將ISE終端安全評估重定向流與ISE終端安全評估無重定向流進行比較
簡介
本文檔介紹安全評估無重定向流(從ISE v2.2開始)與早期ISE版本支援的安全評估重定向流相比較。
必要條件
需求
思科建議您瞭解以下主題:
- ISE上的狀態流
- 在ISE上配置終端安全評估元件
- 自適應安全裝置(ASA)配置,用於透過虛擬專用網路(VPN)進行安全評估
採用元件
本文中的資訊係根據以下軟體和硬體版本:
- Cisco ISE版本2.2
- 思科ASAv與軟體9.6 (2)
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
背景資訊
本文檔介紹身份服務引擎(ISE) 2.2中引入的一項新功能,它允許ISE支援安全評估流程,而無需在網路訪問裝置(NAD)或ISE上支援任何型別的重定向。
安全評估是Cisco ISE的核心元件。作為元件的姿勢可以表示為三個主要元素:
- ISE作為策略配置分發和決策點。
從ISE的管理員角度,您可以配置終端安全評估策略(必須滿足什麼確切條件才能將裝置標籤為符合公司標準)、客戶端調配策略(必須在哪種型別的裝置上安裝哪種代理軟體)和授權策略(必須分配什麼型別的許可權,取決於其終端安全評估狀態)。 - 作為策略實施點的網路接入裝置。
在NAD端,在使用者身份驗證時應用實際授許可權制。ISE作為策略點提供授權引數,例如下載的ACL (dACL)/VLAN/Redirect-URL/Redirect訪問控制清單(ACL)。傳統上,為了實施安全評估,需要需要NAD支援重定向(以指示必須聯絡哪個ISE節點的使用者或代理軟體)和授權更改(CoA),以便在終端的安全評估狀態確定後重新驗證使用者。 - 代理程式軟體作為資料收集點,並與使用者互動。
Cisco ISE使用三種代理軟體:AnyConnect ISE終端安全評估模組、NAC代理和Web代理。代理從ISE接收有關安全評估要求的資訊,並向ISE提供有關要求狀態的報告。
在ISE 2.2之前的流量安全評估中,NAD不僅用於驗證使用者和限制訪問,還用於向代理軟體提供必須聯絡的特定ISE節點的資訊。作為重定向過程的一部分,有關ISE節點的資訊會返回到代理軟體。
過去,重定向支援(在NAD或ISE端)是實施安全評估的基本要求。在ISE 2.2中,對於初始客戶端調配和狀態流程,支援重定向的要求被取消。
無重定向的客戶端調配-在ISE 2.2中,您可以直接透過門戶完全限定域名(FQDN)訪問客戶端調配門戶(CPP)。這類似於您訪問發起人門戶或我的裝置門戶的方式。
無重定向的狀態流程-在從CPP門戶安裝代理的過程中,有關ISE伺服器的資訊儲存在客戶端,從而可實現直接通訊。
ISE 2.2之前的終端安全評估流量
此圖顯示ISE 2.2之前Anyconnect ISE終端安全評估模組流量的分步說明:
圖1-1
步驟 1.身份驗證是流程的第一步,可以是dot1x、MAB或VPN。
步驟 2. ISE需要為使用者選擇身份驗證和授權策略。在狀態場景中,選擇的授權策略必須包含對狀態狀態的引用,該狀態最初必須是未知或不適用。要同時涵蓋這兩種情況,可以使用狀況狀態不一致的條件。
選擇的授權配置檔案必須包含有關重定向的資訊:
- Web重定向-對於安全評估情況,必須將Web重定向型別指定為客戶端調配(安全評估)。
- ACL -此部分需要包含在NAD端配置的ACL名稱。此ACL用於指示NAD哪些流量必須繞過重定向,哪些流量必須實際重定向。
- DACL -它可以與重定向訪問清單配合使用,但請考慮不同平台以不同順序處理DACL和重定向ACL。
例如,ASA在重定向ACL之前始終會處理DACL。同時,某些交換機平台處理它的方式與ASA相同,而其他交換機平台首先處理重定向ACL,然後檢查DACL/介面ACL(如果流量必須丟棄或允許)。
步驟 3. ISE返回具有授權屬性的Access-Accept。授權屬性中的重定向URL由ISE自動生成。它包含以下元件:
- 進行身份驗證的ISE節點的FQDN。在某些情況下,Web重定向部分中的授權配置檔案配置(靜態IP/主機名/FQDN)可能會覆蓋動態FQDN。
如果使用靜態值,則必須指向處理身份驗證的同一ISE節點。
對於負載均衡器(LB),此FQDN可以指向LB VIP,但僅當LB配置為將Radius和SSL連線結合在一起時才適用。
- 埠-埠值從目標門戶配置中獲取。
- 會話ID - ISE從Access-Request中提供的Cisco AV對稽核會話ID獲取此值。值本身是由NAD動態產生的。
- 門戶ID - ISE端目標門戶的識別符號。
步驟 4.NAD對會話應用授權策略。此外,如果配置了DACL,則在應用授權策略之前會請求其內容。
重要注意事項:
- 所有NAD -裝置必須本地配置的ACL名稱與Access-Accept as redirect-acl中接收的ACL名稱相同。
- 交換機-客戶端的IP地址必須顯示在
show authentication session interface details命令的輸出中,才能成功應用重定向和ACL。客戶端IP地址透過IP裝置跟蹤功能(IPDT)獲取。
步驟 5.客戶端會傳送一個DNS請求,請求輸入Web瀏覽器中的FQDN。在此階段,DNS流量必須繞過重定向,並且DNS伺服器必須返回正確的IP地址。
步驟 6.客戶端向DNS應答中收到的IP地址傳送TCP SYN。資料包中的源IP地址是客戶端IP,而目的IP地址是請求資源的IP。目的地連線埠等於80,但在使用者端Web瀏覽器中設定直接HTTP Proxy的情況除外。
第7步:NAD攔截客戶端請求並準備源IP等於請求資源IP、目標IP等於客戶端IP和源埠等於80的SYN-ACK資料包。
重要注意事項:
- NAD必須在客戶端傳送請求的埠上運行HTTP伺服器。預設情況下,它是埠80。
- 如果客戶端使用直接HTTP代理Web伺服器,則HTTP伺服器必須在NAS上的代理埠上運行。此案例不在本檔案範圍內。
- 如果NAD在客戶端中沒有本地IP地址,則子網SYN-ACK將與NAD路由表一起傳送(通常透過管理介面)。
在此場景中,資料包透過L3基礎設施路由,必須透過L3上游裝置路由回客戶端。
如果L3裝置是有狀態防火牆,則必須為此類非對稱路由提供另一個例外。
步驟 8. 客戶端透過ACK完成TCP三次握手。
步驟 9. 目標資源的HTTP GET由客戶端傳送。
步驟 10. NAD返回一個重定向到客戶端的URL,HTTP代碼為302(頁面已移動),對於某些NAD重定向可以在位置報頭的HTTP 200 OK消息內返回。
圖1-2
步驟 11.客戶端從重定向URL傳送FQDN的DNS請求。FQDN必須在DNS伺服器端上可解析。
步驟 12. 已透過重新導向URL中接收的連線埠建立SSL連線(預設為8443)。此連線受ISE端的門戶證書保護。 客戶端調配門戶(CPP)會呈現給使用者。
第13步:在向客戶端提供下載選項之前,ISE必須選擇目標客戶端調配(CP)策略。從身份驗證會話(如AD/LDAP組等)檢索從瀏覽器使用者代理檢測到的客戶端的作業系統(OS)和CPP策略選擇所需的其他資訊。ISE透過重定向URL中顯示的會話ID知道目標會話。
步驟 14. 網路設定助理(NSA)下載連結會傳回使用者端。客戶端將下載應用程式。
步驟15.使用者運行NSA應用程式。
步驟 16. NSA將第一個發現探測- HTTP /auth/discovery傳送到預設網關。因此NSA預計redirect-url。
步驟17.如果第一個探測失敗,NSA將傳送第二個探測。第二個探測功能是enroll.cisco.com的HTTP GET /auth/discovery。 此FQDN必須能夠由DNS伺服器成功解析。在使用分割隧道的VPN場景中,必須透過隧道路由到enroll.cisco.com的流量。
步驟 18. 如果任何探測成功,NSA會使用從redirect-url獲取的資訊透過埠8905建立SSL連線。此連線受ISE管理員證書保護。 在此連線中,NSA下載Anyconnect。
重要注意事項:
- 在ISE 2.2版本之前,透過埠8905進行SSL通訊是安全評估的一項要求。
- 為了避免憑證警告,入口網站和管理員憑證必須在使用者端受信任。
- 在多介面ISE部署中,G0以外的介面與FQDN的繫結方式可能與系統FQDN不同(使用
ip hostCLI命令)。 這可能會導致主題名稱(SN)/主題備用名稱(SAN)驗證問題。例如,如果客戶端從介面G1重定向到FQDN,則系統FQDN可以與8905通訊證書重定向URL中的FQDN不同。 作為此方案的解決方案,您可以在管理證書SAN欄位中增加其他介面的FQDN,也可以在管理證書中使用萬用字元。
圖1-3
第19步:啟動Anyconnect ISE終端安全評估流程。
Anyconnect ISE終端安全評估模組在以下任一情況下啟動:
- 安裝後
- 預設網關值更改後
- 在系統使用者登入事件之後
- 系統電源事件之後
步驟 20. 在此階段,Anyconnect ISE終端安全評估模組會啟動策略伺服器檢測。透過Anyconnect ISE終端安全評估模組同時傳送的一系列探測功能即可實現此目的。
- 探測1 - HTTP獲取/auth/discovery到預設網關IP。請考慮MAC OS裝置在VPN介面卡上沒有預設網關。探測的預期結果為redirect-url。
- 探測2 - HTTP GET /auth/discovery到
enroll.cisco.com。 此FQDN需要由DNS伺服器成功解析。在使用分割隧道的VPN場景中,必須透過隧道路由到enroll.cisco.com的流量。探測的預期結果為redirect-url。 - 探查3 -將/auth/discovery透過HTTP傳送到發現主機。Discovery host值在安裝期間從ISE返回到AC狀態配置檔案。探測的預期結果為redirect-url。
- 探測4 -在埠8905上透過SSL將HTTP GET /auth/status連線到以前連線的PSN。此請求包含有關客戶端IP和MAC清單的資訊,用於在ISE端查詢會話。第一次姿勢嘗試期間不會出現此問題。連線受ISE管理員證書保護。 由於此探測的結果,如果探測所在節點與使用者經過身份驗證的節點相同,則ISE可以將會話ID返回給客戶端。
以下步驟說明在由於其中一個探測功能而收到重定向URL(流標籤有字母a)時的情況下的狀態流程。
步驟 21. Anyconnect ISE終端安全評估模組使用在發現階段檢索的URL與客戶端調配門戶建立連線。在此階段,ISE使用來自已驗證會話的資訊再次進行客戶端調配策略驗證。
第22步:如果檢測到客戶端調配策略,ISE返回重定向到埠8905。
步驟 23. 代理透過埠8905與ISE建立連線。在此連線期間,ISE會返回安全評估配置檔案、合規性模組和anyconnect更新的URL。
圖1-4
第24步:從ISE下載AC ISE終端安全評估模組配置。
第25步:如有需要,下載和安裝更新。
步驟 26.AC ISE終端安全評估模組收集有關系統的初始資訊(如作業系統版本、已安裝的安全產品及其定義版本)。在此階段,AC ISE終端安全評估模組包含OPSWAT API以收集有關安全產品的資訊。收集的資料將傳送到ISE。 作為對此請求的回覆,ISE提供終端安全評估要求清單。透過狀態策略處理選擇需求清單。為了匹配正確的策略,ISE使用裝置OS版本(存在於請求中)和會話ID值選擇其他必需的屬性(AD/LDAP組)。會話ID值也由客戶端傳送。
步驟 27.在這一步中,客戶端涉及OPSWAT呼叫和其他機制來檢查安全評估要求。包含要求清單及其狀態的最終報告將傳送到ISE。ISE需要對終端合規性狀態做出最終決定。 如果在此步驟中終端被標籤為不合規,將返回一組補救操作。 對於合規終端,ISE將合規狀態寫入會話,如果配置了安全評估租期,ISE還會將最後一個安全評估時間戳記放入終端屬性。終端安全評估結果將傳送回終端。在狀況重新評估(PRA)的情況下,PRA的時間也由ISE放入此資料包。
在不相容的情況中,請考慮以下幾點:
- 某些補救操作(如顯示文本消息、連結補救、檔案補救等)由狀態代理本身執行。
- 其他補救型別(如AV。AS、WSUS和SCCM)要求終端安全評估代理和目標產品之間進行OPSWAT API通訊。在此場景中,終端安全評估代理只向產品傳送補救請求。補救本身由安全產品直接執行。
第28步:ISE向必須觸發使用者新身份驗證的NAD傳送COA請求。 NAD必須透過COA ACK確認此請求。請記住,對於VPN案例,使用COA推送,因此不會傳送新的身份驗證請求。相反,ASA會從會話中刪除以前的授權引數(重定向URL、重定向ACL和DACL),並從COA請求中應用新引數。
步驟29.對使用者的新身份驗證請求。
重要注意事項:
- 通常,對於思科NAD COA,ISE使用reauth,這指示NAD使用之前的會話ID啟動新的身份驗證請求。
- 在ISE端,相同的會話ID值表示必須重複使用以前收集的會話屬性(在本例中為complaint status),並且必須分配基於這些屬性的新授權配置檔案。
- 如果會話ID發生更改,此連線將被視為新連線,並重新啟動整個狀態流程。
- 為了避免每次會話ID更改時重新調整狀態,可以使用狀態租用。在此場景中,即使會話ID更改,終端屬性中也會儲存有關終端狀態的資訊。
步驟 30.在ISE端根據安全評估狀態選擇新的授權策略。
步驟 31. Access-Accept with new authorization attributes將傳送到NAD。
下一個流程描述了以下情況:沒有任何狀態探測功能檢索到重定向URL(用字母b標籤),並且上次探測功能查詢了之前連線的PSN。此處的所有步驟與重定向URL的情況完全相同,除了PSN作為探測4的結果返回的重放。如果此探測功能與當前身份驗證會話的所有者位於同一個PSN上,則重播將包含會話ID值,安全評估代理稍後將使用該值完成該過程。如果之前連線的頭端與當前會話所有者不同,會話查詢將失敗並將空響應返回給AC ISE終端安全評估模組。最終結果是將No Policy Server Detected消息返回給終端使用者。
圖1-5
ISE 2.2之後的終端安全評估流程
ISE 2.2之後的終端安全評估流程ISE 2.2和更新版本同時支援重定向和無重定向流。 以下是無重定向狀態流的詳細說明:
圖2-1
步驟1.身份驗證是此流程的第一步。可以是dot1x、MAB或VPN。
第2步:ISE必須為使用者選擇身份驗證和授權策略。在終端安全評估中,選擇的方案授權策略必須包含對終端安全評估狀態的引用,該引用最初必須是未知或不適用。要同時涵蓋這兩種情況,可以使用狀況狀態不一致的條件。 對於沒有重定向的終端安全評估,無需在授權配置檔案中使用任何Web重定向配置。當終端安全評估狀態不可用時,您仍可考慮使用DACL或空域ACL來限制使用者訪問。
第3步:ISE返回具有授權屬性的Access-Accept。
步驟 4. 如果Access-Accept中返回DACL名稱,則NAD會啟動DACL內容下載,並在獲得授權配置檔案後將其應用於會話。
步驟 5.新方法假設無法進行重定向,因此使用者必須手動輸入客戶端調配門戶FQDN。必須在ISE端的門戶配置中定義CPP門戶的FQDN。從DNS伺服器的角度來看,A記錄必須指向已啟用PSN角色的ISE伺服器。
步驟 6.客戶端傳送HTTP以訪問客戶端調配門戶FQDN,此請求在ISE端解析,並將完整的門戶URL返回給客戶端。
圖2-2
第7步:透過重定向URL中接收的埠建立SSL連線(預設值為8443)。此連線受ISE端的門戶證書保護。使用者端布建入口網站(CPP)會呈現給使用者。
步驟 8. 在此步驟中,在ISE上發生兩個事件:
- 單一登入(SSO) - ISE嘗試查詢以前成功的身份驗證。ISE使用資料包的源IP地址作為即時RADIUS會話的搜尋過濾器。
- 客戶端調配策略查詢-在成功SSO的情況下,ISE可以使用來自已驗證會話的資料和來自客戶端瀏覽器的使用者代理的資料。如果SSO失敗,使用者必須提供憑據,並且在從內部和外部身份庫(AD/LDAP/內部組)中檢索使用者身份驗證資訊後,該資訊可用於客戶端調配策略檢查。
步驟 9. 選擇客戶端調配策略後,ISE向使用者顯示代理下載URL。按一下「下載NSA」後,應用程式將推送到使用者。NSA檔名包含CPP門戶的FQDN。
第10步:在此步驟中,NSA運行探測功能以建立與ISE的連線。兩個探查是典型探查,第三個探查旨在允許在不進行URL重定向的環境中發現ISE。
- NSA將第一個發現探測- HTTP /auth/discovery傳送到預設網關。因此NSA預計redirect-url。
- 如果第一個探測失敗,NSA會傳送第二個探測。第二個探測功能是
enroll.cisco.com的HTTP GET /auth/discovery。 此FQDN必須能夠由DNS伺服器成功解析。在使用分割隧道的VPN場景中,必須透過隧道路由到enroll.cisco.com的流量。 - NSA透過CPP門戶埠將第三個探測傳送到客戶端調配門戶FQDN。 此請求包含有關門戶會話ID的資訊,允許ISE確定必須提供哪些資源。
步驟 11. NSA下載Anyconnect和/或特定模組。下載過程透過客戶端調配門戶埠完成。
圖2-3
步驟 12.在ISE 2.2中,終端安全評估過程分為兩個階段。第一階段包含一組傳統的狀態發現探查,以支援與依賴於url重定向的部署的向後相容性。
第13步:第一階段包含所有傳統的狀態發現探測。要瞭解有關探查的更多詳細資訊,請檢視ISE 2.2之前的終端安全評估流程中的步驟20。
第14步:第2階段包含兩個發現探測,允許AC ISE終端安全評估模組建立到PSN的連線,其中會話在不支援重定向的環境中進行身份驗證。在階段2中,所有探測都是連續的。
- 探測1 -在第一次探測期間,AC ISE終端安全評估模組嘗試建立來自「Call Home清單」的IP/FQDN。必須在ISE端的AC終端安全評估配置檔案中配置探測的目標清單。您可以定義IP/FQDN(以逗號分隔),用冒號可以定義每個Call Home目標的埠號。此埠必須等於運行客戶端調配門戶的埠。 有關Call home伺服器的客戶端資訊位於
ISEPostureCFG.xml中,此檔案可在C:\ProgramData\Cisco\Cisco AnyConnect Secure Mobility Client\ISE Posture\資料夾中找到。
如果call home目標不擁有會話,則在此階段需要查詢所有者。AC ISE終端安全評估模組指示ISE使用特殊目標URL -/auth/ng-discovery請求開始所有者查詢。它還包含客戶端IP和MAC清單。PSN會話收到此消息後,首先在本地完成查詢(此查詢使用來自AC ISE終端安全評估模組傳送的請求的IP和MAC)。如果找不到會話,PSN將啟動MNT節點查詢。此請求僅包含MAC清單,因此,必須從MNT獲取所有者的FQDN。之後,PSN將所有者FQDN返回給客戶端。來自客戶端的下一個請求將傳送到會話所有者FQDN,其auth/status位於URL和IP及MAC清單中。
- 探測器2 -在此階段,AC ISE終端安全評估模組會嘗試位於
ConnectionData.xml中的PSN FQDN。您可以在C:\Users\<current user>\AppData\Local\Cisco\Cisco AnyConnect Secure Mobility Client\中找到此檔案。AC ISE終端安全評估模組在首次終端安全評估嘗試後建立此檔案。檔案包含ISE PSN FQDN清單。清單的內容可在下次連線嘗試時動態更新。此探測的最終目標是獲取當前會話所有者的FQDN。實作與「探查1」相同,唯一的區別在於探查目的地選擇。
如果多個使用者使用裝置,則檔案本身位於目前使用者的資料夾中。其他使用者無法使用此檔案中的資訊。如果未指定Call home目標,這可能會導致使用者在環境中出現雞和蛋問題,而無需重新定向。
步驟 15. 獲取有關會話所有者的資訊後,所有後續步驟都與ISE 2.2之前的流量相同。
設定
設定在本文檔中,ASAv用作網路接入裝置。所有測試均透過VPN執行安全評估。用於透過VPN支援安全狀態的ASA配置不在本文檔的討論範圍之內。有關詳細資訊,請參閱帶ISE的ASA版本9.2.1 VPN安全評估配置示例。
網路圖表
網路圖表
圖3-1
此拓撲用於測試。使用ASA,可以輕鬆模擬客戶端調配門戶的SSO機制在PSN端發生故障時的場景,因為NAT功能有問題。對於透過VPN的常規安全評估流,SSO必須正常工作,因為當使用者進入公司網路時,VPN IP通常不會執行NAT。
組態
組態客戶端調配配置
客戶端調配配置以下是準備Anyconnect配置的步驟。
步驟 1.Anyconnect軟體套件下載。Anyconnect軟體套件本身不可從ISE直接下載,因此在您開始之前,請確保您的PC上有可用的AC。此連結可用於AC下載- https://www.cisco.com/site/us/en/products/security/secure-client/index.html。在本文檔中,使用anyconnect-win-4.4.00243-webdeploy-k9.pkg軟體套件。
步驟 2.要將AC資料包上傳到ISE,請導航到Policy > Policy Elements > Results > Client Provisioning > Resources並按一下Add。從本地磁碟選擇代理資源。在新窗口中,選擇Cisco Provided Packages,按一下browse,然後選擇PC上的AC程式包。
圖3-2
按一下Submit完成導入。
步驟 3.合規性模組必須上傳到ISE。在同一頁中,按一下Add,然後選擇Agent resources from Cisco site。 在資源清單中,您必須檢查相容模組。本文檔使用AnyConnectComplianceModuleWindows 4.2.508.0了合規性模組。
步驟 4. 現在必須建立AC狀態配置檔案。按一下Add並選擇NAC agent or Anyconnect posture profile。
圖3-3
- 選擇設定檔型別。此方案必須使用AnyConnect。
- 指定設定檔名稱。導航至配置檔案的
Posture Protocol部分。
圖3-4
- 指定
Server Name Rules,此欄位不能為空。該欄位可以包含帶有萬用字元的FQDN,從而限制與來自相應名稱空間的PSN的AC ISE終端安全評估模組連線。如果必須允許任何FQDN,請放置星號。 - 此處指定的名稱和IP正在狀態發現的第2階段使用。您可以使用逗號分隔名稱,也可以使用冒號在FQDN/IP後增加埠號。如果AC使用GPO或任何其他軟體調配系統部署帶外(而不是從ISE客戶端調配門戶)部署且存在Call Home地址,則此情況至關重要,因為此探測只能成功到達ISE PSN。這意味著,在帶外AC調配的情況下,管理員必須使用AC配置檔案編輯器建立AC ISE終端安全評估配置檔案,並隨AC安裝調配此檔案。
步驟5.建立交流電配置。 導航到Policy > Policy Elements > Results > Client Provisioning > Resources,按一下Add,然後選擇AnyConnect Configuration。
圖3-5
- 選擇AC封裝。
- 提供AC配置名稱。
- 選擇合規性模組版本。
- 從下拉選單中選擇AC狀態配置檔案。
步驟 6. 配置客戶端調配策略。導航到Policy > Client Provisioning。 對於初始配置,您可以在顯示預設值的策略中填充空值。 如果需要將策略增加到現有的安全評估配置,請導航到可重用的策略,然後選擇Duplicate Above或Duplicate Below 。也可以建立全新的策略。
這是檔案中使用的原則範例。
圖3-6
在結果部分選擇您的AC配置。請記住,在出現SSO故障時,ISE只能具有從登入到門戶的屬性。這些屬性僅限於可從內部和外部身份庫檢索的有關使用者的資訊。在本文檔中,AD組用作客戶端調配策略中的條件。
狀態策略和條件
狀態策略和條件使用簡單的狀態檢查。ISE配置為檢查終端裝置端的Window Defender服務的狀態。實際場景可能更為複雜,但一般配置步驟相同。
步驟 1. 建立狀態條件。狀態條件位於Policy > Policy Elements > Conditions > Posture中。選擇姿勢條件的型別。 以下是必須檢查Windows Defender服務是否正在運行的「服務」條件的示例。
圖3-7
第2步:狀態要求配置。導航到Policy > Policy Elements > Results > Posture > Requirements。以下是「視窗保護程式」檢查的範例:
圖3-8
在新要求中選擇您的狀態條件,並指定補救操作。
步驟 3. 狀態策略配置。導航到Policy > Posture。您可以在此處找到用於本文的策略示例。該策略將Windows Defender要求指定為強制要求,並且僅包含外部AD組名作為條件。
圖3-9
配置客戶端調配門戶
配置客戶端調配門戶對於沒有重定向的狀態配置,必須編輯客戶端調配門戶的配置。導航到Administration > Device Portal Management > Client Provisioning。您可以使用預設門戶或建立您自己的門戶。同一門戶可用於有重定向和無重定向的兩種狀態。
圖3-10
對於非重定向方案,必須在門戶配置中編輯以下設定:
- 在身份驗證中,指定如果SSO找不到使用者的會話,則必須使用的身份源序列。
- 根據選定的身份源序列清單,系統將填充可用組。此時,您必須選擇獲得門戶登入授權的組。
- 當需要從客戶端調配門戶部署AC時,必須為方案指定客戶端調配門戶的FQDN。此FQDN必須可解析為ISE PSN IP。 在首次嘗試連線時,必須指示使用者在Web瀏覽器中指定FQDN。
配置授權配置檔案和策略
配置授權配置檔案和策略當終端安全評估狀態不可用時,必須限制客戶端的初始訪問。這可以透過多種方式實現:
- DACL分配-在限制訪問階段,可以將DACL分配給使用者以限制訪問。此方法可用於Cisco網路接入裝置。
- VLAN分配-在將成功的終端安全評估使用者置於受限VLAN之前,這種方法對幾乎所有NAD供應商來說都必須有效。
- Radius Filter-Id -使用此屬性,可以將NAD上本地定義的ACL分配給狀態未知的使用者。由於這是標準RFC屬性,因此此方法必須適用於所有NAD供應商。
步驟 1.配置DACL。由於此示例基於ASA,因此可以使用NAD DACL。對於實際情形,您必須將VLAN或Filter-ID視為可能的選項。
要建立DACL,請導航到Policy > Policy Elements > Results > Authorization > Downloadable ACLs,然後按一下Add。
在未知狀態期間,至少必須提供以下許可權:
- DNS流量
- DHCP流量
- 到ISE PSN的流量(埠80和443,用於打開友好的門戶FQDN。運行CP門戶的埠預設為8443,而埠8905用於向後相容)
- 必要時流向補救伺服器的流量
以下是沒有補救伺服器的DACL範例:
圖3-11
步驟 2. 配置授權配置檔案。
與平常一樣,安全評估需要兩個授權配置檔案。第一個必須包含任何型別的網路訪問限制(本示例中使用帶有DACL的配置檔案)。此配置檔案可應用於狀態狀態不等於合規的身份驗證。第二個授權配置檔案可以只包含允許訪問,並且可以應用於狀態狀態等於合規性的會話。
要建立授權配置檔案,請導航到Policy > Policy Elements > Results > Authorization > Authorization Profiles。
受限訪問配置檔案的示例:
圖3-12
在本示例中,預設ISE配置檔案PermitAccess用於成功執行狀態檢查後的會話。
步驟 3.配置授權策略。在此步驟中,必須建立兩個授權策略。一個是匹配具有未知狀態狀態的初始身份驗證請求,第二個是在成功狀態流程後分配完全訪問許可權。
以下是此案例的簡單授權策略示例:
圖3-13
身份驗證策略的配置不在本文檔中,但您必須記住,在授權策略處理成功身份驗證之前,必須先進行該配置。
驗證
驗證流的基本驗證可包含三個主要步驟:
步驟 1.驗證流程驗證。
圖4-1
- 初始驗證。對於此步驟,您可能會對已應用授權配置檔案的驗證感興趣。如果應用了意外授權配置檔案,請調查詳細的身份驗證報告。按一下「詳細資訊」欄中的放大鏡,即可開啟此報表。您可以將詳細身份驗證報告中的屬性與授權策略中您希望匹配的條件進行比較。
- DACL下載事件。只有在為初始身份驗證選擇的授權配置檔案包含DACL名稱時,才會顯示此字串。
- 門戶身份驗證-流中的此步驟指示SSO機制找不到使用者會話。發生這種情況的原因有多種:
- NAD未配置為傳送記帳消息或幀中IP地址不存在
- CPP門戶FQDN已解析為與處理初始身份驗證的節點不同的ISE節點的IP
- 客戶端位於NAT之後
- 會話資料更改。在此特定示例中,會話狀態已從「未知」更改為「相容」。
- 網路接入裝置的COA。此COA必須成功從NAD端推送新的身份驗證,並在ISE端推送新的授權策略分配。 如果COA失敗,您可以打開詳細報告以調查原因。COA的最常見問題包括:
- COA超時-在這種情況下,已傳送請求的PSN未配置為NAD端的COA客戶端,或者COA請求已在途中的某個位置被丟棄。
- COA陰性ACK -表示NAD已接收COA,但由於某些原因無法確認COA操作。對於此情況,詳細報告必須包含更詳細的解釋。
由於本示例將ASA用作NAD,因此您不會看到使用者的後續身份驗證請求。出現這種情況的原因是,ISE對ASA使用COA推送,從而避免VPN服務中斷。在這種情況下,COA本身包含新的授權引數,因此不需要重新驗證。
第2步:客戶端調配策略選擇驗證-為此,您可以運行有關ISE的報告,該報告可幫助您瞭解為使用者應用了哪些客戶端調配策略。
切換作業選項至Operations > Reports Endpoint and Users > Client Provisioning,並在您需要的日期執行報表。
圖4-2
透過此報告,您可以驗證選擇了哪個客戶端調配策略。此外,如果出現故障,必須在Failure Reason列中說明原因。
第3步:狀態報告驗證-導航到Operations > Reports Endpoint and Users > Posture Assessment by Endpoint。
圖4-3
您可以從此處打開每個特定事件的詳細報告,例如,檢查該報告屬於哪個會話ID、ISE為終端選擇了哪種確切的安全評估要求以及每項要求的狀態。
疑難排解
疑難排解一般資訊
一般資訊對於狀態流程故障排除,必須啟用以下ISE元件以在可能發生狀態流程的ISE節點上進行調試:
client-webapp - 負責代理程式布建的元件。目標日誌檔案guest.log和ise-psc.log。guestacess - 負責客戶端調配門戶元件和會話所有者查詢的元件(當請求指向錯誤的PSN時)。目標日誌檔案-guest.log。provisioning - 負責客戶端調配策略處理的元件。 目標日誌檔案-guest.log。posture - 所有狀態相關事件。 目標日誌檔案-ise-psc.log。
對於客戶端故障排除,您可以使用以下命令:
acisensa.log - 如果使用者端的使用者端布建失敗,此檔案會建立在NSA下載到的相同資料夾中(通常為Windows下載目錄)。AnyConnect_ISEPosture.txt - 此檔案可在Cisco AnyConnect ISE Posture Module目錄中的DART捆綁包中找到。所有有關ISE PSN發現和狀態流一般步驟的資訊都記錄在此檔案中。
疑難排解常見問題
疑難排解常見問題SSO相關問題
SSO相關問題如果SSO成功,您可以在ise-psc.log中看到這些消息,這組消息指示會話查詢已成功完成,並且可以跳過門戶上的身份驗證。
2016-11-09 15:07:35,951 DEBUG [http-bio-10.48.30.40-8443-exec-12][] cisco.cpm.posture.runtime.PostureRuntimeFactory -::::- looking for Radius session with input values : sessionId: null, MacAddr: null, ipAddr: 10.62.145.121
2016-11-09 15:07:35,989 DEBUG [http-bio-10.48.30.40-8443-exec-12][] cisco.cpm.posture.runtime.PostureRuntimeFactory -::::- looking for session using session ID: null, IP addrs: [10.62.145.121], mac Addrs [null]
2016-11-09 15:07:35,989 DEBUG [http-bio-10.48.30.40-8443-exec-12][] cisco.cpm.posture.runtime.PostureRuntimeFactory -::::- looking for session using IP 10.62.145.121
2016-11-09 15:07:35,989 DEBUG [http-bio-10.48.30.40-8443-exec-12][] cisco.cpm.posture.runtime.PostureRuntimeFactory -::::- nasPortType = 5
2016-11-09 15:07:35,989 DEBUG [http-bio-10.48.30.40-8443-exec-12][] cisco.cpm.posture.runtime.PostureRuntimeFactory -::::- nasPortType equal to 5 ( 5 is virtual NAS_PORT_TYPE for VPN ). Found a VPN session null using ip address 10.62.145.121
2016-11-09 15:07:35,989 DEBUG [http-bio-10.48.30.40-8443-exec-12][] cisco.cpm.posture.runtime.PostureRuntimeFactory -::::- Found session c0a801010002600058232bb8 using ipAddr 10.62.145.121文字視窗5-1
您可以使用終端IP地址作為搜尋鍵來查詢此資訊。
稍後在訪客日誌中,您必須看到已跳過身份驗證:
2016-11-09 15:07:35,989 DEBUG [http-bio-10.48.30.40-8443-exec-12][] guestaccess.flowmanager.step.cp.CPInitStepExecutor -::- SessionInfo is not null and session AUTH_STATUS = 1
2016-11-09 15:07:35,989 DEBUG [http-bio-10.48.30.40-8443-exec-12][] com.cisco.ise.portalSessionManager.PortalSession -::- Putting data in PortalSession with key and value: Radius.Session c0a801010002600058232bb8
2016-11-09 15:07:35,989 DEBUG [http-bio-10.48.30.40-8443-exec-12][] com.cisco.ise.portalSessionManager.PortalSession -::- Putting data in PortalSession with key : Radius.Session
2016-11-09 15:07:35,989 DEBUG [http-bio-10.48.30.40-8443-exec-12][] guestaccess.flowmanager.step.cp.CPInitStepExecutor -::- Login step will be skipped, as the session =c0a801010002600058232bb8 already established for mac address null , clientIPAddress 10.62.145.121
2016-11-09 15:07:36,066 DEBUG [http-bio-10.48.30.40-8443-exec-12][] cpm.guestaccess.flowmanager.processor.PortalFlowProcessor -::- After executeStepAction(INIT), returned Enum: SKIP_LOGIN_PROCEED文字視窗5-2
如果SSO不起作用,則ise-psc log文件將包含有關會話查詢失敗的資訊:
2017-02-23 17:59:00,779 DEBUG [http-bio-10.48.17.249-8443-exec-2][] cisco.cpm.posture.runtime.PostureRuntimeFactory -::::- looking for Radius session with input values : sessionId: null, MacAddr: null, ipAddr: 10.62.145.44
2017-02-23 17:59:00,779 DEBUG [http-bio-10.48.17.249-8443-exec-2][] cisco.cpm.posture.runtime.PostureRuntimeFactory -::::- looking for session using session ID: null, IP addrs: [10.62.145.44], mac Addrs [null]
2017-02-23 17:59:00,779 DEBUG [http-bio-10.48.17.249-8443-exec-2][] cisco.cpm.posture.runtime.PostureRuntimeFactory -::::- looking for session using IP 10.62.145.44
2017-02-23 17:59:00,779 DEBUG [http-bio-10.48.17.249-8443-exec-2][] cisco.cpm.posture.runtime.PostureRuntimeFactory -::::- nasPortType = null
2017-02-23 17:59:00,779 DEBUG [http-bio-10.48.17.249-8443-exec-2][] cisco.cpm.posture.runtime.PostureRuntimeFactory -::::- nasPortType == null or is not a virtual NAS_PORT_TYPE ( 5 ).
2017-02-23 17:59:00,779 DEBUG [http-bio-10.48.17.249-8443-exec-2][] cisco.cpm.posture.runtime.PostureRuntimeFactory -::::- No Radius session found
文字視窗5-3
在guest.log這種情況下,您必須看到門戶上的完整使用者身份驗證:
2017-02-23 17:59:00,779 DEBUG [http-bio-10.48.17.249-8443-exec-2][] cpm.guestaccess.flowmanager.step.StepExecutor -::- Find Next Step=LOGIN
2017-02-23 17:59:00,779 DEBUG [http-bio-10.48.17.249-8443-exec-2][] cpm.guestaccess.flowmanager.step.StepExecutor -::- Step : LOGIN will be visible!
2017-02-23 17:59:00,779 DEBUG [http-bio-10.48.17.249-8443-exec-2][] cpm.guestaccess.flowmanager.step.StepExecutor -::- Returning next step =LOGIN
2017-02-23 17:59:00,780 INFO [http-bio-10.48.17.249-8443-exec-2][] cpm.guestaccess.flowmanager.step.StepExecutor -::- Radius Session ID is not set, assuming in dry-run mode文字視窗5-4
如果門戶上的身份驗證失敗,您必須專注於門戶配置驗證-哪個身份庫正在使用中?哪些組有權登入?
排除客戶端調配策略選擇故障
排除客戶端調配策略選擇故障如果客戶端調配策略失敗或策略處理不正確,您可以檢查guest.log檔案以瞭解詳細資訊:
2017-02-23 17:59:07,080 DEBUG [http-bio-10.48.17.249-8443-exec-2][] guestaccess.flowmanager.step.guest.ClientProvStepExecutor -:user1:- In Client Prov : userAgent =Mozilla/5.0 (Windows NT 6.1; WOW64; rv:51.0) Gecko/20100101 Firefox/51.0, radiusSessionID=null, idGroupName=S-1-5-21-70538695-790656579-4293929702-513, userName=user1, isInUnitTestMode=false
2017-02-23 17:59:07,080 DEBUG [http-bio-10.48.17.249-8443-exec-2][] cpm.guestaccess.common.utils.OSMapper -:user1:- UserAgent : Mozilla/5.0 (Windows NT 6.1; WOW64; rv:51.0) Gecko/20100101 Firefox/51.0
2017-02-23 17:59:07,080 DEBUG [http-bio-10.48.17.249-8443-exec-2][] cpm.guestaccess.common.utils.OSMapper -:user1:- Client OS: Windows 7 (All)
2017-02-23 17:59:07,080 DEBUG [http-bio-10.48.17.249-8443-exec-2][] guestaccess.flowmanager.step.guest.ClientProvStepExecutor -:user1:- Retrieved OS=Windows 7 (All)
2017-02-23 17:59:07,080 DEBUG [http-bio-10.48.17.249-8443-exec-2][] guestaccess.flowmanager.step.guest.ClientProvStepExecutor -:user1:- Updating the idGroupName to NAC Group:NAC:IdentityGroups:S-1-5-21-70538695-790656579-4293929702-513
2017-02-23 17:59:07,080 DEBUG [http-bio-10.48.17.249-8443-exec-2][] guestaccess.flowmanager.step.guest.ClientProvStepExecutor -:user1:- User Agent/Radius Session is empty or in UnitTestMode
2017-02-23 17:59:07,080 DEBUG [http-bio-10.48.17.249-8443-exec-2][] guestaccess.flowmanager.step.guest.ClientProvStepExecutor -:user1:- Calling getMatchedPolicyWithNoRedirection for user=user1
2017-02-23 17:59:07,505 DEBUG [http-bio-10.48.17.249-8443-exec-2][] guestaccess.flowmanager.step.guest.ClientProvStepExecutor -:user1:- CP Policy Status =SUCCESS, needToDoVlan=false, CoaAction=NO_COA 文字視窗5-5
在第一個字串中,您可以看到如何將有關會話的資訊插入到策略選擇引擎中。如果沒有策略匹配或不正確的策略匹配,您可以將此處的屬性與客戶端調配策略配置進行比較。最後一個字串指示策略選擇狀態。
狀態流程故障排除
狀態流程故障排除在客戶端上,您必須對探測及其結果的調查感興趣。 以下是成功進行第1階段探測的示例:
******************************************
Date : 02/23/2017
Time : 17:59:57
Type : Unknown
Source : acise
Description : Function: Target::Probe
Thread Id: 0x4F8
File: SwiftHttpRunner.cpp
Line: 1415
Level: debug
PSN probe skuchere-ise22-cpp.example.com with path /auth/status, status is -1..
******************************************文字視窗5-6
在此階段,PSN將返回有關會話所有者的交流資訊。您可以稍後看到這些訊息:
******************************************
Date : 02/23/2017
Time : 17:59:58
Type : Unknown
Source : acise
Description : Function: Target::probeRecentConnectedHeadEnd
Thread Id: 0xBE4
File: SwiftHttpRunner.cpp
Line: 1674
Level: debug
Target skuchere-ise22-2.example.com, posture status is Unknown..
******************************************文字視窗5-7
會話所有者將所需的所有資訊返回座席:
******************************************
Date : 02/23/2017
Time : 17:59:58
Type : Unknown
Source : acise
Description : Function: SwiftHttpRunner::invokePosture
Thread Id: 0xFCC
File: SwiftHttpRunner.cpp
Line: 1339
Level: debug
MSG_NS_SWISS_NEW_SESSION, <?xml version="1.0" ?>
<root>
<IP></IP>
<FQDN>skuchere-ise22-2.example.com</FQDN>
<PostureDomain>posture_domain</PostureDomain>
<sessionId>c0a801010009e00058af0f7b</sessionId>
<configUri>/auth/anyconnect?uuid=106a93c0-9f71-471c-ac6c-a2f935d51a36</configUri>
<AcPackUri>/auth/provisioning/download/81d12d4b-ff58-41a3-84db-5d7c73d08304</AcPackUri>
<AcPackPort>8443</AcPackPort>
<AcPackVer>4.4.243.0</AcPackVer>
<PostureStatus>Unknown</PostureStatus>
<PosturePort>8443</PosturePort>
<PosturePath>/auth/perfigo_validate.jsp</PosturePath>
<PRAConfig>0</PRAConfig>
<StatusPath>/auth/status</StatusPath>
<BackupServers>skuchere-ise22-1.example.com,skuchere-ise22-3.example.com</BackupServers>
</root>
.
******************************************文字視窗5-8
從PSN端,如果您預期到節點的初始請求不擁有會話,則guest.log中可以重點關注這些消息:
2017-02-23 17:59:56,345 DEBUG [http-bio-10.48.17.249-8443-exec-10][] cisco.cpm.client.posture.NextGenDiscoveryServlet -::- Got http request from 10.62.145.44 user agent is: Mozilla/4.0 (compatible; WINDOWS; 1.2.1.6.1.48; AnyConnect Posture Agent v.4.4.00243)
2017-02-23 17:59:56,345 DEBUG [http-bio-10.48.17.249-8443-exec-10][] cisco.cpm.client.posture.NextGenDiscoveryServlet -::- mac_list from http request ==> 00:0B:7F:D0:F8:F4,00:0B:7F:D0:F8:F4
2017-02-23 17:59:56,345 DEBUG [http-bio-10.48.17.249-8443-exec-10][] cisco.cpm.client.posture.NextGenDiscoveryServlet -::- iplist from http request ==> 172.16.31.12,10.62.145.95
2017-02-23 17:59:56,345 DEBUG [http-bio-10.48.17.249-8443-exec-10][] cisco.cpm.client.posture.NextGenDiscoveryServlet -::- Session id from http request - req.getParameter(sessionId) ==> null
2017-02-23 17:59:56,345 DEBUG [http-bio-10.48.17.249-8443-exec-10][] cpm.client.provisioning.utils.ProvisioningUtil -::- the input ipAddress from the list currently being processed in the for loop ==> 172.16.31.12
2017-02-23 17:59:56,345 DEBUG [http-bio-10.48.17.249-8443-exec-10][] cpm.client.provisioning.utils.ProvisioningUtil -::- the input ipAddress from the list currently being processed in the for loop ==> 10.62.145.95
2017-02-23 17:59:56,368 DEBUG [http-bio-10.48.17.249-8443-exec-10][] cisco.cpm.client.posture.NextGenDiscoveryServlet -::- Found Client IP null and corresponding mac address null
2017-02-23 17:59:56,369 ERROR [http-bio-10.48.17.249-8443-exec-10][] cpm.client.provisioning.utils.ProvisioningUtil -::- Session Info is null
2017-02-23 17:59:56,369 DEBUG [http-bio-10.48.17.249-8443-exec-10][] cisco.cpm.client.posture.NextGenDiscoveryServlet -::- Not able to find a session for input values - sessionId : null, Mac addresses : [00:0B:7F:D0:F8:F4, 00:0B:7F:D0:F8:F4], client Ip : [172.16.31.12, 10.62.145.95]
2017-02-23 17:59:56,369 DEBUG [http-bio-10.48.17.249-8443-exec-10][] cisco.cpm.client.posture.NextGenDiscoveryServlet -::- clientMac is null/ empty, will go over the mac list to query MNT for active session
2017-02-23 17:59:56,369 DEBUG [http-bio-10.48.17.249-8443-exec-10][] cisco.cpm.client.posture.NextGenDiscoveryServlet -::- Performing MNT look up for macAddress ==> 00-0B-7F-D0-F8-F4
2017-02-23 17:59:56,539 DEBUG [http-bio-10.48.17.249-8443-exec-10][] cisco.cpm.client.posture.NextGenDiscoveryServlet -::- Performed MNT lookup, found session 0 with session id c0a801010009e00058af0f7b
2017-02-23 17:59:56,539 DEBUG [http-bio-10.48.17.249-8443-exec-10][] cpm.client.provisioning.utils.ProvisioningUtil -::- getting NIC name for skuchere-ise22-cpp.example.com
2017-02-23 17:59:56,541 DEBUG [http-bio-10.48.17.249-8443-exec-10][] cpm.client.provisioning.utils.ProvisioningUtil -::- local interface 0 addr 10.48.17.249 name eth0
2017-02-23 17:59:56,541 DEBUG [http-bio-10.48.17.249-8443-exec-10][] cpm.client.provisioning.utils.ProvisioningUtil -::- Nic name for local host: skuchere-ise22-cpp.example.com is: eth0
2017-02-23 17:59:56,541 DEBUG [http-bio-10.48.17.249-8443-exec-10][] cpm.client.provisioning.utils.ProvisioningUtil -::- getting host FQDN or IP for host skuchere-ise22-2 NIC name eth0
2017-02-23 17:59:56,545 DEBUG [http-bio-10.48.17.249-8443-exec-10][] cpm.client.provisioning.utils.ProvisioningUtil -::- hostFQDNOrIP for host skuchere-ise22-2 nic eth0 is skuchere-ise22-2.example.com
2017-02-23 17:59:56,545 DEBUG [http-bio-10.48.17.249-8443-exec-10][] cisco.cpm.client.posture.NextGenDiscoveryServlet -::- PDP with session of 00-0B-7F-D0-F8-F4 is skuchere-ise22-2, FQDN/IP is: skuchere-ise22-2.example.com
2017-02-23 17:59:56,545 DEBUG [http-bio-10.48.17.249-8443-exec-10][] cisco.cpm.client.posture.NextGenDiscoveryServlet -::- Redirecting the request to new URL: https://skuchere-ise22-2.example.com:8443/auth/status
2017-02-23 17:59:56,545 DEBUG [http-bio-10.48.17.249-8443-exec-10][] cisco.cpm.client.posture.NextGenDiscoveryServlet -::- Session info is null. Sent an http response to 10.62.145.44.
2017-02-23 17:59:56,545 DEBUG [http-bio-10.48.17.249-8443-exec-10][] cpm.client.provisioning.utils.ProvisioningUtil -::- header X-ISE-PDP-WITH-SESSION value is skuchere-ise22-2.example.com
2017-02-23 17:59:56,545 DEBUG [http-bio-10.48.17.249-8443-exec-10][] cpm.client.provisioning.utils.ProvisioningUtil -::- header Location value is https://skuchere-ise22-2.example.com:8443/auth/status文本窗口5-9
在此,您可以看到PSN首先嘗試在本地查詢會話,在失敗後,使用IP和MAC清單向MNT發起請求,以查詢會話所有者。
稍後,您必須在正確的PSN上看到來自客戶端的請求:
2017-02-23 17:59:56,790 DEBUG [http-bio-10.48.30.41-8443-exec-8][] cisco.cpm.posture.runtime.PostureRuntimeFactory -::::- looking for session using session ID: null, IP addrs: [172.16.31.12, 10.62.145.95], mac Addrs [00:0B:7F:D0:F8:F4, 00:0B:7F:D0:F8:F4]
2017-02-23 17:59:56,790 DEBUG [http-bio-10.48.30.41-8443-exec-8][] cisco.cpm.posture.runtime.PostureRuntimeFactory -::::- looking for session using IP 172.16.31.12
2017-02-23 17:59:56,791 DEBUG [http-bio-10.48.30.41-8443-exec-8][] cisco.cpm.posture.runtime.PostureRuntimeFactory -::::- nasPortType = 5
2017-02-23 17:59:56,792 DEBUG [http-bio-10.48.30.41-8443-exec-8][] cisco.cpm.posture.runtime.PostureRuntimeFactory -::::- nasPortType equal to 5 ( 5 is virtual NAS_PORT_TYPE for VPN ). Found a VPN session null using ip address 172.16.31.12
2017-02-23 17:59:56,792 DEBUG [http-bio-10.48.30.41-8443-exec-8][] cisco.cpm.posture.runtime.PostureRuntimeFactory -::::- Found session c0a801010009e00058af0f7b using ipAddr 172.16.31.12文字視窗5-10
下一步,PSN會為此會話執行客戶端調配策略查詢:
2017-02-23 17:59:56,793 DEBUG [http-bio-10.48.30.41-8443-exec-8][] com.cisco.cpm.swiss.SwissServer -::::- null or empty value for hostport obtained from SwissServer : getHostNameBySession()
2017-02-23 17:59:56,793 DEBUG [http-bio-10.48.30.41-8443-exec-8][] cisco.cpm.posture.runtime.PostureRuntimeFactory -::::- looking for Radius session with input values : sessionId: c0a801010009e00058af0f7b, MacAddr: 00-0b-7f-d0-f8-f4, ipAddr: 172.16.31.12
2017-02-23 17:59:56,793 DEBUG [http-bio-10.48.30.41-8443-exec-8][] cisco.cpm.posture.runtime.PostureRuntimeFactory -::::- looking for session using session ID: c0a801010009e00058af0f7b, IP addrs: [172.16.31.12], mac Addrs [00-0b-7f-d0-f8-f4]
2017-02-23 17:59:56,793 DEBUG [http-bio-10.48.30.41-8443-exec-8][] cisco.cpm.posture.runtime.PostureRuntimeFactory -::::- Found session using sessionId c0a801010009e00058af0f7b
2017-02-23 17:59:56,795 DEBUG [http-bio-10.48.30.41-8443-exec-8][] cisco.cpm.posture.runtime.PosturePolicyUtil -::::- User user1 belongs to groups NAC Group:NAC:IdentityGroups:Endpoint Identity Groups:Profiled:Workstation,NAC Group:NAC:IdentityGroups:Any
2017-02-23 17:59:58,203 DEBUG [http-bio-10.48.30.41-8443-exec-8][] com.cisco.cpm.swiss.SwissServer -::::- null or empty value for hostport obtained from SwissServer : getHPortNumberBySession()
2017-02-23 17:59:58,907 DEBUG [http-bio-10.48.30.41-8443-exec-10][] cisco.cpm.posture.util.AgentUtil -::::- Increase MnT counter at CP:ClientProvisioning.ProvisionedResource.AC-44-Posture文本窗口5-11
在下一步中,您可以看到狀況要求選擇的過程。在步驟結束時,會準備一份需求清單並傳回代理程式:
2017-02-23 18:00:00,372 DEBUG [http-bio-10.48.30.41-8443-exec-8][] cisco.cpm.posture.runtime.PostureHandlerImpl -:user1:::- About to query posture policy for user user1 with endpoint mac 00-0b-7f-d0-f8-f4
2017-02-23 18:00:00,423 DEBUG [http-bio-10.48.30.41-8443-exec-8][] cisco.cpm.posture.runtime.PostureManager -:user1:::- agentCMVersion=4.2.508.0, agentType=AnyConnect Posture Agent, groupName=OESIS_V4_Agents -> found agent group with displayName=4.x or later
2017-02-23 18:00:00,423 DEBUG [http-bio-10.48.30.41-8443-exec-8][] cisco.cpm.posture.runtime.PosturePolicyUtil -:user1:::- User user1 belongs to groups NAC Group:NAC:IdentityGroups:Endpoint Identity Groups:Profiled:Workstation,NAC Group:NAC:IdentityGroups:Any
2017-02-23 18:00:00,423 DEBUG [http-bio-10.48.30.41-8443-exec-8][] cisco.cpm.posture.runtime.PosturePolicyUtil -:user1:::- About to retrieve posture policy resources for os 7 Professional, agent group 4.x or later and identity groups [NAC Group:NAC:IdentityGroups:Endpoint Identity Groups:Profiled:Workstation, NAC Group:NAC:IdentityGroups:Any]
2017-02-23 18:00:00,432 DEBUG [http-bio-10.48.30.41-8443-exec-8][] cisco.cpm.posture.runtime.PosturePolicyUtil -:user1:::- Evaluate resourceId NAC Group:NAC:Posture:PosturePolicies:WinDefend by agent group with FQN NAC Group:NAC:AgentGroupRoot:ALL:OESIS_V4_Agents
2017-02-23 18:00:00,433 DEBUG [http-bio-10.48.30.41-8443-exec-8][] cisco.cpm.posture.runtime.PosturePolicyUtil -:user1:::- The evaluation result by agent group for resourceId NAC Group:NAC:Posture:PosturePolicies:WinDefend is Permit
2017-02-23 18:00:00,433 DEBUG [http-bio-10.48.30.41-8443-exec-8][] cisco.cpm.posture.runtime.PosturePolicyUtil -:user1:::- Evaluate resourceId NAC Group:NAC:Posture:PosturePolicies:WinDefend by OS group with FQN NAC Group:NAC:OsGroupRoot:ALL:WINDOWS_ALL:WINDOWS_7_ALL:WINDOWS_7_PROFESSIONAL_ALL
2017-02-23 18:00:00,438 DEBUG [http-bio-10.48.30.41-8443-exec-8][] cisco.cpm.posture.runtime.PosturePolicyUtil -:user1:::- stealth mode is 0
2017-02-23 18:00:00,438 DEBUG [http-bio-10.48.30.41-8443-exec-8][] cisco.cpm.posture.runtime.PosturePolicyUtil -:user1:::- The evaluation result by os group for resourceId NAC Group:NAC:Posture:PosturePolicies:WinDefend is Permit
2017-02-23 18:00:00,438 DEBUG [http-bio-10.48.30.41-8443-exec-8][] cisco.cpm.posture.runtime.PosturePolicyUtil -:user1:::- Evaluate resourceId NAC Group:NAC:Posture:PosturePolicies:WinDefend by Stealth mode NSF group with FQN NAC Group:NAC:StealthModeStandard
2017-02-23 18:00:00,439 DEBUG [http-bio-10.48.30.41-8443-exec-8][] cisco.cpm.posture.runtime.PosturePolicyUtil -:user1:::- Procesing obligation with posture policy resource with id NAC Group:NAC:Posture:PosturePolicies:WinDefend
2017-02-23 18:00:00,439 DEBUG [http-bio-10.48.30.41-8443-exec-8][] cisco.cpm.posture.runtime.PosturePolicyUtil -:user1:::- Found obligation id urn:cisco:cepm:3.3:xacml:response-qualifier for posture policy resource with id NAC Group:NAC:Posture:PosturePolicies:WinDefend
2017-02-23 18:00:00,439 DEBUG [http-bio-10.48.30.41-8443-exec-8][] cisco.cpm.posture.runtime.PosturePolicyUtil -:user1:::- Found obligation id PostureReqs for posture policy resource with id NAC Group:NAC:Posture:PosturePolicies:WinDefend
2017-02-23 18:00:00,439 DEBUG [http-bio-10.48.30.41-8443-exec-8][] cisco.cpm.posture.runtime.PosturePolicyUtil -:user1:::- Posture policy resource id WinDefend has following associated requirements []
2017-02-23 18:00:03,884 DEBUG [http-bio-10.48.30.41-8443-exec-8][] cpm.posture.runtime.agent.AgentXmlGenerator -:user1:::- policy enforcemnt is 0
2017-02-23 18:00:03,904 DEBUG [http-bio-10.48.30.41-8443-exec-8][] cpm.posture.runtime.agent.AgentXmlGenerator -:user1:::- simple condition: [Name=WinDefend, Descriptionnull, Service Name=WinDefend, Service Operator=Running, Operating Systems=[Windows All], Service Type=Daemon, Exit code=0]
2017-02-23 18:00:03,904 DEBUG [http-bio-10.48.30.41-8443-exec-8][] cpm.posture.runtime.agent.AgentXmlGenerator -:user1:::- check type is Service
2017-02-23 18:00:04,069 DEBUG [http-bio-10.48.30.41-8443-exec-8][] cisco.cpm.posture.runtime.PostureHandlerImpl -:user1:::- NAC agent xml <?xml version="1.0" encoding="UTF-8"?><cleanmachines>
<version>ISE: 2.2.0.470</version>
<encryption>0</encryption>
<package>
<id>10</id>
<name>WinDefend</name>
<description>Enable WinDefend</description>
<version/>
<type>3</type>
<optional>0</optional>
<action>3</action>
<check>
<id>WinDefend</id>
<category>3</category>
<type>301</type>
<param>WinDefend</param>
<operation>running</operation>
</check>
<criteria>(WinDefend)</criteria>
</package>
</cleanmachines> 文字視窗5-12
稍後,您會看到PSN收到了狀態報告:
2017-02-23 18:00:04,231 DEBUG [http-bio-10.48.30.41-8443-exec-8][] cisco.cpm.posture.runtime.PostureHandlerImpl -::::- UDID is 8afb76ad11e60531de1d3e7d2345dbba5f11a96d for end point 00-0b-7f-d0-f8-f4
2017-02-23 18:00:04,231 DEBUG [http-bio-10.48.30.41-8443-exec-8][] cisco.cpm.posture.runtime.PostureHandlerImpl -::::- Received posture request [parameters: reqtype=report, userip=10.62.145.44, clientmac=00-0b-7f-d0-f8-f4, os=WINDOWS, osVerison=1.2.1.6.1.48, architecture=9, provider=Device Filter, state=, userAgent=Mozilla/4.0 (compatible; WINDOWS; 1.2.1.6.1.48; AnyConnect Posture Agent v.4.4.00243), session_id=c0a801010009e00058af0f7b文本窗口5-13
在流程結束時,ISE將終端標籤為合規並啟動COA:
2017-02-23 18:00:04,272 INFO [http-bio-10.48.30.41-8443-exec-8][] cisco.cpm.posture.runtime.PostureManager -:user1:::- Posture state is compliant for endpoint with mac 00-0b-7f-d0-f8-f4
2017-02-23 18:00:04,272 DEBUG [http-bio-10.48.30.41-8443-exec-8][] cisco.cpm.posture.runtime.PostureCoA -:user1:::- entering triggerPostureCoA for session c0a801010009e00058af0f7b
2017-02-23 18:00:04,272 DEBUG [http-bio-10.48.30.41-8443-exec-8][] cisco.cpm.posture.runtime.PostureCoA -:user1:::- Posture CoA is scheduled for session id [c0a801010009e00058af0f7b]
2017-02-23 18:00:04,272 DEBUG [http-bio-10.48.30.41-8443-exec-8][] cisco.cpm.posture.runtime.PostureCoA -:user1:::- Posture status for session id c0a801010009e00058af0f7b is Compliant
2017-02-23 18:00:04,273 DEBUG [http-bio-10.48.30.41-8443-exec-8][] cisco.cpm.posture.runtime.PostureCoA -:user1:::- Issue CoA on active session with sessionID c0a801010009e00058af0f7b
2017-02-23 18:00:04,273 DEBUG [http-bio-10.48.30.41-8443-exec-8][] cisco.cpm.posture.runtime.PostureCoA -:user1:::- Posture CoA is scheduled for session id [c0a801010009e00058af0f7b] 文本窗口5-14
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
1.0 |
24-Aug-2021 |
初始版本 |
意見