Cisco Identity Services Engine の概要
Cisco Identity Services Engine(ISE)は、ネットワークリソースへのセキュアなアクセスを提供するセキュリティポリシー管理プラットフォームです。企業は、Cisco ISE を使用して、ネットワーク、ユーザー、およびデバイスからコンテキスト情報をリアルタイムで収集できます。その後、管理者はこの情報を使用して、積極的に管理上の決定を下すことができます。これを行うには、アクセススイッチ、ワイヤレスコントローラ、バーチャル プライベート ネットワーク(VPN)ゲートウェイ、ローカル 5G ネットワーク、データセンタースイッチなどのさまざまなネットワーク要素のアクセス コントロール ポリシーを作成します。Cisco ISE は、Cisco TrustSec ソリューションのポリシーマネージャとして機能し、TrustSec ソフトウェアによって定義されたセグメンテーションをサポートします。
Cisco ISE は、異なるパフォーマンス特性を持つセキュアなネットワーク サーバー アプライアンス上で使用できます。また、仮想マシン(VM)上で実行できるソフトウェアとしても使用可能です。パフォーマンス向上のためにアプライアンスを展開に追加できます。
Cisco ISE は、スタンドアロンおよび分散展開をサポートする拡張性の高いアーキテクチャを使用しますが、設定および管理は一元化されています。また、ペルソナとサービスの設定と管理を個別に行うこともできます。このため、ネットワーク内で必要なサービスを作成して適用することができますが、Cisco ISE 展開を完全な統合システムとして運用することもできます。
Cisco ISE の詳細な発注およびライセンス情報については、 Cisco IdentityServices Engine 注文ガイド [英語] を参照してください。
システムのモニタリングおよびトラブルシューティングに関する詳細については、『 Cisco Identity Services Engine 管理者ガイド』の「Cisco ISE のモニタリングとトラブルシューティング サービス」のセクションを参照してください。
Cisco ISE リリース 3.1 の新機能
このセクションでは、Cisco ISE 3.1 の新機能と変更された機能をすべて示します。
 (注) |
Software Download site [英語] で Cisco ISE 3.1 OVA、ISO、およびアップグレード バンドル ファイルが置き換えられました。詳細については、Cisco ISE ソフトウェア ダウンロード サイトでの Cisco ISE 3.1 ファイルの置き換えを参照してください。 |
ネイティブ サプリカント プロファイル向け Android の設定
ネイティブ サプリカント プロファイルに Android 設定が追加されました。Certificate Enrollment Protocol では、次のいずれかのオプションを選択できます。
-
Enrollment over Secure Transport(EST)
-
Simple Certificate Enrollment Protocol(SCEP)
EST プロトコルを選択した場合、Cisco ISE は、証明書を発行する一方、Android ユーザーに対して追加のパスワードの入力を要求します。
詳細については、『Cisco ISE Administrator Guide, Release 3.1』の「Compliance」の章にある「Native Supplicant Profile Settings」を参照してください。
監査ログの機能強化
次の監査ログが機能強化され、関連するイベントに関してより詳細な情報が含まれるようになりました。
-
ポスチャ監査ログには、次に関する情報が含まれるようになりました。
-
ポスチャポリシーの作成と削除。
-
[条件(Conditions)]、[ルール名(Rule Name)] などのフィールドに対する変更など、既存のポスチャポリシーに加えられた変更。
-
[条件(Conditions)]、[修復アクション(Remediation Actions)]、[要件(Requirements)]などのポスチャ設定の追加、削除、または変更。
-
-
RBAC 監査ログに、既存のメニューアクセスおよびデータアクセスコンテンツの作成と削除に関する情報が含まれるようになりました。
-
ネットワークアクセスおよび管理ユーザーの監査ログに、ネットワークアクセスおよび管理ユーザーの作成、編集、および削除に関する情報が含まれるようになりました。
ポスチャ状態の同期
ポスチャステータスが準拠していない場合に、指定した間隔で Cisco ISE をプローブするように AnyConnect を設定できます。これにより、クライアントが保留状態でスタックするのを防ぐことができます。
ポスチャ状態の同期は、Windows、Linux、および MacOS クライアントでサポートされています。
詳細については、『Cisco ISE Administrator Guide, Release 3.1』の「Compliance」の章にある「Posture State Synchronization」を参照してください。
Cisco Support Diagnostics Connector を使用した設定バックアップの取得
Cisco Support Diagnostics Connector を使用して、設定のバックアップをトリガーし、バックアップファイルを Cisco Support Diagnostics フォルダにアップロードします。Cisco Support Diagnostics フォルダにバックアップファイルをアップロードした後、そのバックアップファイルは Cisco ISE ローカルディスクから削除できます。この機能を使用するには、Cisco ISE でスマートライセンスと Cisco Support Diagnostics を有効にする必要があります。
詳細については、『Cisco ISE Administrator Guide, Release 3.1』の「Troubleshoot」の章の「Obtain Configuration Backup Using Cisco Support Diagnostics Connector」を参照してください。
認証結果アラームの設定
認証ポリシーの結果に基づいてアラームを設定できるため、エンドポイント認証に対するネットワーキング、インフラストラクチャ、またはアプリケーションの変更の影響をモニターできます。特定のネットワーク デバイス グループ(NDG)を選択して、アラームの範囲を定義できます。選択した NDG ごとに、新しい認証結果アラームが作成されます。
特定の認証プロファイルとセキュリティグループタグ(SGT)を選択することで、このアラームでモニターする認証ログをフィルタリングできます。指定された認証プロファイルおよび SGT を持つ認証ポリシーセットを満たしているエンドポイントのみがアラームによってモニターされます。
詳細については、『Cisco ISE Administrator Guide, Release 3.1』の「Troubleshoot」の章の「Configure Authorization Result Alarm」を参照してください。
優先ドメインコントローラの設定
ドメインフェールオーバーの場合に使用するドメインコントローラを指定できます。ドメインが失敗した場合、Cisco ISE は優先リストに追加されたドメインコントローラの優先順位スコアを比較し、優先順位スコアが最も高いドメインコントローラを選択します。そのドメインコントローラがオフラインであるか、何らかの問題により到達不能である場合、優先リスト内で優先順位スコアが次に高いドメインコントローラが使用されます。優先リスト内のすべてのドメインコントローラがダウンしている場合は、リスト外のドメインコントローラが優先順位スコアに基づいて選択されます。フェールオーバーの前に使用されていたドメインコントローラが復元されると、Cisco ISE はそのドメインコントローラに切り替えます。
詳細については、『Cisco ISE Administrator Guide, Release 3.1』の「Asset Visibility」の章にある「Configure Preferred Domain Controllers」を参照してください。
コンテキストの可視性の機能拡張
-
CSV ファイルを変更せずに Cisco ISE にインポートできる属性のみをエクスポートする場合、[エンドポイントのエクスポート(Export Endpoints)] ダイアログボックスで、[インポート可能のみ(Importable Only)] チェックボックスをオンにできるようになりました。このオプションを使用すると、Cisco ISE にインポートする前に、エクスポートされた CSV ファイルの列またはメタデータを変更する必要がなくなります。
-
[クイックフィルタ(Quick Filter)] または [高度なフィルタ(Advanced Filter)] オプションを使用している場合、[フィルタ済みのエクスポート(Export Filtered)] オプションを使用して、フィルタ済みのエンドポイントのみをエクスポートできます。
詳細については、『Cisco ISE Administrator Guide, Release 3.1』の「Asset Visibility」の章にある「Export Endpoints Using CSV File」を参照してください。
Cisco ISE GUI に追加されたフルアップグレードと分割アップグレードのオプション
[管理(Administration)] > [システム(System)] > [アップグレード(Upgrade)] > [アップグレードを選択(Upgrade Selection)] ウィンドウで、要件に応じて次のオプションのいずれか 1 つを選択できます。
-
[フルアップグレード(Full Upgrade)]:フルアップグレードは、Cisco ISE 展開の連続した完全なアップグレードを可能にするマルチステッププロセスです。これにより、すべてのノードが並行してアップグレードされ、分割アップグレードプロセスよりも短時間でアップグレードされます。すべてのノードが並行してアップグレードされるため、アップグレードプロセス中にサービスがダウンします。
-
[分割アップグレード(Split Upgrade)]:分割アップグレードは、アップグレードプロセス中にユーザーがサービスを引き続き利用できるようにしながら、Cisco ISE 展開のアップグレードを可能にするマルチステッププロセスです。分割アップグレードオプションを使用する場合、アップグレードするノードを選択できます。
詳細については、『Cisco Identity Services Engine Upgrade Journey, Release 3.1』の「Upgrade Method」の章にある「Upgrade a Cisco ISE Deployment from the GUI」を参照してください。
Amazon Web Service における Cisco ISE
Cloud Formation テンプレート(CFT)または Amazon マシンイメージ(AMI)を使用して、Amazon Web Services(AWS)プラットフォームで Cisco ISE インスタンスを起動できます。
詳細については、『Cisco Identity Services Engine Installation Guide, Release 3.1』の「Install Cisco ISE with AmazonWeb Services」の章を参照してください。
仮想アプライアンスのライセンス
Cisco ISE リリース 3.1 以降は ISE VM ライセンスをサポートしています。これは、リリース 3.1 以前にサポートされていた VM Small、VM Medium、および VM Large ライセンスに代わるものです。新しい ISE VM ライセンスは、オンプレミス展開とクラウド展開の両方の Cisco ISE VM ノードを対象としています。
詳細については、リリースに対応する『Cisco ISE Administrator Guide』の「Licensing」章にある「Cisco ISE Licenses」を参照してください。
ローカルディスクからのファイルのダウンロードまたはアップロード
ローカルディスク管理に使用されるファイルは、簡単に追加、ダウンロード、または削除できます。
詳細については、『Cisco ISE Administrator Guide, Release 3.1』の「Maintain and Monitor」の章の「Download and Upload Files from Local Disk」を参照してください。
ポスチャポリシー設定の MacOS バージョン
Cisco ISE 3.0 以前では、MacOS 11.1、MacOS 11.2 などのマイナーな MacOS バージョンでポスチャポリシーと要件を設定できました。Cisco ISE 3.1 では、MacOS 11(All)などのメジャーな MacOS バージョンのみを選択して、ポスチャポリシーと要件を設定できます。
Cisco ISE 3.1 にアップグレードすると、MacOS のマイナーバージョンを含むポスチャ条件は、対応する MacOS のメジャーバージョンに自動的に更新されます。たとえば、MacOS 11.1 用に設定されたポスチャ条件は、MacOS 11(All)に更新されます。
OpenAPI サービス
OpenAPI は、ポート 443 を介して動作する HTTPS に基づく REST API です。Cisco ISE 3.1 以降では、新しい API を OpenAPI 形式で使用できます。Cisco ISE OpenAPI の詳細については、https://<ise-ip>/api/swagger-ui/index.html を参照してください。
Cisco ISE 3.1 では、次の OpenAPI が導入されています。
-
リポジトリの管理
-
設定データのバックアップと復元
-
証明書の管理
-
ポリシー管理
-
RADIUS ポリシー
-
TACACS+ ポリシー
-
詳細については、『Cisco ISE Administrator Guide, Release 3.1』の「Basic Setup」の章にある「Enable API Service」を参照してください。
Linux オペレーティングシステムのポスチャサポート
ポスチャは 、ネットワークに接続されているすべてのエンドポイントの社内セキュリティポリシーの遵守に関するステートを確認できる、Cisco ISE のサービスです。Cisco ISE 3.1 は、Windows および Mac オペレーティングシステムに加えて、次の Linux オペレーティングシステムのバージョンをサポートします。
-
Ubuntu
-
18.04
-
20.04
-
-
Red Hat
-
7.5
-
7.9
-
8.1
-
8.2
-
8.3
-
8.4
-
8.5
-
8.6
-
8.7
-
8.8
-
8.9
-
9.0
-
9.1
-
9.2
-
9.3
-
-
SuSE
-
12.3
-
12.4
-
12.5
-
15.0
-
15.1
-
15.2
-
Linux オペレーティングシステムでは、次のポスチャ条件がサポートされています。
-
ファイル条件
-
アプリケーション条件
-
マルウェア対策条件
-
パッチ管理条件
Linux クライアントのエージェントプロファイルを設定できます。AnyConnect Linux クライアントのクライアント プロビジョニング リソースを追加できます。
詳細については、『Cisco ISE Administrator Guide, Release 3.1』の「Compliance」の章を参照してください。
VMware Cloud 環境での ERS サービスの自動有効化
Cisco ISE の Amazon マシンイメージ(AMI)バージョンが VMware クラウド環境に展開されている場合、外部 RESTful サービス(ERS)API サービスはデフォルトで有効になっています。これにより、Cisco ISE GUI から ERS サービスを有効にすることなく、Cisco ISE と他のシスコ製品およびサードパーティ製アプリケーションを簡単に統合できます。
詳細については、『Cisco ISE Administrator Guide, Release 3.1』の「Basic Setup」の章にある「Enable API Service」を参照してください。
pxGrid クライアント自動承認 API
Cisco pxGrid を使用して、Cisco ISE セッションディレクトリからの状況依存情報を、Cisco ISE エコシステムのパートナーシステムなどの他のネットワークシステムやシスコの他のプラットフォームと共有できます。PxGrid クライアント自動承認 API を使用して、次のことができます。
-
新しい pxGrid クライアントからの証明書ベースの接続要求の自動承認を有効にします。環境内のすべてのクライアントを信頼している場合にのみ、このオプションを有効にします。
-
pxGrid クライアントのユーザー名またはパスワードベースの認証を有効にします。このオプションを有効にした場合、pxGrid クライアントを自動的に承認することはできません。pxGrid クライアントは、REST API を介してユーザー名を送信することで、pxGrid コントローラに自身を登録できます。pxGrid コントローラは、クライアント登録時に pxGrid クライアントのパスワードを生成します。管理者は接続要求を承認または拒否できます。
pxGrid クライアント自動承認 API の詳細については、ERS SDK の「pxGrid Settings」のセクションを参照してください。次の URL で ERS SDK にアクセスできます。
https://<ISE-Admin-Node>:9060/ers/sdk
(注) |
[ERS 管理者(ERS Admin)] のロールを持つユーザーのみが、ERS SDK にアクセスできます。 |
Active Directory アカウントに対するパスワードの最大試行回数の設定
不正なパスワードの試行が多すぎることが原因で Active Directory アカウントがロックアウトされるのを防ぐために、badPwdCount 属性を設定できます。Cisco ISE は、ユーザーを認証する前に、Cisco ISE で設定されている不正なパスワードの最大試行回数を Active Directory における badPwdCount 属性の現在の値と比較します。Cisco ISE で設定された不正なパスワードの最大試行回数が badPwdCount 属性の値と等しい場合、認証はドロップされ、Active Directory に送信されません。
詳細については、『Cisco ISE Administrator Guide, Release 3.1』の「Asset Visibility」の章にある「Configure Maximum Password Attempts for AD Account」を参照してください。
モバイルデバイス管理サーバーを使用した、ランダムで変化する MAC アドレスの処理
プライバシー対策として、モバイルデバイスおよび一部のデスクトップのオペレーティングシステムでは、接続先の SSID ごとにランダムで変化する MAC アドレスを使用することが増えています。Cisco ISE では、MAC アドレスの代わりに、GUID と呼ばれる一意のデバイス識別子を使用するように Cisco ISE を設定することで、この問題を回避できます。エンドポイントがモバイルデバイス管理(MDM)サーバーに登録されると、GUID 値を含む証明書が MDM サーバーからエンドポイントに送信されます。エンドポイントでは、Cisco ISE での認証にこの証明書が使用されます。Cisco ISE は、証明書からエンドポイントの GUID を受信します。Cisco ISE と MDM サーバー間のすべての通信で、GUID を使用してエンドポイントが識別され、2 つのシステム間の精度と一貫性が確保されます。
詳細については、『Cisco ISE Administrator Guide, Release 3.1』の「Secure Wired Access」の章にある「Handle Random and Change MAC Addresses With Mobile Device Management Servers」を参照してください。
BYOD の MAC ランダム化
Android 及び iOS デバイスでは、接続先の SSID ごとにランダムで変化する MAC アドレスを使用することが増えています。Cisco ISE および MDM システムは、サービスに接続するために使用する SSID に応じて、同じデバイスの異なる MAC アドレスを認識します。したがって、エンドポイントを識別するため、Cisco ISE プロビジョニングサービスによって一意の識別子が生成されます。
詳細については、『Cisco ISE Administrator Guide, Release 3.1』の「Basic Setup」の章にある「MAC Randomization for BYOD」を参照してください。
エンドポイント API の機能拡張
logicalProfileName フィルタを使用して、特定の論理プロファイルに属するエンドポイントを取得できます。logicalProfileNamefilter でサポートされている演算子は EQ(等しい)です。このフィルタを使用して API を呼び出す構文は次のとおりです。
/ers/config/endpoint?filter={ファイル名}.{演算子}.{倫理プロファイル名}
詳細については、『Cisco ISE API Reference Guide』を参照してください。
ポスチャスクリプト修復
ポスチャ修復スクリプトを作成して Cisco ISE にアップロードし、エンドポイントのコンプライアンス違反の問題を解決できます。
詳細については、『Cisco ISE Administrator Guide, Release 3.1』の「Compliance」の章にある「Add a Script Remediation」を参照してください。
RHEL 8.2 のサポート
Cisco ISE は、Red Hat Enterprise Linux(RHEL)に基づき、Cisco Application Deployment Engine オペレーティングシステム(ADEOS)で動作します。Cisco ISE 3.1 では、ADEOS は RHEL 8.2 に基づいています。
RHEL 8.2 は、次の VMware ESXi バージョンをサポートしています。
-
VMware ESXi 6.5
-
VMware ESXi 6.5 U1
-
VMware ESXi 6.5 U2
-
VMware ESXi 6.5 U3
-
VMware ESXi 6.7
-
VMware ESXi 6.7 U1
-
VMware ESXi 6.7 U2
-
VMware ESXi 6.7 U3
-
VMware ESXi 7.0
-
VMware ESXi 7.0 U1
-
VMware ESXi 7.0 U2
-
VMware ESXi 8.0
詳細については、『Cisco Identity Services Engine Upgrade Journey, Release 3.1』の「Overview」の章を参照してください。.
SAML ベースの管理者ログイン
SAML ベースの管理者ログインは、SAML 2.0 標準規格を使用して Cisco ISE にシングルサインオン機能を追加します。Okta などの外部 ID プロバイダーや、SAML 2.0 を導入する任意の ID プロバイダーを使用できます。
詳細については、『Cisco ISE Administrator Guide, Release 3.1』の「Asset Visibility」の章にある「SAML-based Admin Login」を参照してください。
特定ライセンス予約
特定のライセンス予約は、組織のセキュリティ要件で Cisco ISE と Cisco Smart Software Manager(CSSM)間の永続的な接続が許可されていない場合にスマートライセンスを管理するためのスマートライセンス方式です。特定のライセンス予約では、Cisco ISE ノードで特定のライセンス権限を予約できます。
予約する必要があるライセンスのタイプと数を定義して特定のライセンス予約を作成し、Cisco ISE ノードで予約をアクティブ化します。登録して予約を有効にした Cisco ISE ノードは、ライセンスの使用を追跡し、ライセンス消費のコンプライアンスを適用します。
詳細については、『Cisco ISE Administrator Guide, Release 3.1』の「Licensing」章にある「Specific License Reservation」を参照してください。
pxGrid 2.0 へのアップグレード
Cisco ISE リリース 3.1 以降、すべての pxGrid 接続は pxGrid 2.0 に基づく必要があります。 pxGrid 1.0 ベース(XMPP ベース)の統合は、リリース 3.1 以降の Cisco ISE では動作しなくなります。
WebSocket に基づく pxGrid バージョン 2.0 は、Cisco ISE リリース 2.4 で導入されました。統合の中断を防ぐために、他のシステムを計画して pxGrid 2.0 準拠バージョンにアップグレードすることをお勧めします。
詳細については、『Cisco ISE Administrator Guide, Release 3.1』の「pxGrid」の章を参照してください。
(注) |
show application status ise コマンドの出力には、pxGrid 1.0 サービスのステータスのみが反映されます。 |
ゼロタッチ プロビジョニング
ゼロタッチプロビジョニング(ZTP)は、手動介入なしで Cisco ISE のインストール、インフラストラクチャ サービスの有効化、パッチ適用、およびホットパッチ適用を自動化するのに役立つ、中断のないプロビジョニングメカニズムを指します。
詳細については、『Cisco ISE Installation Guide, Release 3.1』の「Additional Installation Information」の章にある「Zero Touch Provisioning」を参照してください。
Cisco Secure Access Control System から Cisco ISE への移行ツール
Cisco Secure Access Control System から Cisco ISE への移行ツールは、Cisco ISE 3.1 以降ではサポートされていません。Cisco Secure Access Control System のサポート終了日が発表されました。詳細については、「End-of-Life Notice」を参照してください。
システム要件
Cisco ISE の設定を継続使用する場合は、次のシステム要件が満たされていることを確認してください。
この Cisco ISE リリースのハードウェア プラットフォームとインストールの詳細については、『Cisco Identity Services Engine Hardware Installation Guide』を参照してください。
サポート対象ハードウェア
Cisco ISE リリース 3.1 は、次のプラットフォームにインストールできます。
|
ハードウェア プラットフォーム |
設定 |
|---|---|
|
Cisco SNS-3595-K9(大規模) |
アプライアンスハードウェアの仕様については、『 Cisco Secure Network Server Appliance Hardware Installation Guide』を参照してください。 |
|
Cisco SNS-3615-K9(小規模) |
|
|
Cisco SNS-3655-K9(中規模) |
|
|
Cisco SNS-3695-K9(大規模) |
|
|
Cisco SNS-3715-K9(小規模) |
|
|
Cisco SNS-3755-K9(中規模) |
|
|
Cisco SNS-3795-K9(大規模) |
(注) |
|
インストール後、上記の表に記載されているプラットフォームで、管理、モニターリング、pxGrid などの特定のコンポーネントペルソナを使用して Cisco ISE を設定できます。これらのペルソナに加えて、Cisco ISE では、プロファイリングサービス、セッションサービス、脅威中心型 NAC サービス、TrustSec 用の SXP サービス、TACACS+ デバイス管理サービス、およびパッシブ ID サービスなど、ポリシーサービス内に他のタイプのペルソナが含まれています。
サポートされる仮想環境
Cisco ISE は次の仮想環境プラットフォームをサポートしています。
-
-
ESXi 6.5 の VMware バージョン 9
-
ESXi 6.7 以降の VMware バージョン 14
Cisco ISE リリース 3.0 以降のリリースでは、VMware ESXi 7.0.3 以降のリリースに更新することを推奨します。
次のパブリック クラウド プラットフォーム上の VMware クラウドソリューションに Cisco ISE を展開できます。
-
Amazon Web サービス(AWS)の VMware クラウド:Cisco ISE をAWS の VMware クラウドが提供するソフトウェアデファインド データセンターでホストします。
-
Azure VMware ソリューション:Azure VMware ソリューションは、Microsoft Azure 上でネイティブに VMware ワークロードを実行します。Cisco ISE を VMware 仮想マシンとしてホストできます。
-
Google Cloud VMware Engine:Google Cloud VMware Engine は、Google Cloud 上の VMware によってソフトウェアデファインド データセンターを実行します。VMware Engine によって提供されるソフトウェアデファインド データセンターで、VMware 仮想マシンとして Cisco ISE をホストできます。
(注)
Cisco ISE 3.1 以降では、仮想マシン(VM)インスタンス(任意のペルソナを実行)のホスト間での移行に VMware マイグレーション機能を使用できます。Cisco ISE はホットマイグレーションとコールドマイグレーションの両方をサポートします。ホットマイグレーションは、ライブマイグレーションまたは vMotion とも呼ばれます。ホットマイグレーション中に Cisco ISE をシャットダウンしたり、電源をオフにしたりする必要はありません。可用性を損なうことなく、Cisco ISE VM を移行できます。
-
-
Microsoft Windows Server 2012 R2 以降の Microsoft Hyper-V
-
QEMU 2.12.0-99 上の KVM
(注)
Cisco ISE は OpenStack にインストールできません。
-
Nutanix AHV 20201105.2096
次のパブリック クラウド プラットフォーム上に Cisco ISE をネイティブに展開できます。
-
Amazon Web Services(AWS)
仮想マシンの要件に関する情報については、お使いの Cisco ISE バージョンの『Cisco Identity Services Engine インストールガイド』を参照してください。
連邦情報処理標準(FIPS)モードのサポート
Cisco ISE は、組み込みの連邦情報処理標準(FIPS)140-2 検証済み暗号化モジュール、Cisco FIPS オブジェクト モジュール バージョン 7.2a(証明書 #4036)を使用します。Cisco ISE 3.1 パッチ 1 以降が必要です。FIPS コンプライアンス要求の詳細については、Global Government Certifications を参照してください。
Cisco ISE で FIPS モードが有効になっている場合は、次の点を考慮してください。
-
すべての FIPS 非準拠暗号スイートは無効になります。
-
証明書と秘密キーには、FIPS 準拠ハッシュと暗号化アルゴリズムのみを使用する必要があります。
-
RSA 秘密キーには、2048 ビット以上を指定する必要があります。
-
楕円曲線デジタル署名アルゴリズム(ECDSA)の秘密キーには、224 ビット以上を指定する必要があります。
-
Diffie–Hellman Ephemeral(DHE)暗号方式は 2048 ビット以上の Diffie–Hellman(DH)パラメータを使用して動作します。
-
SHA1 は、ISE ローカルサーバー証明書の生成を許可されていません。
-
EAP-FAST の匿名 PAC プロビジョニングオプションは無効です。
-
ローカル SSH サーバーは FIPS モードで動作します。
-
RADIUS の場合、次のプロトコルは FIPS モードではサポートされていません。
-
EAP-MD5
-
PAP
-
CHAP
-
MS-CHAPv1
-
MS-CHAPv2
-
LEAP
-
対応ブラウザ
Cisco ISE 3.1 は、次のブラウザでサポートされています。
-
Mozilla Firefox 123、125
-
Mozilla Firefox ESR 102.4 以前のバージョン
-
Google Chrome 122、124
-
Microsoft Edge 122、125
(注) |
現在、モバイルデバイスで Cisco ISE GUI にアクセスすることはできません。 |
検証済み外部 ID ソース
(注) |
サポートされている Active Directory バージョンは、Cisco ISE と Cisco ISE-PIC の両方で同じです。 |
|
外部 ID ソース |
バージョン |
|---|---|
|
Active Directory |
|
|
Microsoft Windows Active Directory 2012 |
Windows Server 2012 |
|
Microsoft Windows Active Directory 2012 R2 1 |
Windows Server 2012 R2 |
|
Microsoft Windows Active Directory 2016 |
Windows Server 2016 |
|
Microsoft Windows Active Directory 2019 |
Windows Server 2019 |
|
Microsoft Windows Active Directory 2022 |
Windows Server 2022(パッチ Windows10.0-KB5025230-x64-V1.006.msu 適用済み) |
|
LDAP サーバー |
|
|
SunONE LDAP ディレクトリサーバー |
バージョン 5.2 |
|
OpenLDAP ディレクトリサーバー |
バージョン 2.4.23 |
|
任意の LDAP v3 準拠サーバー |
LDAP v3 準拠のすべてのバージョン |
|
LDAP としての AD |
Windows Server 2022(パッチ Windows10.0-KB5025230-x64-V1.006.msu 適用済み) |
|
トークンサーバー |
|
|
RSA ACE/サーバー |
6.x シリーズ |
|
RSA 認証マネージャ |
7.x および 8.x シリーズ |
|
Any RADIUS RFC 2865 準拠のトークン サーバー |
RFC 2865 準拠のすべてのバージョン |
|
セキュリティ アサーション マークアップ言語(SAML)シングルサインオン(SSO) |
|
|
Microsoft Azure MFA |
最新 |
|
Oracle Access Manager(OAM) |
バージョン 11.1.2.2.0 |
|
Oracle Identity Federation(OIF) |
バージョン 11.1.1.2.0 |
|
PingFederate サーバー |
バージョン 6.10.0.4 |
|
PingOne クラウド |
最新 |
|
セキュア認証 |
8.1.1 |
|
SAMLv2 準拠の ID プロバイダー |
SAMLv2 準拠の任意の ID プロバイダバージョン |
|
Open Database Connectivity(ODBC)アイデンティティソース |
|
|
Microsoft SQL Server |
Microsoft SQL Server 2012 Microsoft SQL Server 2022 |
|
Oracle |
Enterprise Edition リリース 12.1.0.2.0 |
|
PostgreSQL |
9.0 |
|
Sybase |
16.0 |
|
MySQL |
6.3 |
|
ソーシャルログイン(ゲストユーザーアカウントの場合) |
|
|
|
最新 |
Cisco ISE は、Microsoft Windows Active Directory 2012 R2 のすべてのレガシー機能をサポートしていますが、保護ユーザーグループなどの Microsoft Windows Active directory 2012 R2 の新機能はサポートされていません。
サポート対象のウイルス対策およびマルウェア対策製品
Cisco ISE ポスチャエージェントでサポートされているウイルス対策およびマルウェア対策製品の詳細については、Cisco AnyConnect ISE ポスチャのサポート表を参照してください。
検証済み OpenSSL のバージョン
Cisco ISE 3.1 は、OpenSSL 1.1.1k で検証済みです。
OpenSSL の更新には CA 証明書で CA:True であることが必要
証明書を CA 証明書として定義するには、証明書に次のプロパティが含まれている必要があります。
basicConstraints=CA:TRUE
このプロパティは、最近の OpenSSL 更新に準拠するために必須です。
既知の制限事項と回避策
このセクションでは、さまざまな既知の制限と対応する回避策に関する情報を提供します。
イーサネット MAC アドレスベースの API に対する Microsoft コンプライアンス取得 API のサポート
Microsoft コンプライアンス取得 API は現在、MAC アドレスベースの API のイーサネット MAC 属性をサポートしていません。この制限は 2024 年 1 月、Microsoft により対処されます。有線で展開する場合は、次のパッチにアップグレードする前に、GUID 埋め込み証明書に移行することをお勧めします:Cisco ISE リリース 3.1 パッチ 8、Cisco ISE リリース 3.2 パッチ 4、または Cisco ISE リリース 3.3 パッチ 1。
不正なスマートライセンス消費レポート
Cisco ISE リリース 3.1 パッチ 5 または 6 にアップグレードした後、スマートライセンス設定で直接 HTTPS または HTTPS プロキシの接続方法を使用している場合、誤ったコンプライアンスステータスが報告されることがあります。Cisco ISE と CSSM 間の通信エラーが原因で、誤ったライセンス消費数が報告されることがあります。
通信エラーをトラブルシューティングするには、Cisco ISE 管理ポータルの [Licensing] ウィンドウで、スマートライセンスを登録解除してから再登録します。
CSCwc74531 ホットパッチが ISE アプリケーションサーバーに与える影響
次の条件がすべて満たされている場合、CSCwc74531 ホットパッチをインストールすると、Cisco ISEアプリケーションサーバーが影響を受けます。
-
ise-3.1.0.518.SPA.x86_64.iso ファイルを使用して Cisco ISE リリース 3.1 をインストールした
-
Cisco ISE リリース 3.1 パッチ 3 以前を実行している
-
Log4j ホットパッチを適用した
このような場合は、Cisco TAC に連絡してノードの回復を依頼してください。
Cisco ISE リリース 3.1 パッチ 3 以前を使用している場合は、Log4j または CSCwc74531 ホットパッチを適用するのではなく、パッチ 5 以降のバージョンにアップグレードすることを推奨します。
ise-3.1.0.518b.SPA.x86_64.isoファイルを使用して Cisco ISE リリース 3.1 をインストールした場合、この制限によって Cisco ISE が影響を受けることはありません。
ClamWin 製品のマルウェア対策条件
ClamWin Pty Ltd ベンダーのマルウェア対策条件を追加しようとすると、次のエラーメッセージが表示される場合があります。
class com.cisco.cpm.posture.exceptions.PostureException:Check am_linux_def_v4_ClamWinPtyLtd is not foundバージョン 0.x の複数の ClamWin 製品が [Baseline Condition] タブにリストされている場合、それらの製品のいずれかを選択してマルウェア対策条件を設定すると、上記のエラーメッセージが表示されることがあります。
このようなシナリオでは、ポスチャフィードの更新を 1 回以上実行して、バージョン 0.x の複数のエントリを削除する必要があります。
回避策として、[Advanced Condition] タブから製品を選択し、ClamWin Pty Ltd ベンダーのマルウェア対策条件を設定できます。
誤ったハッシュ値が原因で SNMP ユーザーの認証がアップグレード後に失敗する可能性
Cisco ISE 2.7 以前のリリースから Cisco ISE 3.1 にアップグレードする場合は、アップグレード後に SNMP ユーザーの設定を再設定する必要があります。そうしないと、誤ったハッシュ値が原因で SNMP ユーザーの認証が失敗する可能性があります。
SNMPv3 ユーザーの設定を再設定するには、次のコマンドを使用します。
no snmp-server user <snmp user> <snmp version> <auth password> <priv password>
snmp-server user <snmp user> <snmp version> <auth password> <priv password>
[名前(Name)] および [説明(Description)] フィールドでの特殊文字の使用に関する制限
-
TACACS+ プロファイルおよびデバイス管理ネットワーク条件の [説明(Description)] フィールドでは、特殊文字 [%\<>*^:"|',=/()$.@;&-!#{}.?] は使用できません。サポートされる文字は、英数字、アンダースコア、およびスペースです。
-
認証プロファイルの [名前(Name)] および [説明(Description)] フィールドでは、特殊文字 %\<>*^:\"|',= は使用できません。[名前(Name)] および [説明(Description)] フィールドでサポートされる文字は、英数字、ハイフン、ドット、アンダースコア、およびスペースです。
-
時刻と日付の条件の [名前(Name)] および [説明(Description)] フィールドでは、 特殊文字 [%\#$&()~+*@{}!/?;:',=^`]"<>" は使用できません。[名前(Name)] および [説明(Description)] フィールドで サポートされる文字は、英数字、ハイフン、ドット、アンダースコア、およびスペースです。
Make a Wish オプションは日本語では利用不可
Cisco ISE で日本語を有効にするようにローカライズ設定をしている場合、Make a Wish オプションは日本語では使用できないことに注意してください。
認証の Radius ログ
認証イベントの詳細は、[Radius認証(Radius Authentications)] ウィンドウの [詳細(Details)] フィールドで確認できます。認証イベントの詳細を使用できるのは 7 日間のみで、その後は認証イベントのデータを表示することはできません。すべての認証ログ データは、パージがトリガーされると削除されます。
Trustsec AAAサーバーリストのサーバー IP の更新
Cisco ISE インスタンスの IP アドレスを CLI を使用して変更すると、Cisco ISE サービスは再起動されます。サービスが起動した後、Trustsec AAA サーバーの IP アドレスを変更する必要があります。Cisco ISE GUI で [メニュー(Menu)] アイコン(
)をクリックして選択します。 を選択します。
EAP-TLS 認証が TPM モジュールを使用した証明書で失敗する
Cisco ISE リリース 3.1 では、Windows 10 で TPM モジュールを使用した証明書で EAP-TLS 認証が失敗することがあります。これは TPM モジュールの問題であり、Cisco ISE の問題ではありません。
application configure ise[33]Enable/Disable/Current_status of RSA_PSS signature for EAP-TLS.3.1P8 SLR 登録済みノードでパッチロールバック後に SL 登録済みと表示される
Cisco ISE リリース 3.1 パッチ 8 以降のリリースを Cisco ISE ノードにインストールし、特定ライセンス登録(SLR)を有効にしてから以前のリリースにロールバックすると、ノードは SLR ではなくスマートライセンス(SL)に自動的に登録されます。この場合、ライセンス設定が正しくないために登録解除または更新操作が機能しないので、SLR を返却することはできません。この問題は、TAC の介入によって解決できます。
これを回避するには、以前のリリースにロールバックする前に SLR を返却する必要があります。各ノードには、SLR を返却するために Cisco Smart Software Manager(CSSM)で送信する必要がある一意のコードが設定されています。Cisco ISE リリース 3.1 パッチ 8 以降をインストールする前に SLR を有効にしていた場合は、以前のリリースにロールバックする前に SLR を返却する必要はありません。
アップグレード情報
リリース 3.1 へのアップグレード
次の Cisco ISE リリースからリリース 3.1 に直接アップグレードできます。
-
2.6
-
2.7
-
3.0
Cisco ISE リリース 2.6 より前のバージョンの場合は、まず上記のリリースのいずれかにアップグレードしてから、リリース 3.1 にアップグレードする必要があります。
アップグレードの開始前に、既存のバージョンで最新のパッチにアップグレードすることをお勧めします。
アップグレードパッケージ
アップグレードパッケージおよびサポートされているプラットフォームに関する情報は、Cisco ISE Software Download から入手できます。
アップグレード手順の前提条件
-
設定されたデータを必要な Cisco ISE バージョンにアップグレードできるかどうかを確認するには、アップグレードの前にアップグレード準備ツール(URT)を実行します。ほとんどのアップグレードの失敗は、データのアップグレードの問題が原因で発生します。URT により実際のアップグレード前にデータを検証し、問題があれば報告します。URT は Cisco ISE Download Software Center からダウンロードできます。
-
アップグレードの開始前に関連するすべてのパッチをインストールすることをお勧めします。
詳細については、『Cisco Identity Services Engine Upgrade Guide』を参照してください。
テレメトリ
インストール後の管理者ポータルへの初回ログイン時には、Cisco ISE テレメトリバナーが表示されます。この機能を使用して、Cisco ISE は、ユーザーの展開、ネットワーク アクセス デバイス、プロファイラ、およびユーザーが使用している他のサービスに関する非機密情報を安全に収集します。このデータは、今後のリリースでサービスを向上させ、より多くの機能を提供するために使用されます。デフォルトでは、テレメトリは有効になっています。アカウント情報を無効または変更するには、[管理(Administration)] > [設定(Settings)] > [ネットワーク設定診断(Network Settings Diagnostics)] > [テレメトリ(Telemetry)] を選択します。アカウントは、各展開に固有です。各管理者ユーザーが個別に提供する必要はありません。
Cisco ISE でテレメトリ機能が無効になり、テレメトリデータの共有が停止するまでに最大 24 時間かかる場合があります。
収集されるデータのタイプには、製品使用状況テレメトリや Cisco Support Diagnostics などがあります。
Cisco Support Diagnostics
Cisco Support Diagnostics Connector は、Cisco Technical Assistance Center(TAC)とシスコのサポートエンジニアがプライマリ管理ノードから展開の情報を取得するのに役立つ 。デフォルトでは、この機能は無効になっています。この機能を有効にする手順については、『Cisco Identity Services Engine 管理者ガイド』を参照してください。
Cisco ISE ライブアップデートポータル
Cisco ISE ライブアップデートポータルは、サプリカント プロビジョニング ウィザード、AV/AS サポート(コンプライアンスモジュール)、およびクライアント プロビジョニングとポスチャポリシーサービスをサポートするエージェント インストーラ パッケージを自動的にダウンロードするのに役立ちます。このライブアップデートポータルは、Cisco ISE を使用して Cisco.com から該当するデバイスに最新のクライアント プロビジョニングおよびポスチャソフトウェアを直接取得するように、初期展開時に Cisco ISE で設定します。
デフォルトのアップデートポータル URL にアクセスできず、ネットワークにプロキシサーバーが必要な場合は、プロキシを設定します。ライブアップデートポータルにアクセスする前に、[管理(Administration)] > [システム(System)]
> [設定(Settings)] > [プロキシ(Proxy)] の順に選択します。Cisco ISE GUI で [メニュー(Menu)] アイコン()をクリックして選択します。プロキシ設定でプロファイラ、ポスチャ、およびクライアント プロビジョニング フィードへのアクセスが許可されている場合、Cisco ISE は MDM 通信のプロキシサービスをバイパスできないため、モバイルデバイス管理(MDM)サーバーへのアクセスがブロックされます。これを解決するには、MDM
サーバーとの通信を許可するようにプロキシサービスを設定できます。プロキシ設定の詳細については、『Cisco Identity Services Engine Administrator Guide』の「Specify Proxy Settings in Cisco ISE」の項を参照してください。
クライアント プロビジョニングとポスチャのライブアップデートポータル
次の場所からクライアント プロビジョニング リソースをダウンロードできます。
Cisco ISE GUI で [メニュー(Menu)] アイコン()をクリックして選択します。 。
次のソフトウェア要素は、次の URL から入手できます。
-
Windows および Mac OS X ネイティブサプリカント向けのサプリカント プロビジョニング ウィザード
-
最新の Cisco ISE の永続的なエージェントおよび一時的なエージェントの Windows バージョン
-
最新の Cisco ISE の永続的なエージェントの Mac OS X バージョン
-
ActiveX および Java アプレット インストーラ ヘルパー
-
AV/AS コンプライアンス モジュール ファイル
クライアント プロビジョニング アップデート ポータルで利用可能なソフトウェアパッケージを Cisco ISE に自動的にダウンロードする方法については、『Cisco Identity Services Engine Administrator Guide』の「Configure Client Provisioning」の章の「Download Client Provisioning Resources Automatically」の項を参照してください。
次の場所からポスチャ更新をダウンロードできます。
Cisco ISE GUI で [メニュー(Menu)] アイコン()をクリックして選択します。
次のソフトウェア要素は、次の URL から入手できます。
-
シスコで事前定義されたチェックとルール
-
Windows および Mac OS X の AV/AS サポート表
-
Cisco ISE オペレーティングシステムのサポート
このポータルで利用可能なソフトウェアパッケージを Cisco ISE に自動的にダウンロードする方法については、『Cisco Identity Services Engine Administrator Guide』の「Download Posture Updates Automatically」の項を参照してください。
自動ダウンロード機能を有効にしていない場合、更新をオフラインでダウンロードすることができます。
Cisco ISE オフライン更新
このオフライン更新オプションを使用すると、Cisco ISE を使用してデバイスから Cisco.com にインターネット経由で直接アクセスできない場合、またはセキュリティポリシーによって許可されていない場合に、クライアント プロビジョニングおよびポスチャ更新をダウンロードできます。
オフラインのクライアント プロビジョニング リソースをアップロードするには、次の手順を実行します。
手順
|
ステップ 1 |
https://software.cisco.com/download/home/283801620/type/283802505/release/3.1.0に進みます。 |
|
ステップ 2 |
ログインクレデンシャルを入力します。 |
|
ステップ 3 |
Cisco Identity Services Engine のダウンロードウィンドウに移動し、リリースを選択します。 次のオフライン インストール パッケージをダウンロードできます。
|
|
ステップ 4 |
[ダウンロード(Download)] または [カートに追加(Add to Cart)] のいずれかをクリックします。 |
ダウンロードしたインストールパッケージを Cisco ISE に追加する方法については、『Cisco Identity Services EngineAdministrator Guide』の「Add ClientProvisioning Resources from a Local Machine」のセクションを参照してください。
ポスチャ更新を使用して、ローカルシステムのアーカイブから Windows および Mac オペレーティングシステムのチェック、オペレーティングシステム情報、ウイルス対策とスパイウェア対策サポート表を更新できます。
オフライン更新の場合は、アーカイブファイルのバージョンが設定ファイルのバージョンと一致していることを確認します。Cisco ISE を設定した後にオフラインでポスチャ更新を使用し、ポスチャポリシーサービスの動的更新を有効にします。
オフラインのポスチャ更新をダウンロードするには、次のようにします。
手順
|
ステップ 1 |
https://www.cisco.com/web/secure/spa/posture-offline.htmlに進みます。 |
||
|
ステップ 2 |
ローカルシステムに posture-offline.zip ファイルを保存します。このファイルを使用すると、Windows および Mac オペレーティングシステムのオペレーティングシステム情報、チェック、ルール、ウイルス対策とスパイウェア対策サポート表が更新されます。 |
||
|
ステップ 3 |
[管理(Administration)] > [システム(System)] > [設定(Settings)] > [ポスチャ(Posture)]。Cisco ISE GUI で [メニュー(Menu)] アイコン( |
||
|
ステップ 4 |
矢印をクリックすると、ポスチャの設定が表示されます。 |
||
|
ステップ 5 |
[更新(Updates)] をクリックします。 [ポスチャ更新(Posture Updates)] ウィンドウが表示されます。
|
||
|
ステップ 6 |
[オフライン(Offline)] オプションをクリックします。 |
||
|
ステップ 7 |
[参照(Browse)] をクリックし、システムのローカルフォルダからアーカイブファイル(posture-offline.zip)を検索します。
|
||
|
ステップ 8 |
[今すぐ更新(Update Now)] をクリックします。 |
設定要件
-
関連する Cisco ISE ライセンス料金を支払う必要があります。
-
最新のパッチをインストールする必要があります。
-
Cisco ISE ソフトウェア機能がアクティブになっている必要があります。
モニタリングおよびトラブルシューティング
システムのモニタリングおよびトラブルシューティングに関する詳細については、『 Cisco Identity Services Engine 管理者ガイド』の「Cisco ISE のモニタリングとトラブルシューティング サービス」のセクションを参照してください。
発注情報
Cisco ISE の詳細な発注およびライセンス情報については、 Cisco IdentityServices Engine 注文ガイド [英語] を参照してください。
Cisco ISE の Cisco Catalyst Center との統合
Cisco ISE は Cisco Catalyst Center との統合が可能です。Catalyst Center と連携するように Cisco ISE を設定する方法については、Cisco Catalyst Center のドキュメントを参照してください。
Cisco ISE と Catalyst Center との互換性については、「Cisco SD-Access Compatibility Matrix」[英語] を参照してください。
Cisco AI エンドポイント分析
Cisco AI エンドポイント分析は、エンドポイント プロファイリングの忠実度を改善する Cisco DNA Center のソリューションです。きめ細かいエンドポイント識別を提供し、さまざまなエンドポイントにラベルを割り当てます。ディープパケット インスペクション、および Cisco ISE、Cisco SD-AVC、ネットワークデバイスなどのソースからのプローブによって収集された情報は、エンドポイント プロファイリングのために分析されます。
Cisco AI エンドポイント分析は、人工知能(AI)と機械学習機能を使用して、同様の属性を持つエンドポイントを直感的にグループ化します。IT 管理者は、これらのグループを確認してラベルを割り当てることができます。割り当てられたエンドポイントラベルは、Cisco ISE アカウントがオンプレミスの Cisco DNA Center に接続されている場合、Cisco ISE で使用できます。
Cisco AI エンドポイント分析の結果割り当てられたエンドポイントラベルは、Cisco ISE 管理者がカスタム認証ポリシーを作成するために使用できます。それらの認証ポリシーを使用して、エンドポイントまたはエンドポイントグループに適切なアクセス権限のセットを提供できます。
新しいパッチのインストール
システムへのパッチの適用方法については、『Cisco Identity Services Engine Upgrade Journey』の「Cisco ISE Software Patches」セクションを参照してください。
CLI を使用したパッチのインストール方法については、『Cisco Identity Services Engine CLI Reference Guide』の「Patch Install」セクション [英語] を参照してください。
(注) |
以前の Cisco ISE リリースにホットパッチをインストールしている場合は、パッチをインストールする前にホットパッチをロールバックする必要があります。そうしないと、整合性チェックのセキュリティの問題により、サービスが開始されない可能性があります。 |
不具合
「不具合」セクションには、バグ ID とそのバグの簡単な説明が含まれています。特定の不具合の症状、条件、および回避策に関する詳細については、シスコのバグ検索ツール(BST)を使用してください。
(注) |
「未解決の不具合」セクションには、現在のリリースに該当し、Cisco ISE 3.1 よりも前のリリースにも該当する可能性のある未解決の不具合が記載されています。これまでのリリースで未解決で、まだ解決されていない不具合は、解決されるまで、今後のすべてのリリースに適用されます。 |
Cisco ISE リリース 3.1 - 累積パッチ 9 の新機能
ローカライズされた ISE のインストール
Cisco ISE の再インストール中に、application configure ise コマンドで [Localized ISE Install] オプション(オプション 36)を使用して、インストール時間を短縮できます。このオプションは、Cisco Secure Network Server と仮想アプライアンスの両方に使用できますが、Cisco Secure Network Server の再インストール時間を大幅に短縮します。このオプションを使用すると、再インストール時間を平均 5 ~ 7 時間から約 1 ~ 2 時間に短縮できます。
詳細については、『Cisco Identity Services Engine CLI Reference Guide, Release 3.1』の「Cisco ISE CLI Commands in EXEC Mode」の章にある「Localized ISE Installation」[英語] を参照してください。
Cisco ISE リリース 3.1 - 累積パッチ 9 の解決済みの不具合
|
ID |
見出し |
|---|---|
|
[Licensing] ページで使用される用語情報の提供に関する Cisco Umbrella の不具合。 |
|
|
スマートライセンシング登録失敗の詳細情報の表示に関する Cisco Umbrella の不具合。 |
|
|
データ破損により FailureReason=11007 または FailureReason=15022 が発生する。 |
|
|
Cisco ISE ビジネスロジックの問題:ユーザーディクショナリ。 |
|
|
SNMPD プロセスが原因で Cisco ISE でメモリリークが発生する。 |
|
|
認証中に Identity Access Restricted 属性を適用できない。 |
|
|
Cisco ISE リリース 3.2 パッチ 5 の無効な要求ページ。 |
|
|
1 か月を超えるレポートをエクスポートすると、データが生成されない。 |
|
|
[Operational Data Purging] ページからエクスポートされた RADIUS 認証レポートが空である。 |
|
|
インタラクティブヘルプがコンソールとログにエラーをスローする。 |
|
|
Aruba-MPSK-Passphrase に暗号化のサポートが必要。 |
|
|
MAR キャッシュの複製が、NIC および非 NIC ボンディング インターフェイスの両方のピアノード間で失敗する。 |
|
|
PAN で PSN からのエンドポイントの重要ではない属性更新が欠落している。 |
|
|
Cisco ISE メッセージング証明書の生成では、セカンダリノードで完全な証明書チェーンが複製されない。 |
|
|
SXP 追加操作から IPv6 リンクローカルアドレス用の追加の IPv6-SGT セッションバインディングが作成される。 |
|
|
属性のライブログに手順と解決策の文章が不足している。 |
|
|
ネットワーク デバイス グループを削除できない。 |
|
|
Cisco ISE パッシブ アイデンティティ エージェントのエラー「id to load is required for loading」。 |
|
|
Cisco ISE リリース 3.1 パッチ 8 の寿命設定で、仮想マシンリソース不足のアラームが発生する。 |
|
|
シスコ製品に影響を与える Apache Struts の脆弱性:2023 年 12 月。 |
|
|
Cisco ISE 3.2 が EAP-FAST および EAP チェーンで RADIUS 要求を受信するとクラッシュする。 |
|
|
クライアントから受信したセッションチケットの復号化が Cisco ISE で失敗する。 |
|
|
放棄された Jedis 接続がスレッドプールに返送されない。 |
|
|
パッチのインストール後、Disable_RSA_PSS 環境値の現在値が保存されない。 |
|
|
Cisco ISE 設定でのユーザーごとの dACL の存在の確認。 |
|
|
MNT ノード(ライブログ、レポート)への PPAN REST コールはロードバランシングすべきでない。 |
|
|
高度な調整で優先ドメインコントローラのレジストリ値を設定できない。 |
|
|
Cisco ISE の有用性:ガベージコレクタログ、スレッドダンプ、ヒープダンプなど。 |
|
|
TrustSec 更新 CoA および CoA プッシュが破損している。 |
|
|
[Installed Patches] メニューにすべてのパッチが表示されない。 |
|
|
カスタム属性の保持に失敗する。 |
|
|
PKI キーペアのパスフレーズに「+」記号が含まれている場合、GUI から SFTP リポジトリへの運用バックアップが失敗する。 |
|
|
Premier ライセンスが無効になっている場合の内部システムエラー。 |
|
|
ERS API を使用して DACL を更新すると、最終更新日のタイムスタンプが変更されない。 |
|
|
Cisco Identity Services Engine のクロスサイト リクエスト フォージェリの脆弱性。 |
|
|
cpmSessionId の割り当て中に PSN ノードがクラッシュする。 |
|
|
エンドポイントがポスチャリース内にある場合、PRA に失敗する。 |
|
|
ERS API が単一のエンドポイントを更新するのに数秒かかる。 |
|
|
Cisco ISE リリース 3.1 または 3.2 では、CLI 設定時に既存のルートの検証が行われない。 |
|
|
メタスペースの枯渇によりアプリケーションサーバーがクラッシュする。 |
|
|
証明書のインポート中に Cisco ISE がパスワード内の特殊文字を許可しない。 |
|
|
Cisco ISE のインジェクションの脆弱性。 |
|
|
一部の内部ユーザーのパスワードが、設定されたグローバルパスワードの有効期限を過ぎても失効しない。 |
|
|
一部の Cisco ISE ユーザーは、次回ログイン時のパスワード強制リセットを回避できる。 |
|
|
Cisco ISE リリース 3.1 パッチ 7 で高度なライセンス消費問題を確認。 |
|
|
Cisco pxGrid getUserGroups API 要求が空の応答を返す。 |
|
|
ID ストアが別のブラウザタブから削除されると、Cisco ISE でポリシーを保存できる。 |
|
|
Cisco ISE の自己永続的クロスサイトスクリプティング(XSS)がレポートに表示される。 |
|
|
8 ノードの寿命:SXP コンポーネントが原因で集中的なガベージコレクションが発生する。 |
|
|
プロファイラが誤った値を持つ MDM 属性をキャッシュする。 |
|
|
Cisco ISE サービスが secure syslog で初期化状態のままになる。 |
|
|
[enable password] フィールドが指定されていない場合でも、Cisco ISE ERS API は、内部ユーザーの [enable password] オプションを作成する。 |
|
|
Nexpose Rapid 7:Strict-Transport-Security 形式が正しくない。 |
|
|
スワップクリーンアップスクリプトがスワップ領域をドロップし、cron をプログラムする。 |
|
|
自己登録ポータルの削除に失敗し、500 サーバーエラーがスローされる。 |
|
|
CoA 再試行カウントを「0」に更新する際の問題。 |
|
|
TACACS の永続的な承認を SQL ローダーアプローチに変換。 |
|
|
回帰セットアップの PPAN ノードで jstack に関連するコアを確認。 |
Cisco ISE リリース 3.1 - 累積パッチ 8 の新機能
Microsoft Intune が MDM 統合における UDID ベースのクエリのサポートを終了
2024 年 3 月 24 日以降、Microsoft Intune では MDM 統合の UDID ベースのクエリのサポートを終了します。詳細はこの Field Notice をご確認ください。このサポート終了に対応して、Microsoft Intune MDM 統合から必要なエンドポイント情報を取得するための Cisco ISE API が変更されました。
Cisco ISE リリース 3.1 パッチ 8 以降、Microsoft Intune ではコンプライアンス API に対応して次のエンドポイントの詳細のみを提供します。
-
デバイス コンプライアンス ステータス
-
Intune による管理
-
MAC アドレス
-
登録ステータス
変更の詳細については、『Integrate MDM and UEM Servers with Cisco ISE』を参照してください。
Cisco Catalyst 9800 ワイヤレス LAN コントローラからの Wi-Fi デバイス分析データ
Cisco ISE に統合されたシスコ ワイヤレス LAN コントローラからのデバイス分析データを使用して、Apple、Intel、および Samsung エンドポイントのプロファイリングポリシー、許可条件、および認証条件とポリシーを作成できます。
詳細については、『Cisco ISE Administrator Guide, Release 3.1』の「Asset Visibility」の章にある「Wi-Fi Device Analytics Data from Cisco Catalyst 9800 Wireless LAN Controller」を参照してください。
Cisco ISE リリース 3.1 - 累積パッチ 8 の解決済みの不具合
|
ID |
見出し |
|---|---|
|
読み取り専用の管理者グループのユーザーが、SAML 認証を介して Cisco ISE GUI にログインすると、フルアクセスできる。 |
|
|
Cisco ISE CRL 取得失敗アラームで、CRL のダウンロードが失敗したサーバーが示されない。 |
|
|
「ごみ箱」ボタンの誤動作により、カスタムエンドポイント属性を削除できない。 |
|
|
ワイルドカード証明書を使用しているときに、SubjectAltName 拡張機能を使用して Cisco ISE メッセージングサービスをバインドできない。 |
|
|
tterrors.log および times.log がサポートバンドル内にない。 |
|
|
日本語 UI を使用している場合、 TrustSec ステータスを変更できない。 |
|
|
AD ログイン情報を使用してセカンダリ管理ノードの GUI にログインできない。 |
|
|
Cisco ISE の脆弱性により、不当な任意のファイルのアップロードが許可される。 |
|
|
Cisco ISE REST API ドキュメントで、エンドポイントグループの作成時に誤ったスクリプトが提供される。 |
|
|
SGT、VN 名、VLAN フィールドが空の match 認証プロファイルを使用すると、ポートがクラッシュする。 |
|
|
期限切れのゲストアカウントが、アカウントを再アクティブ化しようとしても SMS を受信しない。 |
|
|
必須ライセンスを無効にすると Cisco ISE GUI ページへのアクセスが制限され、ルート CA を再生成できなくなる。 |
|
|
デバイスの初回接続時に、Cisco ISE がゲストユーザー名で Acs.Username フィールドを更新しない。 |
|
|
セキュリティグループ ACL を編集および保存できない。 |
|
|
エンドポイントの OpenAPI が既存の IOT アセット属性で機能しない。 |
|
|
コマンドセットに特殊文字が含まれている場合、UI には文字の代わりにHTML 16 進数が表示される。 |
|
|
「Cisco サイトからのエージェントリソース」のダウンロードに失敗する。 |
|
|
バインディングのクエリでの H2 DB の遅延が原因で、SXP サービスが初期化でスタックする。 |
|
|
ネットワーク デバイス コンポーネントの ERS の API クエリが、プライマリフィールドとセカンダリフィールドのプライマリ共有秘密を返す。 |
|
|
ANC の修復が AnyConnect VPN で機能していない。 |
|
|
既存のポータルでインターフェイスを編集した後、スポンサーポータルを起動できない。 |
|
|
Cisco ISE リリース 3.1 およびリリース 3.0:特殊文字を使用したポータルタグに検証に関する問題がある。 |
|
|
最後の消去日付のタイムスタンプが正しくない。 |
|
|
ISE:最大ユーザーセッション認証フロー中に TACACS:PSN がクラッシュする。 |
|
|
MNT ログプロセッサが非 MNT 管理 Cisco ISE ノードで有効になっている。 |
|
|
SXP バインディングレポートに「データが見つからない」と表示される。 |
|
|
起動プログラムの修復に一定の順序を設定できる。 |
|
|
日本語表示で、一部の項目に [Test] と表示される。 |
|
|
VLAN ID に不整合がある場合、「Not a valid ODBC dictionary.」というエラーメッセージが表示される。 |
|
|
MNT ログプロセッササービスが夜間に機能を停止する。 |
|
|
カスタム管理メニューのワークセンター権限で UI ページが正しくロードされない。 |
|
|
Cisco ISE が破損した NAS プロファイルをロードできず、障害理由 11007 および 15022 により承認がドロップされる。 |
|
|
保存された条件をドラッグアンドドロップすると読み取り不能になる。 |
|
|
Firefox 45 および Chrome 72 以降の DACL エントリで番号付けの問題を確認。 |
|
|
RADIUS サーバーのシーケンス設定が破損する。 |
|
|
カスタム セキュリティ グループが原因で Cisco ISE のアップグレードが失敗する。 |
|
|
秘密キーのパスワードフィールドまたはフレンドリ名フィールドに特殊文字(%)が追加されている場合、証明書のインポート中に Cisco ISE が応答しない。 |
|
|
Cisco ISE ダッシュボード [Threat for TC-NAC] の [Total Compromised Endpoints] にアクセスすると、データが失われる。 |
|
|
設定バックアップの復元後、ログイン情報を使用してリポジトリを再設定する必要がある。 |
|
|
Cisco ISE リリース 3.1:管理者ログインレポートに 5 分ごとに「管理者の認証に失敗」と表示される。 |
|
|
Cisco ISE アラームとダッシュボードの概要がロードされない。 |
|
|
Cisco ISE パストラバーサルの脆弱性を検出。 |
|
|
Cisco SSL ルールに則った KU 目的の検証なしでクライアント証明書を受け入れる。 |
|
|
SXP で、IP アドレスと SGT 間にマッピングの不整合が発生する。 |
|
|
Cisco ISE リリース 3.1:ドメインユーザーがエンドポイントログイン用に設定されている場合、エージェントレス ポスチャ フローが失敗する。 |
|
|
コールが失敗した場合、Cisco ISE SXP バインディング API コールが 2xx 応答を返す。 |
|
|
Cisco ISE API がユーザーアカウントの作成中にアイデンティティグループを認識しない。 |
|
|
Cisco ISE CLI 読み取り専用ユーザーは show CPU usage コマンドを実行できない。 |
|
|
Cisco ISE リリース 3.1 パッチ 1、2、3、4、および 5 で、アポストロフィで始まる NAD RADIUS 共有秘密キーが正しくない。 |
|
|
Cisco ISE リリース 3.2 ベータ版: TLS 1.0 を有効にした後、GUI にアクセスできない。 |
|
|
ゲストポータルで猶予アクセスを使用すると、エンドポイントの MAC アドレスがエンドポイント ID グループに追加されない。 |
|
|
複数のバージョンで hibernate-validator の脆弱性を検出。 |
|
|
Context Visibility:エンドポイントのカスタム属性を特殊文字でフィルタリングできない。 |
|
|
Cisco ISE リリース 3.0:許可されたドメイン内の無効なドメインが ad_agent ドメインへの接続を試みる。 |
|
|
ゲストタイプ名に特殊文字を使用すると、Cisco ISE スポンサーポータルに入力が無効である旨のエラーが表示される。 |
|
|
Cisco ISE Open API:「/certs/system-certificate/import」でマルチノード展開をサポートする必要がある。 |
|
|
新規展開であるにもかかわらず、Cisco ISE リリース 3.1 で「1 つのドメインコントローラの作成中にエラーが発生しました」と表示される。 |
|
|
ゲストポータルの FQDN がデータベース内のノードの IP アドレスにマッピングされる。 |
|
|
Cisco SL 更新後、ISE ライセンスページに、消費されたライセンスの評価コンプライアンスステータスが表示される。 |
|
|
「-」または「_」文字を含む SNMPv3 ユーザー名が、削除後も 16 進数のユーザー名でデータベースに残る。 |
|
|
Cisco ISE リリース 3.1 パッチ 5:PAN フェールオーバーが失敗した後にゲストポータルを削除しようとする。 |
|
|
暗号化の機能拡張では、MS-RPC コールの AES256 のみを送信するべきである。 |
|
|
Cisco ISE リリース 2.7:Active Directory 診断ツールのスケジュール済みテストを無効にできない。 |
|
|
Cisco ISE の特権昇格の脆弱性。 |
|
|
Cisco ISE の任意のファイルのアップロードの脆弱性。 |
|
|
REST ID ストアグループの Cisco ISE フィルタに、「この要求処理中にエラーが発生しました」と表示される。 |
|
|
Cisco ISE メッセージングサービスが「Not running」と「Initializing」の間でフラッピングしている。 |
|
|
エンドポイントが AC 電源に接続されていない場合、エージェントレス ポスチャ スクリプトが実行されない。 |
|
|
ポータルビルダーを Cisco ISE リリース 3.0 以降で使用すると、[Terms and Conditions] チェックボックスが表示されない。 |
|
|
Cisco ISE リリース 2.6 パッチ 7 は、許可ポリシーの「identityaccessrestricted equals true」と一致しない。 |
|
|
Cisco ISE リリース 3.0 パッチ 6:Policy export でポリシーのエクスポートに失敗する。 |
|
|
Cisco ISE リリース 3.2:スポンサーゲストポータルにおいて、自己登録された電子メールの件名の等号記号(=)以降がすべて切り捨てられる。 |
|
|
Cisco ISE:OpenAPI を介してデバイス管理ネットワーク条件を取得するときに「Error 400」が表示される。 |
|
|
Cisco ISE リリース 2.7 からのバックアップの復元後、Cisco ISE リリース 3.1 サービスを開始できない。 |
|
|
Cisco ISE 証明書 API は、フレンドリ名にハッシュ文字が含まれている場合に信頼できる証明書を返すことができない。 |
|
|
スポンサーが特定のスポンサーグループのゲストアカウントを表示できない。 |
|
|
アクティブ認証 syslog の前に PassiveID syslog が MnT によって受信されると、Cisco ISE EasyConnect スティッチングが発生しない。 |
|
|
ライブセッションが「認証済み」状態でスタックする。 |
|
|
Cisco ISE 3.1:サードパーティのネットワーク デバイス プロファイルが使用されている場合、セッションキャッシュにキー属性がない。 |
|
|
Cisco ISE が設定された SNMP サーバーに SNMPv3 ディスクトラップを送信していない。 |
|
|
既存の証明書の Cisco ISE メッセージングの使用状況を選択できない(グレー表示される)。 |
|
|
PSN ペルソナが無効になっていても、TACACS ポート 49 が開いたままになる。 |
|
|
安全でない HTTP PUT メソッドが受け入れられた。 |
|
|
サードパーティのポスチャフロー中に、セッション情報が時間指定セッションキャッシュに保存されない。 |
|
|
Aruba スイッチを使用した ANC が呼び出されたときに誤った AVP を送信する。 |
|
|
Aruba-MPSK-Passphrase に暗号化のサポートが必要。 |
|
|
ユーザー ID グループとエンドポイント ID グループの説明フィールドの文字数制限が 1199 文字である。 |
|
|
「get all endpoints」オプションを使用すると、IoT アセット情報が欠落する。 |
|
|
Cisco ISE リリース 2.7 パッチ 6:ネットワークデバイス IP で TACACS ライブログをフィルタリングできない。 |
|
|
プロファイリングで、次の形式の発信側ステーション ID の値が処理されない:XXXXXXXXXXXX。 |
|
|
VN 参照を使用したスタティック IP-SGT マッピングにより、DNAC グループベースのポリシーの同期が失敗する。 |
|
|
Cisco ISE リリース 3.1 パッチ 5:CSR オプションを利用して pxGrid クライアント証明書を生成できない。 |
|
|
登録解除から残った証明書を使用してノードを登録すると、現在使用中の証明書が削除される。 |
|
|
pxGrid ポリシーの [Trash all] または [selected] オプションが、内部グループのエントリに影響しないようにする必要がある。 |
|
|
Cisco ISE パッチ GUI のインストールが、展開中に特定の Cisco ISE ノードでスタックする。 |
|
|
Cisco ISE エージェントレスポスチャで、コロンを含むパスワードがサポートされない。 |
|
|
NAS-Port-id の長さが原因で、収集失敗アラームに SQL 例外が送信される。 |
|
|
Cisco ISE で特定の URL を使用すると、tomcat スタックトレースが表示される。 |
|
|
Cisco ISE が EAP-TLS 認証中にピア証明書を取得できない。 |
|
|
[Export all network devices] オプションを使用すると、空のファイルが返される。 |
|
|
Cisco ISE リリース 2.7 以降、「Get all endpoints」オプション要求の実行に時間がかかる。 |
|
|
管理メニューが非表示の場合、カスタム権限を持つ RBAC ポリシーが機能しない。 |
|
|
Cisco ISE リリース 3.2 で PKI ベースの SFTP の S-PAN キーが存在しない。 |
|
|
Cisco ISE リリース 3.1 で ECDSA 証明書を使用した EAP-TLS 認証が失敗する。 |
|
|
エンドポイントの .csv ファイルのインポートで、ファイルを選択した後に「no file chosen」と表示される。 |
|
|
Cisco ISE リリース 3.1 からリリース 3.2 にアップグレードした後、REST AUTH サービスが実行されない。 |
|
|
プロファイラ CoA が誤ったセッション ID で送信される。 |
|
|
AWS の Cisco ISE:正常性チェックの I/O 帯域幅パフォーマンスチェックで誤ったアラームが発生する。 |
|
|
パッチ管理、アップグレード、および正常性チェックで起動ページレベルのヘルプが機能しない、 |
|
|
ct_engine の CPU 使用率が 100% になる。 |
|
|
説明の行に複数のバックスラッシュ文字が含まれているグループベースのポリシー セキュリティ グループまたはアクセス契約が原因で、データの同期に失敗する。 |
|
|
プライマリ PAN ペルソナからアクセスすると、スポンサーポータルでスポンサー権限が無効になる。 |
|
|
[disclose invalid usernames] を無効にすると、アプリケーションサーバーの再起動を伝えるポップアップが表示される。 |
|
|
ドイツのスポンサードポータルのカレンダーに木曜日(Donnerstag)が Di not Do と表示される。 |
|
|
ユーザー名が特殊文字「$」で始まる場合、Windows でエージェントレスポスチャが機能しない。 |
|
|
Cisco ISE 認証プロファイルに誤ったセキュリティグループや VN 値が表示される。 |
|
|
[First Name] または [Last name] フィールドにアポストロフィを使用すると、名前が無効である旨のエラーが表示される。 |
|
|
登録済みエンドポイントレポートに、未登録のゲストデバイスが表示される。 |
|
|
Intune からの MAC アドレスベースの API のサポート終了により、Cisco ISE Intune MDM 統合が中断される可能性がある。 |
|
|
Cisco ISE で、AMP AMQP サービスへの接続が TLSv1.0 に制限される。 |
|
|
表示される行が 25 行を超える場合、SXP ドメインのクイックフィルタオプションを使用できない。 |
|
|
Cisco ISE には、CVE ID CVE-2023-24998 の脆弱性の影響を受けるバージョンの Apache Commons FileUpload が含まれている。 |
|
|
パッシブ ID エージェントに関連付けられたポートの SHA1 を無効にできない。 |
|
|
Cisco ISE リリース 3.1 パッチ 7:特殊文字「$」が含まれている管理者パスワードを変更できない。 |
|
|
「disable EDR internet check」タグの追加。 |
|
|
log4net 2.0.8.0 の脆弱性。 |
|
|
Cisco ISE リリース 3.1 パッチ 5 のインストールが無期限にハングし、TCNAC の timesten sys.odbc.ini を更新する。 |
|
|
TCP ソケットが CLOSE_WAIT 状態でスタックする。 |
|
|
軽量セッションディレクトリが原因で、帯域幅の使用率が高くなる。 |
|
|
機能拡張:MNT データベースメトリックを含む個別のログファイルを含める。 |
|
|
Cisco ISE の IP SGT スタティックマッピングを Cisco の別のマッピンググループに変えても、このマッピングが SXP ドメインに送信されない。 |
|
|
アップグレード中、登録解除コールでデータベースからのすべてのノードの削除に失敗する。 |
|
|
Cisco ISE-PIC ライセンスの期限切れアラームがエラーになる。 |
|
|
AWS 上の Cisco ISE:運用データベースの割り当てが制限されている。 |
|
|
0 日間の評価期間で TACACS 展開を行った場合、スマートライセンスの登録後に動作しない。 |
|
|
「Is IPSEC Device」NDG を削除しようとすると、後続のすべての RADIUS/T+ 認証が失敗する。 |
|
|
NAD(Meraki)が誤動作したときに再起動しない限り、セッションが無期限に停止する。 |
|
|
自動クラッシュデコーダが機能を正しく復号化していない。 |
|
|
Cisco ISE リリース 3.1 パッチ 7:認証プロファイルのセキュリティグループに仮想ネットワークが表示されない。 |
|
|
Cisco ISE が RADIUS 要求をドロップし、「Request from a non-wireless device was dropped」というメッセージが表示される。 |
|
|
ポスチャポリシー条件で条件演算子を AND から OR に変更できない。 |
|
|
バグ CSCwd35608 の修正により、UI からの CoA コールが誤った IP に送信される。 |
|
|
VLAN 検出間隔を 30 秒以下にする必要がある。 |
|
|
Cisco ISE リリース 3.1 パッチ 5:エージェントレスポスチャの失敗により、/tmp/ フォルダのサイズが増加する。 |
|
|
内部ユーザー ID グループに基づく承認が、VPN の RADIUS トークン承認がないため失敗する。 |
|
|
スイッチポートに複数のセッションが存在する場合、プロファイラがポートバウンスをトリガーする。 |
|
|
Cisco ISE 管理 CLI のリセット設定がボンドインターフェイスのリセットに失敗する。 |
|
|
MS が ADAL を廃止しているため、SCCM と Cisco ISE の統合に MSAL のサポートが必要。 |
|
|
ドイツ語とイタリア語の電子メールがゲストタイプのアカウント有効期限通知に保存できない。 |
|
|
着信 TACACS が 1 日あたり 40M レコードを超えると、TopN デバイス管理レポートが機能しなくなる。 |
|
|
メタデータ(IMDS)バージョン値 [V2 only] が選択されている場合、AWS 上の Cisco ISE が機能しない。 |
|
|
タイムゾーンの変更中に更新警告メッセージが表示される。 |
|
|
Cisco ISE リリース 3.2: APIC から IP-to-SGT マッピングを受信できない。 |
|
|
TLS 1.0 または 1.1 は、Cisco ISE リリース 3.0 管理者ポータルで受け入れられる。 |
|
|
ユーザーカスタム属性がレンダリング状態でスタックする。 |
|
|
スマートライセンスの登録に失敗し、「communication send error」アラームが断続的に表示される。 |
|
|
Cisco ISE で MAC アドレス形式が受け入れ不可能な MAC アドレス形式に変更される。 |
|
|
名前に括弧が含まれている認証プロファイルを編集または削除できない。 |
|
|
リリース 3.0 パッチ 7 で、スタティックルートを手動で削除すると、Cisco ISE が誤った MAC アドレスのパケットを送信する。 |
|
|
Cisco ISE の最大セッションカウンタの有効期限が機能しない。 |
|
|
Cisco ISE リリース 3.1:以前のバージョンのホットパッチが引き続きデータベースに表示される。 |
|
|
構成バックアップのスケジュールを設定または編集できない。 |
|
|
Cisco ISE リリース 3.2 パッチ 3:PEAP および EAP-TLS が FIPS モードで機能しない。 |
|
|
Cisco ISE 3.0 パッチ 4 が登録済みノードのシステム証明書ページにアクセスできない。 |
|
|
「xwt.widget.repeater.DataRepeater」エラーにより、管理者ユーザーを編集または作成できない。 |
|
|
ZAP の実行中に脆弱な JS ライブラリの問題が見つかった。 |
|
|
AD コネクタプロセスがシャットダウンしない。 |
|
|
Collector.log ファイルの権限が、自動的に root として設定される。 |
|
|
Cisco ISE リリース 3.1 パッチ 7:pxGrid ContextIn 経由のカスタム属性が存在しない。 |
|
|
Cisco ISE ノードが断続的にキューリンクアラームをトリガーする(原因 = タイムアウト)。 |
|
|
IPv6 のスタティックルートが、Cisco ISE リリース 3.2 でのリロード後に削除される。 |
|
|
RADIUS ベンダー固有の整数属性がデバッグログにガベージとして表示される。 |
|
|
内部エラーが原因で、証明書認証の失敗に関する syslog 監査レコードが存在しない。 |
|
|
証明書 API(/admin/API/PKI/TrustCertificates)は公開されないが、Cisco DNA Center と AD ユーザー名の統合が中断される。 |
|
|
インデックス作成の問題が原因で発生する RADIUS ライブログの遅延の問題を修正。 |
|
|
子項目がいずれかのグループから削除されると、すべてのネットワーク デバイス グループが削除される。 |
|
|
Cisco ISE リリース 3.2 API:システム証明書のインポートが、展開中の Cisco ISE ノードで機能しない。 |
Cisco ISE リリース 3.1 - 累積パッチ 8 の未解決の不具合
|
問題 ID 番号 |
説明 |
|---|---|
|
Cisco ISE にパッチをインストールと、TC- NAC アダプタに到達できなくなり、新しいアダプタを設定できない。 |
|
|
3.1 パッチ 8:3.1 パッチ 8 の寿命設定で、不十分な仮想マシンリソースのアラームが発生。 |
Cisco ISE リリース 3.1 - 累積パッチ 7 の新機能
外部 LDAP ユーザーを Cisco ISE エンドポイントグループにリンクする
Cisco ISE リリース 3.1 パッチ 7 以降では、[Dynamic] オプションを使用して、外部 LDAP ユーザーグループをゲストデバイスのエンドポイント ID グループに割り当てることができます。詳細については、『Cisco Identity Services Engine Administrator Guide, Release 3.1』の「Guest and Secure WiFi」の章にある「Create or Edit Guest Types」を参照してください。
Cisco ISE リリース 3.1 - 累積パッチ 7 の解決済みの不具合
|
ID |
見出し |
|---|---|
|
エンドポイント消去呼び出しに伴うメモリリークによる CPU スパイク。 |
|
|
元のプライマリ PAN が削除されると、内部 CA 証明書チェーンが無効になる。 |
|
|
SAML メタデータのインポートが失敗する。 |
|
|
証明書ベースの GUI 管理者ログインがスタックする。 |
|
|
GET/ers/config/activedirectory/{id}/getUserGroups が、返されたデータと一緒にグループ名を返さない。 |
|
|
パッシブ ID エージェントが誤った時刻形式のイベントを送信する。 |
|
|
ユーザーのカスタム属性に「$」または「++」が含まれている場合、アイデンティティユーザーを作成できない。 |
|
|
パラメータに二重引用符("")が含まれている場合、プログラム起動修復を保存できない。 |
|
|
Cisco ISE リリース 3.2 ROPC の基本的な有用性の改善。 |
|
|
Cisco ISE スマートライセンスが Smart Transport を使用するようになった。 |
|
|
Cisco ISE リリース 3.1 で MDM API v3 の Azure AD 自動検出が正しくない。 |
|
|
Cisco ISE リリース 3.1 でファイアウォール条件を有効にできない。 |
|
|
サイズの大きいスケジュールレポートをエクスポートすると、リポジトリに空として表示される。 |
|
|
Cisco ISE 信頼ストアに無効な証明書がある場合、Cisco ISE-DNAC 統合に失敗する。 |
|
|
[Reason for Visit] フィールドに特殊文字が含まれていると、ゲストポータルで読み込みエラーのページが表示される。 |
|
|
ネットワークデバイスの CSV テンプレートファイルのインポート中に、TrustSec PAC 情報フィールドの属性値が失われる。 |
|
|
MNT 認証ステータス API クエリを最適化する必要がある。 |
|
|
TACACS 認証プロファイルに引用文字を追加できない |
|
|
自動バックアップが 3 ~ 5 日後に停止する。 |
|
|
Cisco ISE- PIC リリース 3.2 FCS:スマートライセンス:PIC アップグレード:コンプライアンス違反 |
|
|
Cisco ISE リリース 3.1:デバイス管理ライセンスのみが有効になっている場合、証明書ベースのログインでライセンスファイルが要求される。 |
|
|
Qualys アダプタがナレッジベースをダウンロードできない。ナレッジのダウンロードが進行中のままスタックする。 |
|
|
EAP-TLS セッションの再開時に Cisco ISE がクライアント証明書から OU 属性を取得できない。 |
|
|
'/' in コマンドの引数が T+ コマンドセットの CSV インポート後に保持されない。 |
|
|
Cisco ISE が SXP マッピングテーブルからセッションを削除しない。 |
|
|
ネットワーク デバイス プロファイルに HTML コードが名前として表示される。 |
|
|
「System Admin」管理者グループの管理者ユーザーで、スケジュール済みバックアップを作成できない。 |
|
|
Cisco ISE リリース 3.2 で SAML 署名認証要求の設定のチェックボックスが保存時にオフになる。 |
|
|
FQDN syslog ポップアップの DNS キャッシュ有効化コマンドを修正する必要がある。 |
|
|
Cisco ISE-PIC リリース 3.1:PIC ライセンスの消費が 0 になる。 |
|
|
Cisco ISE が msRASSavedFramedIPAddress の AD 属性の変換に失敗する。 |
|
|
Cisco ISE リリース 3.1:passiveID:モニター対象のすべてのドメインのステータスについてエージェントをプローブ |
|
|
ゲストポータルに新しい証明書がインポートすると、Cisco ISE はセキュアな接続を確立できない。 |
|
|
元のプライマリ PAN が削除されると、内部 CA 証明書チェーンが無効になる。 |
|
|
pxGrid の無効化後に ise-psc.log で pxGrid のエラーログが記録される。 |
|
|
署名付き認証要求の Cisco ISE SAML 宛先属性がない。 |
|
|
Cisco ISE デバッグウィザードのポスチャプロファイルに、デバッグするための client-webapp コンポーネントが含まれていない。 |
|
|
条件別ポスチャ評価で ORA-00904: <SYSTEM_NAME>: invalid identifier が生成される。 |
|
|
from-first-login ゲストアカウントの期限切れの詳細に関するスポンサーポータル出力の問題 |
|
|
GUI から 1GB を超えるサポートバンドルをダウンロードできない。 |
|
|
エンドポイントログイン設定で複数のドメインユーザーを使用すると、エージェントレスポスチャが失敗する。 |
|
|
MDM:CVE-2021-26414 の Windows DCOM サーバー強化後に Microsoft SCCM への接続が失敗する。 |
|
|
Cisco ISE3.0.458:MAC クライアントの enable_passwdless_auth.exp を変更する必要がある。 |
|
|
読み取り専用管理者を、Cisco ISE 管理 SAML 認証で使用できない。 |
|
|
登録後にセカンダリノードに証明書をインポートできない。 |
|
|
ユーザー定義 NAD プロファイルを使用した Cisco NAD でセッションディレクトリの書き込みがアラーム付きで失敗する。 |
|
|
エージェントプロトコルから WMI プロトコルへのマッピング後に WMI ステータスに進行状況が表示される。 |
|
|
ROPC ID ストアに対する認証が RSA キー生成エラーで失敗する。 |
|
|
Cisco ISE リリース 3.1 パッチ 3:スポンサーポータル:セッション Cookie の SameSite 値が none に設定される。 |
|
|
特定の OU を設定すると、REST API によってノードを AD に参加させることができない |
|
|
ネットワーク アクセス ユーザーから作成された管理者アカウントは、ダークモード設定を変更できない。 |
|
|
CIAM:xstream 1.4.17 |
|
|
TACACS コマンド アカウンティング レポートのエクスポートが機能しない。 |
|
|
SMS JavaScript のカスタマイズが SMS 電子メールゲートウェイで機能しない |
|
|
Cisco ISE OpenApi の復元が、show コマンドの完了が表示されるよりかなり前に完了したと表示される。 |
|
|
スマートライセンスの登録が機能していない。スマートライセンスの有効化中にエラーが発生する。 |
|
|
プライマリ MnT ノードで Cisco ISE リリース 3.1 設定のバックアップが実行される。 |
|
|
API リソース要求の処理に失敗する(条件の変換に失敗する)。 |
|
|
Cisco ISE アフリカまたはカイロのタイムゾーン DST。 |
|
|
メキシコのタイムゾーンが誤って夏時間に変更される。 |
|
|
CoA 後に SGT が変更されると、Cisco ISE は SXP マッピングを削除しない。 |
|
|
jszip 3.0.0 の脆弱性 |
|
|
「Posture configuration detection」アラームは「INFO」レベルであり、言い回しを変更する必要がある。 |
|
|
内部 CA 証明書の増加による Cisco DNA Center 統合の問題 |
|
|
MDM API v3 証明書文字列で大文字と小文字が区別されないようにする。 |
|
|
LicenseConsumptionUtil.java の NullPointerException が原因で、認証ポリシーの評価が失敗する。 |
|
|
Cisco ISE 3.1 パッチ 4 および 5:管理アクセス制限を削除した後に再起動すると、スタンドアロン ISE がクラッシュする。 |
|
|
[Advanced Tuning] ページで PBIS 登録キー設定が検証されない。 |
Cisco ISE リリース 3.1 - 累積パッチ 7 の未解決の不具合
|
問題 ID 番号 |
説明 |
|---|---|
| Cisco ISE が EAP-TLS 認証中にピア証明書を取得できない。 | |
|
ISE 3.1 パッチ7:認証プロファイルのセキュリティグループに VN がない。 |
|
|
3.1 パッチ 8:3.1 パッチ 8 の寿命設定で、不十分な仮想マシンリソースのアラームが発生。 |
Cisco ISE リリース 3.1 - 累積パッチ 6 の新機能
Cisco Secure Network Server 3700 シリーズ アプライアンスのサポート
Cisco Secure Network Server(SNS)3700 シリーズ アプライアンスは、Cisco Unified Computing System(Cisco UCS)C220 ラックサーバーに基づいており、特に Cisco ISE をサポートするように構成されています。Cisco SNS 3700 シリーズ アプライアンスは、幅広いワークロードで高いパフォーマンスと効率性を提供するように設計されています。
Cisco SNS 3700 シリーズ アプライアンスには次のモデルがあります。
-
Cisco SNS 3715(SNS-3715-K9)
-
Cisco SNS 3755(SNS-3755-K9)
-
Cisco SNS 3795(SNS-3795-K9)
Cisco SNS 3715 アプライアンスは、小規模な展開向けに設計されています。Cisco SNS 3755 および Cisco SNS 3795 アプライアンスには、ハードディスクや電源などの複数の冗長コンポーネントがあり、信頼性の高いシステム構成を必要とする大規模な展開に適しています。
詳細については、『Cisco Secure Network Server 3700 Series Appliance Hardware Installation Guide』を参照してください。
(注) |
Cisco ISE 3.1 パッチ 6 以降のバージョンで、Cisco SNS 3700 シリーズ アプライアンスがサポートされます。したがって、SNS 3700 シリーズ アプライアンスに最初のパッチ(ISE 3.1 パッチ 6 以降)をインストールした後は、ISE 3.1 にロールバックできません。この場合、ロールバックは失敗します。CLI から ISE 3.1 パッチ 6 以降を再インストールして、ノードを回復できます。 |
pxGrid Cloudでのコンテキストイン API の一括更新と一括削除のサポート
Cisco ISE リリース 3.1 パッチ 6 から、pxGrid Cloudでコンテキストイン API がサポートされ、エンドポイントの一括更新および一括削除が可能になります。詳細については、『Cisco pxGrid Cloud Onboarding Guide』[英語] および『Cisco ISE API Reference Guide』[英語] を参照してください。
Cisco ISE リリース 3.1 - 累積パッチ 6 の解決済みの不具合
|
ID |
見出し |
|---|---|
|
エンドポイントをグループに割り当てるときに、変更された設定が機能しない。 |
|
|
ADE-OS の機密情報漏えいの脆弱性 |
|
|
ISE 3.1 の TFTP コピーがタイムアウトする |
|
|
ISE-PIC がキューリンクのエラーを表示しない。 |
|
|
大量の AD グループ(400 以上)をロードすると、ISE 3.1 の [AD Retrieve Groups] に空白のページが表示される。 |
|
|
許可されるプロトコルのポリシーに基づいて RSA PSS 暗号の有効/無効を切り替える |
|
|
前回ポートバウンス CoA が成功した後も、ISE が reath CoA で古い監査セッション ID を送信している |
|
|
LDAP がノードごとに定義されている場合、異なる LDAP からグループまたは属性を取得できない。 |
|
|
マージを回避するために IMS が有効になっている場合、PRRT はフラグメント化されていないメッセージを MnT に送信する必要がある |
|
|
既存の NDG の作成中に ERS API 内部エラーが発生する。 |
|
|
ISE が音声 VLAN のサブネットまたは IP アドレスプール名を保存できない。 |
|
|
Chrome および Edge ブラウザでの認証ポリシーのロード中に UI がクラッシュした |
|
|
RADIUS トークンサーバー設定がセカンダリサーバーの空のホスト IP を受け入れる |
|
|
自己登録ポータルが、スポンサーに送信される承認/拒否リンクのノード FQDN をサポートしない。 |
|
|
Radius を使用したデバイス管理が基本ライセンスを使用しない |
|
|
ISE 3.0 パッチ 6:スケジュールされたレポートが欠落している |
|
|
ISE 3.1:5 MB 以上のサイズの CRL が頻繁にダウンロードされると、アプリケーションサーバーがクラッシュする。 |
|
|
異なるセッション ID を持つ同じ IP + VN + VPN の組み合わせに対する複数のリクエストにより、重複するレコードが作成される |
|
|
ISE 3.1パッチ5:ID [11055] のディクショナリ属性がない 。 |
|
|
[RADIUS Server Sequences] ページに「no data available」と表示される |
|
|
9644 での例外が原因で、SXP サービスが初期化中にスタックする。 |
|
|
31p5:アプリケーションサーバーと API ゲートウェイサービスが実行されない |
|
|
MAC アドレスのないデバイスからの ISE 認証遅延 |
|
|
ISE:フィルタが 1 つのネットワークデバイスのみに一致する場合にのみプロンプトを表示する、ネットワークデバイスのキャプチャ |
|
|
ISE 3.1 パッチ 4:GUI:証明書認証:権限 |
|
|
SFTP リポジトリへのエクスポート中に ISE のスケジュール RADIUS 認証レポートが失敗する。 |
|
|
CSCvz85074 の修正により、ISE での AD グループの取得が中断される |
|
|
[ENH] ISE PIC エージェントによるセッションスティッチングのサポート |
|
|
GUI のダウンロードログから rest-id-store をダウンロードできない |
|
|
脆弱な jQuery バージョンを管理 UI で確認。 |
|
|
Cisco Identity Services Engine のストアド クロスサイト スクリプティングの脆弱性 |
|
|
エージェントレスポスチャが設定されているため、CPU 使用率が高くなる。 |
|
|
3.1 リスピン:シャットダウン後もインターフェイスのステータスが UP と表示される。 |
|
|
ISE 3.2 ERS POST /ers/config/networkdevicegroup が失敗する:破損した属性 othername/type/ndgtype |
|
|
SAML が使用されている場合、ISE 3.1 パッチ 3 で csv ファイルからエンドポイントをインポートできない |
|
|
[CFD] Cisco DNA Center で SG 名が変更された場合、マッピングされた SGT エントリが ISE で認証ルールからクリアされる |
|
|
ISE 3.1 で IP 10.88.0.1 および 10.88.0.0/16 の IP ルートを持つ cni-podman0 インターフェイスが作成される |
|
|
3.1/3.2 で、URI が Group 属性または Name として SAML IdP の属性のアサーションに受け入れられない。 |
|
|
{} 文字を含むコンテンツヘッダーを含むゲストポータル HTTP リクエストが許可される。 |
|
|
IMS にサードパーティの署名付き証明書を使用している場合に「不明な CA」キューリンクエラーが表示される |
|
|
ISE の IP アドレスを変更する際の問題。 |
|
|
ポータルアクセス用に 2 つのインターフェイスが設定されている ISE が破損している |
|
|
IMS を使用した ISE vPSN のパフォーマンスが、UDP syslog と比較して 30 〜 40% 低下する |
|
|
ディレクトリリストが無効になっていると、ISE openAPI HTTP リポジトリパッチのインストールが失敗する |
|
|
ISE 3.1 の垂直スクロールバーのバグ。 |
|
|
プライマリ管理 PPAN アプリケーションサーバーが初期化状態でスタックする。 |
|
|
パッチのインストール後に ISE アップグレードタブにアップグレードが進行中であると表示される |
|
|
アカウント登録ゲストポータルでゲストアカウントを作成すると、「Error Loading Page」エラーが出力される。 |
|
|
ISE 3.2:APIC 統合:fvIP サブスクリプションがない |
|
|
Cisco Identity Services Engine インターフェイス機能の不十分なアクセス制御の脆弱性 |
|
|
Open API エンドポイントポスト が 201 ではなく 200 を返す。 |
|
|
ポスチャ要件はデフォルトエントリのみを表示する |
|
|
Cisco Identity Services Engine のコマンド インジェクションの脆弱性 |
|
|
GUI TCPDUMP が Stop_In_Progress でスタックする |
|
|
IndexRebuild.sql スクリプトが MnT で実行される。 |
|
|
ISE 3.1 p1:GUI で誤ったパスワードを入力すると、エンドユーザーの同意が表示される。 |
|
|
SAML 構成の保存ボタンがグレー表示される |
|
|
EP 作成/更新の OpenAPI は、ERS API と同じように動作する必要があるのに加え、より多くの機能を提供する必要がある |
|
|
Sec_txnlog_master テーブルは、レコード数が 200 万を超えたら切り捨てる必要がある |
|
|
Cisco Identity Services Engine の不十分なアクセス制御の脆弱性 |
|
|
Cisco Identity Services Engine のストアド クロスサイト スクリプティングの脆弱性 |
|
|
ISE 3.1p5 で CA 証明書 EKU が検証され、「unsupported certificate」エラーが発生する。 |
|
|
ISE は Tenable Security Center のリポジトリとスキャンポリシーを取得できない |
|
|
ISE が DNAC にホスト名属性を送信しない |
|
|
DNAC を介した ISE(ERS)へのペイロードで PUT 操作が失敗する |
|
|
ERS API で時刻設定構成のエクスポートにアクセスできない |
|
|
ISE の変更構成監査レポートに、SGT の作成および削除イベントが明確に表示されない。 |
|
|
ネットワーク アクセス デバイスを追加できない。理由:「There is an overlapping IP Address in your device」(デバイスに重複する IP アドレスがある) |
|
|
ISE 3.1 BH のコンテキストの可視性でユーザー名に \\ が表示されるが、ライブログでは正しい単一の \ が表示される |
|
|
リポジトリが選択されていない場合、ISE TCPDUMP が「COPY_REPO_FAILED」状態でスタックする |
|
|
ISE 3.1 ENH 「Illegal hex characters in escape (%) pattern ? For input string: ^F"」が表示される。 |
|
|
Cisco Identity Services Engine の XML 外部エンティティ インジェクションの脆弱性 |
|
|
P-PIC がダウンしている間に FMC を再統合すると、pxGrid セッションのパブリッシュが停止する |
|
|
ネットワークデバイスのポート条件:IP アドレスまたはデバイスグループに有効なポート文字列を入力できない。 |
|
|
ISE 3.1 P4 のパッシブ DC 設定でユーザー名を正しく保存できない |
|
|
ISE 3.1 P3 でアクティブ PSN がダウンした場合に SAML SSO が機能しない |
|
|
アクティブセッションのアラーム設定で多数の認証プロファイルを追加できない |
|
|
NDG の場所と IP でフィルタ処理を実行すると、すべての NAD が削除される |
|
|
サードパーティ Syslog サーバーからの PassiveID セッションの使用を ISE が突然停止する |
|
|
ネットワーク デバイス グループ作成のための ERS API スキーマ。 |
|
|
ISE で不正な SLR コンプライアンス違反エラーが報告される |
|
|
グループを編集し、SAML でアサーションに Name を追加すると、Null システムエラーが発生する。 |
|
|
csv ファイルからユーザーをインポートしようとすると、「電話番号が無効です(The phone number is invalid)」と表示される |
|
|
パッチ 4/5 へのアップグレード後に ISE 3.1 の特定の SFTP サーバーが動作を停止する |
|
|
ISE PIC ノードで TLS 1.0 および 1.1 を無効にする機能を追加 |
|
|
ISE 3.1:P3 のインストールで v$timezone_file が 32 から 34 にアップグレードされない。 |
|
|
フィード増分更新後に再プロファイリング結果の保持が Oracle/VCS に更新されない |
|
|
ISE 3.2/3.1/3.0 で「Get All Endpoints」レポートに一致しない情報が表示される |
|
|
CLI エクスポートとコンテキストの可視性の情報が一致しない |
|
|
CLI からエクスポートされたコンテキストの可視性の CVS に IP アドレスが表示されない。 |
Cisco ISE リリース 3.1 - 累積パッチ 6 の未解決の不具合
|
ID |
見出し |
|---|---|
|
31P6:既存のポータルを編集すると、eth1 FQDN (diff dns)でスポンサーポータルを起動できない。 |
|
|
PPAN にインポートされたワイルドカード証明書が展開内の他のノードに複製されない。 |
|
|
3.1 パッチ 8:3.1 パッチ 8 の寿命設定で、不十分な仮想マシンリソースのアラームが発生。 |
Cisco ISE リリース 3.1 - 累積パッチ 5 の新機能
エンドポイントへの論理プロファイルの自動割り当て
Cisco ISE のプロファイリング ワークフローでエンドポイントが処理される際に、関連付けられた論理プロファイルを持つエンドポイント プロファイリング ポリシーとエンドポイントが一致する場合、その論理プロファイルがエンドポイントに自動的に割り当てられます。
コンテキストインの pxGrid Cloud サポート
Cisco ISE リリース 3.1 累積パッチ 5 から、コンテキストインの pxGrid サポートが利用可能になりました。 pxGrid Cloud コンテキストインサポートは、ERS および Open API を通じて提供されます。詳細については、『pxGrid Cloud Onboarding Guide』[英語] を参照してください。
Cisco Secure Client の延長サポート
Cisco ISE 3.1 パッチ 5 は、Windows、MacOS、Linux オペレーティングシステム用の AnyConnect と Cisco Secure Client の両方をサポートしています。これらのオペレーティングシステムでは、次の Cisco Secure Client バージョンがサポートされています。
-
Windows:Cisco Secure Client バージョン 5.00529 以降
-
MacOS:Cisco Secure Client バージョン 5.00556 以降
-
Linux:Cisco Secure Client バージョン 5.00556 以降
これらのオペレーティングシステムではエンドポイントに対して AnyConnect と Cisco Secure Client の両方を構成できますが、エンドポイントでの実行時に考慮されるのは 1 つのポリシーのみです。
スマートライセンスに必要な URL
Cisco ISE リリース 3.1 パッチ 5 は、https://smartreceiver.cisco.com を使用してスマートライセンス情報を取得します。
Cisco ISE リリース 3.1 - 累積パッチ 5 の解決済みの不具合
次の表に、リリース 3.1 累積パッチ 5 で解決済みの不具合を示します。
|
ID |
見出し |
|---|---|
|
ise hourly cron は、95% のメモリ使用量ではなく、キャッシュされたバッファをクリーンアップする必要がある |
|
|
ENH:SMS ゲートウェイ用の Twilio MessagingServiceSid を使用した ISE |
|
|
ISE ERS SDK ネットワークデバイスのバルクリクエストのドキュメントが正しくないです |
|
|
NetworkSetupAssistance.exe デジタル署名証明書が Windows SPW を使用した BYOD フローで期限切れになる |
|
|
ISE 3.1 のみでの SNMPv3 プライバシーパスワードのエラー |
|
|
SYS_EXPORT_SCHEMA_01 が原因で ISE 設定のバックアップが失敗する |
|
|
カスタム属性の追加中に GUI がデフォルト値が検証されません |
|
|
SNMP パスワードパラメータの ISE 3.1 REST API のタイプミス |
|
|
ISE 3.2 で次のエラーが表示される:「TypeError:未定義のプロパティを読み取れません(「attr」の読み取り)(TypeError: Cannot read properties of undefined (reading 'attr'))」 |
|
|
SFTP/FTP リポジトリユーザーのパスワードに !(感嘆符)が含まれている場合のリポジトリ OpenAPI での HTTP 400 レスポンス(感嘆符) |
|
|
Session.PostureStatus のクエリ中に遅延が発生する |
|
|
ISE TrustSec ロギング - SGT 作成イベントが ise-psc.log ファイルに記録されない |
|
|
SYS.DBMS_RCVMAN が古すぎます |
|
|
古い ISE から構成を復元したときに、3.1 p1 で SAML ID プロバイダーを追加できない |
|
|
SAML 構成の保存ボタンがグレー表示される |
|
|
専用 MnT ノードを使用する ISE でパッシブ Easy Connect が機能しない |
|
|
ISE 3.1:メタスペースを使い果たすと ISE ノードでクラッシュが発生する |
|
|
ISE インデックスエンジンのバックアップが失敗するとスケジュール済みバックアップが失敗する |
|
|
ERS API では、「ネットワーク デバイス グループ」名にマイナス文字を使用できません。 |
|
|
削除されたネットワーク デバイス グループがポリシーセットに引き続き表示されます |
|
|
Cisco Identity Services Engine の不正ファイルアクセスの脆弱性 |
|
|
ISE 3.0 NFS 共有がスタックする |
|
|
親 ID グループ名を変更すると、認証リファレンスが壊れます |
|
|
Cisco Identity Services Engine クロスサイト スクリプティングの脆弱性 |
|
|
VN 値が変更されているときに、複数の再認証後に IP から SGT へのマッピングの一貫性がなくなる |
|
|
参加中に ISE AD コネクタが失敗する |
|
|
ID ソースを内部から外部の RSA/RADIUS トークンサーバーに変更できません |
|
|
ppan の ise-psc.log でオプティミスティックロックが失敗すると、事前チェックがタイムアウトする場合があります |
|
|
ログのダウンロードページがバックグラウンドで読み込まれるため、サポートバンドルページが低速になる。 |
|
|
携帯電話番号フォーマットのエラー処理/メッセージが明確でない |
|
|
RADIUS 共有秘密の先頭に += 文字がある場合、CSV NAD インポートが拒否される |
|
|
プロファイラ条件で属性値が表示されない |
|
|
設定の読み取りに例外がある場合、Duplicate Manager はパケットは削除されません |
|
|
アプリのアクティベーションまたはアプリの断続的な問題によりイベントを受信しない |
|
|
ゲストロケーションが ISE ゲストポータルにロードされない |
|
|
サポートされる HTTP メソッドが表示される |
|
|
2.7 p7 の platform.properties でハードウェアアプライアンスに基づいて制御する RMQForwarder スレッド |
|
|
ISE-2.x:接続に関する Intune MDM アラーム || 401 未承認(401 Unauthorized) |
|
|
フィルタ処理で特定の 1 つの NAD を削除しようとすると、「すべてのデバイスが正常に削除されました(All devices were successfully deleted)」と表示される |
|
|
ISE で [認証プロファイル(Authorization profile)] > [属性詳細(Attributes Details)] に誤った VLAN 割り当て情報が表示される |
|
|
ISE RADIUS および PassiveID セッションのマージ |
|
|
有用性を追加し、ISE 3.0 の「プールが枯渇しているためリソースを取得できませんでした(Could not get a resource since the pool is exhausted)」エラーを修正する |
|
|
ISE が SXP Ver 4 で 4,096 バイトを超えるサイズの SXP メッセージを送信する |
|
|
GC アクティビティによるポリシー評価の認証ステップの遅延 |
|
|
内部 Docker IP 169.254.2.2 に関連する RMQ TLS syslog が監査ログに送信される |
|
|
シングル接続が有効になっていると、Tacacs 応答が送信されないことがある |
|
|
ISE ERS SDK の authenticationSettings が API 呼び出しを介して無効になっていない |
|
|
ポスチャのファイル条件を設定すると、「[ファイルパス]フィールドには有効なファイル名を含める必要があります(File path field must contain a valid file name)」というエラーが表示される。 |
|
|
ISE-PIC ノードでページにアクセスできないというポップアップメッセージを取得する |
|
|
非 TACACS トラフィックのライブログ内の「無効な長さ」による TACACS 認証の失敗 |
|
|
EAP-TLS を使用した EAP-TEAP が「CERTIFICATE.Issuer - Common Name」を持つ条件に一致しない |
|
|
新しいインスタンスの使用時に機能する、新しいパスワードを持つ SCCM MDM サーバーオブジェクトが ISE 3.0 で保存されない |
|
|
CSSM で予約されたライセンスに複数の有効期限がある場合、ライセンス機能で 1 つの予約数しか表示されない |
|
|
プロファイリングポリシー名の変更がポリシーセットの条件に自動的に反映されない |
|
|
3.1 から 3.2.0.804 へのアップグレードの制約を変更中にスキーマのアップグレードが失敗した |
|
|
API を使用して証明書と秘密キーをエクスポートできない |
|
|
ISE:ISE で、トークンの処理が正しくないため、ロードバランサを使用した SAML フローが失敗する |
|
|
ANC CoA がデバイス IP アドレスではなく NAS IP アドレスに送信される |
|
|
LSD によって CPU が高くなる |
|
|
[Network Devices] で [Export Selected] を使用すると、X 回以上の選択でログイン画面が中断されます。 |
|
|
Windows Server 2022 が実際には監視対象のドメインコントローラとして機能している |
|
|
プロファイラは、デフォルトの RADIUS プローブからの転送について、否定的な RADIUS Syslog メッセージを無視する必要がある |
|
|
Radius を使用したデバイス管理が基本ライセンスを使用しない |
|
|
ISE:Gig 0 以外のインターフェイスのゲートウェイを使用した静的デフォルトルートにより、ネットワーク接続が切断されます |
|
|
ISE 3.1 で [コンテキストの可視性(Context Visibility)] の [エンドポイント(Endpoints)] の [認証(Authentication)] タブにデータが表示されない |
|
|
CRUD を実行しないと、ノードのリロード後にデバイスポータルが開かない。 |
|
|
証明書署名要求では大文字と小文字を区別すべきでない |
|
|
ISE が大規模な VM をサポート対象外として検出する |
|
|
ISE 3.1 パッチ 1 で Rest ID/ROPC フォルダログが作成されない |
Cisco ISE リリース 3.1 - 累積パッチ 5 の未解決の不具合
次の表に、リリース 3.1 - 累積パッチ 5 で未解決の問題を示します。
| 不具合 ID | 説明 |
|---|---|
| CSCwd70346 | Cisco ISE リリース 3.1 パッチ 5 に完全にアップグレードすると、選択された古いデータが事前チェックページにロードされ、開始ボタンが無効になります。 |
| CSCwd97582 | Cisco ISE リリース 3.1 パッチ 5 で CA 証明書 EKU が検証され、「Unsupported Certificate」エラーが発生する。 |
|
3.1 パッチ 8:3.1 パッチ 8 の寿命設定で、不十分な仮想マシンリソースのアラームが発生。 |
Cisco ISE リリース 3.1 - 累積パッチ 4 の新機能
REST ID ストアの [Groups] タブの機能強化
Cisco ISE でリソース所有者のパスワードクレデンシャルを設定するときに、REST ID ストアグループを取得、フィルタリング、および削除できるようになりました。
グループを追加するときに、[Retrieve Groups] をクリックして、接続された ID ソースからユーザーグループをインポートします。選択するグループの隣にあるチェックボックスをオンにし、[保存(Save)] をクリックします。必要に応じて、すべてのグループを選択することもできます。選択したグループが [グループ(Groups)] タブに一覧表示されます。
フィルタオプションを使用して結果をフィルタ処理できます。
ユーザーグループを削除するには、削除するグループの隣にあるチェックボックスをオンにして、[削除(Delete)] をクリックします。
詳細については、『Cisco ISE Administrator Guide, Release 3.1』の「Asset Visibility」の章にある「Configure Resource Owner Password Credentials Flow」を参照してください。
を参照してください。
IP デフォルトゲートウェイの変更には再起動が必要
Cisco ISE 3.1 パッチ 4 以降では、ゲートウェイを追加または変更すると、CLI は管理者にサービスの再起動が必要になる可能性があることを警告し、[Yes] オプションが選択されている場合にのみコマンドの実行に進みます。
詳細については、『Cisco ISE CLI Reference Guide, Release 3.1』の「Cisco ISE CLI Commands in Configuration Mode」の章を参照してください。
Cisco ISE リリース 3.1 - 累積パッチ 4 の解決済みの不具合
次の表に、リリース 3.1 累積パッチ 4 で解決済みの不具合を示します。
|
問題 ID 番号 |
説明 |
|---|---|
| CSCwc62413 | Cisco Identity Services Engine クロスサイト スクリプティングの脆弱性 |
|
64 文字の制限では、ユーザープリンシパル名などの外部ユーザー ID に対応するには不十分です |
|
|
ISE 信頼済み証明書にインポートされた証明書を編集できない |
|
|
パストラバーサルの脆弱性 |
|
|
クロスサイト要求偽造の脆弱性 |
|
|
保存されたクロスサイト スクリプティングの脆弱性 |
|
|
不正なファイルアクセスの脆弱性 |
|
|
OS 権限昇格の問題 |
|
|
CIAM:python-pip 9.0.3 |
|
|
Essential ライセンスが Cisco ISE GUI で無効になっている場合、スマートライセンスポータルはライセンス消費を報告しない。 |
|
|
SNMPv3 SHA2 認証で構成されたネットワークデバイスをインポートできない |
|
|
CIAM:libcurl 7.61.1 |
|
|
Cisco ISE-PIC から特殊文字で始まるライブセッションが転送されない |
|
|
CIAM:libjpeg-turbo 1.5.3 |
|
|
Cisco ISE では、現在のパスワードを検証せずに管理者パスワードを変更できない |
|
|
クライアントまたはブラウザが複数の証明書を送信すると、証明書ベースの管理者ログインが機能しない |
|
|
CIAM:sqlite 3.26.0 |
|
|
CIAM: ncurses 6.1 |
|
|
属性では特殊文字はサポートされていない |
|
|
ゲストポータルでアンダースコアが脆弱である |
|
|
REST ID は、Azure AD グループの名前または SID に基づいてグループをフィルタ処理しない |
|
|
プロキシ設定でパスワードの途中に一重引用符(')があると、ページが編集できない |
|
|
複製停止アラームはトリガーされない |
|
|
ERS API を使用してネストされたエンドポイントグループを作成する |
|
|
ネストされた条件の取得時に OpenAPI エラー 400 が発生する |
|
|
ISE 2.7P2 ~ 3.0 で内部 CA とキーをインポートできない |
|
|
ADE-OS CLI TCP パラメータが変更に失敗し、関連性がなくなる |
|
|
アップグレードされたノードで一時的な MnT ペルソナを無効化すると、分割アップグレードで失敗する |
|
|
CIAM:cyrus-sasl 2.1.27 |
|
|
PAN 自動フェールオーバーアラームを編集できない |
|
|
CIAM:libdnf 0.39.1 |
|
|
Pingnode 呼び出しにより、CRL 検証中にアプリケーションサーバーがクラッシュする(OOM は除く) |
|
|
インスタンスが使用する PGA メモリが MNT ノードで PGA_AGGREGATE_LIMIT を超えている |
|
|
2 つ以上の NTP サーバーが設定されている NTP 同期エラーアラーム。 |
|
|
セッションディレクトリの書き込みに失敗する。SQLException:ISE3.0P4 で文字列データの右側が切り捨てられる |
|
|
ポスチャのファイル条件が設定されると、「File path field must contain a valid file name」というエラーが表示される |
|
|
CIAM:jszip 2.5.0 |
|
|
認証ポリシーに日付または時刻条件がある TACACS+ 要求で高遅延が発生する |
|
|
高稼働時の DB 使用率アラームのパーセンテージを設定可能にする必要がある。 |
|
|
ゲストユーザー(AD または内部)が特定のノードで自分のデバイスを削除または追加できない |
|
|
コンテキストの可視性で、既存の展開のエンドポイントと NAD が復元後に削除されない |
|
|
仮想マシンリソース不足アラームが頻繁に発生する |
|
|
ポスチャ修復アクションでメッセージオプションを取得できない |
|
|
DomainName\UserName 形式を使用してログインしている場合、作成したサポートバンドルを GUI からダウンロードできない |
|
|
SSH ホストキーの処理に関する一貫性のない動作 |
|
|
ISE PRA フェールオーバー |
|
|
PAN が展開から削除された場合、SAML 証明書は Stale としてマークできません |
|
|
SHA-2 オプションが REST API での NAD 作成に使用できない |
|
|
TrustSec ダッシュボードの更新コールが原因で MNT の CPU 使用率が高くなる |
|
|
Cisco ISE 3.1 の競合状態が原因で登録または同期が失敗する |
|
|
$ui_time_left$ 変数が間違った期間を示している |
|
|
Cisco ISE で、CRL の nextUpdate の日付に 6 時間追加される |
|
|
パッチロールバックおよびパッチインストール後にシステムサマリーが更新されない |
|
|
電子メールアドレスにアポストロフィが含まれている場合、ゲストポータル登録ページで「ページの読み込みエラー」が表示される |
|
|
DNA Center - ISE 統合:ISE で pxGrid エンドポイントの古い DNAC 証明書が表示される |
|
|
セカンダリインターフェイス GigabitEthernet 1 および Bond 1 で ISE GUI に管理アクセスが許可される |
|
|
TCPDump メニューの P1 古いノード |
|
|
Hyper-V Gen-2 との互換性の問題 |
|
|
REST API を使用してネットワーク デバイス グループを作成するときのエラー |
|
|
オンプレミス SSM サーバーの IPv6 アドレスを入力できない |
|
|
ERS コール /ers/config/sgmapping/{id} がカスタム SGT の SGT 値を返さない |
|
|
CIAM:openssh 7.6 |
|
|
最大セッション数は EAP-FAST-Chaining では適用されない |
|
|
CIAM:bind 9.11.4 |
|
|
Cisco ISE ポータルでのゲスト SMS 通知の複数行の問題 |
|
|
NTP サービスの障害(NTP Service Failure) |
|
|
新しい HostKeyAlgorithms(例:RSA-SHA2-512)で SSH/SFTP をホストできない |
|
|
CIAM:jackson-databind 2.9.8 |
|
|
ppgrade の後、rabbitmq 証明書ディレクトリ内のファイルに不正なアクセス許可が表示される |
|
|
CIAM:openssl を 1.0.2ze および 1.1.1o にアップグレード |
|
|
ISE ERS 検証エラー:[validDays] 必須フィールドがありません |
|
|
サードパーティの CA 証明書が管理者に使用されている場合、BH ヘルスチェックとフルアップグレードの事前チェックがタイムアウトする |
|
|
パッチ 2:「整合性チェックに失敗しました」エラーによりサービスが開始されない |
|
|
認証仮想 VLAN を使用したゲストリダイレクトが ISE 3.1 で機能しなくなった |
|
|
失敗したアップグレード前チェックを修正しても、[Proceed] ボタンが使用できない |
|
|
ISE 展開:不正な証明書の有効期限チェックの結果として、すべてのノードが OUT_OF_SYNC エラーをスローする |
|
|
CIAM:glib 2.56.4 |
|
|
CIAM:openssl 1.1.1g |
|
|
CIAM:libgcrypt 1.5.3 |
|
|
sysodbcini ファイルに PermSize 属性がない |
|
|
Cisco ISE が SMTP API 本文で $mobilenumber$ 値を送信しない |
|
|
[Allow kerberos SSO] ポータル設定の有効化時にスポンサーポータルでエラー 500 が表示される |
|
|
重要業績評価指標レポートに毎日午前 8 時と午前 9 時のエントリがない |
|
|
正しくない cryptoLib 初期化が原因で ISE PSN ノードがクラッシュする |
|
|
キューサイズは 3.x の RMQ に制限する必要がある |
|
|
Spring Hibernate TPS アップグレード(Hibernate 5.5.2、Spring 5.3.8) |
|
|
ODBC 動作のフェールオーバーの問題 |
|
|
名前にスペースを含まないグループがファイルを所有している場合、Linux SFTP リポジトリから CFG バックアップを復元できない |
|
|
Struts2 CVE-2021-31805 の ISE 評価 |
|
|
SAML ログインでポスチャポリシーページが読み込まれない |
|
|
「EDF_DB_LOG」が原因で構成バックアップが失敗する |
|
|
接続エラーが原因でアップグレード中にノード間のデータダンプ転送が失敗する |
|
|
RADIUS 認証レポートで「Failure Reasons」列が重複する |
|
|
ISE 評価 log4j CVE-2021-44228 |
|
|
「場所」フィールドと「デバイスタイプ」フィールドの場所は、[Network Devices] タブをクリックするたびに変化し続ける。 |
|
|
CIAM:glibc 2.17 |
|
|
パッシブ Syslog プロバイダーのデフォルトのドメイン構成が ISE 3.1 で機能しない |
|
|
ログイン後に Cisco ISE GUI がロードされない |
|
|
Cisco ISE 3.0 以降にアップグレードした後、アップグレード外部 Radius サーバーリストが表示されない |
|
|
分散型展開で RSA 2FA を使用して MnT ノードの GUI にログインできない |
|
|
CIAM:cups 1.6.3 |
|
|
Cisco ISE への SSH が SSH 公開キーの手動インポートで失敗する |
|
|
Cisco ISE で空の Cisco AV-Pair を access-accept パケットで送信しないようにする必要がある |
|
|
管理者グループの無効な文字エラー |
|
|
説明が設定されていない場合、REST API を介して作成されたエンドポイント ID グループを削除できない |
|
|
「専用 MnT」オプションを有効にした後、GUI から無効にできない |
|
|
ボンディングが設定されている場合、デフォルトルートが間違ったインターフェイス上に配置される |
|
|
アップグレード後にデフォルトルートが削除されるか、間違ったインターフェイスに関連付けられる。 |
|
|
展開ページでデバイスの管理プロセスを無効にしても、T+ ポート(49)が開いている |
|
|
仮想ネットワークを使用した SGT-IP マッピングの競合処理で必要なログの改善 |
|
|
電子メールの送信元アドレスが .com または .net で終わっていない場合は無効になる |
|
|
構成のバックアップが復元された後、アプリケーションサーバーが初期化中の状態でスタックする |
|
|
SLR ライセンスの更新後に Cisco ISE が有効期限を更新しない |
|
|
CIAM:nettle 3.4.1 |
|
|
外部 RADIUS トークン共有秘密の無効な文字。 |
|
|
古い ISE バージョン 2.6 からのバックアップの復元後にサービスを開始できない |
|
|
タイムゾーンの更新は自動的に行われる |
|
|
AD ユーザーの SamAccountName パラメータがユーザーセッションで null になる |
|
|
Cisco ISE パッチ 2 に Cisco ISE 3.1 パッチ 3 をインストールした後、アプリケーションサーバーが初期化状態のままになる |
|
|
ISE で外部 ID ソースを持つ無効なシャドウ管理アカウントを使用して GUI にログインできる。 |
|
|
ユーザー ID グループに基づいた内部ユーザーの並べ替えが、[Identity Management] > [ID] で機能しない |
|
|
CIAM:samba 4.13.3 |
|
|
eth 1 での IP アドレスの変更中に、サービスの自動再起動が内部エラーで失敗する |
|
|
CIAM:samba 4.8.3 |
|
|
パスワードの不正確な辞書の単語評価 |
|
|
スケジュール設定されたレポートを作成した管理者が利用できなくなった場合、そのスケジュール設定されたレポートを編集または削除できない |
|
|
CIAM:暗号化 2.3 |
|
|
TrustCertQuickView がすべての信頼できる証明書について同じ情報を提供する |
|
|
Rest API を使用して外部パスワードタイプで内部ユーザーを有効にしているときに 400 Bad Request が発生する |
|
|
プライマリ PAN の管理証明書を変更した後、すべてのノードでアプリケーションサーバーが再起動する |
|
|
ISE PIC ノードで TLS 1.0 および 1.1 を無効にする機能を追加 |
|
|
ISE から IP アクセスリストを削除すると、分散展開が破棄される |
|
|
3.2 ベータ版: TLS 1.0 を有効にした後、ISE GUI にアクセスできない。 |
Cisco ISE リリース 3.1 - 累積パッチ 4 の未解決の不具合
次の表に、リリース 3.1 - 累積パッチ 4 で未解決の問題を示します。
| 不具合 ID | 説明 |
|---|---|
| CSCwc62413 | Cisco Identity Services Engine クロスサイト スクリプティングの脆弱性。 |
|
3.1 パッチ 8:3.1 パッチ 8 の寿命設定で、不十分な仮想マシンリソースのアラームが発生。 |
Cisco ISE リリース 3.1 の新機能 - 累積パッチ 3.1
Cisco pxGrid クラウドのサポート
Cisco ISE 3.1 パッチ 3 は Cisco pxGrid クラウドをサポートしています。Cisco pxGrid クラウドは、pxGrid、ERS および OpenAPI のアクセスをクラウドベースのアプリケーションに拡張する新しい Cisco cloud サービスです。Cisco ISE 展開と Cisco pxGrid クラウド間の接続を許可するには、Cisco ISE 展開内の 1 つ以上の pxGrid ノードで pxGrid クラウドサービスを有効にする必要があります。Cisco pxGrid Cloud の詳細については、『Cisco pxGrid Cloud Solution Guide』を参照してください。
OCSPレスポンダ証明書の更新
Cisco ISE リリース 3.1 累積パッチ 3 以降では、次のルールが OCSP 証明書の更新に適用されます。
-
マルチノード Cisco ISE 展開の場合、Cisco ISE GUI を介してパッチをインストールすると、OCSP 証明書が自動的に更新されます。Cisco ISE CLI を介してパッチをインストールする場合は、OCSP 証明書を手動で更新することをお勧めします。
-
スタンドアロン Cisco ISE 展開の場合、Cisco ISE GUI、または Cisco ISE CLI のどちらを介してパッチをインストールしたかに関わらず、OCSP 証明書が自動的に更新されます。
-
パッチ 3 をアンインストールする場合は、OCSP 証明書を手動で更新する必要があります。
この 1 回限りの OCSP 証明書更新プロセスは、証明書階層の変更によるものです。詳細については、『Cisco Identity Services Engine Administrator Guide, Release 3.1』の「Basic Setup」の章にある「Update of OCSP Responder Certificates」を参照してください。
Microsoft Graph の更新による Microsoft Intune の統合の変更
Microsoft は Azure Active Directory(Azure AD)Graph を廃止しており、2022 年 6 月 30 日以降、Azure AD Graph 対応の統合をサポートしません。Azure AD Graph を使用するすべての統合を Microsoft Graph に移行する必要があります。Cisco ISE は通常、エンドポイント管理ソリューション Microsoft Intune との統合に Azure AD Graph を使用します。
Azure AD Graph から Microsoft Graph への移行の詳細については、次のリソースを参照してください。
Cisco ISE リリース 3.1 パッチ 3 は、Microsoft Graph を使用する Microsoft Intune 統合をサポートします。Cisco ISE と Microsoft Intune 間の統合の中断を回避するには、Cisco ISE を Cisco ISE リリース 3.1 パッチ 3 に更新します。次に、2022 年 6 月 30 日までに、Azure AD Graph の代わりに Microsoft Graph を使用するよう、Microsoft Azure の Cisco ISE 統合を更新します。Cisco ISE では、Microsoft Intune 統合を更新して、[自動検出URL(Auto Discovery URL)] フィールドを更新する必要があります。https://graph.windows.net<Directory (tenant) ID> を https://graph.microsoft.com に置き換えます。
設定手順の詳細については、「Connect Microsoft Intune to Cisco ISE as a Mobile Device Management Server」を参照してください。
Cisco ISE での TAC サポートケースのオープン
Cisco ISE GUI から Cisco ISE および他のシスコ製品の TAC サポートケースを開くことができるようになりました。
詳細については、『Cisco ISE Administrator Guide, Release 3.1』の「Troubleshoot」の章の「Open TAC Support Cases in Cisco ISE」を参照してください。
デフォルトで無効になっている SHA1 暗号
Cisco ISE リリース 3.1 パッチ 2 以降、ポート 443 の SHA1 暗号はデフォルトで無効になっています。
Cisco ISE リリース 3.1 の解決済みの不具合 - 累積パッチ 3
次の表に、リリース 3.1 累積パッチ 3 で解決済みの不具合を示します。
|
問題 ID 番号 |
説明 |
|---|---|
| パッチ 2 をインストールした後、「整合性チェック失敗」エラーが原因でサービスが停止する | |
|
条件スタジオに新しいオブジェクトが存在しない |
|
|
ISE 3.1 で WLC が EAPOL キー M2 を検証できない |
|
|
ISE 3.0 パッチ 3 にアップグレードした後、ODBC から属性を取得できない |
|
|
ユーザー名に $ が含まれている場合、アイデンティティユーザーを作成できない |
|
|
内部 CA の失敗「OCSP ステータスが不明なため、12557 ユーザー認証に失敗しました(12557 User Auth failed because OCSP status is unknown)」エラーによる単一の Byod フロー |
|
|
外部 RADIUS サーバーが設定されている場合、ISE 2.4 パッチ 13 から ISE 2.7 へのアップグレードが失敗する |
|
|
ISE CLI の公開キー暗号化を使用するバックアップログで、コアファイルのキャプチャが許可されない |
|
|
すべてのフィールドの [ローカルログの設定(Local Log Settings)] ツールチップに、無関係で役に立たない「信頼できる証明書(Trust Certificates)」が表示される |
|
|
ユーザーアサーションに「グループ」クレームに複数の値が含まれている場合、ISE 3.1 SAML 管理認証が失敗する |
|
|
ISE 2.7 認証成功設定が成功/成功 URL を示す |
|
|
セッションキャッシュのユーザー名が null であるため、ユーザー名に対する TACACS 認証ポリシーのクエリ実行に失敗する |
|
|
「GET /ers/config/radiusserversequence」API の JSON 応答に nextPage フィールドがない |
|
|
デバイスポートのネットワーク条件でインターフェイス ID が検証されない |
|
|
CIAM:gnutls 3.6.14 |
|
|
CIAM:libx11 1.6.8 |
|
|
CIAM:python 3.6.8 |
|
|
CIAM:file 5.33 |
|
|
CIAM:sysstat 11.7.3 |
|
|
CVE-2021-4034 Polkit の Cisco Identity Services Engine 評価 |
|
|
[運用データの削除(Operational Data Purging)] > [データベースの使用状況(Database Utilization)] ウィンドウでノードデータベースの使用情報が正しく表示されない |
|
|
Microsoft Intune Graph の URL を graph.windows.net/tenant から graph.microsoft.com に変更 |
|
|
Get-By-Id サーバーシーケンスが、GUI を介してシーケンスで最初の変更を行った後に空のサーバーリストを返す |
|
|
複数の値を持つフィールドの処理ミスが原因でレポートが使用できない |
|
|
スポンサーポータル管理者が 1 時間以下のランダムゲストアカウントを作成できない |
|
|
CIAM:nss - 複数のバージョン |
|
|
キューリンクエラー:WARN:{socket_closed_unexpectedly;'connection.start'} |
|
|
GRUB2 の任意のコード実行の脆弱性 |
|
|
CIAM:openssh 7.6 |
|
|
API フローを使用してユーザーを作成すると、外部パスワードストアを使用する内部ユーザーが無効になる |
|
|
POST /ers/config/internaluser/ の Cookie を有効にすると、「IDグループが存在しません(Identity Group(s) does not exist)」というエラーが発生する |
|
|
ISE 3.0 で最初の SAN エントリのみがチェックされる |
|
|
IP-SGT マッピングが新しいネットワークアクセスのデバイスグループとリンクしない |
|
|
編集/保存中に ISE 認証プロファイルオプションが切り捨てられる(Chrome のみ) |
|
|
セッションキャッシュが入力されていないため、RCM および MDM フローが失敗する |
|
|
CLI リポジトリまたはディスクリポジトリが使用されている場合、パッチでフルアップグレードが機能しない |
|
|
RADIUS 共有シークレットの先頭にある特殊記号 @ により、CSV NAD インポートが拒否される |
|
|
CSCvu35802 の修正により、EAP チェーンのアイデンティティとして証明書属性をもつ AD グループの取得が中断される |
|
|
ISE 3.1 ゲストのユーザー名/パスワードポリシーを変更できない |
|
|
メモリ割り当ての不整合が原因で複数のランタイムがクラッシュする |
|
|
ポスチャポリシーで AD セキュリティグループの OU の末尾をドット文字にできない |
|
|
CIAM:binutils 2.30 |
|
|
CIAM:json-c 0.13.1 |
|
|
ポスチャファイアウォールの修復アクションを変更できない |
|
|
TACACS コマンドセットの正規表現が間違っている |
|
|
専用の MnT を使用した pxGrid セッションディレクトリでセッションサービスを利用できない |
|
|
PEAP セッションのタイムアウト値が最大で 604800 に制限されている |
|
|
ISE 3.1 がスマートアカウントからの ISE-PIC ライセンスを要求する |
|
|
CIAM:nss - 複数のバージョン |
|
|
AWS 上の ISE 3.1 でヘルスチェックの DNS チェックの検出漏れが生じる |
|
|
属性値 dc-opaque がライブログの問題を引き起こす |
|
|
一部の言語で ISE CPP が正しくロードされない |
|
|
ISE で、ポスチャフロー中に発生した不適切なインデックスから URL 属性値を取得できない |
|
|
ERS API で「ネットワーク デバイス グループ」名にドット文字の使用または作成/更新が許可されていない |
|
|
マシン認証フラグが誤って「true」に設定されているため、Eap チェーン認証が失敗する |
|
|
/ers/config/downloadableacl を使用した DACL の GET が nextPage または previousPage を返さない |
|
|
ISE 3.0 および 3.1:デバイス管理ライセンスだけですべての TACACS メニューへのアクセスを許可する必要がある |
|
|
CIAM:lz4 1.8.3 |
|
|
CIAM:glibc 2.28 |
|
|
[ネットワークデバイス(Network device)] タブの [複製(duplicate)] オプションを使用すると、IPv6 のサブネットが /128 に変更される |
|
|
「不明な NAD(Unknown NAD)」および「正しく設定されていないネットワークデバイスを検出(Misconfigured Network Device Detected)」アラーム |
|
|
エンドポイントグループに対する ERS API の並べ替えが一貫していない |
|
|
ISE 3.1 で vpn ユーザーの MDM intune 統合が中断する |
|
|
ISE クライアントの pxGrid 証明書が DNAC に配信されない |
|
|
名前、場所、またはデバイスタイプを使用してネットワーク デバイス グループを作成できない |
|
|
エンドポイントがポスチャ不明状態でスタックする |
|
|
ISE が、ライセンスクラウドからの無効な応答を示すアラームを表示する |
|
|
削除されたルート ネットワーク デバイス グループが、ネットワークデバイスのエクスポートされた CSV レポートで引き続き参照されている |
|
|
SNMPv3 COA 要求が ISE 2.7 によって発行されない |
|
|
長いカスタム属性文字列を使用した ISE API のユーザー追加操作に、Curl を使用して約 4 分かかる |
|
|
/erc/config/authorizationprofile/{id} 上の PUT の更新されたフィールドリストが通常空になる |
|
|
ネットワーク デバイス グループの名前と説明を同時に変更できない |
|
|
MTU の変更後、既存のルートがルーティングテーブルにインストールされない |
|
|
ISE 条件スタジオ - [IDグループ(Identity Groups)] ドロップダウンを 1000 個に制限 |
|
|
DELETE /ers/config/networkdevicegroup/{id} が機能していない。CRUD の例外 |
|
|
CIAM:tcp-dump 4.9.3 |
|
|
特殊文字を使用すると認証プロファイルでエラーがスローされる |
|
|
ISE 評価 log4j CVE-2021-44228 |
|
|
マトリックスが変更されていないスイッチで CoA が開始されなかったため、ポリシーの同期に失敗した |
|
|
認証の高度な属性設定に含まれる空のユーザーカスタム属性により、誤った AVP が発生する |
|
|
ISE 内部 CA の生成時に ISE が pxGrid 証明書を置き換える |
|
|
NAT が使用されたときに「Queue Link Error: Message=From Node1 To Node2; Cause=Timeout」エラーが表示される |
|
|
ISE 3.1 パッチ 1:FIPS が有効な場合、SSH 経由で ISE に接続できない |
|
|
SSL 監査イベントが原因で Catalina.out ファイルが巨大化する |
|
|
CIAM:sqlite 3.18.2 |
|
|
ネットワークデバイスに SNMP が設定されると、SNMP レコードの処理中に 20 秒の遅延が発生する |
|
|
200 以上の内部証明書を持つ PAN ノードで、Deployment-RegistrationPoller がパフォーマンスの問題を引き起こす |
|
|
ISE 3.1:Active Directory スーパー管理者で pxGrid 証明書を生成できない |
|
|
15 のコレクションフィルタが設定された ISE で 15 番目のフィルタが非表示になる |
|
|
PAN のパフォーマンスを向上させるために bouncy-castle クラスを最適化する |
|
|
有用性:「DNS 解決の失敗(DNS Resolution Failure)」アラームで ISE サーバーを表示する必要がある |
|
|
EAP チェーンフローで関連する ID を処理する間に、セッションキャッシュを更新する必要がある |
|
|
ゲストポータルフィールドにより Apple VoiceOver の単語が繰り返される |
|
|
[成功(Success)] ページが空白で、ホットスポット ゲスト ポータルの [完了(Done)] ボタンが有効にならない |
|
|
Tacacs+ リクエストで「選択したサービスが見つかりませんでした(Could not find selected service)」エラーが発生した場合に、セッションが削除されない |
|
|
ISE で ACI 統合を有効にしようとすると、複数の ACI IP アドレス/ホスト名を追加できなくなる |
|
|
ISE 3.1 - IPv6 がグローバルに無効になっていると GUI が機能しない |
|
|
CIAM:pcre 8.41 |
|
|
Gig0 とは異なるインターフェイスでホストされている場合に、ゲストポータルがロードされない |
|
|
[コネクタ設定(connector settings)] ページが開いていると、REST ID がクラウドからグループを取得する |
|
|
ISE 3.0p2:[すべてをモニター(Monitor All)] 設定が複数のマトリックスと異なるビューで正しく表示されない |
|
|
クライアント プロビジョニング ポリシーの AD セキュリティグループで OU の末尾をドット文字にできない |
|
|
CIAM:libsolv 0.7.16 |
|
|
TPS が高いときに Active Directory の遅延が大きいと、ADRT で HOL ブロッキングが発生する |
|
|
サードパーティデバイスで再認証の問題が発生する |
|
|
ISE 3.0 APIC 統合:セキュリティグループの作成に失敗した |
|
|
展開ノードのエンドポイントに 8 オクテット MAC が存在する場合、ポスチャの有効期限を処理する必要がある |
|
|
ISE GUI から SAML プロバイダー情報の XML ファイルをエクスポートできない |
|
|
ID グループに対する ERS API の並べ替えが一貫していない |
Cisco ISE リリース 3.1 の未解決の不具合 - 累積パッチ 3
|
問題 ID 番号 |
説明 |
|---|---|
|
ISE UI から再起動後に SXP サービスが開始されない |
|
|
ISE-PIC ノードで「ページにアクセスできません」というポップアップメッセージを取得する。 |
|
|
正しくない cryptoLib 初期化が原因で ISE PSN ノードがクラッシュする。 |
|
|
3.1 パッチ 8:3.1 パッチ 8 の寿命設定で、不十分な仮想マシンリソースのアラームが発生。 |
Cisco ISE リリース 3.1 - 累積パッチ 1 の新機能
AWS 上の Cisco ISE
-
ソフトウェアバージョン Cisco ISE 3.1 パッチ 1 は、Amazon Web Services で入手できます。
-
t3.xlarge という AWS インスタンスで、Cisco ISE を評価モードでインストールできるようになりました。AWS の評価モードで Cisco ISE を使用する詳細については、『Cisco ISE Installation Guide, Release 3.1』の「Cisco ISE Evaluation Instance on AWS」のセクションを参照してください。
t3.xlarge インスタンスは、Cisco ISE リリース 3.1 パッチ 1 以降のリリースのみをサポートします。
OpenAPI サービス
Cisco ISE リリース 3.1 累積パッチ 1 では、次の OpenAPI が導入されています。
-
パッチおよびホットパッチhttps://developer.cisco.com/docs/identity-services-engine/v1/#!cisco-ise/cisco-ise-api-service
詳細については、『Cisco ISE Administrator Guide, Release 3.1』の「Basic Setup」の章にある「Enable API Service」を参照してください。
Cisco ISE の署名付き SAML 認証要求
Cisco ISE は、署名された SAML 要求とアサーションのみを認証用に受け入れるようになりました。
詳細については、『Cisco ISE Administrator Guide, Release 3.1』の「Asset Visibility」の章にある「Configure SAML ID Provider」を参照してください。
Cisco ISE リリース 3.1 - 累積パッチ 1 の解決済みの不具合
次の表に、リリース 3.1 累積パッチ 1 の解決済みの不具合を示します。
|
問題 ID 番号 |
説明 |
|---|---|
|
コレクタログ権限のため、MnT ログプロセッサが動作しない |
|
|
/ers/config/<obj>/bulk/submit が無効なロケーション URI /ers/config/<obj>/bulk/submit/<bulkID> を返す |
|
|
MnT コンポーネントのコード拡張に関する包括的なバグ |
|
|
2.4p12 パッチのインストールが永続的にスタックする |
|
|
oddjo に同梱されている mkhomedir ツールで競合状態が検出された |
|
|
ISE 3.0 BH:TACACS ライブログに、ネットワークデバイス IP の選択オプションが表示されない |
|
|
DOC:この OCSP 応答の更新に対する不明な最大時間差 |
|
|
CIAM で POI の脆弱性が検出された |
|
|
50 文字を超えるプロファイル名を使用している場合、認証に成功したことを示すライブログが表示されない |
|
|
glibc の複数の脆弱性 |
|
|
3.0P2:アカウンティングレポートのエクスポートの完了に長時間かかる |
|
|
CIAM で netty の脆弱性が検出された |
|
|
CTS-SXP-CONN:デバイスから ISE SXP 接続への ph_tcp_close - Hawkeye |
|
|
[CFD] ユーザーが、ポータルの作成手順でゲスト SSID を作成できない - ISE がビジーエラー |
|
|
特定の証明書監査中に証明書の検証の Syslog メッセージが送信された - ISE |
|
|
CIAM:openjdk - 複数のバージョン |
|
|
CIAM:libx11 1.6.8 |
|
|
CIAM:glibc 2.28 |
|
|
CIAM:gnupg 2.2.9 |
|
|
CIAM:systemd 219 |
|
|
CIAM:vim 8.0.1763 |
|
|
CIAM:nettle 3.4.1 |
|
|
CIAM:unbound 1.7.3 |
|
|
CIAM:pcre2 10.32 |
|
|
CIAM:cpio 2.12 |
|
|
CIAM:libarchive 3.3.2 |
|
|
CIAM:network-manager 1.22.8 |
|
|
ゲストポータルの [顧客(Customer)] フィールドに & - $ # が含まれる |
|
|
Cisco Identity Services Engine の XML 外部エンティティ インジェクションの脆弱性 |
|
|
CIAM:librepo 1.11.0 |
|
|
ISE ゲスト SAML 認証が [アクセス権が検証されました(Access rights validated)] HTML ページで失敗する |
|
|
不適切なポスチャ複合条件のホットフィックス |
|
|
スイッチで CTS PAC がアクティブにならない:ISE 3.1 ビルド 3.1.0.477 経由 |
|
|
CIAM:go 1.15.7 CVE-2021-33194 |
|
|
[ISE復元(ISE restore)] ポップアップメニューに誤ったテキストが表示される |
|
|
ISE 3.0 デバイス管理ライセンスだけで、[管理(Administration)] > [システム(System)] > [ログ記録(Logging)] メニューへのアクセスが許可される必要がある |
|
|
NAD でポリシーペルソナなしで SPAN を選択し、設定変更をデバイス CoA に送信できる |
|
|
2.7 からの eap チェーンのポスチャリースが中断する |
|
|
EPOCH 時間が null になっているため、TACACs レポートに重複したエントリが表示される |
|
|
TACACS 認証レポートに重複したエントリが表示される |
|
|
nmap が積極的な推測を実行したため、EP が「cisco-router」として不適切にプロファイリングされる |
|
|
Tacacs AuthZ で SessionCache がクリアされないエラーのため、ヒープの使用率が高くなり、認証が遅延 |
|
|
バナー ブロッキング SFTP リポジトリの特殊文字 |
|
|
ISE 2.7 パッチ 4 で、Umbrella セキュリティプロファイルに .json ファイルをアップロードできない |
|
|
P1PNSBaseline:SuperMnT:過去 30 日間の Radius Auth レポートが、フィルタ処理を含めて最大 5 分かかる |
|
|
ISE 2.6 p 9、新しいグループを追加した後、デフォルトの権限がデフォルトのグループ内部に戻らない |
|
|
GUI アクセスに証明書ベースの認証を使用しているときに AD グループが存在しない場合、ISE GUI がロード中にスタックする |
|
|
ise 2.7 がエンドポイントのグループへの追加に失敗した |
|
|
発行された証明書ページで別のページにスクロールできない |
|
|
ISE GUI がすべてのライセンスをコンプライアンス違反として表示する:スマートライセンス |
|
|
ローカルのエージェントレスポスチャが中断する |
|
|
Okta リダイレクトが 1 番目の ID ストアで失敗し、2 番目の ID ストアが割り当てられたときに機能する |
|
|
セカンダリノードの [展開(Deployment)] タブで pxgrid を有効および無効にした場合、[UI pxgrid] ページを表示できない |
|
|
ISE:mdm 設定が原因で、バックアップの復元後にアプリケーションサーバーの初期化がスタックする |
|
|
ユーザーがサポートバンドルを生成できない |
|
|
メニューアクセスのカスタマイズが機能していない |
|
|
ISE ヘルスチェック MDM 検証の誤ったアラーム |
|
|
NTP(' - ')ソースの状態の説明が ISE CLI にない |
|
|
CIAM:libxml 2.9.1 |
|
|
CIAM:jspdf 2.3.0 |
|
|
CIAM:systemd - 複数のバージョン |
|
|
CIAM:podman 1.6.4 |
|
|
「名前による」呼び出しの場合、スポンサーのアクセス許可がゲスト REST API に渡されない。 |
|
|
ISE 管理アカウントの選択に関する問題 |
|
|
ISE PIC 3.1 が従来のライセンスを要求する |
|
|
CIAM:jsoup 1.10.3 |
|
|
SQLException 発生時に ISE 3.0 TimesTen 接続が切断される |
|
|
ISE GUI:net::ERR_ABORTED 404 : /admin/ng/nls/fr-fr/ |
|
|
CIAM:bind 9.11.20 |
|
|
Cisco:cisco-av-pair AuthZ 条件の機能が停止した |
|
|
SAN フィールド fqdn にもかかわらず、PAN に対して発行された ISE 証明書を他のノードにインポートできない |
|
|
ISE3.1で、CSV ファイルページからのエンドポイントのインポートで [ファイルの選択(choose file)] をクリックしても応答がない。 |
|
|
ISE 2.7:EndpointPersister スレッドが停止する |
|
|
CIAM:libgcrypt 1.5.3 |
|
|
mtu を 1500 より大きく設定すると、mtu 値は再起動後、永続的に設定されない |
|
|
ファイルをアップロードするためのローカルディスク管理 UI が壊れている |
|
|
すべてのフィールドの [ローカルログの設定(Local Log Settings)] ツールチップに、無関係で役に立たない「信頼できる証明書(Trust Certificates)」が表示される |
|
|
ゲストタイプの設定変更が監査レポートで更新されない |
|
|
ISE 3.1:DNAC からネットワークデバイスを更新している間、共有シークレット/パスワードが空であるかマスクされている |
|
|
Pxgrid が ISE-PIC の [概要(Summary)] ページで無効と表示される |
|
|
ISE 3.1:[認証(Authentication)] タブで、[コンテキストの可視性(Context Visivility)] に空白の結果が表示される |
|
|
検出ホストに FQDN を追加すると、検出ホストの IP アドレスまたはホスト名が無効になる |
|
|
Windows 10 デバイスのエージェントレスポスチャがマルウェア対策チェックに合格しない - |
|
|
ISE 3.0 はゲストの自己登録ポータルの一部として「場所」設定を選択解除できません |
|
|
3.2 のフルアップグレードでバージョンの事前チェックが失敗する |
|
|
ISE ヘルスチェックおよび I/O 帯域幅のパフォーマンスチェックの誤報 |
|
|
サポートされていないメッセージコード 91104 および 91105 アラーム |
|
|
特定の NAD 削除により、すべての NAD が削除された |
|
|
「開かれているファイルが多すぎます(too many files open)」エラーにより、ライブログ/セッションに最新のデータが表示されない |
|
|
「操作が許可されていません(Operation is not permitted)」エラーにより、ネットワーク管理者グループの AD ユーザーが管理者ユーザーを作成/編集できない |
|
|
7 日以上前の Radius レポートが空(CSCvw78289 の回帰) |
|
|
Oracle プロセスが増加し、TNS を取得中:接続が切断される |
Cisco ISE リリース 3.1 - 累積パッチ 1 の未解決の不具合
|
問題 ID 番号 |
説明 |
|---|---|
|
内部 CA エラー「OCSP ステータスが不明なため、12557 ユーザー認証に失敗」による単一の Byod フロー。 |
|
|
3.1 パッチ 8:3.1 パッチ 8 の寿命設定で、不十分な仮想マシンリソースのアラームが発生。 |
Cisco ISE ソフトウェア ダウンロード サイトでの Cisco ISE 3.1 ファイルの置き換え
Cisco ISE ソフトウェア ダウンロード サイトで Cisco ISE 3.1 OVA、ISO、およびアップグレード バンドル ファイルが置き換えられました。
どのような変更が加えられたか
-
このビルドでは、次のバグが解決されています。
-
CSCwa04370:ISE 3.1 では、2 つのインターフェイスが IP アドレスで設定されており、デフォルトゲートウェイが eth1 のサブネットを参照している場合、デフォルトインターフェイスの誤った発信インターフェイスが表示されます。
-
CSCwa82553:ボンディングが設定されている場合、ISE 3.1 のデフォルトルートが間違ったインターフェイス上に配置される
-
-
ZTP ツールで ICMP、DNS、および NTP チェックをスキップするオプション。詳細については、『Cisco ISE Installation Guide, Release 3.1』の「Additional Installation Information」の章にある「Zero Touch Provisioning」を参照してください。
(注) |
|
Cisco ISE リリース 3.1 の解決済みの不具合
Cisco ISE リリース 3.1 で解決済みの不具合は、Cisco ISE パッチリリース(2.6 パッチ 9、2.7 パッチ 4、3.0 パッチ 2)と同等です。
|
問題 ID 番号 |
説明 |
|---|---|
|
ISE 3.1 では、2 つのインターフェイスが IP アドレスで設定されており、デフォルトゲートウェイが eth1 のサブネットを参照している場合、デフォルトインターフェイスの誤った発信インターフェイスが表示されます。 |
|
|
ボンディングが設定されている場合、ISE 3.1 のデフォルトルートが間違ったインターフェイス上に配置される |
|
|
RADIUS 最大 session-timeout 値が 65535 に制限される |
|
|
「認証プロファイル」に対する ERS の作成/更新で XML スキーマの検証が失敗する |
|
|
ポータルビルダーで作成されたポータルに空白のゲストポータルウィンドウが表示される |
|
|
クライアント プロビジョニング ポータルのサポート情報のカスタマイズがない |
|
|
ポータルがスポンサー付きゲストポータルに設定されている場合、ゲスト承認の電子メールにロゴが表示されない |
|
|
「ゲストユーザー情報を保存」の RADIUS アカウンティングおよびアクセス許可でゲストユーザー名が送信されない |
|
|
passive-id サービスが有効になった後、AD 結合に使用されるアカウントがロックされることがある |
|
|
スクロールバーを使用すると、AD グループの完全なリストが表示されない |
|
|
レポートの名前変更に関する問題 |
|
|
ポスチャリースが原因で 1 日を超えた猶予期間を設定できない |
|
|
管理者ログイン情報での MnT API 呼び出しによりアカウントが無効になる |
|
|
GUI へのログイン時にセッション情報のポップアップを抑制する機能 |
|
|
プロファイリングと条件スタジオがロードされない、または最大 30 分かかる |
|
|
ISE-PIC GUI 管理者ユーザー設定を変更しようとしたときのエラー |
|
|
エンドポイント消去のレポートを実行したとき、消去されたエンドポイント数が 0 の場合、レポートが表示されない |
|
|
デバイスポータルを更新する際の不正な要求エラー |
|
|
DNS の不正な設定により、TACACS 認証または RADIUS 認証に失敗する |
|
|
show running-config を完了できない |
|
|
共有秘密キーに特殊文字が含まれていると、エラーとともに NAD のインポートが失敗する |
|
|
ネットワーク デバイス グループへの変更が Change Audit ログに反映されない |
|
|
ID グループなしの ISE 内部ネットワーク アクセス ユーザーを管理できない |
|
|
[RADIUS認証のトラブルシューティング(RADIUS Authentication Troubleshooting)] ウィンドウが適切にフィルタリングされない |
|
|
Cisco ISE 2.4 パッチ 5 が頻繁にクラッシュしてコアファイルを生成する |
|
|
PassiveID アラームを、各 DC の非アクティブ状態に対して個別にトリガーする必要がある |
|
|
PSN は、PassiveID エージェントからのマッピングの遅延を識別できる必要がある |
|
|
アプリケーションサーバーの初期化に時間がかかる |
|
|
[クライアント プロビジョニング リソース(Client Provisioning Resources)] ウィンドウの [プロファイルの説明(Profile Description)] フィールドを更新しているときに、Enter キーを使用して新しい行を作成すると、「ネットワークエラーが原因でサーバーの応答を受信できません(Fail to receive server response due to the network error)」というメッセージが表示される |
|
|
ポスチャ条件が「vc_visInst_v4_CiscoAnyConnectSecureMobilityのチェックでClient_4_xが見つかりません(Check vc_visInst_v4_CiscoAnyConnectSecureMobility Client_4_x is not found)」エラーで失敗する |
|
|
ISE ルート CA の再生成中に「プラスライセンスはコンプライアンス違反(Plus License is out of compliance)」メッセージが表示される |
|
|
io.netty.buffer.PoolChunk での疑わしいメモリリーク |
|
|
SMTP サーバーの変更後にゲスト電子メールが送信されない |
|
|
AD グループの追加/削除中にスポンサー グループ メンバーシップが削除される |
|
|
DUO を外部 RADIUS プロキシとする ISE で access-reject がドロップされる |
|
|
ISE 2.4 パッチ 6:MAC アドレスでデバイスを取得する REST API MnT クエリに 2 分以上かかる |
|
|
変更設定監査レポートの IP アドレスと CSV エクスポートの変更されたプロパティが欠落している |
|
|
プライマリ PSN または PAN に到達できない場合にポスチャが失敗する |
|
|
ゲストポータルで証明書チェーンが送信されない |
|
|
Cisco Identity Services Engine クロスサイト スクリプティングの脆弱性 |
|
|
ゲストパスワードポリシー設定がアルファベットまたは数字で設定されていると保存できない |
|
|
ISE ヘルスサマリレポートの時間対スループットのチャートで、間違った単位を使用している |
|
|
ISE の [Radiusライブセッション(Radius Live Sessions)] ウィンドウに [データが見つかりません(No Data Found)] と表示される |
|
|
ISE がすべての MAC アドレスのルックアップを行わず、リダイレクトなしのポスチャが失敗する |
|
|
ISE が syslog ターゲットに対してのみ IP を許可するか、DNS キャッシングを提供する |
|
|
エンドポイントのデバッグを有効にすると、ISE 2.4 アプリケーションサーバーが初期化状態になる |
|
|
停止状態への移行中にアプリケーションサーバーがクラッシュする |
|
|
MAC 11 Big sur BYOD フローが失敗した |
|
|
エンドポイントデータがセカンダリ管理ノードに表示されない |
|
|
GRUB2 の任意のコード実行の脆弱性 |
|
|
ログ収集エラーアラームが表示される |
|
|
ゲスト API が、制限されたスポンサーに、許可されていないゲストタイプでもゲストアカウントを作成することを許可する |
|
|
ドロップされたセッションのセッションキャッシュがクリアされず、PSN で高い CPU 使用率が発生する |
|
|
共通タスクでセキュリティグループを選択すると、認可プロファイルが適切な属性で保存されない |
|
|
最大セッション数制限がユーザーとグループに対して機能しない |
|
|
ネットワークリストに戻ると、適用されたフィルタが削除される |
|
|
pxGrid 内部クライアントの ping に失敗した |
|
|
[DNACアシュアランス(DNAC Assurance)] ウィンドウでゲスト ID を表示できない |
|
|
ISE で TACACS+ および TCP を強化するための TCP 設定の変更 |
|
|
HTTPS、EAP、DTLS、および PORTAL の ISE 証明書を更新すると、PORTAL ロールと Admin ロールのみが適用される |
|
|
iOS 14 beta で BYOD フローが破損している |
|
|
DNA ACA セキュリティグループの同期が JDBCException エラーで失敗する |
|
|
ディスカバリホストの説明テキストが紛らわしい |
|
|
ライブセッション詳細レポートで、VPN ポスチャシナリオについて誤った認証プロファイルと認証ポリシーが表示される |
|
|
Livelog セッションで、VPN ポスチャシナリオに誤った認証ポリシーが表示される |
|
|
[コンテキストの可視性(Context Visibility)] に、VPN ポスチャシナリオの誤った認証プロファイルと認証ポリシーが表示される |
|
|
ISE ゲストポータルの登録と有効期限の電子メールは、ポータルに入力された形式を維持する必要がある |
|
|
内部 ID ストア内の選択したユーザーに対して CSV エクスポートを開始できない |
|
|
無効な IPv6 アドレスが原因で RADIUS の passed-auth ライブログが送信されない |
|
|
カスタムポートのみが有効な場合、手動 NMAP が動作しない |
|
|
LANDESK のポスチャ条件を作成できない |
|
|
キーに < 記号または > 記号が含まれていると、PSK cisco-av-pair がエラーをスローする |
|
|
NFS リポジトリが GUI から機能しない |
|
|
自己署名証明書を生成すると、CSR のデフォルトパラメータが事前にインストールされた自己署名証明書と一致しない |
|
|
ノードが展開から削除されたときに内部 CA 証明書が削除されない |
|
|
running-config の保存エラーにより、スタートアップ設定が失われる |
|
|
TACACS 設定の更新中、デバイス管理サービスが無効になる |
|
|
NDG 列が 255 文字を超えると、TrustSec が有効になった NAD が TrustSec マトリックスに表示されない |
|
|
Cisco DNA Center でセキュリティグループ名が変更された場合、マッピングされた SGT エントリが認証ルールからクリアされる |
|
|
ISE ノードのリセット設定後にヒープダンプの生成が失敗する |
|
|
ISE は 30 日を超えるポスチャの猶予期間を許可する必要がある |
|
|
Aruba ダイナミック URL リダイレクトを使用して NetworkSetupAssistant.exe のダウンロードリンクを取得できない |
|
|
ISE ホットスポット ゲスト ポータル フローが破損している |
|
|
ISE_EST_Local_Host RADIUS 共有シークレットが空の場合、アプリケーションサーバーが「初期化中(Initializing)」としてマークされる |
|
|
現在アクティブなセッションレポートのエクスポートには、午前 0 時以降に更新されたセッションのみが表示される |
|
|
CLI からエクスポートされたコンテキストの可視性 CSV に IP アドレスが表示されない |
|
|
ISE ノードのリロード後に ISE 2.6/2.7 リポジトリが削除される |
|
|
一時停止されたゲストユーザーがエンドポイントグループから自動的に削除されない |
|
|
TACACS コマンドセットでカッコ付きのコマンドを保存するとエラーが発生する |
|
|
コンテキストに空の値が追加されたため、グループのルックアップが失敗した |
|
|
EST サービスを初期化する認証局サービスが ISE 2.7 パッチ 2 へのアップグレード後に実行しない |
|
|
ISE RADIUS ライブログの詳細で、[Other Attributes] セクションに AD グループ名がない |
|
|
/opt フォルダの空き容量が 1 TB 以上の場合、運用バックアップがエラーをスローする |
|
|
合計レコード数が 500 万を超えると、認証概要レポートがスタックする |
|
|
ISE SXP にはセッションから学習した古いマッピングをクリアするメカニズムが必要 |
|
|
内部ユーザーのカスタム属性の IP データ型で転送スラッシュを使用する機能の追加が必要 |
|
|
異なる SNMP サーバーに対して一意のコミュニティストリングを作成できない |
|
|
プロキシバイパス設定で大文字を使用できない |
|
|
エンドポイントの GUI ページに Clinda のカスタム属性が表示されない |
|
|
存在しないネットワークデバイスを照会すると、ネットワークデバイス API コールがエラー 500 をスローする |
|
|
PSN rmi GC の収集が正しく機能せず、PassiveID フローでメモリリークが発生する |
|
|
ユーザー アイデンティティ グループで大文字と小文字が区別されるため、[スポンサーグループメンバーの選択(Select Sponsor Group Members)] ウィンドウがロードされない |
|
|
PSN ノードでのメモリリーク |
|
|
[RADIUSサーバー順序(RADIUS Server Sequences)] ウィンドウに「使用可能なデータがありません(no data available)」と表示される |
|
|
Cisco Identity Services Engine の信頼できないファイルアップロードの脆弱性 |
|
|
状態別ポスチャ アセスメント レポートに、状態ステータスフィルタなしのデータが表示される |
|
|
認証プロファイルのセキュリティグループの値が取得直後に表示されない |
|
|
AUP テキストを変更できない |
|
|
ローカルまたはグローバルの例外を使用する場合、ISE がプラスライセンスを使用しない |
|
|
ISE 3.0 REST ID ログファイルがサポートバンドルに含まれていない |
|
|
ISE 3.0 ヘルスチェックライセンス検証の誤ったアラーム |
|
|
ISE が内部のネットワーク管理者ユーザーのリクエストを外部の RADIUS トークンサーバーに絶えず送信する |
|
|
バインドパスワードで % 文字が 2 回以上使用されている場合、LDAP グループ/サブジェクト属性を取得できない |
|
|
[クライアント プロビジョニング(Client Provisioning)] ウィンドウに現在の設定が正しく表示されない |
|
|
プライマリ PAN の障害後、「予期しないエラーが発生しました(An unexpected error occurred)」というメッセージとともに、証明書の一括生成に失敗した |
|
|
ローカルディスクの使用情報がない |
|
|
ISE で SAN の hostname-x を使用して CSR を生成するとエラーになる |
|
|
ポスチャ自動更新が実行されない |
|
|
ROPC の CTL に DigitCert グローバルルート G2 が必要 |
|
|
ネットワークデバイス IP フィルタがサブネット内の IP と一致しない |
|
|
RuleResultsSGTUpgradeService ステップでアップグレードが失敗する |
|
|
PassiveID フローを使用した PSN ノードでの高いメモリ使用量 |
|
|
接続に失敗すると、[スマートライセンスの権限付与(Smart Licensing Entitlement)] タブが [更新(Refreshing)] でスタックする |
|
|
プライマリ MnT がダウンしていると、ISE 2.6 のスケジュール済みレポートが機能しない |
|
|
ISE コレクションフィルタが GUI に表示されない |
|
|
「Employees」という名前で SGT を作成しようとすると、「入力された名前の NetworkAuthZProfile は既に存在します(NetworkAuthZProfile with entered name already exists)」というメッセージが表示される |
|
|
スポンサーグループに属していないユーザーがスポンサーポータルにログインできる |
|
|
スケジュール設定と運用バックアップを当日と同じ開始日に設定することができない |
|
|
SFTP サーバーのファイルパスに二重スラッシュ「//」が追加された |
|
|
DNAC と ISE の間で GBAC 設定が同期されない |
|
|
Cisco Identity Services Engine のストアド クロスサイト スクリプティングの脆弱性 |
|
|
[ISE PICライセンス(ISE PIC Licensing)] ウィンドウがロードされない |
|
|
「thisUpdate of OCSP response」で最大時間差が指定されない |
|
|
ISE ノードが断続的にキューリンクアラームをトリガーする |
|
|
ISE 2.7 パッチ 2 のカスタムビューの [コンテキストの可視性(Context Visibility)] ウィンドウをロードできない |
|
|
ISE の設定復元が 40% で失敗し、「IMPDP を使用した DB の復元が失敗しました(DB Restore using IMPDP failed)」というエラーが表示される |
|
|
Chrome バージョン 85/86 を使用しているときに ISE GUI ログインページにエラーが表示される |
|
|
PassiveID フローに AD グループを追加後のメモリリーク |
|
|
内部ユーザー「chrony」が作成されないため、NTP が機能しない |
|
|
スポンサーが、作成されたゲストユーザーのリストを表示できない |
|
|
削除メッセージの後、ACI マッピングが削除されない |
|
|
サードパーティの NAD のダイナミック リダイレクションでポスチャが機能しない |
|
|
IP オーバーラップの場合にエラーがスローされない |
|
|
PSN ノードの高 CPU 使用率 |
|
|
プライマリ MnT のリロード後、スケジュール済みの運用データバックアップがトリガーされない |
|
|
デフォルトルートにタグ付けされている場合、ISE からスイッチへの SGT マッピングに対する IP のプッシュが機能しない |
|
|
外部データ ソースのポスチャ条件を編集すると、常に間違った AD が表示される |
|
|
NAD の場所が [コンテキストの可視性のエラスティック検索(Context Visibility ElasticSearch)] で更新されない |
|
|
Windows ネットワーク インターフェイスよりも先にエージェントサービスが起動した場合、エージェントで DC がダウンとしてマークされる |
|
|
NAD プロファイルが削除された後、認証プロファイルに「No data available(データがありません)」と表示される |
|
|
例外が原因でエンドポイントが消去されない |
|
|
Cisco Identity Services Engine の信頼できないファイルアップロードの脆弱性 |
|
|
PassiveID がマルチ接続 syslog クライアントで安定して動作しない |
|
|
ISE 3.0 で CN および SAN が欠落している証明書が信頼できる証明書ストアにインポートされない |
|
|
国際電話番号ドロップダウンボックスが ISE 2.7 で機能しない |
|
|
API の使用中に NAD の共有秘密がログに表示される |
|
|
内部ユーザーのカスタム属性が CoA プッシュで送信されない |
|
|
SAML グループがスポンサーポータルグループで適用した場合に機能しない |
|
|
VPN のユースケースで ISE MnT ライブセッションのステータスが「ポスチャ済み(Postured)」に変わらない |
|
|
Essentials ライセンスを有効にすると、[ネットワークデバイス(Network Devices)] タブへのアクセスのみがブロックされる |
|
|
IP アクセス制限を適用した後、GUI にアクセスできない |
|
|
パスワードに特殊文字を使用すると、ISE サービスアカウントがロックされ、WMI が確立されない |
|
|
ISE で内部コールにホスト名が使用されるため ANC CoA が機能しない |
|
|
[バックアップと復元(Backup and Restore )] ウィンドウのロード中に、リポジトリの ise-psc.log に例外が表示される |
|
|
MAC OSX のマルウェア対策条件に Sophos 10.x の定義がない |
|
|
ISE 3.0 でのゲストポータル作成の失敗 |
|
|
ISE 3.0 Syslog プロバイダーが設定を適用できない |
|
|
Cisco ADE-OS のローカル ファイル インクルードの脆弱性 |
|
|
エンドポイントについて収集された SNMP 情報が ISE で処理されない |
|
|
API IP SGT マッピングが [No Devices] の結果を返さない |
|
|
TACACS コマンドの前にスペースを含むサードパーティデバイスについて、TACACS コマンド アカウンティング レポートがない |
|
|
猶予アクセスの期限が切れたときに Aruba WLC に対する CoA-disconnect が ISE で発行されない |
|
|
RBAC ポリシーで AD セキュリティグループの OU の末尾をドット文字にできない |
|
|
ISE が、自己署名証明書の上に CA 署名付き証明書をインポートすることを許可しない |
|
|
「ポスチャ済みライブセッション(Postured Live Session)」状態であったセッションが、NAD からアカウンティングの中間更新を受信すると「開始済み(Started)」に移行する |
|
|
SB で Hibernate.log を収集する必要がある |
|
|
日本語の GUI に 50 以上のルールがある場合、ISE が完全認証のルールを表示しない |
|
|
ISE が「ID 割り当てに失敗しました(Identifier Allocation Failed)」というエラーとともに、PSN からの CoA の送信に失敗する |
|
|
ポリシーセットの削除後に RADIUS 要求がドロップされた |
|
|
スキーマオブジェクトをドロップする前に、すべてのプロセスを停止する必要がある |
|
|
ISE 3.0 ポリシー条件スタジオ GUI バグ |
|
|
選択した外部サーバーのリストが変更されると、RADIUS サーバーが間違った順序になる |
|
|
ISE 展開で複数の SXP ノードを使用している場合、マッピングの総数が正しく表示されない |
|
|
ゲスト ユーザーが誤った有効期間で作成される |
|
|
スポンサーポータルで中国語を使用していると、設定日に誤った週情報が表示される |
|
|
「すべての SXP マッピング(All SXP Mapping)」表に、ISE で終了したセッションが含まれる |
|
|
関連しない NTP 同期失敗アラームを変更する必要がある |
|
|
IP アクセスが有効な場合に MnT ノード名が NULL に設定される |
|
|
パスコードフィールドに特殊文字が含まれていると、ホットスポット ゲスト ポータルでページロードエラーが表示される |
|
|
侵入テスト時に ISE 条件ライブラリが破損する |
|
|
Dot1x 認証がマネージャの重複のため失敗した |
|
|
ISE 2.7 へのアップグレード後に NTP が同期しない |
|
|
CWE-20:ノードグループの作成の入力検証が正しくない |
|
|
50 文字を超えるプロファイル名を使用している場合、認証に成功したことを示すライブログが表示されない |
|
|
ISE メッセージングサービスが無効になっている場合、「RADIUS 認証の詳細」レポートに時間がかかる |
|
|
Cisco Identity Services Engine の機密情報の開示における脆弱性 |
|
|
ユーザー ID グループでユーザー名に基づくソートが機能しない |
|
|
TACACS+ のエンドステーション ネットワーク条件のスクロールバーが機能しない |
|
|
認証プロファイルの CWA オプションが、一部のネットワーク デバイス プロファイルで正しく機能しない |
|
|
Cisco Identity Services Engine の機密情報の開示における脆弱性 |
|
|
Cisco Identity Services Engine の機密情報の開示における脆弱性 |
|
|
Cisco Identity Services Engine の機密情報の開示における脆弱性 |
|
|
設定監査の詳細に変更されたポリシーセットが表示されない |
|
|
[TACACS+デバイスネットワーク条件(TACACS+ Device Network Conditions)] および [デバイスポートネットワーク条件(Device Port Network Conditions)] タブのスクロールバーが機能しない |
|
|
ISE pxGrid の例外のログレベルは DEBUG ではなく ERROR である必要がある |
|
|
ライブセッションで正しいアクティブセッションが表示されない |
|
|
MAC アドレスを表す AD オブジェクトが「無効(disabled )」状態の場合、MAB 認証が失敗する |
|
|
Active Directory を使用した MAB 認証が AD オブジェクトが無効でも成功する |
|
|
DB クリーンアップの毎時 cron で DB ロックが取得される結果、展開の登録に失敗する |
|
|
PKI ベースの SFTP の場合、MnT ノードの GUI キーのエクスポートは、PAN として昇格した場合にのみ可能 |
|
|
Cisco Identity Services Engine の機密情報の開示における脆弱性 |
|
|
RBAC ルールが ISE 2.7 で適用されない |
|
|
ゲストポータルを編集、複製、削除できない |
|
|
ポーリング間隔の変更が外部 MDM サーバー(Microsoft_intune)に反映されない |
|
|
API からカスタム属性を更新すると、EP から静的ポリシーとグループの割り当てが失われる |
|
|
内部ユーザーエクスポート機能で、パスワードに無効な文字が含まれていてもエラーが表示されない |
|
|
MDM ウィンドウで Itune 統合がエラーをスローするが、テスト接続は正常に動作している |
|
|
Azure AD グループを取得できない |
|
|
証明書の一括生成に ISE の自己署名証明書が含まれていない |
|
|
ネットワークデバイスを追加すると、「ネットワークデバイスをロードできません(Unable to load NetworkDevices)」というエラーが表示される |
|
|
login.jsp に直接アクセスすると証明書ベースの認証による管理アクセスがバイパスされる |
|
|
「None」という名前のノードグループを作成すると、レプリケーションが中断される |
|
|
コンテキストの可視性の「実行中のプロセス」でエンドポイントのアプリケーションを並べ替えようとすると、エラーが表示される |
|
|
スマートライセンスに登録した後も ISE が評価期限切れ状態のままになる |
|
|
ISE TrustCert ストアの古い証明書エントリが原因で、特定のページのロードが遅延 |
|
|
ヘルスチェックでの DNS 解決可能性:CNAME としての ISE FQDN で誤ったエラー |
|
|
シスコ製品に影響する Sudo 権限昇格の脆弱性:2021 年 1 月 |
|
|
結合インターフェイスの IP アドレスを変更すると、「ipv6 address autoconfig」が削除される |
|
|
認証が [ODBCストアドプロシージャ(ODBC Stored-Procedures)] ウィンドウで設定された形式で MAC アドレスをルックアップする必要がある |
|
|
ISE 2.7 以降のサポートバンドルで ise-jedis.log ファイルがキャプチャされない |
|
|
ルート CA の再作成時に Jedis DB 接続プールが再作成されない |
|
|
ポリシーセットのエントリの評価で認証方式の条件が照合されない |
|
|
すべてのペルソナを同じノードで実行している SNS 3515 の SGA 値が under-provisioned になる |
|
|
シングルサインオン/Kerberos ユーザーアカウントでのスポンサーポータル認証でエラー 400 が発生 |
|
|
ポータル設定で「携帯電話番号(mobile number)」フィールドにチェックが付いていない場合、スポンサーポータルが「無効な入力」を提供する |
|
|
Tenable SC 5.17 ですべての tenable アダプタリポジトリを取得できない |
|
|
外部のユーザー名と誤ったパスワードを使用している場合に、ログインの失敗がログに記録されない |
|
|
NAS-IP アドレスが指定されていない acct stop を受信した場合に、セッションが「開始(started)」状態のままになる |
|
|
ISE AD ランタイムで a1-a2-a3-a4-a5-a6 から a1a2a3a4a5a6 への書き換えをサポートする必要がある |
|
|
エンドポイントを新規スイッチポートに変更し、エンドポイント ID グループを変更すると、CoA が失敗する |
|
|
EAP チェーンの場合にポスチャポリシーでマシン AD グループメンバーシップを取得できない |
|
|
動的認証後に、セッションディレクトリのトピックがユーザーの SGT 属性を更新しない |
|
|
新しいエンドポイントの AMP イベントが正しくマッピングされない |
|
|
TACACS フローのメモリリーク |
|
|
NIC ボンディングにより、MAR キャッシュが複製されない |
|
|
承認ポリシー条件の形式が正しくありません |
|
|
[デフォルトのネットワークデバイス(Default Network Devices)] ウィンドウで、設定のために Plus ライセンスを要求される |
|
|
TrustSec ポリシーマトリックスにより、ISE 3.0 での制限付きスクロールが許可される |
|
|
isedailycron temp1 のトラッキングにより AWR レポートで遅延が発生する |
|
|
「ネットワークデバイス別上位 N の認証(Top N Authentication by Network Device)」レポートでネットワークデバイスをクリックすると、RADIUS 認証ではなく TACACS 認証にリダイレクトされる |
|
|
ERS 自己登録ポータルの更新により、PSN で期待されるようにフィールドが削除されない |
|
|
ISE ログ収集エラー「セッション ディレクトリの書き込みに失敗しました(Session directory write failed)」 |
|
|
ISE で AnyConnect 出力設定ファイルの JSON ファイルの情報が更新されない |
|
|
国コードのドロップダウンオプションを使用すると、モバイルデバイスに「無効な電話番号形式(Invalid phone number format)」エラーが表示される |
|
|
データベース接続が利用できないため、展開が同期しなくなった |
|
|
ISE がネットワークデバイス trustsec 設定の EXEC またはイネーブルモードパスワードで % を受け入れない |
|
|
バックアップ インターフェイスが設定されている場合、REST 認証サービスが無効になる |
|
|
現在の展開で電子メールアドレスが設定されていない場合でも、レガシーデータを使用してすべてのシステムアラームで電子メールが送信される |
|
|
ISE との Qualys の統合が失敗する |
|
|
CA 署名付き証明書を使用すると、MacOS Big Sur 11.x BYOD が EAP-TLS に失敗する |
|
|
ポスチャ猶予期間の最大許容値を 30 日から 90 日に増やす |
|
|
ログイン文字の大文字小文字が原因で、内部ユーザーの非アクティブタイマーが更新されない |
|
|
ISE が、競合状態が原因の SXP-IP マッピング伝搬の削除/追加を処理できない |
|
|
ISE および ISE-PIC で、登録解除フローのスマートライセンスが機能しない |
|
|
ログインページのメッセージが空の場合は説明のボックスを削除する必要がある |
|
|
TrustSec ウィンドウの UI に問題がある |
|
|
RADIUS トークン ID のソースプロンプトと TACACS 認証の内部ユーザープロンプト |
|
|
ISE 2.7 パッチ 2 以降で EST サービスが実行されない |
|
|
上位認証レポートで、スケジュールされたレポートのフィルタが表示されない |
|
|
PAN はポート 8905 でリッスンすべきではない |
|
|
パスワードに Base64 以外の文字が含まれていると ROPC 認証が失敗する |
|
|
内部 ERS ユーザーが外部 ID ストアを介して認証を試み、REST の遅延が発生する |
|
|
「-」 または「 *」 を使用した NAD IP 定義が完全な IP 比較を実行しない |
|
|
再認証用の MNT REST API が分散型展開で(個別の MnTとともに)使用されると失敗する |
|
|
完全な数値 ID エントリを照合すると、TACACS レポートの詳細フィルタが機能しない |
|
|
[すべてのSXPマッピング(All SXP Mappings)] ウィンドウに、セッション経由で学習した IPv6 マッピングが表示されない |
|
|
「手動アクティブセッション(Manual Active Session)」レポートが空 |
|
|
エージェントレスポスチャがエンドポイントの信頼できるストアに CA 証明書チェーンをインストールしない |
|
|
ISE 管理証明書 CN が FQDN と等しくない場合、エージェントレスポスチャが失敗する |
|
|
Windows ユーザー名にスペースが含まれていると、エージェントレスポスチャが中断する |
|
|
PIP クエリ評価が原因で、ISE 2.6 パッチ 3 以降の PSN ノードで高い CPU が見られる |
|
|
API 経由でドメインを「ブロック/許可する」に更新できない |
|
|
Cisco Identity Services Engine のセルフ クロスサイト スクリプティングの問題 |
|
|
ISE REST API が IP-SGT マッピングに重複する値を返す |
|
|
「RADIUS アカウンティングの詳細(RADIUS Accounting Details)」レポートにアカウンティングの詳細が表示されない |
|
|
一部のオブジェクトの [説明(Descriptions )] フィールドで以前は許可されていた特殊文字が使用できなくなった |
|
|
FF 88 で、[ISE認証プロファイル(ISE authorization profile)] UI の [説明(Description)] フィールドの最大高が小さすぎる |
|
|
ISE が RADIUS サーバーのシーケンス設定で 6 つを超える属性の変更を受け入れない |
|
|
CLI バックアップ中に「/opt/CSCOcpm/config/cpmenv.sh:line 396:<ipv6>:command not found」エラーが表示される |
|
|
ISE が認証プロファイルの Framed-IPv6-Address でカスタム属性の名前を受け入れない |
|
|
オプションに他の変更を加えると、LDAP グループがスポンサーグループから消える |
|
|
[電話/電子メール(phone/email)] フィールドが入力されている場合、スポンサーユーザーがデータを編集できない |
|
|
証明書テンプレートの曲線タイプ P-192 が原因で、アプリケーションサーバーが「初期化(initializing)」状態でスタックする |
|
|
ISE 2.3 以降のバージョンでは、コマンドセットで「改行」 <cr> 文字をサポートしていない |
|
|
ISE 2.7 パッチ 3 GUI で、すべてのデバイスの管理認証ポリシーが表示されない |
|
|
Framed-IP 値のない AAA 要求により、SXP プロセスで例外が発生する |
|
|
ERS リクエストを通じてカスタム属性を更新すると、別の属性も更新される |
|
|
ポリシーの条件として TACACS カスタム AV ペアが機能していない |
|
|
設定バックアップのキャンセルによる ISE アプリケーションサーバーのクラッシュ/再起動 |
|
|
「電話番号をユーザー名として使用(Use Phone number as username)」オプションが有効な場合の、重複ユーザーの ISE ゲスト自己登録エラー |
|
|
ポリシーを展開しようとすると、Cisco DNA Center で断続的にエラーが発生する |
|
|
All Numbers サブドメインが使用されている場合、ISE のインストールが「データベースのプライミングが失敗(Database Priming Failed)」エラーで失敗する |
|
|
ISE 認証プロファイルの ERS 更新が accessType 属性の変更を無視する |
|
|
NAD の編集中に、間違ったデバイスプロファイルがマッピングされる |
|
|
CLI 経由で設定をリセットした後、セットアップウィザードのパスワードでハイフンがサポートされない |
|
|
ISE 2.7 パッチ 3 ERS コールが 3 文字の RADIUS 共有シークレットを受け入れない |
|
|
キー ペアの生成はスペースを受け入れるが、キーをエクスポートできない |
|
|
[ 400 ] Apple デバイスの SAML SSO OKTA による不正なリクエストエラー |
|
|
CoA の REST API が任意のサーバー IP で動作する |
|
|
% を含む AD アカウントパスワードを使用して WMI を設定するとエラーになる |
|
|
ゲストポータルの [顧客(Customer)] フィールドに & - $ # が含まれる |
|
|
ISE 経由の認証が「無効なログイン情報(Invalid login credentials)」エラーで失敗する |
|
|
非アクティブタイマーに達した後、ISE 内部ユーザーが無効にならない |
|
|
ISE DACL 構文バリデータが ASA のコード要件に準拠していない |
|
|
確認ポップアップでエンドポイントの数が正しくないことを示す「すべて」の機能を削除 |
|
|
[NAD] ページのフィルタの有無にかかわらず、[すべてのデバイスを選択(Select ALL device)] オプションが必要 |
|
|
不適切なポスチャ複合条件のホットフィックス |
|
|
アップグレード後、[ネットワーク アクセス ユーザー(Network Access Users)] ウィンドウで姓名が中国語の Unicode として誤って表示される |
|
|
RADIUS ベンダー ID が重複すると、PSN がクラッシュすることがある |
|
|
OcspClient のログレベルを WARN ではなく ERROR に変更する必要がある |
|
|
ISE の Syslog レベルとメッセージレベルの不一致 |
Cisco ISE リリース 3.1 の未解決の不具合
|
問題 ID 番号 |
説明 |
|---|---|
|
アカウンティングレポートのエクスポート完了まで長い時間がかかる。 |
|
| CSCwc83059 | フルアップグレード後、VCS 情報がない。 |
|
新しい SXP バージョンが ISE で認識できないため、バージョンのネゴシエーションが失敗する。 |
|
|
EST および StaticIP/ホスト名/FQDN を使用した Android BYOD フローが失敗する。 |
|
|
ISE HA 後にポリシーの変更がネットワークデバイスにプッシュされない。 |
|
|
Okta リダイレクトが、最初に追加された SAML 設定が削除され、再設定された後にのみ発生する。 |
|
|
セカンダリノードの [Deployment] タブで pxGrid を有効または無効にした後、GUI で [pxGrid] ページを表示できない。 |
|
|
タイムゾーンが変更されるたびにタイムスタンプを調整する必要がある。 |
|
|
PSN および MnT ノードでタイムゾーンが変更されると、ライブログとライブセッションのページが誤ったソート順序で表示される。 |
|
|
複数の PSN が異なるタイムゾーンにある場合、セッションデータが下部に表示される。 |
|
|
3.1 パッチ 8:3.1 パッチ 8 の寿命設定で、不十分な仮想マシンリソースのアラームが発生。 |
通信、サービス、およびその他の情報
-
シスコからタイムリーな関連情報を受け取るには、Cisco Profile Manager でサインアップしてください。
-
重要な技術によりビジネスに必要な影響を与えるには、Cisco Services にアクセスしてください。
-
サービスリクエストを送信するには、Cisco Support にアクセスしてください。
-
安全で検証済みのエンタープライズクラスのアプリケーション、製品、ソリューション、およびサービスを探して参照するには、Cisco Marketplace にアクセスしてください。
-
一般的なネットワーキング、トレーニング、認定関連の出版物を入手するには、Cisco Press にアクセスしてください。
-
特定の製品または製品ファミリの保証情報を探すには、Cisco Warranty Finder にアクセスしてください。
フィードバック