup の削除で ID の場所が指定されない |
|
|
pxGrid XMPP GCL 再接続の失敗 |
|
|
ネットワークデバイスの POST API ではデバイスのモデル名に文字とスペースを使用できるが、GUI では使用できない |
|
|
UCP を使用してパスワードを変更した後、「ユーザ変更パスワードの監査(User change password audit)」レポートに「ID(Identity)」がない |
|
|
ISE と Cisco DNA Center を統合すると、特殊文字の & と \ の両方が秘密値に含まれている場合はネットワークデバイスが ISE に表示されない |
|
|
IP/マスクでのフィルタリング中に ISE がネットワークデバイスのページをロードできない |
|
|
Systemd 脆弱性 RHEL 7 RHSA-2019:0049 |
|
|
読み取り専用管理者ユーザが TrustSec デバイス設定クレデンシャルを表示できない |
|
|
すべての tenable アダプタリポジトリを取得できない |
|
|
日本語でのネットワークデバイスの説明 |
|
|
カスタマーフィルタを使用すると、Radius認証レポートにログが欠落する |
|
|
ISE がエンドポイントデータベースで device-public-mac 属性を使用していない |
|
|
秘密キーの暗号化に失敗すると、ISE GUI でエクスポートが失敗する |
|
|
カイブパスワードを持つ内部ユーザのパスワードライフタイムの期限切れリマインダが表示される |
|
|
ACS 5.7 から ISE 2.6 への移行で authzation プロファイルがインポートされない |
|
|
エクスポートされた TACACS デバイスの場合、複数共有の秘密フィールドが入力される |
|
|
予期しない CoA が SCCM MDM で観測される場合がある |
|
|
マイデバイスポータルにアクセスできない |
|
|
類似の内部ユーザが無効になっている場合に、AD ユーザとの GUI ログインに失敗する |
|
|
ISE が AD でマシンアカウントを正しく検索していない |
|
|
ISE 2.4:誤った FQDN の一致が原因でユーザに誤ったスポンサーポータルが提示される |
|
|
パッチ 2.3 p7 のインストール後に ISE サービスが起動しない |
|
|
DHCP メッセージによってエンドポイントがアクティブとしてマーキングされるため、アクティブなエンドポイント数が増加する |
|
|
[カウンタの時間制限(Counter Time Limit)] タブの [最大セッション数(Max Sessions)] ウィンドウに入力ミスがある |
|
|
セッション ID に対する PxGrid ANC API のサポート |
|
|
ISE 2.4 p9:セッションディレクトリの書き込みに失敗した:文字列インデックスが範囲外:-1 アラームが展開に表示された |
|
|
システム証明書を参照しているため、SCEP プロファイルを削除できない |
|
|
ISE MnT が 90% の消去後にライブログの表示を停止する |
|
|
ゲストのパスワードの表示/印刷が無効になっている場合でも、ISE スポンサーの電子メールがゲストクレデンシャルの電子メールに CC される |
|
|
ISE IP ルーティングの優先順位の問題 |
|
|
RADIUS 認証詳細レポートに Called-Station-ID がない |
|
|
SCCM フローに SCCMException と表示され、MDMServerReachable 値が MDMServersCache に false として更新される |
|
|
WSA が AD グループではなく SID を ISE から受信する |
|
|
McAfee や Symantec など、一部の AM 製品の定義日が誤表示される |
|
|
アカウント OU の変更後、ISE がキャッシュ済みの AD OU を新しい OU よりも優先させる |
|
|
あるプラットフォームから別のプラットフォームへの設定の復元で、sec_hostconfig テーブルの UDI 設定が誤っている |
|
|
ISE ゲスト OS で tzdata を更新する必要がある |
|
|
ISE LDAP バインドテストでは、ノードごとに定義されている場合は正しいサーバが使用されない |
|
|
TrustSec マトリックス CSV が、すでに GUI で EMPTY になっている EMPTY SGACL でインポートされたときのレプリケーションアラーム |
|
|
有効な Base ライセンスと Plus ライセンスのコンプライアンス違反が表示される |
|
|
ライブログの「5436 通知 RADIUS:RADIUS パケットはすでにプロセスにあります(5436 NOTICE RADIUS: RADIUS packet already in the process)」というメッセージに誤ったユーザ名が表示される |
|
|
接続の切断後に ISE が外部 syslog 接続を再確立できない |
|
|
SYSAUX テーブルスペースが AWR および OPSSTAT データでいっぱいになる |
|
|
NDG デバイスの参照が ISE DB から削除されないため、NDG の削除が妨げられる |
|
|
IP ベースのプロファイルポリシーのプロファイル CoA がない |
|
|
パスワードの期限切れのため、ERS 管理者アカウントが不適切に無効になる |
|
|
ISE メッセージングサービスが basic_cancel という理由でキューリンクエラーのアラームをトリガーする |
|
|
API コールと GUI に異なる結果が表示される |
|
|
最大セッションカウンタの有効期限オプションが機能しない |
|
|
ユーザ名の入力が 2 回異なると、ISE は RADIUS レポートに正しいユーザを表示しない |
|
|
ISE 2.3 p6 LDAP テストの GUI フロー(複数の結果を含む)では、実行時に観測されたエラーが生成されない |
|
|
ERS API を使用して作成した認証プロファイルが GUI の「ASA VPN」フィールドと一致しない |
|
|
TACACS+ の PSN クラッシュ |
|
|
エンドポイントのデフォルトの間隔を無効にすると、最大時間フレームが 60 分に設定される |
|
|
正常に終了しているにもかかわらず、2.4 パッチ 9 のリセット設定がいくつかのエラーをスローする |
|
|
ゲストユーザの有効日数の ISE ゲスト作成 API 検証に時間が考慮されない |
|
|
PassiveID:$ 文字を含む AD アカウントパスワードを使用して WMI を設定するとエラーがスローされる |
|
|
LDAP ID ストアの破損アラーム:機能拡張 |
|
|
ブルートフォースのパスワード攻撃に対する動作を改善する |
|
|
ISE 2.6 と 2.7:dACL の説明フィールドに ’ の文字を追加できない |
|
|
ISE 2.6 では、ユーザが IPv4 または IPv6 を選択しても、dACL シンタックスに複数の空白行が許可される必要がある |
|
|
ISE 2.x ネットワーク デバイス スタックのローディング |
|
|
自己登録済みゲストポータルがゲストタイプの設定を保存できない |
|
|
静的グループの割り当てを編集できない |
|
|
ISE では、コマンドセットのコマンドの前にスペースを挿入できる |
|
|
暗号化キーの特殊文字でバックアップがトリガーされない |
|
|
複数のエンドポイントが 1 秒ごとにプロファイリングされ、ISE ノードが同期しなくなる |
|
|
ポート 15672 が使用中のとき、RabbitMQ コンテナを起動できない |
|
|
内部ユーザが外部パスワードで設定されていると、認証機能の有効化が中断する |
|
|
HSTS がルートフォルダに実装されていない |
|
|
高負荷時に ISE ポスチャモジュールに「ポリシーサーバなし(No policy server)」エラーが表示される |
|
|
破損したエンドポイント:不正なエンドポイントに関連付けられている属性 |
Cisco ISE リリース 2.6.0.156 の新機能:累積パッチ 3
マルチ DNAC のサポート
Cisco DNA Center システムは、25,000 〜 100,000 のエンドポイントの範囲を超えて拡張できません。Cisco ISE は 200 万エンドポイントまで拡張できます。現在、1 つの Cisco DNA Center システムと 1 つの Cisco ISE システムのみを統合できます。大規模な Cisco ISE 展開では、複数の DNA Center のクラスタを 1 つの Cisco ISE に統合することでメリットが得られます。シスコは、Cisco ISE 展開ごとに複数の Cisco DNA Center のクラスタ(マルチ DNAC とも呼ばれる)をサポートするようになりました。
ビジネス成果:Cisco DNA Center のアクセス制御アプリケーションのこの機能を使用すると、1 つの Cisco ISE システムに最大 4 つの Cisco DNA Center クラスタを統合できます。
Cisco ISE リリース 2.6.0.156 の解決済みの不具合:累積パッチ 3
次の表に、リリース 2.6 累積パッチ 3 の解決済みの不具合を示します。
パッチ 3 は古いバージョンの SPW で機能しない可能性があります。MAC ユーザは SPW を MACOSXSPWizard 2.2.1.43 以降にアップグレードする必要があります。また、Windows ユーザはその SPW を WinSPWizard 2.2.1.53 以降にアップグレードする必要があります。
|
不具合 ID 番号 |
説明 |
|---|---|
|
「不明な SGT がプロビジョニングされました(Unknown SGT was provisioned)」というメッセージに NAD 情報がない |
|
|
ソフトウェアが ISE ノードでの pxGrid 証明書の削除を許可すべきではない |
|
|
AD での疑似二重認証要求 |
|
|
ISE 2.3+ に認証条件 Network Access:AuthenticationMethod がない |
|
|
ISE の簡単なワイヤレスセットアップ:SAW のセキュアなアクセスウィザードが wlc コード >8.3 で機能しない |
|
|
ISE:抑制のためのアカウンティング更新の許容度の効率を引き上げる必要がある |
|
|
TLSv1.2 でサポートされるサーバ暗号には 2048 ビットオプションが必要 |
|
|
EAP チェーンのコンテキストで想定される値が ISE から提供されない |
|
|
ISE ENH:RADIUS ディクショナリの VSA で 2 バイトの ベンダー属性サイズフィールド長が許可される |
|
|
SSL 接続に 1024 ビット以下の Diffie-Hellman 係数を持つ暗号を削除する |
|
|
Cisco Identity Services Engine(ISE)の任意のクライアント証明書作成時の脆弱性 |
|
|
ise バージョンに関係なく、脅威中心型 NAC CTA 設定でパーサー エラーが検出される |
|
|
cloudpost IND からプッシュされた場合、ISE カスタム属性がエンドポイントに適用されない |
|
|
MDMServerReachable が SCCM MDM に対して再度機能しない |
|
|
ISE 2.4 ライブ ログがフィルタリングされない |
|
|
ackson-databind の複数の脆弱性 |
|
|
パッチの適用前に追加した場合、tc-nac を無効/有効にすると Qualys が接続済み状態を表示する |
|
|
[次の条件で無効なユーザ名を開示(Disclose invalid username by)] が常に動作していない無効な名前設定を表示する |
|
|
参照されていないのに ISE 2.3 P5 ISE は GUI から SGT タグを削除することができない |
|
|
ゲスト ポータルのクライアント プロビジョニング カスタマイズ テキストが保存されない |
|
|
内部ユーザがネットワーク デバイスに正常にログインした後、ISE 2.4 が failedLoginAttempts をリセットしない |
|
|
ISE 2.2 スポンサー:承認リンクを 2 回クリックすると、シングル クリック承認で誤ったメッセージが表示される |
|
|
MnT のバックアップに必要なスペースの計算を再検証する必要がある |
|
|
ISE 2.4 P5:プロファイリング:Netflow プローブが ISE の結合されたインターフェイスで動作していない |
|
|
ISE プロファイラの SNMP 要求失敗アラームに失敗の理由が表示される |
|
|
大規模な NAD(>300)を MatrixA と MatrixB 間で移動すると、シリアル化またはバッチ処理されない |
|
|
TrustSec-ACI の統合が有効になっていると、Env データが欠落する |
|
|
ISE:電子メール通知を送信する SMTP サーバが枯渇する |
|
|
CSRF トークンを必要とする ERS API が PUT/POST/DELETE で常に失敗する |
|
|
外部管理者権限の変更が展開内の他のノードに反映されない |
|
|
MAC アドレスが同時に 2 回削除されると、ISE がすべてのエンドポイントを削除する |
|
|
SystemTest:SCEP RA プロファイルの削除中にエラーが発生する |
|
|
AnyConnect_ISEPosture.txt でポスチャのリダイレクトが「ピアを確認できません(unable to determine peer)」エラーで失敗する |
|
|
CTA の脅威情報を備えた ISE 2.4 で、脅威エンドポイントが検出されない |
|
|
GUI コンテキストの可視性レポートのエクスポートの速度が低下する |
|
|
AD 診断ツールが低レベルの API クエリに失敗したことを表示するが、応答に回答が含まれていないDNS 設定の確認 |
|
|
設定されたサーバに到達できない場合に MDM サーバを無効にできない |
|
|
SQLite FTS3 クエリ処理整数がオーバーフローする脆弱性 |
|
|
NMAP スキップ ホスト ディスカバリおよび NMAP スキャン タイムアウトが適用される |
|
|
システムテスト:Temporial Agent のインストールが内部システムエラーで失敗する |
|
|
[pxGrid XMPP サーバ] TCP/5222 のセキュアでない Diffie-hellman プライム p 1024 ビット |
|
|
ログ収集エラー:AD プローブ セッションが挿入されると、セッション ディレクトリの書き込みに失敗する |
|
|
AD で KRB5KDC_ERR_S_PRINCIPAL_UNKNOWN がスローされると、認証の開始が失敗する |
|
|
権限エラーのためエンドポイント データベースからエンドポイントを削除できない |
|
|
2.4 P8/P9 証明書チェーンがパッチ 8 とパッチ 9 にインポートされない |
|
|
有効なカスタム属性の後に設定すると、CV のカスタム属性の下に ISE LogicalProfile が表示される |
|
|
ISE TrustSec カスタムビューが手動順序で正しく並べ替えられない |
|
|
API を介した ISE ERS の作成では指定された ID が使用されない |
|
|
新しい論理プロファイルが認証ポリシーの例外で使用されている場合でも、ISE CoA が送信されない |
|
|
認証プロファイルの実行中にエンドポイント グループの説明を使用できない |
|
|
Cisco Identity Services Engine のストアド クロスサイト スクリプティングの脆弱性 |
|
|
Cisco Identity Services Engine のストアド クロスサイト スクリプティングの脆弱性 |
|
|
Cisco Identity Services Engine クロスサイト スクリプティングの脆弱性 |
|
|
ISE が SAML 認証応答トークンを処理できない |
|
|
SubCA と PKCS12(単一ファイル)としての ISE による証明書プロビジョニングポータルのエラー |
|
|
更新された自己署名証明書が信頼ストアで更新されない |
|
|
スケジュール バックアップの復元に失敗した |
|
|
ERS--ISE 経由で外部パスワード ID ストアを使用して内部ユーザを更新できない |
|
|
ISE が大規模なポリシーセットの設定変更を保存できない |
|
|
パスワードのリセット後に誤ったパスワードが通知される(SMS でのみ) |
|
|
グループ ID の前または後ろにスペースがある場合、CEPM.REF_ROLE_MASTER で ORA-02291 を使用すると作成できない |
|
|
PSN サーバのコアファイルによってディスク使用率が高いというエラーが発生する |
|
|
セッション ID に 「-」が含まれていると、「問題が発生しました(Oops. Something went wrong)」と ISE に表示される |
|
|
オプションの [常に使用(Always use)] を使用してゲストポータルの言語を変更できない |
|
|
[最大セッション数(Max Sessions)] ページの [カウンタの時間制限(Counter Time Limit)] を更新している間に不正な監査レポートが生成される |
|
|
プライマリ PAN に到達できないときに「サーバの問題によりポスチャが失敗しました(Posture failed due to server issues)」というエラーでポスチャが失敗する |
|
|
pxGrid 単独ペルソナの pxGrid の場合、証明書信頼チェーンが完全にならない |
|
|
ISE PAN フェールオーバーの非アクティブ日数 = 経過日数によって EP が誤って消去される |
|
|
ISE:MAC OSX でのシステムスキャン時に「サーバの問題によりポスチャが失敗しました(Posture failed due to server issues)」というエラーが発生する |
|
|
ISE が設定済みのカスタムグループに自己登録エンドポイントを保存しない |
|
|
ISE 2.6 ACI 統合 Trustesec ACI レポートが ip-sgt のマッピングを ACI に送信しない |
|
|
RBAC を使用すると、ネットワーク デバイス グループのエクスポート機能が失敗する |
|
|
ネットワーク条件が短縮された IPv6 では機能しない |
|
|
Cisco Identity Services Engine のストアド クロスサイト スクリプティングの脆弱性 |
|
|
ネットワーク アクセス ユーザの [すべて削除(Deleting All)] が監査レポートに表示されない |
|
|
Cisco Identity Services Engine 情報の開示の脆弱性 |
|
|
MNT ノードでシステムの概要を使用できない |
|
|
Cisco Identity Services Engine のポリシー設定名のクロスサイト スクリプティングの脆弱性 |
|
|
管理者または pxGrid の使用率での ECDSA 署名済み証明書を使用すると pxGrid が破損する |
|
|
ユーザ名に無効な文字が含まれていると ISE ユーザのインポートが失敗する |
|
|
ISE ゲストポータルが 2 つの疑問符を持つ http 要求を解析できない |
|
|
一部のシナリオで、静的グループ情報が EP から失われる |
|
|
MNT への接続がない場合は、PSN がスケジュール設定されたレポートを生成する |
|
|
パッチポップアップの実装 |
|
|
ISE 2.6:CSCvi89085 の修正で detectMACAuthenticationOnPAP フローが中断する |
|
|
[マッピンググループに移動(Move to Mapping Group)] ドロップダウンメニューで SGT マッピンググループを 25 に制限する |
|
|
PassiveID エージェント:エージェントモニタリング DC がダウンすると、MnT に syslog メッセージが送信されない |
|
|
pxGrid コントローラが terracotta.org に接続している |
|
|
ゲストフローからの静的グループ割り当てが失われる |
|
|
すべてのプロファイラポリシーで「キャッシュが正しく初期化されません(Cache not properly initialized)」メッセージが表示され、プロファイラフィードを更新できない |
|
|
管理ユーザのパスワードを更新すると、現在のパスワードの入力をバイパスできる |
|
|
ISE 2.4 p9 の猶予期間が VPN ユースケースの PRA で機能しない |
|
|
ISE スポンサーポータル:作成日による並べ替えが機能しない |
|
|
名前に「/」が含まれている場合の ISE 2.4 による証明書属性メッセージ内の XSS 入力の可能性 |
|
|
Restful API を介して追加されたネットワークデバイスが「ネットワークデバイスが見つかりません('Network Device not located)」というエラーで認証に失敗する |
|
|
ACS から ISE への migtool が意図した認証ポリシーの結果を変更する |
|
|
IPv6 RADIUS 属性を外部属性にマッピングできない |
|
|
マッピングデータのないエントリの場合、IP SGT 静的マッピングのエクスポートが失敗する |
|
|
トークンパスワードを使用している内部ユーザがパスワードの期限切れにより無効になる |
|
|
ise.messaging.log がサポートバンドルまたは GUI に表示されない |
|
|
不要な JQUERY-UI ファイルを ISE から削除する |
|
|
iOS CNA ブラウザでリンクが機能しない場合のログインページ AUP |
|
|
アクセスが NDG に制限されている場合は、[別のグループへのデバイスの移動(Move devices to another group)] ボタンを無効にする必要がある |
|
|
ISE 2.6 パッチ 2:エンドポイントグループに一致しない EAP-TLS 認証 |
|
|
REST API:パスワードフィールドでの特殊文字(「/」)を使用したネットワークデバイスの作成は UTF と解釈される |
|
|
ISE が NMAP スキャン情報の解析に失敗する |
|
|
ISE 2.7 ベータ:エンドポイントの説明に無効な文字があるため、マイデバイスポータルのロードに失敗する |
|
|
ISE 3695 アプライアンスに、Super MNT に設定されている Oracle パラメータに関する問題がある |
|
|
Day0:iPad OS 13.1 BYOD フローが失敗した |
|
|
ホスト名の変更によって ISE メッセージングの問題が発生する:MNT Failover and Queue Link Error-basic_cancel |
Cisco ISE リリース 2.6.0.156 の未解決の不具合:累積パッチ 3
|
不具合 ID 番号 |
説明 |
|---|---|
|
pxGrid V2 クライアントで SGT 通知が欠落している |
Cisco ISE リリース 2.6.0.156 の新機能 - 累積パッチ 2
ISE メッセージングサービスを介した syslog
UDP syslog(組み込みの UDP syslog ターゲットの LogCollector および LogCollector2)は、デフォルトで現在有効になっている既存の ISE メッセージング サービス インフラストラクチャを使用して、モニタリングノードに配信されます。これにより、syslog メッセージの WAN 存続可能性が高くなります。この機能を使用するには、すべてのノード間のファイアウォール(存在する場合)で TCP ポート 8671 を開いていることを確認してください。
このオプションを無効にすると、UDP ポート経由で UDP syslog を配信できます。これを行うには、Cisco ISE GUI で [管理(Administration)] > [システム(System)] > [ロギング(Logging)] > [ログ設定(Log Settings)] ページに移動し、[UDP syslogをMnTに配信するためにISEメッセージサービスを利用する(Use ISE messaging Service for UDP syslog delivery to MnT)] オプションをオフにします。
詳細については、『Cisco Identity Services Engine Administrator Guide, Release 2.6』を参照してください。
ビジネスの成果
モニタリングノードにアクセスできない場合でも、運用データが一定期間保持されます。
Elevated System Administrator ロールのサポート
Elevated System Administrator ロールは、既存の System Administrator ロールに似ています。加えて、このロールでは、ネットワーク管理者ユーザを除く管理者ユーザを作成、削除、および更新できます。
詳細については、『Cisco Identity Services Engine Administrator Guide, Release 2.6』を参照してください。
ビジネスの成果
Elevated System Administrator は管理者ユーザを管理できます。
Cisco ISE リリース 2.6.0.156 の解決済みの不具合 - 累積パッチ 2
次の表に、リリース 2.6 累積パッチ 2 の解決済みの不具合を示します。
パッチ 2 は古いバージョンの SPW で機能しない可能性があります。MAC ユーザは SPW を MACOSXSPWizard 2.2.1.43 以降にアップグレードする必要があります。また、Windows ユーザはその SPW を WinSPWizard 2.2.1.53 以降にアップグレードする必要があります。
|
不具合 ID 番号 |
説明 |
|---|---|
|
カスタム管理者が他の制限付き管理者ユーザを作成できない |
|
|
[SXPデバイス(SXP Devices)] ページで名前の 14 文字を超える部分が表示されない |
|
|
承認されていないアクセスに対して、空白ページの代わりに、わかりやすい情報メッセージを表示する必要がある |
|
|
パッチのインストールで「アプリケーションパッチのインストール失敗(Application patch installation failed)」というアラームが生成される場合がある |
|
|
スポンサーポータルページのロードに 10 秒以上かかる |
|
|
セッション通知で、ADNormalizedUsername、ADUserResolvedIdentities の各フィールドに不正な値が出力される場合がある |
|
|
初回認証から 2 日後に ISE CoA が動作しなくなる |
|
|
ISE-PIC 自己署名証明書の削除操作が、セキュアな Syslog サーバの参照エラーが原因で失敗する |
|
|
Web UI で内部認証局を無効にしても、コマンドラインで CA サービスがまだ実行されている |
|
|
ISE ゲストフローの最大セッション制限で、サードパーティ NAD との CoA 接続解除が送信されない |
|
|
外部パスワードを使用するネットワーク アクセス ユーザを ISE 管理者として使用できない |
|
|
ISE が「ip:」を「ip:inacl」Cisco AV ペアの該当するホスト名に置き換える |
|
|
アラーム固有の電子メール設定に電子メールが送信されない |
|
|
エンドポイントプロファイルが不明に設定されていない EAP-TLS 認証は、2 番目の認証で失敗する。 |
|
|
ISE のアプリケーションステータスが初期化状態である |
|
|
ISE:tacacs ユーザがグループなしで保存されている場合、管理者ユーザがグループを削除または変更できない |
|
|
ISE 2.4:サプリカントクエリが誤って設定されているため、両方の MNT ノードの CPU 使用率が高くなる |
|
|
ISE メッセージングサービスがオンになっている場合に、高い TPS レートで遅延が観測される |
|
|
ISE 2.4:CLI パスワードに 3 $ を指定できない |
|
|
ISE カスタムエンドポイント属性:保存も削除もされない |
|
|
内部管理者のサマリーレポートで特定のカラムを選択できない |
|
|
PSN フェールオーバーケースで PrA をサポートするための設定が追加される |
|
|
TCNAC アダプタを 2.2 から 2.6 にアップグレードした後に設定できない |
|
|
ISE 2.6 ANC ポリシーの適用時に SMC でエラー「microservice_unavailable」が表示される |
|
|
スポンサーゲストポータルのレート制限時間が適用されない |
|
|
許可されるプロトコル:[ポリシーセット(Policy Sets)] ページでインラインの許可されるプロトコルを作成する際のエラー |
|
|
UTF-8 検証チェックの失敗により、EAP-GTC マシン認証がパスワードの不一致で失敗する |
|
|
ISE 2.4 パッチ 6 をリロードすると、バックアップが中断される |
|
|
PassiveID フローでユーザの SamAccountName と ExplicitUPN を送信する必要がある |
|
|
半数のセッションで ADNormalizedUserName フィールドが欠落している |
|
|
Plus ライセンスが Plus 機能なしで消費される |
|
|
AD_User_Fetch 情報が UI および Redis で表示されない |
|
|
複数選択で複数の管理者グループを削除することができない |
|
|
NAD IP アドレスが無効なため、ISE 2.4p3 Radius ライブログが表示されない |
|
|
外部 RADIUS サーバへの要求で送信する Radius 属性の変更が ISE で機能しない |
|
|
Pxgrid プロファイリングプローブの有効化を保存しても、有効にならない |
|
|
外部サーバ遅延シナリオでの記述子割り当ての枯渇により ISE で要求がドロップされる |
|
|
ISE がエンドポイント ID グループ「不明」との認証ポリシーの照合に失敗する |
|
|
カスタム属性(CV の詳細フィルタ)がリスクスコア(整数値)でフィルタ処理できない |
|
|
AD 接続の問題が発生し、コアファイルが同じ日に生成される |
|
|
TACACS/AAA ライブログレポートに ACI から行われた設定変更が表示されない |
|
|
ISE 2.6 SFTP リポジトリへのアクセスが失敗する |
|
|
ゲストタイプを削除すると、エラーが表示されて同じ名前の新しいゲストタイプを作成できなくなる |
|
|
外部ルート CA による ISE CA 証明書への署名後にキューリンクエラーアラームが生成される |
|
|
ISE 2.4 および 2.6 で ise-elasticsearch.log ファイルがパージされない |
|
|
ISE 2.4:レプリケーション:クラスタ情報テーブルに古い FQDN が含まれる |
|
|
タイムアウト後にスポンサーポータルで ISE 2.4 p6 400 エラーが発生する |
|
|
IOS 12.2 で BYOD フローが破損している |
|
|
ネットワーク デバイス テンプレートをインポートすると、「暗号化キーへの無効な値により失敗しました(Failed illegal value for Encryption key)」というエラーが表示される |
|
|
struts2-core の複数の脆弱性 |
|
|
アップグレードされた ISE ノードに LDAP ID ストアのパスワードがプレーンテキストで表示される |
|
|
ユーザへの警告やエラーの表示なしに、認証プロファイルのインポートが失敗する |
|
|
CSCvp63136:US399914:2.6 P2 - サードパーティライセンスと通知の表示 - リンクの更新 |
|
|
dot1x で設定されていない有線ネットワークに切り替わると、ISE 2.4 P8 ポスチャスキャンが実行される |
|
|
「Cisco Modified」プロファイルがプロファイラ フィード サービスによって上書きされる |
|
|
サポートへの問い合わせリンクから戻る際に AUP ゲストポータルエラー 400 が発生する(iPhone キャプティブポータル) |
|
|
ゲストのパスワードの表示/印刷が無効になっている場合に電子メールがゲストに届かない |
|
|
cisco-av-pair=addrv6=0x7f8c0d588608 を受信する際の ISE MNT 例外 |
|
|
ISE カスタマーエンドポイントの属性タイプ文字列で特定の数字を使用できない |
|
|
ISE で複数マトリックスを使用している場合に展開ボタンが表示されない |
|
|
Plus ライセンスの [ライセンスの使用状況(License Usage)] に 0 または誤った値が表示される |
|
|
[コンテキストの可視性(Context Visibility)] - [エンドポイント(Endpoints)] からのエクスポートでほとんどのエンドポイントのカスタム属性が含まれない |
|
|
[ソフトウェアバージョン(Software Version)] フィールドに、任意の数字とその後に () を続けて組み合わせてネットワークデバイスを追加することができない |
|
|
Mydevice ポータルを更新する際の「[ 400 ] 不正な要求([ 400 ] Bad Request)」エラー |
|
|
pxGrid で ADUserSamAccountName、ADUserQualifiedName、ADHostSamAccountName、ADHostQualifiedName を公開 |
|
|
ISE 2.6 パッチ 1 - AD のユーザテストが 0 グループを返す |
Cisco ISE リリース 2.6.0.156 の未解決の不具合 - 累積パッチ 2
|
不具合 ID 番号 |
説明 |
|---|---|
|
MNT ノードでシステムの概要を使用できない |
|
|
特定のシナリオで IP-SGT マップが ACI に伝播されない |
Cisco ISE リリース 2.6.0.156 の解決済みの不具合 - 累積パッチ 1
次の表に、リリース 2.6 累積パッチ 1 の解決済みの不具合を示します。
パッチ 1 は古いバージョンの SPW で機能しない可能性があります。MAC ユーザは SPW を MACOSXSPWizard 2.2.1.43 以降にアップグレードする必要があります。また、Windows ユーザはその SPW を WinSPWizard 2.2.1.53 以降にアップグレードする必要があります。
|
不具合 ID 番号 |
説明 |
|---|---|
|
バックアップ試行に失敗しても、ISE dmp ファイルが /opt/oracle/base/admin/cpm10/dpdump から削除されない |
|
|
ISE 2.x:インポートしたアカウントのゲストアカウントのアクティベーション時間が一致しない |
|
|
CSRF トークンを必要とする ERS API が HTTP 403 の代わりに HTTP 404 を返す |
|
|
仮想ネットワークマッピングを使用するセキュリティ グループを削除できない |
|
|
同じサブジェクト名を持つ 2 つの CA 証明書がインポートされる |
|
|
BYOD、セキュアアクセス、スポンサードゲストフローの ISE セキュアアクセスウィザード簡易ワイヤレス null AD グループ |
|
|
ISE 2.4 ERS API - PUT および GET 内部ユーザの「ユーザ カスタム属性」 |
|
|
NAD CSV インポートでサポート対象のすべての文字を許可する必要がある |
|
|
RBAC ユーザを使用して ID グループにエンドポイントを追加しようとしたときに「利用可能なデータがない(No Data Available)」 |
|
|
パッチ 5 以降の ISE 2.3 でゲストの作成に失敗する |
|
|
スポンサーユーザが権限 ALL&GROUP スポンサーグループで設定されている場合、ACC コールを無制限に管理する |
|
|
500 個の認証ポリシーを使用すると、ISE 2.4 のデータベース応答が低下する |
|
|
ISE 2.4:ユーザセッションの SXP から IP-SGT バインディングが消える |
|
|
SCEP RA プロファイルを削除すると、関連付けられている CA チェーンが信頼済みストアからサイレントに削除される |
|
|
未使用の論理プロファイルを削除すると、誤った認可結果が生成される場合がある |
|
|
存在しない DACL が ISE で検証されない |
|
|
[ISE 2.4] 認可条件で作成されたプロファイルポリシーを使用できない |
|
|
SFTP リポジトリからバックアップすると、変更時刻に誤った年が表示される場合がある |
|
|
ISE で ACI IEPG を削除できる |
|
|
ISE で SGT の追加が許可されていない |
|
|
コンテキストの可視性でアドレスが HTML コードとして表示される |
|
|
ISE:移行中に重複した framed-pool 属性をスキップできない |
|
|
ISE エンドポイント消去 ACTIVEDIRECTORY ディクショナリがロードされていない |
|
|
ISE の [すべてのSXPマッピング(All SXP Mappings)] ページでページネーションが機能していない |
|
|
ISE が新しく作成された IP-SGT マッピングを削除する |
|
|
ISE が「-」文字以降の SGT 名を切り捨て、バージョン ID を割り当てる |
|
|
ISE 2.4 パッチ 7 を使用した MAC 組み込み FW 修復でシステムスキャンが内部エラーをスローする |
|
|
ポート 15672 がすでに使用されている場合、RabbitMQ Docker コンテナが起動しない |
|
|
ISE 2.4 パッチ 6 をインストールすると、スポンサーと MyDevices ポータルの FQDN が切断される |
|
|
ACS 5.8 から ISE 2.6 への dACL の移行に失敗する |
|
|
Radius+PassiveID フローでの CoA 障害 |
|
|
ISE 2.0.1 パッチ 4 から 2.4 パッチ 6 へのアップグレード後に、CoA が ISE から発行されない |
|
|
ISE TLS 1.0 および 1.1 セキュリティ設定は PxGrid に適用されないため、WSA が統合に失敗する |
|
|
AD グループ名に「/.」または「/..」が含まれている場合、AD グループを追加できない |
|
|
2.6 へのアップグレード後に一部の内部ユーザのパスワードを変更できない |
|
|
SXP ロギングが「DEBUG」に設定されている場合、sxp.log に APIC ログには表示されない |
|
|
ISE での SXP マッピングのクリアで遅延が発生する |
|
|
ISE 2.6 で [EAP-TTLS設定(EAP-TTLS Settings)] ページが保存されない |
|
|
パッチ 5 のインストール後、管理者グループが [デバイス管理(Device Administration)] タブの [ユーザ(Users)] にアクセスできない |
|
|
デフォルトの python 変更パスワードスクリプトで CRUD 操作の例外が返される |
|
|
ISE:WMI-Passed 値によって ISE のセキュリティが損なわれる場合がある。悪意のあるスクリプト用語を削除してください |
|
|
RADIUS 認証レポートの CSV ファイルに重複するレコードが含まれる場合がある |
|
|
ISE が BYOD の不要な RA 証明書をダウンロードする |
|
|
デバイス管理の現在アクティブなセッションレポートが 2.4 パッチ 6 から利用できない |
|
|
ワイルドカード表記で ISE DACL 構文チェックの検証が失敗する |
|
|
ランタイムでは、プロファイラに送信される syslog メッセージ内の dhcp-class-identifier の「;」の前に「\」が付加される |
|
|
FMC の pxGrid ノード名の制限が短すぎる |
|
|
pxGrid のスタートアップ順序でプロファイラコードが初期化に失敗する |
|
|
ISE 2.6 LiveLogs が表示されず、「ヘルスステータスを使用できません(Health Status is Unavailable)」というアラームが誤って表示される |
|
|
ISE:GUI と show tech のメモリ使用率が一致しない |
|
|
ISE PB を ISE にインポートすると、ログインページがロードされない |
|
|
ISE 2.3:条件別のエンドポイントのポスチャレポートが予想どおりに動作しない |
|
|
ISE:大量レコード(100 万)の条件レポートエクスポートレートでポスチャ評価が改善される |
|
|
有効な RSA/RADIUS トークンクレデンシャルを使用していても、ISE 管理者 DB 内でない場合、[管理者アクセス(Admin Access)] はブランクページになる |
|
|
ISE 2.3/2.4 を最新のパッチにアップグレードすると、サードパーティの NAD のダイナミック リダイレクションが中断される場合がある |
|
|
[改善] 外部データソース条件の [Active Directory] フィールドを、参加ポイントと表示するように変更 |
|
|
CSV 制限を超えているため、RADIUS レポートに正常な認証エントリが表示されない |
|
|
「サーバが到達不能です(Server not reachable)」による自動ログアウトを修正 |
Cisco ISE リリース 2.6.0.156 の解決済みの不具合
Cisco ISE リリース 2.6.0.156 の未解決の不具合
Cisco ISE リリース 2.6 の未解決の不具合
通信、サービス、およびその他の情報
-
シスコからタイムリーな関連情報を受け取るには、Cisco Profile Manager でサインアップしてください。
-
重要な技術によりビジネスに必要な影響を与えるには、Cisco Services にアクセスしてください。
-
サービスリクエストを送信するには、シスコサポート にアクセスしてください。
-
安全で検証済みのエンタープライズクラスのアプリケーション、製品、ソリューション、およびサービスを探して参照するには、Cisco Marketplace にアクセスしてください。
-
一般的なネットワーキング、トレーニング、認定関連の出版物を入手するには、Cisco Press にアクセスしてください。
-
特定の製品または製品ファミリの保証情報を探すには、Cisco Warranty Finder にアクセスしてください。
フィードバック