 (注) |
content.cisco.com のコンテンツハブに移動します。ここでは、ファセット検索機能を使用して、必要なコンテンツを正確に拡大できます。参照用にカスタマイズした PDF ブックを簡単に作成するなど、数多くのことが可能です。 早速始めましょう。content.cisco.com をクリックしてください。 また、コンテンツハブをすでに体験したことがある場合は、ご意見をお聞かせください。 ページの [Feedback] アイコンをクリックして、ご意見をお寄せください。 |
Cisco Identity Services Engine の概要
Cisco Identity Services Engine(ISE)は、ネットワークリソースへのセキュアなアクセスを提供するセキュリティポリシー管理プラットフォームです。企業は、Cisco ISE を使用して、ネットワーク、ユーザー、およびデバイスからコンテキスト情報をリアルタイムで収集できます。その後、管理者はこの情報を使用して、積極的に管理上の決定を下すことができます。これを行うには、アクセススイッチ、ワイヤレスコントローラ、バーチャル プライベート ネットワーク(VPN)ゲートウェイ、ローカル 5G ネットワーク、データセンタースイッチなどのさまざまなネットワーク要素のアクセス コントロール ポリシーを作成します。Cisco ISE は、Cisco TrustSec ソリューションのポリシーマネージャとして機能し、TrustSec ソフトウェアによって定義されたセグメンテーションをサポートします。
Cisco ISE は、異なるパフォーマンス特性を持つセキュアなネットワーク サーバー アプライアンス上で使用できます。また、仮想マシン(VM)上で実行できるソフトウェアとしても使用可能です。パフォーマンス向上のためにアプライアンスを展開に追加できます。
Cisco ISE は、スタンドアロンおよび分散展開をサポートする拡張性の高いアーキテクチャを使用しますが、設定および管理は一元化されています。また、ペルソナとサービスの設定と管理を個別に行うこともできます。このため、ネットワーク内で必要なサービスを作成して適用することができますが、Cisco ISE 展開を完全な統合システムとして運用することもできます。
Cisco ISE の詳細な発注およびライセンス情報については、 Cisco IdentityServices Engine 注文ガイド [英語] を参照してください。
システムのモニタリングおよびトラブルシューティングに関する詳細については、『 Cisco Identity Services Engine 管理者ガイド』の「Cisco ISE のモニタリングとトラブルシューティング サービス」のセクションを参照してください。
システム要件
Cisco ISE の設定を継続使用する場合は、次のシステム要件が満たされていることを確認してください。
この Cisco ISE リリースのハードウェア プラットフォームおよびインストールの詳細については、『Cisco Identity Services Engine Hardware Installation Guide』を参照してください。
(注) |
Cisco ISE は OpenStack にインストールできません。 |
サポート対象ハードウェア
Cisco ISE リリース 2.7 は、次のプラットフォームにインストールできます。
|
ハードウェア プラットフォーム |
設定 |
|---|---|
|
Cisco SNS-3515-K9(小規模) |
アプライアンスハードウェアの仕様については、『Cisco Secure Network Server Appliance Hardware Installation Guide』を参照してください。 |
|
Cisco SNS-3595-K9(大規模) |
|
|
Cisco SNS-3615-K9(小規模) |
|
|
Cisco SNS-3655-K9(中規模) |
|
|
Cisco SNS-3695-K9(大規模) |
インストール後、上記の表に記載されているプラットフォームで、管理、モニターリング、pxGrid などの特定のコンポーネントペルソナを使用して Cisco ISE を設定できます。これらのペルソナに加えて、Cisco ISE では、プロファイリングサービス、セッションサービス、脅威中心型 NAC サービス、TrustSec 用の SXP サービス、TACACS+ デバイス管理サービス、およびパッシブ ID サービスなど、ポリシーサービス内に他のタイプのペルソナが含まれています。
 注意 |
|
連邦情報処理標準(FIPS)モードのサポート
Cisco ISE は、組み込みの連邦情報処理標準(FIPS)140-2 検証済み暗号化モジュール、Cisco FIPS オブジェクト モジュール バージョン 6.2(証明書 #2984)を使用します。FIPS コンプライアンス要求の詳細については、Global Government Certifications を参照してください。
Cisco ISE で FIPS モードが有効になっている場合は、次の点を考慮してください。
-
すべての FIPS 非準拠暗号スイートは無効になります。
-
証明書と秘密キーには、FIPS 準拠ハッシュと暗号化アルゴリズムのみを使用する必要があります。
-
RSA 秘密キーには、2048 ビット以上を指定する必要があります。
-
楕円曲線デジタル署名アルゴリズム(ECDSA)の秘密キーには、224 ビット以上を指定する必要があります。
-
Diffie–Hellman Ephemeral(DHE)暗号方式は 2048 ビット以上の Diffie–Hellman(DH)パラメータを使用して動作します。
-
SHA1 は、ISE ローカルサーバー証明書の生成を許可されていません。
-
EAP-FAST の匿名 PAC プロビジョニングオプションは無効です。
-
ローカル SSH サーバーは FIPS モードで動作します。
-
RADIUS の場合、次のプロトコルは FIPS モードではサポートされていません。
-
EAP-MD5
-
PAP
-
CHAP
-
MS-CHAPv1
-
MS-CHAPv2
-
LEAP
-
サポートされる仮想環境
Cisco ISE は次の仮想環境プラットフォームをサポートしています。
-
VMware ESXi 5.x、6.x、7.x
-
Microsoft Windows Server 2012 R2 以降の Microsoft Hyper-V
-
QEMU 1.5.3-160 上の KVM
仮想マシンの要件に関する情報については、お使いの Cisco ISE バージョンの『Cisco Identity Services Engine インストールガイド』を参照してください。
注意 |
Cisco ISE は、ISE データのバックアップ用の VMware スナップショットをサポートしていません。これは、VMware スナップショットが特定の時点で VM のステータスを保存するためです。マルチノード Cisco ISE 環境では、すべてのノードのデータは、現在のデータベース情報と継続的に同期されます。スナップショットを復元すると、データベースのレプリケーションと同期の問題を引き起こす可能性があります。データのバックアップおよび復元用に、Cisco ISE に含まれるバックアップ機能を使用することを推奨します。 VMware スナップショットを使用して ISE データをバックアップすると、Cisco ISE サービスが停止します。ISE ノードを起動するには、再起動が必要です。 |
対応ブラウザ
管理者ポータルでサポートされているブラウザは次のとおりです。
-
Mozilla Firefox 96 以前のバージョン(バージョン 82 以降)
-
Mozilla Firefox ESR 91.3 以前のバージョン
-
Google Chrome 97 以前のバージョン (バージョン 86 以降)
-
Microsoft Edge の最新バージョンと最新バージョンより 1 つ前のバージョン
Microsoft Active Directory のサポート
Cisco ISE は、すべての機能レベルで Microsoft Active Directory サーバー 2003、2003 R2、2008、2008 R2、2012、 2012 R2、2016、および 2019 と連携して動作します。
(注) |
|
Cisco ISE は、マルチドメインフォレストと Active Directory インフラストラクチャとの統合をサポートし、大規模なエンタープライズ ネットワーク全体の認証および属性の収集をサポートしています。Cisco ISE は最大 50 個のドメイン参加ポイントをサポートしています。
ユーザー識別の改善
Cisco ISE は、ユーザー名が一意でなくても Active Directory ユーザーを識別できます。マルチドメインの Active Directory 環境で短いユーザー名を使用する場合、一般的にユーザー名が重複します。ソフトウェア資産管理(SAM)、顧客名(CN)、またはその両方を使用してユーザーを識別できます。Cisco ISE は、ユーザーを一意に識別するために属性を使用します。
次の値を更新します。
-
SAM:クエリで SAM のみを使用するには、この値を更新します(デフォルト)。
-
CN:クエリで CN のみを使用するには、この値を更新します。
-
CNSAM:クエリで CN および SAM を使用するには、この値を更新します。
Active Directory ユーザーの識別用に上記の属性を設定するには、Active Directory を実行しているサーバーのレジストリで IdentityLookupField パラメータを更新します。
REGISTRY.Services\lsass\Parameters\Providers\ActiveDirectory\IdentityLookupField
サポート対象のウイルス対策およびマルウェア対策製品
Cisco ISE ポスチャエージェントでサポートされているウイルス対策およびマルウェア対策製品の詳細については、Cisco AnyConnect ISE ポスチャのサポート表を参照してください。
サポート対象の暗号方式
Cisco ISE のクリーンインストールまたは新規インストールでは、SHA1 暗号はデフォルトで無効になっています。ただし、既存のバージョンの Cisco ISE からアップグレードする場合、SHA1 暗号は以前のバージョンのオプションのままです。SHA1 暗号の設定は、[SHA1暗号を許可する(Allow SHA1 Ciphers)] フィールド([管理(Administration)] > [システム(System)] > [設定(Settings)] > [セキュリティ設定(Security Settings)])を使用して表示および変更できます。
(注) |
この暗号は、管理者ポータルには適用されません。連邦情報処理標準モード(FIPS)で実行している場合、アップグレードでは管理者ポータルから SHA1 暗号が削除されません。 |
Cisco ISE は、TLS バージョン 1.0、1.1、および 1.2 をサポートします。
Cisco ISE は、RSA および ECDSA サーバー証明書をサポートしています。次の楕円曲線をサポートしています。
-
secp256r1
-
secp384r1
-
secp521r1
(注) |
Cisco ISE は、OpenJDK 1.8 の現在の導入における制限により、楕円曲線に関する SHA256withECDSA 署名アルゴリズムを含む中間証明書をサポートしていません。 |
次の表に、サポートされている暗号スイートが表示されています。
| 暗号スイート |
Cisco ISE が EAP サーバーとして設定されている場合 Cisco ISE が RADIUS DTLS サーバーとして設定されている場合 |
Cisco ISE が、HTTPS またはセキュア LDAP サーバーから CRL をダウンロードする場合 Cisco ISE がセキュアな LDAP クライアントとして設定されている場合 Cisco ISE が CoA の RADIUS DTLS クライアントとして設定されている場合 |
|
TLS 1.0 のサポート |
TLS 1.0 が許可されている場合 (DTLS サーバーは DTLS 1.2 のみをサポート) Cisco ISE 2.3 以上では、[TLS 1.0を許可(Allow TLS 1.0)] オプションがデフォルトで無効になっています。このオプションが無効の場合、TLS 1.0 では、TLS ベースの EAP 認証方式(EAP-TLS、EAP-FAST/TLS)および 802.1 X サプリカントがサポートされません。TLS ベースの EAP 認証方式を TLS 1.0 で使用するには、[セキュリティ設定(Security Settings)] ウィンドウの [TLS 1.0 を許可(Allow TLS 1.0) ] チェックボックスをオンにします。このウィンドウを表示するには、[管理(Administration)] > [システム(System)] > [設定(Settings)] > [プロトコル(Protocols)] > [セキュリティ設定(Security Settings)] を選択します。 |
TLS 1.0 が許可されている場合 (DTLS クライアントは DTLS 1.2 のみをサポート) |
|
TLS 1.1 のサポート |
TLS 1.1 が許可されている場合 Cisco ISE 2.3 以上では、[TLS 1.1を許可(Allow TLS 1.0)] オプションがデフォルトで無効になっています。このオプションが無効の場合、TLS 1.1 では、TLS ベースの EAP 認証方式(EAP-TLS、EAP-FAST/TLS)および 802.1 X サプリカントがサポートされません。TLS ベースの EAP 認証方式を TLS 1.1 で使用するには、[セキュリティ設定(Security Settings)] ウィンドウ([管理(Administration)] > [システム(System)] > [設定(Settings)] > [プロトコル(Protocols)] > [セキュリティ設定(Security Settings)])で [TLS 1.1を許可(Allow TLS 1.1)] チェック ボックスをオンにします。 |
TLS 1.1 が許可されている場合 |
|
ECC DSA 暗号方式 |
||
|
ECDHE-ECDSA-AES256-GCM-SHA384 |
対応 |
対応 |
|
ECDHE-ECDSA-AES128-GCM-SHA256 |
対応 |
対応 |
|
ECDHE-ECDSA-AES256-SHA384 |
対応 |
対応 |
|
ECDHE-ECDSA-AES128-SHA256 |
対応 |
対応 |
|
ECDHE-ECDSA-AES256-SHA |
SHA-1 が許可されている場合 |
SHA-1 が許可されている場合 |
|
ECDHE-ECDSA-AES128-SHA |
SHA-1 が許可されている場合 |
SHA-1 が許可されている場合 |
|
ECC RSA 暗号方式 |
||
|
ECDHE-RSA-AES256-GCM-SHA384 |
ECDHE-RSA が許可されている場合 |
ECDHE-RSA が許可されている場合 |
|
ECDHE-RSA-AES128-GCM-SHA256 |
ECDHE-RSA が許可されている場合 |
ECDHE-RSA が許可されている場合 |
|
ECDHE-RSA-AES256-SHA384 |
ECDHE-RSA が許可されている場合 |
ECDHE-RSA が許可されている場合 |
|
ECDHE-RSA-AES128-SHA256 |
ECDHE-RSA が許可されている場合 |
ECDHE-RSA が許可されている場合 |
|
ECDHE-RSA-AES256-SHA |
ECDHE-RSA/SHA-1 が許可されている場合 |
ECDHE-RSA/SHA-1 が許可されている場合 |
|
ECDHE-RSA-AES128-SHA |
ECDHE-RSA/SHA-1 が許可されている場合 |
ECDHE-RSA/SHA-1 が許可されている場合 |
|
DHE RSA 暗号方式 |
||
|
DHE-RSA-AES256-SHA256 |
非対応 |
対応 |
|
DHE-RSA-AES128-SHA256 |
非対応 |
対応 |
|
DHE-RSA-AES256-SHA |
非対応 |
SHA-1 が許可されている場合 |
|
DHE-RSA-AES128-SHA |
非対応 |
SHA-1 が許可されている場合 |
|
RSA 暗号方式 |
||
|
AES256-SHA256 |
対応 |
対応 |
|
AES128-SHA256 |
対応 |
対応 |
|
AES256-SHA |
SHA-1 が許可されている場合 |
SHA-1 が許可されている場合 |
|
AES128-SHA |
SHA-1 が許可されている場合 |
SHA-1 が許可されている場合 |
|
3DES 暗号方式 |
||
|
DES-CBC3-SHA |
3DES/SHA-1 が許可されている場合 |
3DES/DSS および SHA-1 が有効になっている場合 |
|
DSS 暗号方式 |
||
|
DHE-DSS-AES256-SHA |
非対応 |
3DES/DSS および SHA-1 が有効になっている場合 |
|
DHE-DSS-AES128-SHA |
非対応 |
3DES/DSS および SHA-1 が有効になっている場合 |
|
EDH-DSS-DES-CBC3-SHA |
非対応 |
3DES/DSS および SHA-1 が有効になっている場合 |
|
弱い RC4 暗号方式 |
||
|
RC4-SHA |
[許可されているプロトコル(Allowed Protocols)] ページで [脆弱な暗号を許可(Allow weak ciphers)] オプションが有効になっていて、SHA-1 が許可されている場合 |
非対応 |
|
RC4-MD5 |
[許可されているプロトコル(Allowed Protocols)] ページで [脆弱な暗号を許可(Allow weak ciphers)] オプションが有効になっている場合 |
非対応 |
|
EAP-FAST 匿名プロビジョニングのみの場合: ADH-AES-128-SHA |
対応 |
非対応 |
|
ピア証明書の制限 |
||
|
KeyUsage の検証 |
クライアント証明書では、以下の暗号に対し、KeyUsage=Key Agreement および ExtendedKeyUsage=Client Authentication が必要です。
|
|
|
ExtendedKeyUsage の検証 |
クライアント証明書では、以下の暗号に対し、KeyUsage=Key Encipherment および ExtendedKeyUsage=Client Authentication が必要です。
|
サーバー証明書では ExtendedKeyUsage=Server Authentication が必要です |
Cisco ISE リリース 2.7 の新機能
スポンサー承認後の自己登録ゲストの自動ログイン
スポンサーの承認後に、自己登録ゲストの自動ログインを有効にすることができるようになりました。
ビジネス成果:ゲストユーザーは、スポンサーがゲストアクセス要求を承認すると自動的にログインします。これにより、プロセスが簡素化され、カスタマーエクスペリエンスが向上します。
Cisco Support Diagnostics Connector
Cisco Support Diagnostics Connector は、Cisco Technical Assistance Center(TAC)とシスコのサポートエンジニアがプライマリ管理ノードから展開の情報を取得するのに役立ちます。
ビジネス成果:TAC は、展開内の特定のノードのサポート情報を取得するのにコネクタを使用します。このデータにより、トラブルシューティングがより迅速になり、向上します。
CLI の show logging の機能強化
コマンドラインインターフェイス(CLI)で show logging コマンドを実行すると、そのコンテンツは Unix の less 環境に表示されます。「H」を入力すると、サポートされている less コマンドが表示されます。
ビジネス成果:大規模なファイルの内容を表示するには、less のほうが役に立ちます。これにより、ログファイルを調査する時間が短縮されます。
EAP TEAP のサポート
Cisco ISE 2.7 は Tunnel Extensible Authentication Protocol(TEAP)をサポートしています。トンネル内では、EAP ピアと EAP サーバー間の認証関連データを伝送するために、Type-Length-Value(TLV)オブジェクトが使用されます。内部メソッドとして、EAP-MS-CHAPv2 または EAP-TLS を使用できます。EAP チェーニングは TEAP でサポートされています。EAP チェーンを使用すると、Cisco ISE は、同じ TEAP トンネル内でユーザーとマシンの両方の認証の内部方式を実行できます。これにより、Cisco ISE は認証の結果を関連付け、EAPChainingResult 属性を使用して適切な許可ポリシーを適用することができます。
ビジネス成果:TEAP は、トンネルを確立し、以降の通信を暗号化するために Transport Layer Security(TLS)プロトコルを使用して、サーバーとピア間のセキュアな通信を可能にするトンネルベースの EAP メソッドです。
エンドポイントの所有権の拡張
エンドポイント所有権情報が、Light Session Directory(LSD)を使用してすべてのポリシーサービスノード(PSN)に保存されるようになりました。
ビジネス成果:これにより、エンドポイント所有権のフラッピングが回避されます。
フィードサービスの更新
プロファイラ条件をカスタマイズしていて、プロファイラフィードでこれらの条件を置き換える必要がない場合は、ポリシーの更新をダウンロードせずに OUI の更新を手動でダウンロードできます。
ビジネス成果:プロファイラの精度が向上し、オーバーヘッドが低下しました。
グレースアクセス
社内ネットワークへのスポンサーの承認を待機している自己登録ゲストに、5 ~ 30 分のインターネットアクセスを付与できます。
ビジネス成果:ゲストユーザーが承認待ちの間にインターネットにアクセスできます。
ゲストパスワードのリカバリ
自己登録ゲストのゲストポータルで [パスワードのリセット(Reset Password)] オプションを有効にすることができるようになりました。有効なゲストアカウントを持つ自己登録ゲストが、パスワードを忘れた場合にこのオプションを使用できます。このオプションをクリックすると、セルフ登録ページが起動します。電話番号または電子メールアドレス(登録先)を入力し、新しいパスワードを入力できます。
ビジネス成果:カスタマー エクスペリエンスを向上させ、カスタマーサポートチームへのコールを削減します。
インタラクティブヘルプ
インタラクティブヘルプを使用すると、タスクを簡単に実行するためのヒントと段階的なガイダンスが表示されます。
ビジネス成果:これにより、エンドユーザーが作業フローを容易に理解し、タスクを簡単に実行できるようになります。
ゲストユーザー識別子としての電話番号
電子メールアドレスまたはユーザー名に加えて、ゲストユーザーが自分の電話番号をゲストアクセスのユーザー ID として使用できるようになりました。
ビジネス成果:ゲストユーザーが、自分の携帯電話番号をユーザー ID として使用できるようになりました。これにより、ユーザーが自分のユーザー ID を覚えやすくなります。
プロファイラフォワーダ永続キュー
プロファイラフォワーダ永続キューは、イベントがさらなる処理のためにプロファイラモジュールに送信される前に、それらの着信イベントを保存します。
ビジネス成果:これにより、イベントの急激なバーストによるイベントの損失が低減されます。このキューは ISE メッセージングサービスを使用し、デフォルトで有効になっています。すべての Cisco ISE ノード間でポート 8671 が開かれている必要があります。
ロールベースのアクセスポリシー
ISE 管理者ポータルでは、[管理(Administration)] > [管理者アクセス(Admin Access)] > [許可(Authorization)] の下にある [ポリシー(Policy)] メニューのオプションは [RBAC ポリシー(RBAC Policy)] という名前に変更されました。[RBAC ポリシー(RBAC Policy)] ウィンドウは、管理者グループのポリシーを追加および設定するために使用されます。
セキュアな SMTP
ゲスト電子メール通知が、セキュアな SMTP サーバーを介して送信できるようになりました。
ビジネス成果:ネットワーク内のゲスト電子メールのセキュリティが向上しました。
セキュアなロック解除クライアント
セキュアなロック解除クライアントメカニズムが、Cisco ISE CLI で一定期間にわたってルートシェルへのアクセスを提供するために使用されます。
ビジネス成果:セキュアなロック解除クライアント機能は、同意トークンツールを使用して実装されており、信頼できる方法でシスコ製品の特権アクセスを安全に付与します。
TrustSec の機能拡張
HTTPS REST API が既存の RADIUS プロトコルを置換して、必要なすべての TrustSec 情報をネットワークデバイスに提供します。
ビジネス成果:これにより、既存の RADIUS プロトコルと比較して、短時間で大規模な設定をダウンロードする効率と能力が向上します。
既知の制限事項と回避策
アップグレード後の LDAP サーバーの再設定
制限事項
プライマリホスト名または IP が更新されないため、認証が失敗します。これは、Cisco ISE 展開のアップグレード中に、展開 ID がリセットされる傾向があるためです。
条件
[接続(Connection)] ウィンドウ()で [各ISEノードのサーバーの指定(Specify server for each ISE node) ] オプションを有効にするか、既存のサーバーを選択し、PSN を使用して Cisco ISE 展開をアップグレードすると、展開 ID がリセットされる傾向があります。
回避策
各ノードの LDAP サーバー設定を再設定します。詳細については、Cisco Identity Services Engine 管理者ガイド、リリース 2.4 [英語] の「Administrative Access to Cisco ISE Using an External Identity Store」の章の「LDAP Identity Source Settings」の項を参照してください。
pxGrid 証明書の問題
pxGrid 証明書に「Netscape Cert Type」を使用している場合、Cisco ISE はパッチ 2 の適用後にその証明書を拒否することがあります。その証明書の古いバージョンでは SSL サーバーが指定されていましたが、クライアント証明書が必要なため SSL サーバーは失敗します。別の証明書を使用するか、または既存の証明書に「SSLクライアント」を追加します。
認証の Radius ログ
認証イベントの詳細は、[Radius認証(Radius Authentications)] ウィンドウの [詳細(Details)] フィールドで確認できます。認証イベントの詳細を使用できるのは 7 日間のみで、その後は認証イベントのデータを表示することはできません。すべての認証ログ データは、パージがトリガーされると削除されます。
デフォルトの自己署名証明書を使用する場合の Radius EAP 認証のパフォーマンス
Cisco ISE 2.7 では、セキュリティを強化するために、デフォルトの自己署名証明書のキーサイズが 4096 に拡大されています。デフォルトの自己署名証明書が EAP 認証に使用されている場合、Radius EAP 認証のパフォーマンスが影響を受ける可能性があります。
一部の TLS 暗号を無効にできない
Cisco ISE では、次の暗号を無効にすることはできません。
-
TLS_RSA_WITH_AES_128_CBC_SHA256
-
TLS_RSA_WITH_AES_256_CBC_SHA256
-
TLS_DHE_RSA_WITH_AES_128_CBC_SHA
-
TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
-
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
-
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
-
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
-
TLS_RSA_WITH_AES_128_CBC_SHA
-
TLS_RSA_WITH_AES_256_CBC_SHA
-
TLS_RSA_WITH_AES_128_GCM_SHA256
-
TLS_RSA_WITH_AES_256_GCM_SHA384
次に、これらの暗号方式を使用できる Cisco ISE のシナリオを示します。
-
EAP サーバーまたは ERS サーバーとしての Cisco ISE
-
Cisco ISE が HTTPS またはセキュアな LDAP サーバーから証明書失効リストをダウンロードする
-
セキュアな TCP syslog または LDAP のクライアントとしての Cisco ISE
これらの暗号方式を使用できる Cisco ISE コンポーネントには、管理者 UI、すべてのポータル、MDM クライアント、pxGrid、および PassiveID Agent エージェントなどがあります。
セキュリティ グループ アクセス コントロール リスト
セキュリティグループ ACL(SGACL)を作成しようとすると、次のエラーメッセージが表示されます。
Failed to create policy, CFS provision failed.これは、Cisco ISE の複数のマトリックスで出力マトリックス セルフローの作成と更新がサポートされていないためです。次の外部 RESTful サービス(ERS)要求も、複数マトリックスモードではサポートされません。
/config/egressmatrixcell/*
/config/sgt/*
/config/sgacl/*
したがって、[TrustSec マトリックスの設定(TrustSec Matrix Settings)] ()ウィンドウの [複数の SGACL を許可(Allow Multiple SGACL)] チェックボックスをオフにする必要があります。これにより、SGACL を作成することができ、エラー メッセージは表示されなくなります。
有効なユーザーエージェントヘッダー
Cisco ISE では、Cisco ISE リリース 2.7 以降、Cisco ISE スポンサーポータルなどの Cisco ISE エンドユーザー向けポータルで正常な応答またはリダイレクト応答を受信するため、Web 要求で送信される有効なユーザーエージェントヘッダーが必要です。
応答ステータス行
Cisco ISE リリース 2.7 以降、Cisco ISE Web サービスおよびポータルは、HTTP バージョンとステータスコードのみを含む応答ステータス行を返しますが、対応する理由フレーズは返しません。
[TrustSec AAAサーバー(Trustsec AAA Server)] リストのサーバー IP の更新
Cisco ISE インスタンスの IP が CLI 経由で変更されると、Cisco ISE はサービスを再起動します。サービスが起動したら、TrustSec AAA サーバーの IP を変更する必要があります。 を選択します。
アップグレード情報
リリース 2.7 へのアップグレード
次の Cisco ISE リリースからリリース 2.7 に直接アップグレードできます。
-
2.2
-
2.3
-
2.4
-
2.6
Cisco ISE リリース 2.2 より前のバージョンの場合は、まず上記のリリースのいずれかにアップグレードしてから、リリース 2.7 にアップグレードする必要があります。
(注) |
アップグレードの開始前に、既存のバージョンで最新のパッチにアップグレードすることをお勧めします。 |
Cisco ISE リリース 2.7 には、Cisco ISE パッチリリース(2.2 パッチ 15、2.3 パッチ 7、2.4 パッチ 10、および 2.6 パッチ 2)とのパリティがあります。
アップグレードパッケージ
アップグレードパッケージおよびサポートされているプラットフォームに関する情報は、Cisco ISE Software Download から入手できます。
ライセンスの変更
デバイス管理ライセンス
デバイス管理ライセンスには、クラスタとノードの 2 つのタイプがあります。クラスタライセンスでは、Cisco ISE クラスタ内のすべてのポリシーサービスノードでデバイス管理を使用できます。ノードライセンスでは、1 つのポリシー サービス ノードでデバイス管理を使用できます。ハイ アベイラビリティ スタンドアロン展開では、ノードライセンスによって、ハイアベイラビリティペアの 1 つのノードでデバイス管理を使用することが許可されます。
デバイス管理ライセンスキーは、プライマリおよびセカンダリポリシー管理ノードに対して登録されます。クラスタ内のすべてのポリシーサービスノードは、ライセンス数に達するまで必要に応じてデバイス管理ライセンスを消費します。
クラスタライセンスは Cisco ISE 2.0 のデバイス管理のリリースで導入され、Cisco ISE 2.0 以降のリリースで適用されています。ノードライセンスは後でリリースされ、リリース 2.0 ~ 2.3 で部分的にのみ適用されています。Cisco ISE 2.4 以降では、ノードライセンスはノード単位で完全に適用されています。
クラスタライセンスは廃止されました。現時点ではノードライセンスのみを販売しています。
ただし、有効なクラスタライセンスでこのリリースにアップグレードする場合は、アップグレード時に既存のライセンスを引き続き使用できます。
評価ライセンスを使用すると、1 つのポリシーサービスノードでデバイスを管理できます。
仮想マシンノードのライセンス
Cisco ISE は仮想マシン(VM)としても販売されています。このリリースでは、展開に VM ノードの適切な VM ライセンスをインストールすることをお勧めします。VM ノードの数と CPU やメモリなどの各 VM ノードのリソースに基づいて、VM ライセンスをインストールします。そうでない場合、VM ライセンスキーを調達してインストールする警告と通知が表示されます。ただし、インストールプロセスは中断されません。Cisco ISE リリース 2.4 以降、GUI から VM ライセンスを管理できます。
VM ライセンスは、小、中、大の 3 つのカテゴリで提供されます。たとえば、8 コアと 64 GB RAM を備えた 3595 相当の VM ノードを使用している場合、VM で同じ機能をレプリケートするには、中カテゴリの VM ライセンスが必要になります。展開の要件に応じて、VM とそのリソースの数に基づいて、複数の VM ライセンスをインストールできます。
VM ライセンスはインフラストラクチャ ライセンスです。このため、展開で使用可能なエンドポイントライセンスに関係なく、VM ライセンスをインストールできます。展開に Evaluation、Base、Plus、Apex ライセンスのどれもインストールされていない場合でも、VM ライセンスをインストールできます。ただし、Base、Plus、または Apex ライセンスによって有効になる機能を使用するには、適切なライセンスをインストールする必要があります。
VM ライセンスは永久ライセンスです。VM ライセンスの変更は、Cisco ISE GUI にログインするたびに表示され、通知ポップアップウィンドウで [Do not show this message again] チェックボックスをオンにすると表示されなくなります。
以前に ISE VM ライセンスを購入していない場合、『Cisco Identity Services Engine Ordering Guide』を参照して購入する適切な VM ライセンスを選択します。
(注) |
PAK を使用せずに ISE VM ライセンスを購入した場合は、licensing@cisco.com に電子メールを送信して VM PAK を要求できます。電子メールに ISE VM の購入を示す SO 番号とシスコ ID を記載してください。購入した各 ISE VM ごとに 1 つの中規模 VM ライセンスキーを提供します。 |
使用中の Cisco ISE バージョンと VM の互換性に関する詳細については、該当するリリースの『Cisco Identity Services Engine Installation Guide』の「Hardware and Virtual Appliance Requirements」の章を参照してください。
ライセンスの詳細については、『Cisco Identity Services Engine 管理者ガイド』の「Cisco ISE ライセンス」の章を参照してください。
アップグレード手順の前提条件
-
設定されたデータを必要な Cisco ISE バージョンにアップグレードできるかどうかを確認するには、アップグレードの前にアップグレード準備ツール(URT)を実行します。ほとんどのアップグレードの失敗は、データのアップグレードの問題が原因で発生します。URT により実際のアップグレード前にデータを検証し、問題があれば報告します。URT は Cisco ISE Download Software Center からダウンロードできます。
-
アップグレードの開始前に関連するすべてのパッチをインストールすることをお勧めします。
詳細については、『Cisco Identity Services Engine Upgrade Guide』を参照してください。
テレメトリ
インストール後の管理者ポータルへの初回ログイン時には、Cisco ISE テレメトリバナーが表示されます。この機能を使用して、Cisco ISE は、ユーザーの展開、ネットワーク アクセス デバイス、プロファイラ、およびユーザーが使用している他のサービスに関する非機密情報を安全に収集します。このデータは、今後のリリースでサービスを向上させ、より多くの機能を提供するために使用されます。デフォルトでは、テレメトリは有効になっています。アカウント情報を無効または変更するには、[管理(Administration)] > [設定(Settings)] > [ネットワーク設定診断(Network Settings Diagnostics)] > [テレメトリ(Telemetry)] を選択します。アカウントは、各展開に固有です。各管理者ユーザーが個別に提供する必要はありません。
テレメトリは、Cisco ISE のステータスと機能に関する貴重な情報を提供します。シスコは、Cisco ISE を導入した IT チームのアプライアンス ライフサイクル管理を改善するためにテレメトリを使用します。このデータを収集することで、製品チームは顧客により優れたサービスを提供できるようになります。このデータと関連する分析情報により、シスコは潜在的な問題をプロアクティブに特定し、サービスとサポートを改善し、ディスカッションを促進して新規および既存の機能からより多くの価値を収集し、IT チームによるライセンス権限のインベントリレポートと今後の更新を支援します。
Cisco ISE でテレメトリ機能が無効になり、テレメトリデータの共有が停止するまでに最大 24 時間かかる場合があります。 パッチ 1 以降では、テレメトリはすぐに無効になります。
収集されるデータのタイプには、製品使用状況テレメトリや Cisco Support Diagnostics などがあります。
Cisco Support Diagnostics
Cisco Support Diagnostics Connector は、Cisco Technical Assistance Center(TAC)とシスコのサポートエンジニアがプライマリ管理ノードから展開の情報を取得するのに役立つ新機能です 。デフォルトでは、この機能は無効になっています。この機能を有効にする手順については、『Cisco Identity Services Engine 管理者ガイド』を参照してください。
Cisco ISE ライブアップデートポータル
Cisco ISE ライブアップデートポータルは、サプリカント プロビジョニング ウィザード、AV/AS サポート(コンプライアンスモジュール)、およびクライアント プロビジョニングとポスチャポリシーサービスをサポートするエージェント インストーラ パッケージを自動的にダウンロードするのに役立ちます。このライブアップデートポータルは、Cisco ISE を使用して Cisco.com から該当するデバイスに最新のクライアント プロビジョニングおよびポスチャソフトウェアを直接取得するように、初期展開時に Cisco ISE で設定します。
デフォルトのアップデートポータル URL にアクセスできず、ネットワークにプロキシサーバーが必要な場合は、プロキシを設定します。ライブアップデートポータルにアクセスする前に、[管理(Administration)] > [システム(System)] > [設定(Settings)] > [プロキシ(Proxy)] の順に選択します。プロキシ設定でプロファイラ、ポスチャ、およびクライアント プロビジョニング フィードへのアクセスが許可されている場合、Cisco ISE は MDM 通信のプロキシサービスをバイパスできないため、モバイルデバイス管理(MDM)サーバーへのアクセスがブロックされます。これを解決するには、MDM サーバーとの通信を許可するようにプロキシサービスを設定できます。プロキシ設定の詳細については、『Cisco Identity Services Engine Administrator Guide』の「Specify Proxy Settings in Cisco ISE」の項を参照してください。
クライアント プロビジョニングとポスチャのライブアップデートポータル
次の場所からクライアント プロビジョニング リソースをダウンロードできます。
。
次のソフトウェア要素は、次の URL から入手できます。
-
Windows および Mac OS X ネイティブサプリカント向けのサプリカント プロビジョニング ウィザード
-
最新の Cisco ISE の永続的なエージェントおよび一時的なエージェントの Windows バージョン
-
最新の Cisco ISE の永続的なエージェントの Mac OS X バージョン
-
ActiveX および Java アプレット インストーラ ヘルパー
-
AV/AS コンプライアンス モジュール ファイル
クライアント プロビジョニング アップデート ポータルで利用可能なソフトウェアパッケージを Cisco ISE に自動的にダウンロードする方法については、『Cisco Identity Services Engine Administrator Guide』の「Configure Client Provisioning」の章の「Download Client Provisioning Resources Automatically」の項を参照してください。
次の場所からポスチャ更新をダウンロードできます。
次のソフトウェア要素は、次の URL から入手できます。
-
シスコで事前定義されたチェックとルール
-
Windows および Mac OS X の AV/AS サポート表
-
Cisco ISE オペレーティングシステムのサポート
このポータルで利用可能なソフトウェアパッケージを Cisco ISE に自動的にダウンロードする方法については、『Cisco Identity Services Engine Administrator Guide』の「Download Posture Updates Automatically」の項を参照してください。
自動ダウンロード機能を有効にしていない場合、更新をオフラインでダウンロードすることができます。
Cisco ISE オフライン更新
このオフライン更新オプションを使用すると、Cisco ISE を使用してデバイスから Cisco.com にインターネット経由で直接アクセスできない場合、またはセキュリティポリシーによって許可されていない場合に、クライアント プロビジョニングおよびポスチャ更新をダウンロードできます。
オフラインのクライアント プロビジョニング リソースをアップロードするには、次の手順を実行します。
手順
|
ステップ 1 |
https://software.cisco.com/download/home/283801620/type/283802505/release/2.7.0に進みます。 |
|
ステップ 2 |
ログインクレデンシャルを入力します。 |
|
ステップ 3 |
Cisco Identity Services Engine のダウンロードウィンドウに移動し、リリースを選択します。 次のオフライン インストール パッケージをダウンロードできます。
|
|
ステップ 4 |
[ダウンロード(Download)] または [カートに追加(Add to Cart)] のいずれかをクリックします。 |
ダウンロードしたインストールパッケージを Cisco ISE に追加する方法については、『Cisco Identity Services EngineAdministrator Guide』の「Add ClientProvisioning Resources from a Local Machine」のセクションを参照してください。
ポスチャ更新を使用して、ローカルシステムのアーカイブから Windows および Mac オペレーティングシステムのチェック、オペレーティングシステム情報、ウイルス対策とスパイウェア対策サポート表を更新できます。
オフライン更新の場合は、アーカイブファイルのバージョンが設定ファイルのバージョンと一致していることを確認します。Cisco ISE を設定した後にオフラインでポスチャ更新を使用し、ポスチャポリシーサービスの動的更新を有効にします。
オフラインのポスチャ更新をダウンロードするには、次のようにします。
手順
|
ステップ 1 |
https://www.cisco.com/web/secure/spa/posture-offline.htmlに進みます。 |
||
|
ステップ 2 |
ローカルシステムに posture-offline.zip ファイルを保存します。このファイルを使用すると、Windows および Mac オペレーティングシステムのオペレーティングシステム情報、チェック、ルール、ウイルス対策とスパイウェア対策サポート表が更新されます。 |
||
|
ステップ 3 |
Cisco ISE 管理者ユーザーインターフェイスを起動し、[管理(Administration)] > [システム(System)] > [設定(Settings)] > [ポスチャ(Posture)] を選択します。 |
||
|
ステップ 4 |
矢印をクリックすると、ポスチャの設定が表示されます。 |
||
|
ステップ 5 |
[更新(Updates)] をクリックします。 [ポスチャ更新(Posture Updates)] ウィンドウが表示されます。
|
||
|
ステップ 6 |
[オフライン(Offline)] オプションをクリックします。 |
||
|
ステップ 7 |
[参照(Browse)] をクリックし、システムのローカルフォルダからアーカイブファイル(posture-offline.zip)を検索します。
|
||
|
ステップ 8 |
[今すぐ更新(Update Now)] をクリックします。 |
設定要件
-
関連する Cisco ISE ライセンス料金を支払う必要があります。
-
最新のパッチをインストールする必要があります。
-
Cisco ISE ソフトウェア機能がアクティブになっている必要があります。
モニタリングおよびトラブルシューティング
システムのモニタリングおよびトラブルシューティングに関する詳細については、『 Cisco Identity Services Engine 管理者ガイド』の「Cisco ISE のモニタリングとトラブルシューティング サービス」のセクションを参照してください。
発注情報
Cisco ISE の詳細な発注およびライセンス情報については、 Cisco IdentityServices Engine 注文ガイド [英語] を参照してください。
Cisco ISE と Cisco Digital Network Architecture Center との統合
Cisco ISE は Cisco DNA Center と統合できます。Cisco DNA Center と連携するように Cisco ISE を設定する方法については、Cisco DNA Center のドキュメントを参照してください。
Cisco ISE と Cisco DNA Center との互換性については、「Cisco SD-Access Compatibility Matrix」を参照してください。
新しいパッチのインストール
Cisco ISE にパッチを適用するために必要なパッチファイルを取得するには、Cisco ダウンロード ソフトウェア サイト(https://software.cisco.com/download/home)にログインし(Cisco.com ログイン情報の入力が必要になる場合があります)、[Security] > [Access Control and Policy] > [Cisco Identity Services Engine] > [Cisco Identity Services Engine Software] に移動し、ローカルマシンにパッチファイルのコピーを保存します。
システムへのパッチの適用方法については、『Cisco Identity Services Engine Administrator Guide』の「Install a Software Patch」セクションを参照してください。
CLI を使用したパッチのインストール方法については、『Cisco Identity Services Engine CLI リファレンスガイド』の「Patch Install」セクションを参照してください。
(注) |
Cisco ISE リリース 2.7 パッチ 4 以降のリリースでは、Smart Software Manager(SSM)オンプレミス接続ライセンス方式がサポートされています。この機能を有効にした後、リリース 2.7 パッチ 3 以前にロールバックする必要がある場合は、パッチをアンインストールする前にこの機能を無効にする必要があります。 |
不具合
「不具合」セクションには、バグ ID とそのバグの簡単な説明が含まれています。特定の不具合の症状、条件、および回避策に関する詳細については、シスコのバグ検索ツール(BST)を使用してください。バグ ID は英数字順にソートされます。
(注) |
「未解決の不具合」セクションには、現在のリリースに該当し、Cisco ISE 2.7 よりも前のリリースにも該当する可能性のある未解決の不具合が記載されています。これまでのリリースで未解決で、まだ解決されていない不具合は、解決されるまで、今後のすべてのリリースに適用されます。 |
BST は Bug Toolkit の後継オンラインツールであり、ネットワークリスク管理およびデバイスのトラブルシューティングにおいて効率性を向上させるように設計されています。製品、リリース、またはキーワードに基づいてソフトウェアのバグを検索し、バグの詳細、製品、バージョンなどの主要データを集約することができます。ツールの詳細については、http://www.cisco.com/web/applicat/cbsshelp/help.html のヘルプ ページを参照してください。
Cisco ISE リリース 2.7.0.356 の解決済みの不具合:累積パッチ 10
次の表に、リリース 2.7 累積パッチ 10 の解決済みの不具合を示します。
|
ID |
見出し |
|---|---|
|
Cisco Identity Services Engine のコマンド インジェクションの脆弱性 |
|
|
Cisco Identity Services Engine 情報の開示の脆弱性 |
|
|
アフリカ/カイロのタイムゾーンが夏時間に自動的に調整されない |
|
|
ISE PIC エージェントによるセッションスティッチングのサポート |
|
|
メキシコのタイムゾーンが誤って夏時間に変更される |
|
|
Cisco Identity Services Engine の XML 外部エンティティ インジェクションの脆弱性 |
|
|
Cisco Identity Services Engine のデバイスクレデンシャル情報開示の脆弱性 |
|
|
Cisco ISE リリース 3.0、3.1、および 3.2 では、[Get All Endpoints] レポートに一致しない情報が表示される。 |
|
|
Cisco Identity Services Engine の XML 外部エンティティ インジェクションの脆弱性 |
Cisco ISE リリース 2.7.0.356 の解決済みの不具合:累積パッチ 9
次の表に、リリース 2.7 累積パッチ 9 の解決済みの不具合を示します。
|
問題 ID 番号 |
説明 |
|---|---|
|
クロスサイト スクリプティングの脆弱性 |
|
|
NetworkSetupAssistance.exe デジタル署名証明書が Windows SPW を使用した BYOD フローで期限切れになる |
|
|
非 TACACS トラフィックのライブログ内の「無効な長さ」による TACACS 認証の失敗 |
|
|
インターフェイス機能の不十分なアクセス制御の脆弱性 |
|
|
2.7P1 または P2 から 2.7P8 へのパッチのインストールがタイムゾーンファイルでスタックする |
Cisco ISE リリース 2.7.0.356 の新機能:累積パッチ 8
Cisco Secure Client の延長サポート
Cisco ISE 2.7 パッチ 8 は、Windows、MacOS、Linux オペレーティングシステム用の AnyConnect と Cisco Secure Client の両方をサポートしています。これらのオペレーティングシステムでは、次の Cisco Secure Client バージョンがサポートされています。
-
Windows:Cisco Secure Client バージョン 5.00529 以降
-
MacOS:Cisco Secure Client バージョン 5.00556 以降
-
Linux:Cisco Secure Client バージョン 5.00556 以降
これらのオペレーティングシステムではエンドポイントに対して AnyConnect と Cisco Secure Client の両方を構成できますが、エンドポイントでの実行時に考慮されるのは 1 つのポリシーのみです。
Cisco ISE リリース 2.7.0.356 の解決済みの不具合:累積パッチ 8
次の表に、リリース 2.7 累積パッチ 8 の解決済みの不具合を示します。
パッチ 8 は古いバージョンの SPW で機能しない可能性があります。MAC ユーザーは SPW を MACOSXSPWizard 2.2.1.43 以降にアップグレードする必要があります。また、Windows ユーザーはその SPW を WinSPWizard 2.2.1.53 以降にアップグレードする必要があります。
パッチ 8 を Cisco ISE 2.7 パッチ 7 にインストールする前に、ホットパッチをアンインストールしてパッチ 7 の CSCwa47133 を修正します。
|
ID |
見出し |
|---|---|
|
ise hourly cron は、95% のメモリ使用量ではなく、キャッシュされたバッファをクリーンアップする必要がある |
|
|
CIAM:sqlite 3.7.17 |
|
|
CIAM:unixodbc 2.3.0 |
|
|
SystemTest:PAN のフェールオーバー後に Pxgrid 接続が起動しない |
|
|
CIAM:net-snmp 5.7.2 |
|
|
前回ポートバウンス CoA が成功した後も、ISE が reath CoA で古い監査セッション ID を送信している |
|
|
ISE で、ユーザーが現在のパスワードを検証せずに管理者パスワードを変更可能 |
|
|
Radius を使用したデバイス管理が基本ライセンスを使用しない |
|
|
nss rpm が更新された最新のパッチに移行した後、スレッドが枯渇する(3.0p5 と 2.7p7、3.1P1 のみ) |
|
|
ISE 2.7 パッチ 3 で ISE 2.2 のバックアップを復元すると、ヘルスチェックの [開始(start)] ボタンが表示されない。 |
|
|
ISE 2.7:認証成功設定が成功/成功 URL を示す |
|
|
ISE 3.1:属性の特殊文字がサポートされていない |
|
|
ISE ERS SDK の authenticationSettings が API 呼び出しを介して無効になっていない |
|
|
ERS API を使用してネストされたエンドポイントグループを作成する |
|
|
ISE 2.7P2 ~ 3.0 で内部 CA とキーをインポートできない |
|
|
ISE:フィルタが 1 つのネットワークデバイスのみに一致する場合にのみプロンプトを表示する、ネットワークデバイスのキャプチャ |
|
|
条件スタジオに新しいオブジェクトが存在しない |
|
|
CIAM:cyrus-sasl 2.1.27 |
|
|
Pingnode 呼び出しにより、CRL 検証中にアプリケーションサーバーがクラッシュする(OOM は除く) |
|
|
3.1:Maxscale:/opt/CSCOcpm/prrt/diag/bin/diagRunner によって生成されたコアが開始される |
|
|
インスタンスが使用する PGA メモリが MNT ノードで PGA_AGGREGATE_LIMIT を超えている |
|
|
2 つ以上の NTP サーバーが設定されている NTP 同期エラーアラーム。 |
|
|
セッションディレクトリの書き込みに失敗する。SQLException:ISE3.0P4 で文字列データの右側が切り捨てられる |
|
|
Cisco Identity Services Engine のフォーミュラ インジェクションの脆弱性 |
|
|
CIAM:jszip 2.5.0 |
|
|
認証ポリシーに日時条件がある Tacacs+ 要求で高遅延が発生する |
|
|
Cisco Identity Services Engine クロスサイト リクエスト フォージェリの脆弱性 |
|
|
CIAM:openssl 1.0.2n |
|
|
ユーザー ID グループに基づいた内部ユーザーの並べ替えが、[IDの管理(Identity Management)] > [ID] で機能しない |
|
|
CIAM:libpng 1.6.20 |
|
|
ISE 3.1:メタスペースを使い果たすと ISE ノードでクラッシュが発生する |
|
|
Cisco Identity Services Engine のストアド クロスサイト スクリプティングの脆弱性 |
|
|
ゲストユーザー(AD または内部)が特定のノードで自分のデバイスを削除または追加できない |
|
|
アカウンティング終了のために変更された pxgrid パブリッシング |
|
|
ポート 8084 で TLSv1.1 が有効になっている |
|
|
CSCvu35802 の修正により、EAP チェーンのアイデンティティとして証明書属性をもつ AD グループの取得が中断される |
|
|
ISE 3.0 P5:分散型展開で RSA 2FA を使用して MnT ノードの GUI にログインできない |
|
|
2.7 p7 の platform.properties でハードウェアアプライアンスに基づいて制御する RMQForwarder スレッド |
|
|
ISE PRA フェールオーバー |
|
|
間違った期間を示す $ui_time_left$ 変数 |
|
|
RADIUS 認証レポートの「エラーの理由(Failure Reasons)」列が重複する |
|
|
3.0P6:パッチロールバックおよびパッチインストール後にシステムサマリーが更新されない |
|
|
失敗したアップグレード前チェックを修正しても、[続行(Proceed)] ボタンが使用できない |
|
|
レポートで過去 7 日間のフィルタが機能しない |
|
|
GC アクティビティによるポリシー評価の認証ステップの遅延 |
|
|
ISE 3.1:REST API を介してネットワーク デバイス グループを作成中にエラーが発生する。 |
|
|
ISE が大規模な VM をサポート対象外として検出する |
|
|
ISE 展開:不正な証明書の有効期限チェックの結果として、すべてのノードが OUT_OF_SYNC をスローする |
|
|
属性値 dc-opaque がライブログの問題を引き起こす |
|
|
CIAM:nss 3.44.0 |
|
|
Cisco Identity Services Engine ソフトウェアのリソース枯渇による脆弱性 |
|
|
CIAM:jackson-databind 2.9.8 |
|
|
アップグレードされたノードで一時的な MnT ペルソナを無効化すると、分割アップグレードで失敗する |
|
|
CIAM:openssl を 1.0.2ze および 1.1.1o にアップグレード |
|
|
サードパーティの CA 証明書が管理者に使用されている場合、ヘルスチェックとフルアップグレードの事前チェックがタイムアウトする |
|
|
CIAM:perl 5.16.3 |
|
|
MAC - CSC 5.0554 ウェブ展開パッケージが [ISE] > [CP] > [リソース(resources)] [100MB] へのアップロードに失敗する |
|
|
展開ノードのエンドポイントに 8 オクテット MAC が存在する場合、ポスチャの有効期限を処理する必要がある |
|
|
Sec_txnlog_master テーブルは、レコード数が 200 万を超えたら切り捨てる必要がある |
|
|
ISE 2.7:EndpointPersister スレッドが停止する |
|
|
containerd.io RPM パッケージ openssl 1.0.2r CIAM CVE-2021-23841 + その他 |
|
|
CIAM:glib 2.56.4 |
|
|
CIAM:jspdf 2.3.0 |
|
|
RMQ にハード Q キャップが必要 |
|
|
Spring Hibernate TPS アップグレード(Hibernate 5.5.2、Spring 5.3.8) |
|
|
ODBC 動作のフェールオーバーの問題 |
|
|
「EDF_DB_LOG」が原因で構成バックアップが失敗する |
|
|
Session.PostureStatus のクエリ中に遅延が発生する |
|
|
EAP-TLS を使用した EAP-TEAP が「CERTIFICATE.Issuer - Common Name」を持つ条件に一致しない |
|
|
3.1 から 3.2.0.804 へのアップグレードの制約を変更中にスキーマのアップグレードが失敗した |
|
|
「場所」と「デバイスタイプ」の場所が、[ネットワークデバイス(Network Devices)] > [追加(Add)] をクリックするたびに交換される |
|
|
LSD によって CPU が高くなる |
|
|
プロファイラは、デフォルトの RADIUS プローブからの転送について、否定的な RADIUS Syslog メッセージを無視する必要がある |
|
|
テーブルが見つからないため、p5 または p6 をインストールするとアプリケーションサーバーが初期化中にスタックする |
|
|
ISE:管理者グループの無効な文字エラー |
|
|
ISE 3.1:説明が設定されていない場合、REST API を介して作成されたエンドポイント ID グループを削除できない |
|
|
200 以上の内部証明書を持つ PAN ノードで、Deployment-RegistrationPoller がパフォーマンスの問題を引き起こす |
|
|
SYS_EXPORT_SCHEMA_01 が原因で ISE 設定のバックアップが失敗する |
|
|
正しくない cryptoLib 初期化が原因で ISE PSN ノードがクラッシュする |
|
|
CIAM:openjdk - 複数のバージョン |
|
|
Cisco Identity Services Engine クロスサイト スクリプティングの脆弱性 |
|
|
ISE 3.0 P4 でのバックアップの復元後にコンテキストの可視性が壊れる |
|
|
3.0P5 -> 3.0P3 で PLR が返される |
|
|
パスワードの不正確な辞書の単語評価 |
|
|
ISE インデックスエンジンのバックアップが失敗するとスケジュール済みバックアップが失敗する |
|
|
高稼働時の DB 使用率アラームのパーセンテージを設定可能にする必要がある。 |
|
|
有用性を追加し、ISE 3.0 の「プールが枯渇しているためリソースを取得できませんでした(Could not get a resource since the pool is exhausted)」エラーを修正する |
|
|
親 ID グループ名を変更すると、認証リファレンスが壊れます |
|
|
hotpatch.log をサポートバンドルに含める必要がある |
|
|
ISE 3.X:外部 RADIUS トークン共有秘密の無効な文字。 |
|
|
DST/TZ が自動的に更新される |
|
|
ISE 3.2 ERS POST /ers/config/networkdevicegroup が失敗する:破損した属性 othername/type/ndgtype |
|
|
ライブログの ISE 3.0 RADIUS のドロップレポートで、エンドポイントの詳細に ISE の管理者ユーザー名が表示される |
|
|
CIAM:rpm 4.11.3 CVE-2021-20271 |
|
|
CIAM:samba 4.8.3 |
|
|
ISE で、CRL の nextUpdate の日付に 6 時間追加される |
|
|
シングル接続が有効になっていると、Tacacs 応答が送信されないことがある |
|
|
CIAM:c3p0 0.9.1.1 |
|
|
Cisco Identity Services Engine の機密情報の開示における脆弱性 |
|
|
TrustCertQuickView がすべての信頼できる証明書について同じ情報を提供する |
|
|
Rest API を使用して外部パスワードタイプで内部ユーザーを有効にしているときに 400 Bad Request が発生する |
|
|
プライマリ PAN の管理証明書を変更した後、すべてのノードでアプリケーションサーバーが再起動する |
|
|
PAN での CA の初期化中、ルート CA の再生成が「メッセージが定義されていません」というエラーで失敗する |
|
|
ISE PIC ノードで TLS 1.0 および 1.1 を無効にする機能を追加 |
|
|
CIAM:jsoup 1.10.3 |
|
|
セキュリティ:コンソールに出力される RESTClientAlertHelper.java の、エンコードされたログイン情報のログが削除される |
Cisco ISE リリース 2.7.0.356 の未解決の不具合:累積パッチ 8
|
警告 ID |
説明 |
|---|---|
|
ISE 2.7 パッチ 2 から 2.7 パッチ 8 へのパッチインストールがタイムゾーンファイルのアップグレード手順でスタックする |
Cisco ISE リリース 2.7.0.356 の解決済みの不具合:累積パッチ 7
次の表に、リリース 2.7 累積パッチ 7 の解決済みの不具合を示します。
パッチ 7 は古いバージョンの SPW で機能しない可能性があります。MAC ユーザーは SPW を MACOSXSPWizard 2.2.1.43 以降にアップグレードする必要があります。また、Windows ユーザーはその SPW を WinSPWizard 2.2.1.53 以降にアップグレードする必要があります。
|
ID |
見出し |
|---|---|
|
DOC:この OCSP 応答の更新に対する不明な最大時間差 |
|
|
キューリンクエラー:WARN:{socket_closed_unexpectedly;'connection.start'} |
|
|
ISE を 3.0 パッチ 3 にアップグレードすると、ODBC から属性を取得できない |
|
|
専用の MNT を使用した PxGrid セッションディレクトリでセッションサービスを利用できない |
|
|
ユーザー名に $ が含まれている場合、アイデンティティユーザーを作成できない |
|
|
VN が作成者からリーダーに複製されない |
|
|
ISE 2.7 p 4、5、6 で「デバイスのIPアドレスが重複しています(There is an overlapping IP Address in your device)」というエラーが報告される |
|
|
サポートされていないメッセージコード 91104 および 91105 アラーム |
|
|
API フローを使用してユーザーを作成すると、外部パスワードストアを使用する内部ユーザーが無効になる。 |
|
|
CiscoSSL 1.0.2za を使用した ISE 3.0 以前のパッチのアップグレード |
|
|
DOC:ISE バックアップで「負荷平均が高い(High Load Average)」アラームが発生することがある |
|
|
ISE 3.0 で最初の SAN エントリのみがチェックされる |
|
|
jquery v1.10.2 を使用する ISE が脆弱になっている。 |
|
|
「不明なNAD(Unknown NAD)」および「正しく設定されていないネットワークデバイスを検出(Misconfigured Network Device Detected)」アラーム |
|
|
POST /ers/config/internaluser/ の Cookie を有効にすると、「IDグループが存在しません(Identity Group(s) does not exist)」というエラーが発生する |
|
|
セッションに IPv4 アドレスと IPv6 アドレスの両方がある場合に、IPv4 マッピングがない |
|
|
OpenSSL が 2.7p4 または 2.7p5 でアップグレードされない |
|
|
EAP チェーンフローを実行して関連する ID を処理する際に、セッションキャッシュを更新する必要がある |
|
|
ポーリング間隔と準拠デバイス再認証クエリの間隔 |
|
|
「開かれているファイルが多すぎます(too many files open)」エラーにより、ライブログ/セッションに最新のデータが表示されない |
|
|
再認証の問題:Aruba:サードパーティのデバイス |
|
|
ISE クライアントの pxgrid 証明書が DNAC に配信されない |
|
|
「関心のあるグループ」が、改行が 1 つ入った単一文字列として返される |
|
|
[運用データの消去(Operational Data purging)] -> [データベース使用率(Database utilization)] -> [ノード情報(Node info)] が断続的に表示されない。 |
|
|
「Tacacsで確認された古いセッションで選択したサービスが見つかりませんでした(Stale Sessions observed for Tacacs Could not find selected service)」というエラー |
|
|
ISE 条件スタジオ - [IDグループ(Identity Groups)] ドロップダウンを 1000 個に制限 |
|
|
3.2 のフルアップグレードでバージョンの事前チェックが失敗する |
|
|
TACACS コマンドセットの正規表現が間違っている |
|
|
CVE-2021-4034 Polkit の Cisco Identity Services Engine 評価 |
|
|
ISE で ACI 統合を有効にしようとすると、複数の ACI IP アドレスまたはホスト名を追加できなくなる |
|
|
SSL 監査イベントが原因で Catalina.out ファイルが巨大化する |
|
|
ISE スマートライセンス認証更新の失敗:詳細 = ライセンスクラウドからの無効な応答 |
|
|
メモリ割り当ての不整合が原因で複数のランタイムがクラッシュする |
|
|
SNMPv3 COA 要求が ISE 2.7 によって発行されない |
|
|
Gig0 とは異なるインターフェイスでホストされている場合に、ゲストポータルがロードされない |
|
|
セッションキャッシュが入力されていないため、RCM および MDM フローが失敗する |
|
|
セッションキャッシュのユーザー名が null であるため、ユーザー名に対する TACACS 認証ポリシーのクエリ実行に失敗する |
|
|
ISE 3.0p2:[すべてをモニター(Monitor All)] 設定が複数のマトリックスと異なるビューで正しく表示されない |
|
|
すべてのフィールドの [ローカルログの設定(Local Log Settings)] ツールチップに、無関係で役に立たない「信頼できる証明書(Trust Certificates)」が表示される |
|
|
「GET /ers/config/radiusserversequence」API の JSON 応答に nextPage フィールドがない |
|
|
EP が不明なポスチャでスタックする:MAC で LSD のセッションが見つからない |
|
|
ISE Doc:SXP バインディングに関する ISE SDK ドキュメントに使用できないキーが含まれている |
|
|
CIAM:libx11 1.6.8 |
|
|
[DOC] CoA API ドキュメントをより明確にしてください |
|
|
TPS が高いときに Active Directory の遅延が大きいと、ADRT で HOL ブロッキングが発生する |
|
|
ISE 評価 log4j CVE-2021-44228 |
|
|
CIAM:bind 9.11.20 |
|
|
クライアント プロビジョニング ポリシーの AD セキュリティグループで OU の末尾をドット文字にできない |
|
|
不適切なポスチャ複合条件のホットフィックス |
|
|
Microsoft Intune Graph の URL を graph.windows.net/tenant から graph.microsoft.com に変更 |
|
|
プロファイル名に波カッコを含めると、認証プロファイルを保存できない |
|
|
マトリックスが変更されていないスイッチの ISE で CoA が開始されなかったため、ポリシーの同期に失敗した |
|
|
AuthZ の高度な属性設定に含まれる空のユーザーカスタム属性により、誤った AVP が発生する |
|
|
CLI リポジトリまたはディスクリポジトリが使用されている場合、パッチでフルアップグレードが機能しない |
|
|
ISE 3.0:APIC 統合:secGroup を作成できない |
|
|
ISE ヘルスチェックおよび I/O 帯域幅のパフォーマンスチェックの誤報 |
|
|
PAN のパフォーマンスを向上させるために bouncy-castle クラスを最適化する |
|
|
ISE 3.1 BH のデフォルトのプロファイリングポリシーの説明にスペースではなく余白文字の 16 進コードが含まれている |
|
|
ISE キューリンクエラー:Message=From Node1 To Node2、Cause=Timeout in NAT'ed deployment |
|
|
Get-By-Id サーバーシーケンスが GUI を介してシーケンスで最初の変更を行った後に空のサーバーリストを返す |
|
|
ログ「この更新フィールドは現在の時刻よりも1週間以上前です(this update field is earlier than currunet time more than week)」のログレベルを変更する |
|
|
ISE:DST ルート CA X3 認証局:2021 年 9 月 30 日で失効(90 日以内) |
|
|
CIAM で POI の脆弱性が検出された |
|
|
2.7 P4、2.6 P10 から ISE 3.0 にアップグレードする場合は、スマートライセンス(サテライト/PLR)を無効にする必要がある |
|
|
ID グループに対する ERS API の並べ替えが一貫していない |
|
|
ERS API で「ネットワーク デバイス グループ」名にドット文字の使用または作成/更新が許可されていない |
|
|
コレクタログ権限のため、MnT ログプロセッサが動作しない |
|
|
Cisco:cisco-av-pair AuthZ 条件の機能が停止した |
|
|
削除されたルート ネットワーク デバイス グループがネットワークデバイスでエクスポートされた CSV レポートで引き続き参照されている |
|
|
ネットワークデバイスに設定された SNMP 構成で SNMP レコードの処理中に 20 秒の遅延が発生する |
|
|
CIAM:nss - 複数のバージョン |
|
|
ISE で、ポスチャフロー中に発生した不適切なインデックスから URL 属性値を取得できない |
Cisco ISE リリース 2.7.0.356 の未解決の不具合:累積パッチ 7
|
問題 ID 番号 |
説明 |
|---|---|
|
Mac OS Beta Monterey(MacOS 12 beta 2)で NSP MacOsXSPWizard 3.1.0.2 に失敗する |
|
|
Pxgrid 接続が PAN のフェールオーバー後に開始されない |
|
|
nss rpm が更新された最新のパッチに移行した後、スレッドが使い果たされる(3.0p5 と 2.7p7、3.1P1 のみ) |
次のホットパッチファイルは、CSCwb29140 の CCO で入手できます。
-
ホットパッチをインストールするには、以下を実行します。
ise-apply-CSCwb29140_2.7.0.356_patch7-SPA.tar.gz
-
ホットパッチをロールバックするには、以下を実行します。
ise-rollback-CSCwb29140_2.7.0.356_patch7-SPA.tar.gz
Cisco ISE リリース 2.7.0.356 の解決済みの不具合:累積パッチ 6
次の表に、リリース 2.7 累積パッチ 6 の解決済みの不具合を示します。
パッチ 6 は古いバージョンの SPW で機能しない可能性があります。MAC ユーザーは SPW を MACOSXSPWizard 2.2.1.43 以降にアップグレードする必要があります。また、Windows ユーザーはその SPW を WinSPWizard 2.2.1.53 以降にアップグレードする必要があります。
|
問題 ID 番号 |
説明 |
|---|---|
|
ISE:名前、場所、またはデバイスタイプを使用してネットワーク デバイス グループを作成できない |
|
|
ネットワーク デバイス グループの名前と説明を同時に変更できない |
|
|
編集/保存中に ISE 認証プロファイルオプションが切り捨てられる(Chrome のみ) |
|
|
CIAM:画面 4.1.0 CVE-2021-26937 |
|
|
PLR でプロファイラオンライン更新エラー:ライセンスファイルデータの取得に失敗:Null |
|
|
CTS-SXP-CONN:デバイスから ISE SXP 接続への ph_tcp_close:Hawkeye |
|
|
マシン認証フラグが誤って「True」に設定されているため、EAP チェーン認証が失敗する |
|
|
ISE 2.7 で NAD の IP デフォルトラベルを GUI で削除しようとすると、エラーが表示される。 |
|
|
特定の証明書監査中に証明書の検証の Syslog メッセージが送信された - ISE |
|
|
CIAM:libx11 1.6.8 |
|
|
CIAM:nettle 3.4.1 |
|
|
CIAM:cpio 2.12 |
|
|
Cisco Identity Services Engine の XML 外部エンティティ インジェクションの脆弱性 |
|
|
[ネットワークデバイス(Network device)] タブの [複製(duplicate)] オプションを使用すると、ipv6 の [サブネット(Subnet)] が /128 に変更される |
|
|
[ISE復元(ISE restore)] ポップアップメニューに誤ったテキストが表示される |
|
|
nmap が積極的な推測を実行したため、EP が「cisco-router」として不適切にプロファイリングされる |
|
|
Tacacs 認証でセッションキャッシュがクリアされないエラーにより、ヒープの使用率が高くなり、認証の遅延が発生する |
|
|
ライセンスページのパッチ 13 へのアップグレード後のカウントが 0 になる |
|
|
PEAP セッションのタイムアウト値が最大で 604800 に制限されている |
|
|
1 日の特定の時間(分)について時刻と日付の条件で設定されたポリシーで認証がブロックされない。 |
|
|
メニューアクセスのカスタマイズが機能していない |
|
|
DELETE /ers/config/networkdevicegroup/{id} が機能していない。CRUD の例外 |
|
|
/ers/config/downloadableacl を使用した DACL の GET に、存在する nextPage または previousPage が追加されない。 |
|
|
「名前による」呼び出しの場合、スポンサーのアクセス許可がゲスト REST API に渡されない。 |
|
|
ISE 管理アカウントの選択に関する問題 |
|
|
ISE ワイルドカード証明書が内部エラーで失敗する |
|
|
ATZ プロファイルの下の SG にあるサブネット/IP の [プール名を追加(Add Pool Name)] が Chrome で表示されない(2.7P5 に固有) |
|
|
ポーリング間隔の Microsoft_intune MDM ISE 変更がキャッシュに反映されない |
|
|
OpenSSL が 2.7p4 または 2.7p5 でアップグレードされない |
|
|
1 つの特定の NAD を削除すると、すべての NAD が削除される。 |
Cisco ISE リリース 2.7.0.356 の未解決の不具合:累積パッチ 6
Cisco ISE リリース 2.7 パッチ 6 には未解決の不具合はありません。
Cisco ISE リリース 2.7.0.356 の解決済みの不具合:累積パッチ 5
次の表に、リリース 2.7 累積パッチ 5 の解決済みの不具合を示します。
パッチ 5 は古いバージョンの SPW で機能しない可能性があります。MAC ユーザーは SPW を MACOSXSPWizard 2.2.1.43 以降にアップグレードする必要があります。また、Windows ユーザーはその SPW を WinSPWizard 2.2.1.53 以降にアップグレードする必要があります。
(注) |
Cisco ISE パッチ 5 がインストールされ、PAN にのみロールバックされ、PAN に登録されているノードにはロールバックされない場合、ノード上のアプリケーションサーバーが初期化状態でスタックします。この問題を回避するには、ノードに Cisco ISE パッチ 5 をインストールしてロールバックしてから、ノードを PAN に登録する必要があります。 |
|
問題 ID 番号 |
説明 |
|---|---|
|
Passive-ID サービスを有効にすると、Cisco ISE と AD の統合操作に使用されるアカウントがロックされることがある。 |
|
|
スクロールバーを使用すると、AD グループの完全なリストを表示できない。 |
|
|
「非アクティブのため、アカウントが無効になっています(account was disabled due to inactivity)」という誤ったエラーメッセージが表示される。 |
|
|
Cisco ISE-PIC GUI 管理者ユーザー設定を変更しようとするとエラーが発生する。 |
|
|
[承認要求電子メール送信先(Email approval request to)] ドロップダウンリストで [訪問先担当者(Person Being Visited)] オプションを選択しても、必須にならない。 |
|
|
ネットワーク デバイス グループへの変更が変更監査ログに反映されない。 |
|
|
Apache log4j の複数の脆弱性。 |
|
|
Jetty の複数の脆弱性。 |
|
|
Cisco ISE ルート CA の再生成中に表示される「Plusライセンスがコンプライアンス違反状態です(Plus License is out of Compliance)」というメッセージが無効になる。 |
|
|
io.netty.buffer.PoolChunk での疑わしいメモリリーク |
|
|
CIAM:openjdk の複数の脆弱性。 |
|
|
すべての認証および認可のルールとプロファイルで「blacklist」が「blocked list」に置換される。 |
|
|
ゲストポータルで証明書チェーンが送信されない。 |
|
|
GRUB2 の任意のコード実行の脆弱性。 |
|
|
エンドポイントが Cisco ISE にある場合、PKCS11 キーストアによりメモリリークが発生する。 |
|
|
ポリシーエンジンの機能強化。 |
|
|
ローカルまたはグローバルの例外を使用する場合、Cisco ISE は Plus ライセンスを消費しない。 |
|
|
プライマリ PAN で障害が発生すると、「予期しないエラーが発生しました(An unexpected error occurred)」というメッセージと共に証明書の一括生成が失敗する。 |
|
|
PSN の CPU 使用率が高い:CSCvt34876 の拡張機能。 |
|
|
[すべてのSXPマッピング(All SXP Mapping)] テーブルに終了したセッションが含まれる |
|
|
Cisco ISE リリース 2.7 へのアップグレード後に NTP が同期しなくなる。 |
|
|
PKI ベースの SFTP の場合、MnT ノードの GUI キーのエクスポートは PAN に昇格した場合にのみ可能となる。 |
|
|
証明書の一括生成に Cisco ISE の自己署名証明書が含まれていない。 |
|
|
結合インターフェイスの IP アドレスを変更すると、Cisco ISE の「ipv6 address autoconfig」が削除される。 |
|
|
セッションディレクトリのトピックで、ダイナミック認証後もユーザーの SGT 属性が更新されない。 |
|
|
NIC ボンディングにより、MAR キャッシュが複製されない。 |
|
|
ERS 自己登録ポータルの更新で PSN フィールドが期待どおりに削除されない。 |
|
|
データベース接続が利用できないため、展開の同期に失敗した。 |
|
|
電子メールアドレスが設定されていない場合でも、すべてのシステムアラームについて電子メールが送信される。 |
|
|
競合状態が原因で Cisco ISE が SXP から IP へのマッピングの伝播の削除/追加を処理できない。 |
|
|
RADIUS トークン ID ソースプロンプトと TACACS 認証の内部ユーザープロンプト。 |
|
|
上位認証レポートで、スケジュールされたレポートのフィルタが表示されない。 |
|
|
Cisco ISE 内部 ERS ユーザーが外部 ID ストア経由で認証を試行すると、REST の遅延が発生する。 |
|
|
バックアップ インターフェイスが設定されている場合に、Cisco ISE セカンダリ PAN がリンクローカルアドレスを使用して他のノードにパケットを送信する。 |
|
|
再認証用の MNT REST API が分散型展開で使用されると失敗する。 |
|
|
完全な数値 ID エントリを照合すると、TACACS レポートの詳細フィルタが機能しない。 |
|
|
[すべてのSXPマッピング(All SXP Mappings)] ウィンドウにセッション経由で学習した IPv6 マッピングが表示されない。 |
|
|
Cisco ISE の永続的な XSS 管理者グループ。 |
|
|
[手動アクティブセッション(Manual Active Session)] レポートが空になっている。 |
|
|
PIP クエリの評価が原因で Cisco ISE リリース 2.6 パッチ 3 以降のリリースの PSN で CPU 使用率が高くなる。 |
|
|
API 経由でドメインを「ブロック/許可する」に更新できない |
|
|
ISE REST API が IP-SGT マッピングに重複する値を返す。 |
|
|
[RADIUSアカウンティングの詳細(RADIUS Accounting Details)] レポートにアカウンティングの詳細が表示されない。 |
|
|
一部のオブジェクトの [説明(Descriptions)] フィールドで以前は許可されていた特殊文字が使用できなくなった。 |
|
|
Mozilla Firefox 88 を使用している場合に、[説明(Description)] フィールドを読み取ることができない。 |
|
|
ライセンスの使用状況の推移グラフに間違った情報が表示される。 |
|
|
Cisco ISE で RADIUS シーケンス属性において 7 個以上の属性を変更できない。 |
|
|
CLI バックアップ中に「/opt/CSCOcpm/config/cpmenv.sh:line 396:<ipv6>:command not found」というエラーが表示される。 |
|
|
Cisco ISE が認証プロファイルで Framed-IPv6-Address のカスタム属性名を受け入れない。 |
|
|
オプションに他の変更を加えると、LDAP グループがスポンサーグループから消える。 |
|
|
[電話(phone)] フィールドまたは [電子メール(email)] フィールドが入力されている場合に、スポンサーユーザーはデータを編集できない。 |
|
|
証明書テンプレートの曲線タイプ P-192 が原因でアプリケーションサーバーが「初期化(initializing)」状態でスタックする。 |
|
|
Cisco ISE リリース 2.3 以降のリリースはコマンドセットで「改行」<cr> 文字をサポートしていない。 |
|
|
ライセンスの詳細を取得できず、機能が無効になっている。 |
|
|
Cisco ISE リリース 2.7 パッチ 3 GUI にすべてのデバイス管理認証ポリシーが表示されない。 |
|
|
Framed-IP 値のない AAA 要求により、SXP プロセスで例外が発生する。 |
|
|
ERS リクエストを通じてカスタム属性を更新すると、別の属性も更新される。 |
|
|
ポリシーの条件としての TACACS カスタム AV ペアが機能していない。 |
|
|
設定のバックアップがキャンセルされたために Cisco ISE アプリケーションサーバーがクラッシュまたは再起動する。 |
|
|
ユーザーがポータルの作成手順でゲスト SSID を作成できない。 |
|
|
[電話番号をユーザー名として使用(Use Phone number as username)] オプションが有効な場合に、重複ユーザーの Cisco ISE ゲスト自己登録エラーが発生する。 |
|
|
Cisco DNA Center からポリシーを展開しようとしているときに、Cisco DNA Center で断続的なエラーが発生する。 |
|
|
all-numbers サブドメインが使用されている場合、Cisco ISE のインストールがデータベースのプライミング失敗エラーで失敗する。 |
|
|
Cisco ISE 認証プロファイル ERS の更新で accessType 属性の変更が無視される。 |
|
|
NAD の編集中に、間違ったデバイスプロファイルがマッピングされる。 |
|
|
エンドポイントが認証済みのスイッチまたはポートから移動され、認証ポリシーによって参照されている ID グループが変更されると、Cisco ISE は CoA の送信に失敗する。 |
|
|
Cisco ISE リリース 2.7 パッチ 3 の ERS コールが 3 文字の RADIUS 共有秘密を受け入れない。 |
|
|
Cisco ISE リリース 2.7 パッチ 2:[400] Apple デバイスでの SAML SSO OKTA による不正な要求。 |
|
|
CoA の REST API が任意のサーバー IP で動作する。 |
|
|
% 文字を含む AD アカウントパスワードを使用して WMI を設定すると、エラーになる。 |
|
|
Cisco ISE-PIC 2.7 以前ではドメインコントローラで TLS 1.2 を使用する必要がある。 |
|
|
ゲストポータルの [顧客(Customer)] フィールドに &、- $、# が含まれる。 |
|
|
Cisco ISE 2.7 パッチ 4:pxGrid の [サービス(Services)] > [すべてのクライアント(All Clients)] ウィンドウが java.lang.NullPointerException で終了する。 |
|
|
Cisco ISE を介した外部 Cisco DNA Center 認証が「無効なログイン情報(Invalid login credentials)」というエラーで失敗する。 |
|
|
非アクティブタイマーに達した後も Cisco ISE 内部ユーザーが無効にならない。 |
|
|
Cisco ISE DACL 構文バリデータが ASA のコード要件に準拠していない。 |
|
|
Cisco ISE:NAD ウィンドウのフィルタの有無にかかわらず、デバイスの [すべて選択(Select All)] チェックボックスをオンにする必要がある。 |
|
|
Cisco ISE ゲスト SAML 認証が [アクセス権が検証されました(Access rights validated)] HTML ウィンドウで失敗する。 |
|
|
[ネットワークアクセスユーザー(Network Access Users)] の [姓名(First/Last name)] に誤った中国語の Unicode が表示される。 |
|
|
RADIUS ベンダー ID が重複すると、PSN がクラッシュすることがある。 |
|
|
Cisco ISE リリース 2.7 で EAP チェーンのポスチャリースが中断する。 |
|
|
EPOCH 時間が Null になっているため、TACACS レポートに重複したエントリが表示される。 |
|
|
TACACS 認証レポートに重複したエントリが表示される。 |
|
|
Cisco ISE の GUI に UDI 情報がない。 |
|
|
外部 RADIUS サーバーが設定されている場合に、Cisco ISE リリース 2.4 パッチ 13 から Cisco ISE リリース 2.7 へのアップグレードが失敗する。 |
|
|
Cisco ISE リリース 2.7 パッチ 4 で Umbrella セキュリティプロファイルの .json ファイルをアップロードできない。 |
|
|
ディスクサイズが 1 TB を超える Cisco ISE のプラットフォームチェックが失敗する。 |
|
|
Cisco ISE リリース 2.7 でエンドポイントをグループに追加できない。 |
|
|
Cisco Identity Services Engine クロスサイト スクリプティングの脆弱性。 |
|
|
アップグレードログはログディレクトリに記録し、サポートバンドルに追加する必要がある。 |
|
|
セキュリティグループの VLAN フィールドにサフィックスではなく完全なディクショナリ属性値が入力されている。 |
|
|
[展開(Deployment)] ウィンドウでデバイスの管理プロセスを無効にしても、T+ ポート(49)が開いている。 |
Cisco ISE リリース 2.7.0.356 の未解決の不具合:累積パッチ 5
|
問題 ID 番号 |
説明 |
|---|---|
|
セキュリティグループに追加されたサブネット/IP アドレスのプール名が Chrome ブラウザの [認証プロファイル(Authorization Profiles)] ウィンドウに表示されない |
|
| CSCwa00729 |
1 つの特定の NAD を削除すると、すべての NAD が削除される。 |
Cisco ISE リリース 2.7.0.356 の新機能:累積パッチ 4
Cisco ISE GUI に追加されたフルアップグレードと分割アップグレードのオプション
[管理(Administration)] > [システム(System)] > [アップグレード(Upgrade)] > [アップグレードを選択(Upgrade Selection)] ウィンドウで次のオプションのいずれかを選択して、Cisco ISE 展開をアップグレードできます。
-
[フルアップグレード(Full Upgrade)]:フルアップグレードは、Cisco ISE 展開の連続した完全なアップグレードを可能にするマルチステッププロセスです。この方法により、すべてのノードが並行してアップグレードされ、分割アップグレードプロセスよりも短時間でアップグレードされます。すべてのノードが並行してアップグレードされるため、アップグレードプロセス中にアプリケーションサービスがダウンします。
(注)
フルアップグレード方法は、Cisco ISE 3.1 以降でサポートされています。フルアップグレード方法の詳細については、「Cisco Identity Services Engine Upgrade Journey, Release 3.1」を参照してください。
-
[分割アップグレード(Split Upgrade)]:分割アップグレードは、アップグレードプロセス中にサービスを引き続き利用できるようにしながら、Cisco ISE 展開のアップグレードを可能にするマルチステッププロセスです。このアップグレード方法では、展開時にアップグレードする Cisco ISE ノードを選択できます。
エアギャップネットワークのライセンス方式
Smart Software Manager(SSM)オンプレミスは、Cisco ISE 対応ネットワークでスマートライセンスを管理する SSM オンプレミスサーバーを設定する接続方式です。この接続方法では、Cisco ISE はインターネットへの永続的な接続を必要としません。
詳細については、『Cisco Identity Services Engine Administrator Guide』の「Licensing」の章を参照してください。
Cisco ISE リリース 2.7.0.356 の解決済みの不具合:累積パッチ 4
次の表に、リリース 2.7 累積パッチ 4 の解決済みの不具合を示します。
パッチ 4 は古いバージョンの SPW で機能しない可能性があります。MAC ユーザーは SPW を MACOSXSPWizard 2.2.1.43 以降にアップグレードする必要があります。また、Windows ユーザーはその SPW を WinSPWizard 2.2.1.53 以降にアップグレードする必要があります。
|
問題 ID 番号 |
説明 |
|---|---|
|
ISE RADIUS session-timeout 値が 65535 までに制限される |
|
|
「ゲストユーザー情報を保存」の RADIUS アカウンティングおよびアクセス許可でゲストユーザー名が送信されない |
|
|
MIT Kerberos 5 KDC krbtgt チケット S4U2Self リクエストのサービス妨害の脆弱性 |
|
|
ISC BIND managed-keys トラストアンカーのサービス妨害の脆弱性 |
|
|
show running-config を完了できない |
|
|
cURL および libcurl tftp_receive_packet() 関数ヒープ バッファ オーバーフローの脆弱性 CVSS v3.1 Base:9.8 |
|
|
cURL および libcurl tftp_receive_packet() 関数ヒープ バッファ オーバーフローの脆弱性 CVE-2019-5436 |
|
|
GNU パッチ pch_write_line 関数のサービス妨害の脆弱性 |
|
|
SSSD グループ ポリシー オブジェクトの実装における不適切なアクセス制御の脆弱性 |
|
|
ISC BIND Dynamically Loadable Zones における不正アクセスの脆弱性 |
|
|
Samba シンボリックリンクのトラバーサルの脆弱性 CVSS v3.1 Base:5.4 |
|
|
libssh2 packet.c の整数オーバーフローの脆弱性 CVSS v3.1 Base:8.1 |
|
|
TPS:prrt における curl lib の更新 |
|
|
Samba ファイル名パス区切り文字の不正アクセスの脆弱性 |
|
|
gllibc LD_PREFER_MAP_32BIT_EXEC 環境変数の ASLR バイパスの脆弱性 |
|
|
サプリカントからユーザークレデンシャルが送信されず、マシンクレデンシャルしか使用できない場合に、ISE でのユーザー名の表示が匿名になる |
|
|
CiscoSSL を更新して CSCvg56800 を修正:nginx の脆弱性に関する ISE の評価(2017 年 10 月) |
|
|
libxml2 xmlParseBalancedChunkMemoryRecover メモリリークの脆弱性 |
|
|
systemd button_open のメモリリークの脆弱性 |
|
|
sh version コマンドが管理者以外の CLI ユーザーで動作しない |
|
|
「createLicenseSource」メソッド「FlexlmListException: Error」で ISE フィードサーバーが失敗する |
|
|
python の複数の脆弱性 |
|
|
Showtech の SSLDUMP() ログが監査ログで出力され、showtech ファイルが大幅に大きくなる |
|
|
activemq-all の複数の脆弱性 |
|
|
SFTP リポジトリにスペースがないが、ISE バックアップファイル転送ログに [Success] と表示される |
|
|
ポスチャ条件が「vc_visInst_v4_CiscoAnyConnectSecureMobilityのチェックでClient_4_xが見つかりません(Check vc_visInst_v4_CiscoAnyConnectSecureMobility Client_4_x is not found)」エラーで失敗する |
|
|
ISE 2.6/2.7 で RHEL を SFTP リポジトリとして使用している場合にファイルがリストされない |
|
|
2.4.50 より前の OpenLDAP の slapd の filter.c で、ネストされたブール式を使用した LDAP 検索フィルタによってサービス妨害が発生することがある |
|
|
IP-TABLES の変更によって TCP 遅延と TACACS 遅延が発生する |
|
|
PAN および SAN ノードでの application stop ise で「Service 'stunnel' -- doesn't exist」と表示される |
|
|
DUO を外部 RADIUS プロキシとする ISE で access-reject がドロップされる |
|
|
操作監査レポートに「backend」アカウントで実行されたアクションのログが含まれる |
|
|
ISE UI およびコード内のいかなる場所においても「blacklist portal」を「blocked list portal」に更新する |
|
|
ISE UI およびコード内のいかなる場所においても「blacklist identity group」を「blocked list identity group」に更新する |
|
|
「show interface」コマンドの「master/slave」という用語を「primary/subordinate」に更新する |
|
|
プライマリ PSN/PAN に到達できない場合にポスチャが失敗する |
|
|
AD がアイデンティティソースとして選択されている場合、監査レポートに ISE GUI への失敗したログインが表示されない |
|
|
日次消去が行われていないため、消去するデータがリポジトリにコピーされない |
|
|
netstat コマンドによって ISE で carssh シェルがクラッシュする |
|
|
TACACS 集約テーブルが正しく消去されない |
|
|
最大セッション数制限がユーザーとグループに対して機能しない |
|
|
ISE ユーザーが DNAC アシュアランスページでゲスト ID を確認できない |
|
|
DNA Center のスケーラブルグループの同期が「JDBCException:ステートメントを準備できませんでした(JDBCException:could not prepare statement)」エラーで失敗する |
|
|
ライブセッション詳細レポートで、VPN ポスチャシナリオについて誤った認証プロファイルと認証ポリシーが表示される |
|
|
NFS リポジトリが GUI から機能しない |
|
|
実行コンフィギュレーションを保存するとスタートアップ コンフィギュレーションが失われる |
|
|
異なる SNMP サーバーに対して一意のコミュニティストリングを作成できない |
|
|
メモリリーク:PSN rmi GC の収集が正しく機能せず、パッシブ ID フローでメモリリークが発生する |
|
|
Cisco Identity Services Engine の信頼できないファイルアップロードの脆弱性 |
|
|
ISE 3.0 ヘルスチェックライセンス検証の誤ったアラーム |
|
|
ISE で内部のネットワーク管理者ユーザーに対するリクエストが外部の RADIUS トークンサーバーに送信される |
|
|
ISE で SAN の hostname-x を使用して CSR を生成するとエラーになる |
|
|
RuleResultsSGTUpgradeService ステップで ISE 3.0 アップグレードが失敗する |
|
|
メモリリーク:PassiveID ストレス時の使用者 CAD_ValidateUser で割り当てが高くなる |
|
|
WebUI の復元が IE11 で機能しない |
|
|
ISE 2.6p3 で SFTP サーバーのファイルパスに二重のスラッシュ「//」が追加される |
|
|
AD グループの追加後にパッシブ ID フローでメモリリークが発生する |
|
|
スポンサーが自身のユーザー ID でポータルにアクセスしたときに、作成されたゲストユーザーのリストを表示できない |
|
|
IP オーバーラップの場合にエラーがスローされない |
|
|
GNU.org bash rbash BASH_CMDS の変更特権昇格の脆弱性 |
|
|
PMNT のリロード後にスケジュール済みの OPS のバックアップがトリガーされない |
|
|
デフォルトルートにタグ付けされている場合、ISE からスイッチへの SGT マッピングに対する IP のプッシュが機能しない |
|
|
Windows ネットワーク インターフェイスよりも先にエージェントサービスが起動した場合、エージェントで DC がダウンとしてマークされる |
|
|
pxGrid ANC applyEndpointPolicy ですべての MAC アドレス形式を正しく扱われない |
|
|
Cisco Identity Services Engine の信頼できないファイルアップロードの脆弱性 |
|
|
パッシブ ID がマルチ接続 syslog クライアントで安定して動作しない |
|
|
ISE 3.0 で CN および SAN が欠落している証明書が信頼できる証明書ストアにインポートされない |
|
|
内部ユーザーのカスタム属性が CoA プッシュで送信されない |
|
|
SAML グループがスポンサーポータルグループで適用した場合に機能しない |
|
|
VPN のユースケースで ISE MNT ライブセッションのステータスが「ポスチャ済み」に変わらない |
|
|
ISE で内部コールにホスト名が使用されるため ANC CoA が機能しない |
|
|
Cisco ADE-OS のローカル ファイル インクルードの脆弱性 |
|
|
エンドポイントについての収集された SNMPv3 情報が ISE で処理されない |
|
|
API IP SGT マッピングが [No Devices] の結果を返さない |
|
|
TACACS コマンドの前にスペースを含むサードパーティデバイスについて、TACACS コマンド アカウンティング レポートが生成されない |
|
|
猶予アクセスの期限が切れたときに Aruba WLC に対する CoA-disconnect が ISE で発行されない |
|
|
RBAC ポリシーで AD セキュリティグループの OU の末尾をドット文字にできない |
|
|
ISE ライブセッションの「ポスチャ済み」セッションが暫定アップデートを受け取ると「開始済み」に 切り替わる |
|
|
サポートバンドルで Hibernate.log を収集する必要がある |
|
|
GNU Bash SHELLTOPTS および PS4 環境変数におけるローカルの任意のコマンドインジェクションの脆弱性 |
|
|
GNOME GLib file_copy_fallback 関数の不適切な権限の脆弱性 |
|
|
バージョン 1.4.15 より前の XStream の複数の脆弱性 |
|
|
Freetype の CVE-2020-15999 および CVE-2018-6942 のヒープ バッファ オーバーフロー |
|
|
moment モジュールの日付文字列の正規表現に関するサービス妨害の脆弱性 |
|
|
c3p0 の複数の脆弱性 |
|
|
glibc の複数の脆弱性 |
|
|
ISE ポリシー評価:ポリシーセットの削除後に RADIUS 要求がドロップされる |
|
|
スキーマオブジェクトをドロップする前に復元プロセスを停止する必要がある |
|
|
選択した外部サーバーのリストが変更された後に RADIUS サーバーの順序が間違った順序になる |
|
|
ISE 展開で複数の SXP ノードを使用している場合にマッピングの総数が正しく表示されない |
|
|
スマートライセンスと永久ライセンスの予約に [OnPrem Satellite] オプションがない |
|
|
NTP 同期エラーアラームを変更する必要がある |
|
|
IP アクセスが有効な場合に MNT ノード名が NULL に設定される |
|
|
パスコードフィールドに特殊文字が含まれていると、ホットスポット ゲスト ポータルでページロードエラーが表示される |
|
|
Dot1x 認証がマネージャの重複で失敗する:add=false |
|
|
50 文字を超えるプロファイル名を使用している場合、認証に成功したことを示すライブログが表示されない |
|
|
ISE メッセージングサービスが無効になっている場合、RADIUS 認証の詳細レポートに時間がかかる |
|
|
ユーザー ID グループでユーザー名に基づくソートが機能しない |
|
|
TACACS+ のエンドステーション ネットワーク条件のスクロールバーが機能しない |
|
|
設定監査の詳細に変更されたポリシーセットが表示されない |
|
|
ISE pxGrid の例外のログレベルは DEBUG ではなく ERROR である必要がある |
|
|
ライブセッションで正しいアクティブセッションが表示されない |
|
|
MAB の認証されたエンドポイントの AD 認証が失敗する |
|
|
Active Directory を使用した MAB 認証が AD オブジェクトが無効でも成功する |
|
|
データベースクリーンアップの毎時 cron で DB ロックが取得される結果、展開の登録に失敗する |
|
|
RBAC ルールが 2.7 で適用されない |
|
|
ISE 2.4 パッチ 8:ゲストポータルを編集、複製、削除できない |
|
|
ISE BYOD ポータルで iPod がオプションとして表示されない |
|
|
ポーリング間隔の変更が外部 MDM サーバー(Microsoft_intune)に反映されない |
|
|
ISE 2.6:ソケットストリームで TACACS+ get_handle が呼び出されるとランタイムがクラッシュする |
|
|
API からカスタム属性を更新すると、エンドポイントから静的ポリシーとグループの割り当てが失われる |
|
|
暗号キーに特定の文字が使用されていると、内部ユーザーのエクスポートがエラーなしで失敗する |
|
|
ISE RBAC:ネットワークデバイスの追加中に「ネットワークデバイスをロードできません(Unable to load Network Devices)」エラーが表示される |
|
|
login.jsp に直接アクセスすると証明書ベースの認証による管理アクセスがバイパスされる |
|
|
実行中のプロセスに基づいてエンドポイント アプリケーションをソートすると「すべてのシャーディングが失敗しました(All shards failed)」例外がスローされる |
|
|
スマートライセンスに登録した後も ISE が評価期限切れ状態のままになる |
|
|
ヘルスチェック:ISE FQDN が CNAME(エイリアス)として設定されている場合に DNS 解決可能性の誤ったエラーが表示される |
|
|
ディスク容量ヘルスチェックのエラーメッセージは情報である必要がある |
|
|
シスコ製品に影響する Sudo 権限昇格の脆弱性:2021 年 1 月 |
|
|
IdenTrust Commercial Root CA 1 証明書を ISE トラストストアに追加 |
|
|
認証では [ODBCストアドプロシージャ(ODBC Stored-Procedures)] ウィンドウで設定された形式で MAC アドレスを検索する必要がある |
|
|
ISE 2.7 以降のバージョンのサポートバンドルで ise-jedis.log ファイルがキャプチャされない |
|
|
ルート CA の再作成時に Jedis DB 接続プールが再作成されない |
|
|
ポリシーセットのエントリの評価で認証方式の条件が照合されない |
|
|
予期しない電源イベントの後に TC-NAC サービスが実行されない |
|
|
ISE ヘルスチェック プラットフォーム サポートが結果に従って UI を直接更新する |
|
|
すべてのペルソナを同じノードで実行している SNS3515 の SGA 値が Under-Provisioned になる |
|
|
シングルサインオン/Kerberos ユーザーによるスポンサーポータルへの認証でエラー 400 が発生する |
|
|
Tenable SC 5.17 ですべての tenable アダプタリポジトリを取得できない |
|
|
外部のユーザー名を使用している場合にパスワードの誤りによるログインの失敗がログに記録されない |
|
|
NAS-IP アドレスが指定されていない acct stop を受信した場合にセッションが開始状態のままになる |
|
|
ISE AD ランタイムで a1-a2-a3-a4-a5-a6 から a1a2a3a4a5a6 への書き換えをサポートする必要がある |
|
|
スイッチポートとエンドポイント ID グループが変更された場合にエンドポイントの CoA が失敗する |
|
|
EAP チェーンの場合にポスチャポリシーでマシン AD グループメンバーシップを取得できない |
|
|
ISE で新しいエンドポイントの AMP イベントが正しくマッピングされない |
|
|
TACACS フローのメモリリーク |
|
|
Smart Call Home およびスマートライセンス用に IdenTrust Commercial Root CA 1 証明書を追加 |
|
|
Network Success Diagnostics 用に IdenTrust Commercial Root CA 1 証明書を追加 |
|
|
sxplocalbindings の REST クエリでコード500「CRUD 操作の例外(CRUD operation exception)」が返される |
|
|
[ネットワークデバイス(Network Devices)] > [デフォルトのデバイス(Default Device)] ページで Plus ライセンスが要求される |
|
|
isedailycron temp1 のトラッキングにより AWR レポートで遅延が発生する |
|
|
ネットワークデバイス別上位 N の認証の詳細が正しく表示されない |
|
|
ISE で AnyConnect 出力設定ファイルの JSON ファイルの情報が更新されない |
|
|
[TrustSec の詳細設定(Advanced Trustsec setting)] での [デバイス設定の展開(Device configuration deployment)] の設定で、[EXECモードパスワード(EXEC Mode password)] と [イネーブルモードパスワード(Enable Mode Password)] に % を使用できない |
|
|
2.4 から 2.7P2 へのアップグレード後に SGT マッピングの重複が原因で SXP エンジンを起動できない |
|
|
RADIUS 認証のトラブルシューティングレポートに誤ったデータが表示される、またはデータが表示されない |
|
|
ISE との Qualys の統合が失敗する |
|
|
ISE 2.7P3 でリンクローカルアドレス 169.254.2.2 の他のノードにパケットが送信される |
|
|
ISE 内部データベースに保存されているユーザー名と認証ユーザー名で大文字と小文字が異なる場合、非アクティブタイマーが更新されない |
|
|
ログインページのメッセージが空の場合は説明のボックスを削除する必要がある |
|
|
TrustSec のページの UI に問題がある |
|
|
2.7 p2 以降で EST サービスが実行されない |
|
|
XStream 1.4.16 で修正された脆弱性 |
|
|
IP アドレス範囲に - または * を使用した NAD について、誤った IP オーバーラップエラーが報告される |
|
|
パッチのインストール後にポスチャおよび BYOD のフローに影響がある |
|
|
Cisco Identity Services Engine のセルフ クロスサイト スクリプティングの問題 |
Cisco ISE リリース 2.7.0.356 の未解決の不具合:累積パッチ 4
|
問題 ID 番号 |
説明 |
|---|---|
|
TACACS+ 認証が「最大接続限度に達しました(Maximum Connection Limit Reached)」エラーで突然失敗する。 |
Cisco ISE リリース 2.7.0.356 の新機能:累積パッチ 3
ヘルス チェック
展開内のすべてのノードを診断するオンデマンドのヘルスチェックオプションが導入されています。運用の前にすべてのノードでヘルスチェックを実行すると、ダウンタイムやブロッカーを引き起こす可能性のある重大な問題を特定できます。ヘルスチェックは、すべての依存コンポーネントの動作ステータスを提供します。コンポーネントに障害が発生すると、問題を解決するためのトラブルシューティングの推奨事項が即座に提供され、シームレスな操作が実行されます。
アップグレードプロセスを開始する前に、ヘルスチェックを実行するようにしてください。
ビジネス成果:重要な問題を特定し、ダウンタイムやブロッカーを回避します。
DNS キャッシュ
ホストの DNS 要求をキャッシュできるため、DNS サーバーの負荷が軽減されます。
この機能は、次のコマンドを使用してコンフィギュレーション モードで有効にできます。
service cache enable hosts ttl ttl
この機能をディセーブルにするには、このコマンドの no 形式を使用します。
no service cache enable hosts ttl ttl
管理者は、キャッシュを有効にしながら、キャッシュ内のホストの存続可能時間(TTL)値を秒単位で設定できます。ttl のデフォルト設定はありません。1 ~ 2147483647 の範囲の値を指定できます。
(注) |
TTL 値は、否定応答に対して受け入れられます。DNS サーバーで設定された TTL 値は、肯定応答に対して受け入れられます。DNS サーバーで TTL が定義されていない場合は、コマンドで設定された TTL が受け入れられます。機能を無効にするとキャッシュも無効になります。 |
ビジネス成果:DNS サーバーの負荷が軽減されます。
設定済みの TCP パラメータ
TCP パラメータを設定するには、 application configure コマンドで [TCP パラメータの設定(Configure TCP params)] オプション(オプション 25)を使用します。管理 CLI を使用していることを確認します。
変更を有効にするには、管理 CLI の reload を使用してパラメータの変更時に Cisco ISE サーバーをリロードします。
例
TCP パラメータを設定するには、オプション 25 を使用します。
ise/admin#application configure ise
Selection configuration option
[1]Reset M&T Session Database
[2]Rebuild M&T Unusable Indexes
[3]Purge M&T Operational Data
[4]Reset M&T Database
[5]Refresh Database Statistics
[6]Display Profiler Statistics
[7]Export Internal CA Store
[8]Import Internal CA Store
[9]Create Missing Config Indexes
[10]Create Missing M&T Indexes
[11]Enable/Disable ACS Migration
[12]Generate Daily KPM Stats
[13]Generate KPM Stats for last 8 Weeks
[14]Enable/Disable Counter Attribute Collection
[15]View Admin Users
[16]Get all Endpoints
[17]Enable/Disable Wifi Setup
[18]Reset Config Wifi Setup
[19]Establish Trust with controller
[20]Reset Context Visibility
[21]Synchronize Context Visibility With Database
[22]Generate Heap Dump
[23]Generate Thread Dump
[24]Force Backup Cancellation
[25]Configure TCP params
[0]Exit
25
This CLI allows admins to modify the TCP parameters recycle/reuse/fin_timeout
For the changes to take effect, RELOAD ISE server on modifying any of the parameter using the admin cli 'reload'. Until reload is done, the changes will not be persisted.
Select the option to configure/display tcp params.
1. tcp recycle
2. tcp reuse
3. tcp fin_timeout
4. display tcp param values
0. Exit
[1/2/3/4/0]: 1
Enable/Disable tcp recycle parameter? [e/d]: e
param recycle is already enabled..
Select the option to configure/display tcp params.
1. tcp recycle
2. tcp reuse
3. tcp fin_timeout
4. display tcp param values
0. Exit
[1/2/3/4/0]: 2
Enable/Disable tcp reuse parameter? [e/d]: e
param reuse is already enabled..
Select the option to configure/display tcp params.
1. tcp recycle
2. tcp reuse
3. tcp fin_timeout
4. display tcp param values
0. Exit
[1/2/3/4/0]: 3
Set tcp fin_timeout (60 default) <0-180> : 60
updated timeout param..
Select the option to configure/display tcp params.
1. tcp recycle
2. tcp reuse
3. tcp fin_timeout
4. display tcp param values
0. Exit
[1/2/3/4/0]: 4
Current values of the tcp parameters:
Recycle = ENABLED
Reuse = ENABLED
Fin_timeout = 60
Select the option to configure/display tcp params.
1. tcp recycle
2. tcp reuse
3. tcp fin_timeout
4. display tcp param values
0. Exit
[1/2/3/4/0]:(注) |
tcp recycle および tcp reuse パラメータは、デフォルトでは無効になっています。tcp fin_timeout はデフォルトで 60 秒に設定されています。tcp fin_timeout の有効な値の範囲は 0 ~ 180 秒です。この属性を低い値に設定すると、TACACS+ のパフォーマンスが向上します。 |
Cisco ISE リリース 2.7.0.356 の解決済みの不具合:累積パッチ 3
次の表に、リリース 2.7 累積パッチ 3 の解決済みの不具合を示します。
パッチ 3 は古いバージョンの SPW で機能しない可能性があります。MAC ユーザーは SPW を MACOSXSPWizard 2.2.1.43 以降にアップグレードする必要があります。また、Windows ユーザーはその SPW を WinSPWizard 2.2.1.53 以降にアップグレードする必要があります。
|
問題 ID 番号 |
説明 |
|---|---|
|
「認証プロファイル」に対する ERS の更新/作成で XML スキーマの検証が失敗する |
|
|
nas-update=true アカウンティング属性が含まれていると、アクティブセッションが削除されない |
|
|
pxGrid サービスが実行中/無効ではなくアクティブ/スタンバイとして表示される |
|
|
ポスチャリースが原因で 1 日以上の猶予期間を設定できない |
|
|
GNU gettext default_add_message ダブルフリーの脆弱性 |
|
|
リロード後に SNMPv3 ユーザーが誤ったハッシュで追加され、SNMPv3 認証が失敗する |
|
|
DNS の不正な設定により、TACACS+ または RADIUS 認証に失敗する |
|
|
「ヘルスステータスが使用不可」という誤ったアラームが表示される |
|
|
共有秘密キーに特殊文字(8o\v|)が含まれている場合、インポート NAD がサポートされていないエラーで失敗する |
|
|
Info-ZIP UnZip ファイルの重複したサービス拒否の脆弱性 CVSS v3.0 Base 7.5 |
|
|
EgressMatrixCell で ERS コールを介して重複が作成される |
|
|
ISE 2.4 p5 が深夜に継続的にクラッシュし、コアファイルが生成される |
|
|
[信頼できる証明書(Trusted Certificate)] ウィンドウでエラーメッセージが修正される |
|
|
ISE 2.2 がメモリリークの影響を受けるPORT_Alloc_Util() によってネイティブメモリが毎日 1 ~ 2% 増加する |
|
|
libcurl の複数の脆弱性 |
|
|
複数ある Cisco Identity Services Engine のストアド クロスサイト スクリプティングの脆弱性 |
|
|
ISE 2.7 でファイル修復チェックが失敗する |
|
|
この OS 属性が AD サーバーで変更されると、「AD-Operating-System」属性が取得されない |
|
|
TEAP EAP チェーンの AD グループが一致しない認可条件 |
|
|
runtime-aaa デバッグでパケットの詳細が ascii で印刷されない |
|
|
ERS API 経由でホワイトリストポリシーを作成できない |
|
|
SMS over HTTPS でゲートウェイにユーザー名/パスワードが送信されていない |
|
|
Apple CNA を使用した ISE BYOD が 9800 で失敗する |
|
|
一部の MnT 操作後に ISE 2.7 サーバーでプロセスが不足する |
|
|
アプリケーションサーバーの初期化に時間がかかる |
|
|
プロファイルの説明の作成中に Enter キーを使用するとエラーがスローされる |
|
|
再認証用の MnT REST API が分散型展開で使用されると失敗する |
|
|
ISE サーバー側の認証チェックが不十分 |
|
|
ポリシー HitCountCollector で CPU スパイクが観察される |
|
|
diagnostics.log のローテーションが機能しない |
|
|
ISE PxGrid Web クライアントが 25 を超えるサブスクライバをリストできない |
|
|
スポンサーポータルで英語以外の文字が表示される |
|
|
セッションキャッシュが不完全なセッションでいっぱいになる |
|
|
失敗したノードのワイルドカード複製が ISE で再試行されない |
|
|
ISE RADIUS アカウンティングレポートの [アカウンティングの詳細(Accounting Details)] に [データが見つかりません(No data found)] と表示される |
|
|
スマート ライセンス コンプライアンス ステータス「リリースされた権限」に説明が必要 |
|
|
古い接続を削除するため、TacacsConnectionManager を拡張する必要がある |
|
|
SMTP サーバーの変更後にゲスト電子メールが送信されない |
|
|
[TrustSecワークセンター(TrustSec Work Center)] > [コンポーネント(Components)] > [TrustSec AAAサーバー(TrustSec AAA Servers)] ページで RADIUS ノードを参照していることがドキュメントに記載されている |
|
|
CLI からの設定バックアップがエラーで失敗する |
|
|
AD グループの追加/削除中にスポンサー グループ メンバーシップが削除される |
|
|
TC-NAC アダプタが nexpose によるスキャンを停止した |
|
|
スポンサーポータルの設定時に、サポート情報がフローチャートに正しく表示されない |
|
|
ポータルの背景が正しく表示されない |
|
|
ISE が DNAC からの REST API コールに対して誤ったバージョンを返す |
|
|
TACACS コマンドセットでインポートオプションが機能しない |
|
|
ISE ロギングタイムスタンプに将来の日付が表示される |
|
|
SNS 3655 PSN でのリロード後に ISE 2.6 パッチ 6 サービスを初期化できない |
|
|
複数のマトリックスから単一のマトリックスへの移動後、ERS SGT の作成が許可されない |
|
|
ISE 2.4 パッチ 11 VPN + ポスチャ:Apex ライセンスが消費されない |
|
|
ERS によって追加された NDG が、データベース内のすべてのネットワークデバイスに関連付けられる |
|
|
内部ユーザーの更新に ISE ERS API を実行すると、既存の ID グループ値が null に設定される |
|
|
有効なライセンスでもコンプライアンス違反アラームが表示される |
|
|
MAC アドレスでデバイスを取得する REST API MnT クエリに 2 秒以上かかる |
|
|
Cisco Identity Services Engine クロスサイト スクリプティングの脆弱性 |
|
|
isehourlycron.sh cron スクリプトに従って Undo テーブルスペースの空き領域がクリアされない |
|
|
レポートリポジトリのエクスポートが専用 MnT ノードで機能しない |
|
|
不明な NAD アラームの詳細をクリックするとエラーが表示される |
|
|
MAC アドレスのセッション API が「Char 0x0 out of allowed range」というエラーを返す |
|
|
承認プロファイルが異なる SG の同じ VN にマッピングされている場合、SG から VN を削除すると GBAC 同期が中断する |
|
|
システム内の messages.x ファイルの圧縮 |
|
|
ハイメモリの問題があるシステムには Drop_Cache が必要 |
|
|
ISE ERS API DELETE デバイスが複数のコールでエラー 500 を返す |
|
|
Elasticsearch での疑わしいメモリリーク |
|
|
ISE 承認のみの要求が内部ユーザーグループに対して評価されない |
|
|
REST API コールで、ポリシーセットで参照されているネットワーク デバイス グループを削除できる |
|
|
NAD の作成に REST API を使用する場合、RADIUS シークレットの最小文字要件がチェックされない |
|
|
ID ストアの問題を示す際の My Device ポータルにおけるエラーメッセージの改善 |
|
|
ロケーション別フィル処理のオプションが使用されていると、 ERS REST API が重複する値を複数回返す |
|
|
ISE GUI のすべてで「マスターゲストレポート」を「プライマリゲストレポート」に更新 |
|
|
セッションデータベースの列が欠落している |
|
|
ISE が insiteVM(tc-nac サーバー)に新しいサイトを作成する |
|
|
コンテキストの可視性により、ユーザー名の更新時にエンドポイントパラメータが融合される |
|
|
無効なクレデンシャルを持つ XML または JSON 要求に対する ERS API 応答が、予期しない HTML body タグを含む HTTP 401である |
|
|
ERS クエリでは、iselocalstore.log での抑制とともにアラーム抑制が必要 |
|
|
アラームとシステムの概要が ISE GUI に表示されない |
|
|
「12308 クライアントはTLVが失敗を示す結果を送信した(12308 Client sent Result TLV indicating failure)」というエラーによる失敗の認証 |
|
|
LDAP および ODBC ID ストア名にハイフンを使用できない |
|
|
Cisco Identity Services Engine クロスサイト スクリプティングの脆弱性 |
|
|
ACI が ISE で SXP 統合用に設定されている場合、サードパーティ証明書を使用すると認証に失敗する |
|
|
ゲストパスワードポリシー設定がアルファベットまたは数字で設定されていると保存できない |
|
|
ISE ではすべてのバージョンの ERS フローでのデバイス ID の重複が許可される |
|
|
CLDAP スレッドがハングし、無限に実行している |
|
|
ISE の [Radius Live Sessions] ページで [No Data Found] と表示される |
|
|
ISE 2.6 パッチ 7 が MAC リスト内のすべての MAC アドレスのルックアップを行わず、リダイレクトなしのポスチャが失敗する |
|
|
ISE 認証ステータス API のコール期間が期待どおりに機能しない |
|
|
ISE が syslog ターゲットに対してのみ IP を許可するか、DNS キャッシングを提供する |
|
|
不正なパスワードに対して「Account is not yet active」というメッセージが表示され、ゲスト認証が失敗する |
|
|
エンドポイントのデバッグを有効にすると、アプリケーションサーバーが初期化状態になる |
|
|
サブネットと IP 範囲を使用しているネットワークデバイスの重複 |
|
|
停止状態への移行中にアプリケーションサーバーがクラッシュする |
|
|
Cisco Identity Services Engine クロスサイト スクリプティングの脆弱性 |
|
|
エンドポイントデータがセカンダリ管理ノードに表示されない |
|
|
ODBC ID ソースに接続できない |
|
|
ログ収集エラーアラームが ISE ダッシュボードに繰り返し表示される |
|
|
ISE 2.4 パッチ 12 のバックアップを復元できない |
|
|
Cisco Identity Services Engine の権限昇格の脆弱性 |
|
|
CSCvr96003 の修正にもかかわらず SYSAUX テーブルスペースが満杯である |
|
|
2.4 パッチ 13 で ISE に IND を登録できない |
|
|
ドロップされたセッションのセッションキャッシュがクリアされず、PSN で高い CPU 使用率が発生する |
|
|
認証プロファイルが適切な属性で保存されない |
|
|
IP アドレスが割り当てられたシャットダウン インターフェイスがある場合、ISE TCP ポート 84xx が開かない |
|
|
データベース内の無効なオブジェクト |
|
|
ISE 認証ステータス API コールが、指定された時間範囲のすべてのレコードを返さない |
|
|
ISE で TACACS+ および TCP を強化するための TCP 設定の変更 |
|
|
[暗号キーを使用したエクスポート(Export with Encryption Key)] オプションの使用後、暗号キーを使用しないポリシーのエクスポートが正しく動作しない |
|
|
HTTPS、EAP、DTLS、および PORTAL の ISE 証明書を更新すると、PORTAL および Admin ロールのみが適用される |
|
|
iOS 14 beta で BYOD フローが破損している |
|
|
ディスカバリホストの説明テキストが紛らわしい |
|
|
Livelog セッションで、VPN ポスチャシナリオに誤った認証ポリシーが表示される |
|
|
内部 ID ストアで選択したユーザーの CSV エクスポートを開始できない |
|
|
無効な IPv6 アドレスが原因で RADIUS に認証済みライブログが送信されない |
|
|
カスタムポートのみが有効な場合、手動 NMAP が動作しない |
|
|
LANDESK のポスチャ条件を作成できない |
|
|
ISE 2.6 および 2.7 パッチブランチから ojdbc8 jar を削除 |
|
|
キーに < or > 記号が含まれている場合、PSK cisco-av-pair がエラーをスローする |
|
|
ISE の MAC 11.x およびそのマイナーバージョンサポートが使用できない |
|
|
Apache Struts Aug20 の脆弱性に対する ISE の評価 |
|
|
ノードが展開から削除されたときに内部 CA 証明書が削除されない |
|
|
Tacacs 設定の更新中にデバイス管理サービスが無効になる |
|
|
NDG 列が 255 文字を超えると、TrustSec が有効な NAD が TrustSec マトリックスに表示されない |
|
|
Cisco DNA Center で SG 名が変更された場合、マッピングされた SGT エントリが認証ルールからクリアされる |
|
|
ISE で NIC チーミングが有効になっていると、ヘルスチェックが機能しない |
|
|
8084/TCP EST サービスにより、脆弱で非 FIPS 準拠の暗号化が可能 |
|
|
ISE ノードのリセット設定後にヒープダンプの生成が失敗する |
|
|
Aruba ダイナミック URL リダイレクトを使用して NetworkSetupAssistant.exe のダウンロードリンクを取得できない |
|
|
ISE ホットスポット ゲスト ポータル フローが破損している |
|
|
ISE_EST_Local_Host の RADIUS 共有秘密が見つからない場合、ISE アプリケーションサーバーが初期化状態になる |
|
|
現在アクティブなセッションレポートのエクスポートには、午前 0 時以降に更新されたセッションのみが表示される |
|
|
CLI からエクスポートされたコンテキストの可視性の CVS に IP アドレスが表示されない |
|
|
ISE ノードのリロード後に ISE 2.6/2.7 リポジトリが削除される |
|
|
一時停止されたゲストユーザーがエンドポイントグループから自動的に削除されない |
|
|
TACACS コマンドセットでカッコ付きのコマンドを保存するとエラーが発生する |
|
|
コンテキストに空の値が追加され、グループの検索に失敗する |
|
|
EST サービスを初期化する認証局サービスが ISE 2.7 パッチ 2 へのアップグレード後に実行しない |
|
|
ISE RADIUS ライブログの詳細で、[Other Attributes] セクションに AD グループ名がない |
|
|
ISE SXP にはセッションから学習した古いマッピングをクリアするメカニズムが必要 |
|
|
内部ユーザーのカスタム属性の IP データ型にスラッシュを使用する機能が必要 |
|
|
プロキシバイパス設定で大文字を使用できない |
|
|
エンドポイントの GUI ページに Clinda のカスタム属性が表示されない |
|
|
存在しないネットワークデバイスを照会すると、ネットワークデバイス API コールがエラー 500 をスローする |
|
|
ユーザー ID グループで大文字と小文字が区別されると、[スポンサーグループメンバーの選択(Select Sponsor Group Members)] ウィンドウがロードされない |
|
|
[RADIUS Server Sequences] ページに「no data available」と表示される |
|
|
状態別ポスチャ アセスメント レポートに、状態ステータスフィルタなしのデータが表示される |
|
|
認証プロファイルのセキュリティグループの値が取得直後に表示されない |
|
|
AUP テキストを変更できない |
|
|
スイッチ/ルータ CLI を介して ISE 内部ユーザーパスワードを変更した後、パスワード監査が生成されない |
|
|
ISE 3.0 DNS 解決可能性の誤アラーム |
|
|
バインドパスワードで % 文字が 2 回以上使用されている場合、LDAP グループ/サブジェクト属性を取得できない |
|
|
アップグレードおよびデータベースでの偏向のないテキスト/コード |
|
|
ISE ポスチャ自動更新が実行されていない |
|
|
ネットワークデバイス IP フィルタがサブネット内の IP と一致しない |
|
|
接続に失敗すると、[スマートライセンスの権限付与(Smart Licensing Entitlement)] タブが [更新(Refreshing)] でスタックする |
|
|
プライマリ MnT ノードがダウンしていると、ISE 2.6 のスケジュール済みレポートが機能しない |
|
|
ISE コレクションフィルタが GUI に表示されない |
|
|
「Employees」という名前で SGT を作成しようとすると「 |
|
|
DNAC と ISE の間で GBAC 設定を同期できない |
|
|
ISE 2.7p2 のカスタムビューの [コンテキストの可視性(Context Visibility)] ページをロードできない |
|
|
ISE Config Restore が 40% で失敗し、「IMPDPを使用したDBの復元が失敗しました(DB Restore using IMPDP failed)」というエラーメッセージが表示される |
|
|
Chrome 85/86で ISE GUI ログインページに次のエラーが表示される: |
|
|
サードパーティの NAD のダイナミック リダイレクションでポスチャが機能しない |
|
|
アップグレードライセンスのチェックでは、スマートライセンス登録の ISE データベースが確認される |
|
|
ISE のタイムゾーンがアメリカ/サンティアゴに設定されていると、オフライン/オンラインフィードが失敗する |
|
|
外部データソースポスチャ条件の編集中に正しい AD が表示されない |
|
|
NAD の場所が [コンテキストの可視性のエラスティック検索(Context Visibility ElasticSearch)] で更新されない |
|
|
NAD プロファイルが削除されると、認証プロファイルに「No data available(データがありません)」と表示される |
|
|
例外が原因でエンドポイントが消去されない |
|
|
ISE TACACS ロギングタイムスタンプに将来の日付が表示される |
|
|
API の使用中に NAD の共有秘密がログに表示される |
|
|
パスワードに特殊文字を使用すると、ISE サービスアカウントがロックされ、WMI が確立されない |
|
|
MAC OSX のマルウェア対策条件に Sophos 10.x の定義がない |
|
|
日本語 GUI に 50 以上のルールがある場合、認証ポリシーが正しく表示されない |
|
|
スマートライセンスが有効になっていない場合でも SCH 接続が試行される |
|
|
影響を受けるサードパーティ ソフトウェア コンポーネントを脆弱性の修正が含まれるバージョンにアップグレードする必要がある |
Cisco ISE 2.7 パッチ 3 の既知の制限事項
SNMP ユーザーパスワード形式と SNMP ハッシュの最小長の変更
Cisco ISE 2.7 パッチ 3 の適用後、SNMP ユーザーパスワード形式の変更により、SNMP ユーザー設定が削除される可能性があります。SNMP ユーザーパスワードはハッシュ形式で表示されるようになりました。SNMP ユーザー設定をもう一度再設定する必要があります。
80 文字未満の SNMP ハッシュは機能せず、次のエラーが表示されます。
snmp-server user FT10 v3 hash fe7c35f09ff1238e369968a0be273f22 fe7c35f09ff1238e369968a0be273f22
% Error: Decryption Failed. Could not add SNMP User [名前(Name)] および [説明(Description)] フィールドでの特殊文字の使用に関する制限
-
TACACS+ プロファイルおよびデバイス管理ネットワーク条件の [説明(Description)] フィールドでは、特殊文字 [%\<>*^:"|',=/()$.@;&-!#{}.?] は使用できません。サポートされる文字は、英数字、アンダースコア(_)、およびスペースです。
-
認証プロファイルの [名前(Name)] および [説明(Description)] フィールドでは、特殊文字 %\<>*^:\"|',= は使用できません。[名前(Name)] および [説明(Description)] フィールドでサポートされる文字は、英数字、ハイフン(-)、ドット(.)、アンダースコア(_)、およびスペースです。
-
時刻と日付の条件の [名前(Name)] および [説明(Description)] フィールドでは、 特殊文字 [%\#$&()~+*@{}!/?;:',=^`]"<>" は使用できません。[名前(Name)] および [説明(Description)] フィールドで サポートされる文字は、英数字、ハイフン(-)、ドット(.)、アンダースコア(_)、およびスペースです。
Cisco ISE リリース 2.7.0.356 の新機能:累積パッチ 2
ユーザー定義ネットワーク
ユーザー定義ネットワークは、Cisco DNA Center ソリューションです。ユーザー定義ネットワークは、ホットフィックスを通じて Cisco ISE リリース 2.7 パッチ 2 でサポートされます。エンドユーザーは、ユーザー定義ネットワークを使用してプライベートネットワークまたはユーザー定義ネットワークルームを作成し、自分のパーソナルデバイスをグループ化できます。
たとえば、ネットワーク内でユーザー定義ネットワークが有効になっている大学寮の学生は、自分のデバイスを登録して、個人のユーザー定義ネットワークルームに追加できます。
ユーザー定義ネットワークのエンドユーザーは、他のユーザーを招待し、自分のデバイスを一時的にユーザー定義ネットワークルームに持ち込むことができます。その逆も同様です。
ユーザー定義ネットワークを有効にするには、Cisco ISE をオンプレミスの Cisco DNA Center アカウントに追加する必要があります。
Cisco ISE 管理者ポータルから Cisco ISE と Cisco DNA Center の統合を検証します。 を選択します。を選択します。Cisco DNA Center が pxGrid クライアントのリストに表示されます。
ユーザー定義ネットワークソリューションが有効になっている場合、Cisco DNA Center クラウドは、ネットワーク上のすべてのユーザー定義ネットワーク登録デバイスの設定情報を、Cisco ISE に自動的に送信します。この設定情報には、各デバイスが存在しているユーザー定義ネットワークルームに関する情報が含まれます。
Cisco ISE は、ユーザー定義ネットワークソリューションの一部として設定されているシスコ ワイヤレス LAN コントローラ(WLC)とこの情報を共有します。この共有は、Cisco ISE と接続された Cisco WLC 間の通常の RADIUS プロトコル交換の一部として実行されます。
ユーザー定義ネットワークによる Cisco ISE のプロファイリングとロギングの変更については、該当するリリースの 『Cisco ISE 管理者ガイド』を参照してください。関連するプロファイリングの変更については「セグメンテーション」の章を、関連するロギングの変更については「トラブルシューティング」の章を参照してください。
Cisco ISE リリース 2.7.0.356 の解決済みの不具合:累積パッチ 2
次の表に、リリース 2.7 累積パッチ 2 の解決済みの不具合を示します。
パッチ 2 は古いバージョンの SPW で機能しない可能性があります。MAC ユーザーは SPW を MACOSXSPWizard 2.2.1.43 以降にアップグレードする必要があります。また、Windows ユーザーはその SPW を WinSPWizard 2.2.1.53 以降にアップグレードする必要があります。
|
問題 ID 番号 |
説明 |
|---|---|
|
ISE が access-reject で設定済みの Radius AVP 18 を返さない |
|
|
ISE RBAC ネットワークデバイスタイプ/ロケーションビューが機能しない |
|
|
AD が authC と authZ の両方に使用されている場合、RA-VPN/CWA に対して AD ドメイン属性が取得されない |
|
|
ENH // HTTPS プロキシを使用したスマートライセンスの登録が失敗する |
|
|
マルチノード展開では、ポスチャセッション状態を PSN 間で共有する必要がある |
|
|
CSCvi62805 ISE ODBC が設定されたストアドプロシージャに従って MAC アドレスを変換しない |
|
|
ノードグループメンバーが到達不能の場合、ISE はアクティブ準拠のセッションに CoA を送信する |
|
|
ISC BIND krb5-subdomain と ms-subdomain のアップデートポリシーの脆弱性 |
|
|
AD 属性のポリシー評価中に ISE がクラッシュする |
|
|
tcpdump print_prefix 関数スタックベースのバッファオーバーリードの脆弱性 |
|
|
脅威イベントのパブリッシュ中にエラーが発生した:AMP アダプタ |
|
|
エンドポイントプロファイルが不明に設定されていない EAP-TLS 認証は、2 番目の認証で失敗する。 |
|
|
Cisco 経時的エージェントを使用すると、AnyConnect に Cisco NAC エージェントエラーが表示される |
|
|
libssh2 SSH_MSG_CHANNEL_REQUEST パケット処理が領域外メモリ参照の... |
|
|
ISE セカンダリ PAN ノードが送信元アドレス 169.254.2.2 で RST を他の ISE ノードに送信する |
|
|
TACACS ライブログの特定のネットワークデバイス IP アドレスによるフィルタ |
|
|
有効期限テスト中に MNT でメモリが大幅に増加する |
|
|
ポスチャと RADIUS フロー中、コンテキスト属性を取得している間に ISE PSN ノードがクラッシュする |
|
|
PSN ペルソナが無効になっていても、TACACS ポート 49 が開いたままになる |
|
|
レプリケーション失敗アラームが生成され、ise-psc.log に ORA-00001 例外が表示される |
|
|
SAML 認証を使用した BYOD オンボーディング後、デバイスポータルにデバイスが表示されない |
|
|
GNU パッチ OS シェル コマンド インジェクションの脆弱性 |
|
|
jquery の複数の脆弱性 - ゲストポータル |
|
|
EAP チェーン:動的属性値が使用できない |
|
|
RADIUS 認証と RADIUSアカウントレポートのパフォーマンスが遅い |
|
|
GNU パッチ do_ed_script OS シェルコマンドの実行の脆弱性 |
|
|
FasterXML jackson-databind ポリモーフィック型入力の脆弱性 CVSS v3.1 Base:9.8 |
|
|
大きなコアファイルに対応するためにローカルディスクサイズを拡大する必要がある |
|
|
セッション ID に対する PxGrid ANC API のサポート |
|
|
REST を介して追加された 2.4P10 エンドポイントには「編集」モードでのみポリシーの割り当てが表示される |
|
|
ISE IP ルーティングの優先順位の問題 |
|
|
libmspack chmd_read_headers 関数サービス妨害の脆弱性 |
|
|
ネットワークデバイスの CSV インポートが失敗し、理由なくサイレントにプロセスが中止される |
|
|
PSN でコアファイルが生成される |
|
|
ACI マッピングは SXP pxGrid トピックにパブリッシュされない |
|
|
アプリケーションサーバーと EST サービスが毎朝 1 時にクラッシュ/再起動する |
|
|
ISE のグループノード間の MAR キャッシュチェックが原因で失敗した COA を除外する機能を追加する |
|
|
無効なルート CA 証明書が受け入れられた |
|
|
古いデータをプッシュする TrustSec マトリックス |
|
|
Xms 値を持つ Mnt ノードの高負荷 |
|
|
信頼できる CA 証明書の削除中に SEC_ERROR_BAD_DATABASE がシステム/アプリデバッグログに表示される |
|
|
Cisco Identity Services Engine クロスサイト スクリプティングの脆弱性 |
|
|
ISE が SGT を正しく更新しない |
|
|
URL リダイレクトの AuthZ プロファイルの詳細プロファイルでカスタム HTTPS 宛先が許可されない |
|
|
ISE2.6 で内部 CA とキーをインポートできない |
|
|
NFS マウントが原因でクラッシュする |
|
|
ISE 2.4:管理者ログインレポートが証明書ベースの管理者認証を使用すると認証に失敗する |
|
|
スポンサーポータルで新しいユーザーを作成すると、「invalid input」が表示される |
|
|
コレクタログが pxgid および dnac メッセージとともにダンプされる |
|
|
REST API を使用すると Tacacs プロファイルが正しく取得されない |
|
|
認証プロファイルが REST API を使用して正しくプルされていない(改ページがない) |
|
|
セルフ登録ポータルのポータルページのカスタマイズで、日数が更新されない |
|
|
ISE:SCEP RA の設定時に 2.4p9 CA 中間証明書がインストールされない |
|
|
「証明書プロビジョニングポータル」のポータルカスタマイズを実行できない |
|
|
INetworkAuthZCheck の ConditionsData 句で URT が失敗する |
|
|
期限切れの証明書が削除対象としてリストされていない |
|
|
SXP バインディングが pxGrid 2.0 クライアントに公開されない |
|
|
中間更新が DB に保存されていない場合、API がデータを取得しない |
|
|
AD join-point に文字列「TACACS」があると、AuthZ 条件で AD joinpoint が表示されない |
|
|
ゲストユーザー名に @ 記号(guest@example.com)が含まれていると、ISE 2.4 Guest ERS Call Get-By-Name が失敗する |
|
|
パッチの複数の脆弱性 |
|
|
sudo の複数の脆弱性 |
|
|
ISE 2.6 インストール:検証の入力 - IP ドメイン名の確認 |
|
|
パッケージ展開の脆弱性 - RHEL 7 |
|
|
ハッシュパスワードを使用すると ISE SNMP サーバーがクラッシュする |
|
|
特殊文字を含むメタデータ XML ファイルをインポートすると、サポートされていないタグエラーが発生する |
|
|
OP バックアップの復元後に TACACS の認証/アクセスレポートが表示されない |
|
|
.dmp ファイルが ISE の reset-config の後でも /opt/oracle/base/admin/cpm10/dpdump から削除されない |
|
|
X.Org libX11クライアント セグメンテーションの障害によるサービス拒否の脆弱性 |
|
|
X.Org libX11 オフバイワンメモリ書き込みで任意のコードが実行される脆弱性 |
|
|
ゲストスポンサーポータルの成功ページ更新時の 404 エラー |
|
|
NMAP:ISE のバージョン 2.6 で MCAFeeEPROOrchestratorClientscan を実行できない |
|
|
ISE の期限切れの tacacs セッションがセッションキャッシュからタイムリーにクリアされない |
|
|
Cert Revoke と CPP が APEX ライセンスなしで機能しない |
|
|
TrustSec ポリシーマトリックス -- ISE の [View] オプションの表現を変更する |
|
|
バックアップ/復元メニューに移動した後、すべての ISE ページで POST getBackupRestoreStatus が発生する |
|
|
アラーム設定での高ディスク使用率のしきい値オプションがない |
|
|
トンネルグループポリシー評価によるポスチャが Java Mem を減らしている |
|
|
ISE がインポート時にイーグレスポリシーで ANY を許可しない |
|
|
ISE 2.6 の時差 |
|
|
[ENH] ネットワークデバイスの API を使用して「GET|PUT|DELETE by Name」機能を追加する |
|
|
CLI からエンドポイントをエクスポートすると Java の例外が発生する |
|
|
IP SGT スタティックマッピングのインポートがホスト名で正しく動作しない |
|
|
FasterXML jackson-databind xbean-reflect/JNDI のブロッキングの脆弱性 |
|
|
pxGrid 2.0 WebSocket 分散アップストリーム接続の問題 |
|
|
pxGrid 2.0 WebSocket ping pong がアイドル状態のスタンドアロンでも遅すぎる |
|
|
追加の authz ポリシーと例外がある場合、ISE はすべてのデバイス管理 authz ルールを表示しない |
|
|
EST サービスを初期化する認証局サービスが ISE 2.6 へのアップグレード後に実行しない |
|
|
TCPDump:ノードとインターフェイスフィールドが使用できない |
|
|
ISE 2.6 へのアップグレード後、エラーサプリカント/不良構成サプリカントの Radius テーブルが存在しない |
|
|
システムサマリーダッシュボードと一致する高負荷アラームが一部のノードに表示されない |
|
|
Apple CNA と AUP をリンクとして使用して iPad にアクセスすると、400 Bad 要求エラーが発生する。 |
|
|
WMI と REST を同時に使用すると Pxgrid でバッチロジックをパブリッシュする |
|
|
ISE では、SGT のインポートまたはエクスポートで ANY SGT または値 65535 を公開できない |
|
|
多数のエンドポイントが存在する場合、ISE ERS API エンドポイントの更新が遅い |
|
|
許可された値をシステム使用ディクショナリへの 7 つ以上の属性に追加/変更できない |
|
|
ISE2.7 コンプライアンスカウンタが 0 になっている |
|
|
ISE 2.7 の Anyconnect の設定の遅延アップデートが保存されない |
|
|
アップグレードされたセットアップで upscsnconfig テーブルに 2 つの行が作成される |
|
|
EP ルックアップに時間がかかり、ゲストフローの遅延が大きくなる |
|
|
アイデンティティグループが ISE の内部ユーザーを更新する |
|
|
リダイレクト値が URL に存在する場合、ISE 2.6 MDM フローが失敗する |
|
|
[ENH] /ers/config/internaluser の API を使用して「GET|PUT|DELETE by Name」機能を追加する |
|
|
ISE:min pwd の長さを増やすと、既存の短い pwd の GUI を使用したログインがエラーなしで失敗する |
|
|
MNT ノード選択プロセスが適切に設計されない。 |
|
|
すでに作成されている複合条件の場合、それらの条件を変更できない |
|
|
FQDN を使用して設定された Syslog ターゲットによってネットワークが停止する可能性がある |
|
|
IP-access がエントリなしで送信された場合、App-server がクラッシュする |
|
|
REST API 更新操作の断続的なパスワードルールエラー |
|
|
ISE ERS API:SNMP 設定の処理中のネットワークデバイスの GET コールが遅い |
|
|
ISE が誤検出アラーム「Alarms:Patch Failure」を生成する |
|
|
ISE 2.6 の冗長アラーム「アプリケーションパッチのインストールが正常に完了しました(Application patch install has completed successfully" Alarm)」 |
|
|
MAR キャッシュレプリケーションが有効になっていると、アプリケーションサーバーがクラッシュすることがある |
|
|
pxGrid で INIT 状態のユーザーを削除できない |
|
|
アラームダッシュレットに「No Data Found」と表示される |
|
|
パッチ 1 のインストール後に ISE 2.7 証明書認証サービスが無効になる |
|
|
CLI エクスポートとコンテキストの可視性の情報が一致しない |
|
|
定義用のマルウェア対策条件の作成時にすべての製品を個々に選択できない |
|
|
動作していない MNT ウィジェットのデバッグログがない |
|
|
ISE DACL 構文チェックで IPv4 形式エラーが検出されない |
|
|
ise-psc.log が「check TTConnection is valid」でいっぱいになり、関連するログがロールオーバーする |
|
|
ISE 2.6:ERS を介した外部スポンサーユーザーを使用したゲストユーザーの作成が 401 Unauthorized Error で失敗する |
|
|
ISE UI で upn.log をアップロードに使用できない |
|
|
ISE で、NAD の Radius を API を使用して無効にできない |
|
|
req 格納ファイルの /ers/config/internaluser/name/{username}makes id&password&name mandatory の PUT verb |
|
|
ポータルページのカスタマイズの変更が証明書プロビジョニングポータルに反映されない |
|
|
ISE 2.7 で CPU 使用率が高く、認証遅延が発生する |
|
|
ISE:ロールバックがパッチ 12 からのロールバックを無期限に試行する |
|
|
EAP-TLS を介したマシン認証が、ユーザーが見つからないというエラーを示して許可フロー中に失敗する |
|
|
SMS と LDAP ページでサーバーから返されたサービス アカウント パスワード |
Cisco ISE リリース 2.7.0.356 の新機能:累積パッチ 1
マルチ DNAC のサポート
Cisco DNA Center システムは、25,000 〜 100,000 のエンドポイントの範囲を超えて拡張できません。Cisco ISE は 200 万エンドポイントまで拡張できます。現在、1 つの Cisco DNA Center システムと 1 つの Cisco ISE システムのみを統合できます。大規模な Cisco ISE 展開では、複数の DNA Center のクラスタを 1 つの Cisco ISE に統合することでメリットが得られます。シスコは、Cisco ISE 展開ごとに複数の Cisco DNA Center のクラスタ(マルチ DNAC とも呼ばれる)をサポートするようになりました。
ビジネス成果:Cisco DNA Center のアクセス制御アプリケーションのこの機能を使用すると、1 つの Cisco ISE システムに最大 4 つの Cisco DNA Center クラスタを統合できます。
Cisco AI エンドポイント分析サポート
Cisco AI エンドポイント分析は、エンドポイント プロファイリングの忠実度を改善する Cisco DNA Center のソリューションです。きめ細かいエンドポイント識別を提供し、さまざまなエンドポイントにラベルを割り当てます。ディープ パケット インスペクション、および Cisco ISE、Cisco SD-AVC、ネットワークデバイスなどのソースからのプローブによって収集された情報は、エンドポイント プロファイリングのために分析されます。
Cisco AI エンドポイント分析は、人工知能と機械学習機能を使用して、同様の属性を持つエンドポイントを直感的にグループ化します。IT 管理者は、これらのグループを確認してラベルを割り当てることができます。割り当てられたエンドポイントラベルは、Cisco ISE アカウントがオンプレミスの Cisco DNA Center に接続されている場合、Cisco ISE で使用できます。
Cisco AI エンドポイント分析の結果割り当てられたエンドポイントラベルは、Cisco ISE 管理者がカスタム認証ポリシーを作成するために使用できます。それらの認証ポリシーを使用して、エンドポイントまたはエンドポイントグループに適切なアクセス権限のセットを提供できます。
Cisco ISE リリース 2.7.0.356 の解決済みの不具合:累積パッチ 1
次の表に、リリース 2.7 累積パッチ 1 の解決済みの不具合を示します。
パッチ 1 は古いバージョンの SPW で機能しない可能性があります。MAC ユーザーは SPW を MACOSXSPWizard 2.2.1.43 以降にアップグレードする必要があります。また、Windows ユーザーはその SPW を WinSPWizard 2.2.1.53 以降にアップグレードする必要があります。
|
問題 ID 番号 |
説明 |
|---|---|
|
CoA REST API が ASA VPN セッションで動作していない |
|
|
MNT API が特殊文字をサポートしない |
|
|
ライブセッションに、VPN + ポスチャのシナリオの不正な認証プロファイルと認証ポリシーが表示される |
|
|
procps-ng の複数の脆弱性 |
|
|
ホスト名の変更後に証明書を削除できない |
|
|
ISE 2.4 URT は、ノードがサポートされているアプライアンス上にあることを確認しない |
|
|
CLI clock timezone コマンドを有効にする |
|
|
バージョン 2.4.44 を実行している openldap rpm を使用した ISE ノードでのメモリリーク |
|
|
UTF-8 検証チェックの失敗により、EAP-GTC マシン認証がパスワードの不一致で失敗する |
|
|
セカンダリ管理者ノードの ISE 2.4 の CPU 使用率が高い |
|
|
calling-station-id に CLIENTVPN が含まれている場合、Radius セッション詳細レポートが破損する |
|
|
新しい論理プロファイルが認証ポリシーの例外で使用されている場合でも、ISE CoA が送信されない |
|
|
ISE OCSP 応答側証明書の更新のデータが設定変更監査レポートに表示されない |
|
|
「既知のゲストを通知(Notify Known Guests)」の自動電子メールに「インポートされたゲストを通知(デスクトップのみ)(Notify Imported Guests (Desktop only))」というテキストが使用される |
|
|
CVE-2018-20685 の ISE の評価 |
|
|
iOS CNA ブラウザでリンクが機能しない場合のログインページ AUP |
|
|
ISE:「MDM:MDM サーバーへの接続に失敗しました(MDM: Failed to connect to MDM server)」というログエントリにエンドポイント情報を含める必要がある |
|
|
ISE ERS SDK NetworkDeviceGroup の削除で ID の場所が指定されない |
|
|
UCP を使用してパスワードを変更した後、「ユーザー変更パスワードの監査(User change password audit)」レポートに「ID(Identity)」がない |
|
|
すべての tenable アダプタリポジトリを取得できない |
|
|
脅威イベントに対するアクションの空白のコースが CTA クラウドから TC-NAC アダプタに受信された |
|
|
ISE がエンドポイントデータベースで device-public-mac 属性を使用していない |
|
|
秘密キーの暗号化に失敗したときに、共有暗号がないため EAP-FAST 認証に失敗した |
|
|
秘密キーの暗号化で ISE GUI にエラーメッセージがあったときに、ISE GUI でエクスポートに失敗した |
|
|
Day0:iPad OS 13.1 BYOD フローが失敗した |
|
|
pxGrid アラブ銀行の防御コードの変更 |
|
|
予期しない COA が SCCM MDM で観測される場合がある |
|
|
ISE 2.4 の fqdn 全体ではなく文字のフラグメントが一致する |
|
|
DHCP メッセージによってエンドポイントがアクティブとしてマーキングされるため、アクティブなエンドポイント数が増加する |
|
|
[カウンタの有効期限(Counter time limit)] タブの [最大セッション数(Max Sessions)] ページに入力ミスがある |
|
|
ISE 2.4 p9 セッションディレクトリの書き込みに失敗した:文字列インデックスが範囲外:-1 |
|
|
システム証明書を参照しているため、SCEP プロファイルを削除できない |
|
|
ゲストのパスワードの表示/印刷が無効になっている場合でも、ISE スポンサーの電子メールが CC される |
|
|
高負荷時に ISE ポスチャモジュールに「No policy server detect」が表示される |
|
|
RADIUS 認証詳細レポートに Called-Station-ID がない |
|
|
SCCM フローに SCCMException と表示され、MDMServerReachable 値が MDMServersCache に false として ISE 更新される |
|
|
McAfee や Symantec など、一部の AM 製品の定義日が誤表示される |
|
|
ISE:アカウント OU の変更後、キャッシュ済みの AD OU を新しい OU よりも優先させる |
|
|
ISE ゲスト OS で tzdata を更新する必要がある |
|
|
ISE 2.2 パッチ 14 AD ステータスが「更新しています...(updating ..)」と表示され、プロセスがハングしていることを示す |
|
|
ISE:LDAP バインドテストでは、ノードごとに定義されている場合は正しいサーバーが使用されない |
|
|
ユーザー API による ISE アプリのクラッシュ |
|
|
有効な Base ライセンスと Plus ライセンスのコンプライアンス違反が表示される |
|
|
ライブログの「5436 通知 RADIUS:RADIUSパケットはすでにプロセスにあります(5436 NOTICE RADIUS: RADIUS packet already in the process)」というメッセージに誤ったユーザー名が表示される |
|
|
非同期 HTTP クライアントの不正な入力検証の脆弱性 |
|
|
接続の切断後に ISE が外部 syslog 接続を再確立できない |
|
|
SYSAUX テーブルスペースが AWR および OPSSTAT データでいっぱいになる |
|
|
IP ベースのプロファイルポリシーのプロファイル CoA が送信されない |
|
|
ISE メッセージングサービスが basic_cancel という理由でキューリンクエラーのアラームをトリガーする |
|
|
API コールが GUI として異なる結果を表示する |
|
|
最大セッションカウンタの有効期限オプションが機能しない |
|
|
ユーザーの入力が 2 回異なると、ISE は RADIUS レポートに正しいユーザーを表示しない |
|
|
ISE:TACACS:TACACS+ の PSN クラッシュ |
|
|
エンドポイントのデフォルトの間隔を無効にすると、最大時間フレームが 60 分に設定される |
|
|
ISE:正常に終了しているにもかかわらず、2.4 パッチ 9 のリセット設定がいくつかのエラーをスローする |
|
|
ゲストユーザーの有効日数の ISE ゲスト作成 API 検証に時間が考慮されない |
|
|
PassiveID:$ を含む AD アカウントパスワードを使用して WMI を設定するとエラーになる |
|
|
Cisco Identity Services Engine クロスサイト スクリプティングの脆弱性 |
|
|
Apple ミニブラウザ:自己登録のゲストログインページのパスワードのリセットリンクが機能しない |
|
|
Apple ミニブラウザ:[キャンセル(Cancel)] ボタンがゲストの自己登録ページで機能しない |
|
|
ルールが一致した後でも、ポリシーエンジンがすべてのポリシーセットの評価を続行する |
|
|
ブルートフォースのパスワード攻撃に対する動作を改善する |
|
|
ISE 2.6 と 2.7:dACL の説明フィールドに ’ の文字を追加できない |
|
|
ISE 2.6 では、ユーザーが IPv4 または IPv6 を選択しても、dACL シンタックスに複数の空白行が許可される必要がある |
|
|
ISE 2.x ネットワーク デバイス スタックのローディング |
|
|
ISE 2.6 で 2 つのカッコを使用して CRL URL を設定できない |
|
|
NAD グループ CSV のインポートでは、説明フィールドにサポートされているすべての文字を許可する必要がある |
|
|
<sns3615>、<sns3655>、および <sns3695> の platform.properties で次のプロパティが欠落している |
|
|
自己登録済みゲストポータルがゲストタイプの設定を保存できない |
|
|
静的グループの割り当てを編集できない |
|
|
CRL が特定の条件で期限切れになる |
|
|
DNA-C との統合中に、信頼できるストアから削除されたものと同じ CN の ISE 2.6 CA 証明書 |
|
|
条件はライブラリから削除されたが、DB 内にある |
|
|
ISE では、コマンドセットのコマンドの前にスペースを挿入できる |
|
|
暗号化キーの特殊文字でバックアップがトリガーされない |
|
|
複数の EP が 1 秒ごとにプロファイリングされ、ISE ノードが同期しなくなる |
|
|
ランダム認証の場合、期限切れまでの日数が 0 としてマークされる |
|
|
NAD CSV のインポートでは、サポートされているすべての文字を TrustSecDeviceID に許可する必要がある |
|
|
ISE 管理者ユーザーが内部ユーザーのグループを変更できない |
|
|
Cisco Identity Services Engine のストアド クロスサイト スクリプティングの脆弱性 |
|
|
ネットワークデバイス/グループをインポートした後、新しいロケーションを追加できない |
|
|
ISE 2.2+ がメモリリークの影響を受けるInflater() によってネイティブメモリが毎日 1 〜 2% 増加する |
|
|
DNAC から送信された _(アンダースコア)を使用して SG が作成されたときにエラーが発生する |
|
|
RadiusProxyFlow::stripUserName() にユーザー名ではなく空の文字列があるために ISE がクラッシュする |
|
|
ISE:属性「url-redirect」を HTTPS で使用できず、HTTP を使用する同じ URL は正常に機能する |
|
|
国コード属性が携帯電話番号の一部である場合、SMS がゲストに到達しない |
|
|
「ゲストユーザー」ID ストアを使用すると、認証プロセスが失敗する。 |
|
|
セッションディレクトリに pxGrid 2.0 認証プロファイル属性がない |
Cisco ISE リリース 2.7 の解決済みの不具合
次に、リリース 2.7 では解決されているバグを示します。
Cisco ISE リリース 2.7 の未解決の不具合
次の表に、リリース 2.7 では解決されていない不具合を示します。
|
問題 ID 番号 |
説明 |
|---|---|
|
ISE OCSP 応答側証明書 CSR の使用状況データの更新が設定変更監査レポートに表示されない |
|
|
デバイス SGT のトラブルシューティングで誤った診断が発生する |
|
|
ノードのステータスが [システム概要(System Summary)] ダッシュレットに正しく表示されない |
|
|
10% を超えるエンドポイントで証明書の発行が失敗する |
|
|
管理者が [ネットワークデバイスの展開(Network Device Deployment)] ウィンドウで承認要求にコメントを追加できるポップアップウィンドウが正しく表示されない |
|
|
RADIUS マッピングは SXP pxGrid トピックにパブリッシュされない |
|
|
「show timezone」コマンドで CLI にタイムゾーンが表示されない |
|
|
自己署名サーバー証明書の有効期限を 5 年に設定すると、macOS 10.15 の Chrome に NET::ERR_CERT_REVOKED エラーが表示される |
|
|
最大セッションカウンタの有効期限オプションが機能しない |
|
|
CSV ファイルからのポリシーのインポート中にポリシーをダウンロードすると、一部の更新が観測される |
|
| フルアップグレード後の VCS 情報がない | |
|
タイムゾーンが変更されるたびにタイムスタンプを調整する必要がある |
|
|
PSN および MnT ノードでタイムゾーンが変更されると、ライブログとライブセッションのページが誤ったソート順序で表示される |
|
|
複数の PSN が異なるタイムゾーンにある場合、セッションデータが下部に表示される。 |
通信、サービス、およびその他の情報
-
シスコからタイムリーな関連情報を受け取るには、Cisco Profile Manager でサインアップしてください。
-
重要な技術によりビジネスに必要な影響を与えるには、Cisco Services にアクセスしてください。
-
サービスリクエストを送信するには、Cisco Support にアクセスしてください。
-
安全で検証済みのエンタープライズクラスのアプリケーション、製品、ソリューション、およびサービスを探して参照するには、Cisco Marketplace にアクセスしてください。
-
一般的なネットワーキング、トレーニング、認定関連の出版物を入手するには、Cisco Press にアクセスしてください。
-
特定の製品または製品ファミリの保証情報を探すには、Cisco Warranty Finder にアクセスしてください。
フィードバック