クエリー API を使用した Cisco ISE のトラブルシューティング
次の項では、Cisco ISE 展開で指定したターゲット Cisco Monitoring ISE ノードにステータス要求を送信し、次の診断関連情報を取得する主要な Cisco Prime NCS トラブルシューティング API コールを提供します。
•
ノードのバージョンおよびタイプ(Version API コールを使用)
• 障害理由(FailureReasons API コールを使用)
• 認証ステータス(AuthStatus API コールを使用)
• アカウンティング ステータス(AcctStatus API コールを使用)
ノードのバージョンおよびタイプの API コール
各ノードの RETS Programmatic インターフェイス(PI)サービスとクレデンシャルをテストするには Version API コールを使用できます。ここでは、スキーマ ファイルの出力例、この API コールを呼び出すことにより、Cisco ISE ソフトウェアのバージョンおよびノード タイプを要求する手順、この API コール発行後に返されるノードのバージョンとタイプのサンプルについて説明します。
ノード タイプは次のいずれかになります。
• STANDALONE_MNT_NODE = 0
• ACTIVE_MNT_NODE= 1
• BACKUP_MNT_NODE = 2
• NOT_AN_MNT_NODE = 3
バージョン API の出力スキーマ
このサンプル スキーマ ファイルは、ターゲット Cisco Monitoring ISE ノードへの送信後の、バージョン API コールの出力です。
<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<xs:schema version="1.0" xmlns:xs="http://www.w3.org/2001/XMLSchema">
<xs:element name="product" type="product"/>
<xs:complexType name="product">
<xs:element name="version" type="xs:string" minOccurs="0"/>
<xs:element name="type_of_node" type="xs:int"/>
<xs:attribute name="name" type="xs:string"/>
バージョン API コールの呼び出し
(注) API コールを発行するターゲット ノードが、有効な Cisco Monitoring ISE ノードであることを確認している必要があります。Cisco ISE ノードのペルソナを確認するには、「Cisco Monitoring ISE ノードの確認」を参照してください。
バージョン API コールを発行するには、次の手順を実行します。
ステップ 1 ターゲット Cisco Monitoring ISE ノードにログインします。
たとえば、ホスト名が acme123 の Cisco Monitoring ISE ノードに最初にログインする場合、このノードの URL アドレスが次のように表示されます。
https://acme123/admin/LoginAction.do#pageId=com_cisco_xmp_web_page_tmpdash
ステップ 2 「/admin/」コンポーネントを API コールのコンポーネント(/ise/mnt/api/ <specific-api-call>)に置き換えて、ターゲット ノードの URL アドレス フィールドにバージョン API コールを入力します。
https://acme123/ise/mnt/api/Version
(注) これらのコールは、大文字小文字を区別するため、ターゲット ノードの URL アドレス フィールドに慎重に各 API コールを入力する必要があります。API コール規則での「mnt」の使用は、Cisco Monitoring ISE ノードを表します。
ステップ 3 Enter キーを押して API コールを発行します。
バージョン API コールから返されるサンプル データ
次に、ターゲット Cisco Monitoring ISE ノードでバージョン API コールを呼び出すときに返されるデータを示します。この API コールでは、ターゲット ノードについて次の 2 種類の値が返されます。
• ノードのバージョン(この例では、1.0.3.032 を表示します)。
• Cisco Monitoring ISE ノードのタイプ(この例では、アクティブな Cisco Monitoring ISE ノードが 1 つであることを意味する「1」を表示します)。
This XML file does not appear to have any style information associated with it. The document tree is shown below.
<product name="Cisco Identity Services Engine">
<version>1.0.3.032</version>
<type_of_node>1</type_of_node>
障害理由 API コール
ターゲット ノードで行われた認証ステータスのチェックで返された障害理由のリストを返すために FailureReasons API コールを使用できます。ここでは、スキーマ ファイルの出力例、この API コールを呼び出すことにより、Cisco Cisco Monitoring ISE ノードで記録される障害理由のリストを要求する手順、この API コール発行後に返される障害理由のサンプルについて説明します。返される障害理由は、それぞれ 表 3-1 に示す次の要素で構成されます。
(注) Cisco ISE Failure Reasons Editor を使用して障害理由の完全なリストにアクセスする方法に関する詳細については、「Cisco ISE Failure Reasons Editor の使用」を参照してください。
表 3-1 Cisco Identity Services Engine の製品マニュアル
|
|
|
障害理由 ID |
<failureReason id="11011"> |
コード |
<11011 RADIUS listener failed>
|
原因 |
<Could not open one or more of the ports used to receive RADIUS requests>
|
解決策 |
<Ensure that the ports 1812, 1813, 1645 and 1646 are not being used by another process on the system>
|
(注) Cisco ISE ユーザ インターフェイスを使用して([モニタ(Monitor)] > [レポート(Reports)] > [カタログ(Catalog)] > [障害理由(Failure Reasons)] をクリックして)障害理由レポートがあるかどうかを確認します。障害理由レポートが表示されます。
FailureReasons API の出力スキーマ
このサンプル スキーマ ファイルは、ターゲット Cisco Monitoring ISE ノードへの要求の送信後の、FailureReasons API コールの出力です。
<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<xs:schema version="1.0" xmlns:xs="http://www.w3.org/2001/XMLSchema">
<xs:element name="failureReasonList" type="failureReasonList"/>
<xs:complexType name="failureReasonList">
<xs:element name="failureReason" type="failureReason" minOccurs="0" maxOccurs="unbounded"/>
<xs:complexType name="failureReason">
<xs:element name="code" type="xs:string" minOccurs="0"/>
<xs:element name="cause" type="xs:string" minOccurs="0"/>
<xs:element name="resolution" type="xs:string" minOccurs="0"/>
<xs:attribute name="id" type="xs:string"/>
FailureReasons API コールの呼び出し
(注) API コールを発行するターゲット ノードが、有効な Cisco Monitoring ISE ノードであることを確認している必要があります。Cisco ISE ノードのペルソナを確認するには、「Cisco Monitoring ISE ノードの確認」を参照してください。
FailureReasons API コールを発行するには、次の手順を実行します。
ステップ 1 ターゲット Cisco Monitoring ISE ノードにログインします。
たとえば、ホスト名が acme123 の Cisco Monitoring ISE ノードに最初にログインする場合、このノードの URL アドレスが次のように表示されます。
https://acme123/admin/LoginAction.do#pageId=com_cisco_xmp_web_page_tmpdash
ステップ 2 「/admin/」コンポーネントを API コールのコンポーネント(/ise/mnt/api/ <specific-api-call>)に置き換えて、ターゲット ノードの URL アドレス フィールドに FailureReasons API コールを入力します。
https://acme123/ise/mnt/api/FailureReasons
(注) これらのコールは、大文字小文字を区別するため、ターゲット ノードの URL アドレス フィールドに慎重に各 API コールを入力する必要があります。API コール規則での「mnt」の使用は、Cisco Monitoring ISE ノードを表します。
ステップ 3 Enter キーを押して API コールを発行します。
FailureReasons API コールから返されるサンプル データ
次に、ターゲット Cisco Monitoring ISE ノードで FailureReasons API コールを呼び出すときに返されるデータを示します。この API コールは、ターゲット ノードから障害理由のリストを返します。障害理由は、それぞれ、障害 ID、障害コード、原因、対処法(既知の場合)によって定義されます。
(注) 次の FailureReasons API コールの例は、返されるデータの小規模なサンプルを表示しています。
This XML file does not appear to have any style information associated with it. The document tree is shown below.
<failureReason id="100001">
100001 AUTHMGR-5-FAIL Authorization failed for client
<cause>This may or may not be indicating a violation</cause>
Please review and resolve according to your organization's policy
<failureReason id="100002">
100002 AUTHMGR-5-SECURITY_VIOLATION Security violation on the interface
<cause>This may or may not be indicating a violation</cause>
Please review and resolve according to your organization's policy
<failureReason id="100003">
100003 AUTHMGR-5-UNAUTHORIZED Interface unauthorized
<cause>This may or may not be indicating a violation</cause>
Please review and resolve according to your organization's policy
<failureReason id="100004">
100004 DOT1X-5-FAIL Authentication failed for client
<cause>This may or may not be indicating a violation</cause>
Please review and resolve according to your organization's policy
<failureReason id="100005">
<code>100005 MAB-5-FAIL Authentication failed for client</code>
<cause>This may or may not be indicating a violation</cause>
Please review and resolve according to your organization's policy
<failureReason id="100006">
100006 RADIUS-4-RADIUS_DEAD RADIUS server is not responding
<cause>This may or may not be indicating a violation</cause>
Please review and resolve according to your organization's policy
<failureReason id="100007">
100007 EPM-6-POLICY_APP_FAILURE Interface ACL not configured
<cause>This may or may not be indicating a violation</cause>
Please review and resolve according to your organization's policy
詳細情報
Cisco ISE Failure Reasons Editor の詳細については、 付録 A「Cisco ISE Failure Reasons Editor の使用」 を参照してください。
認証ステータス API コール
ターゲット ノードのセッションの認証ステータスをチェックするために AuthStatus API 呼び出しを使用できます。この API コールに関連付けられたクエリーには、一致の検索対象である MAC アドレスが少なくとも 1 つ必要です。指定の MAC アドレスが返されるように、最新レコードに、ユーザ設定が可能な制限を付けます。
ここでは、スキーマ ファイルの出力例、この API コールを呼び出すことにより、ターゲットのモニタリング モードでセッション認証のステータスを検索する要求を送信する手順、この API コール発行後に返されるデータのサンプルについて説明します。
AuthStatus API コールにより、次の検索関連パラメータを設定できるようになります。
• 期間:指定された MAC アドレスに関連付けられた認証ステータス レコードの検索と取得が試行される秒数を定義します。ユーザが設定可能な値の有効範囲は 1 ~ 864000 秒(10 日)です。0 秒の値を入力した場合は、デフォルト期間の 10 日を指定します。
• レコード: MAC アドレスごとに検索するセッションのレコード数を定義します。ユーザが設定可能な値の有効範囲は 1 ~ 500 レコードです。0 を入力した場合は、デフォルト設定の 200 レコードを指定します。
(注) 期間およびレコード パラメータの両方に値 0 を指定すると、この API コールは、指定された MAC アドレスに関連付けられている最新の認証セッション レコードのみを返します。
• 属性:AuthStatus API コールを使用して認証ステータスの検索で返された認証ステータスのテーブルの属性数を定義します。有効な値は 0(デフォルト)、All、または user_name+acs_timestamp です(AuthStatus スキーマの例「AcctStatus API の出力スキーマ」を参照)。
– 「0」を入力すると、 表 3-2 で定義された属性が返されます。これらは出力スキーマの restAuthStatus のセクションに記載されています。
– 「All」を入力すると、より詳しい属性セットが返されます。これらは出力スキーマの fullRESTAuthStatus のセクションに記載されています。
– user_name+acs_timestamp のスキーマに示されている値を入力すると、それらの属性だけが返されます。user_name 属性と acs_timestamp 属性は、出力スキーマ restAuthStatus のセクションに記載されています。
表 3-2 認証ステータス テーブルの属性
|
|
|
name="passed" |
2 種類の可能な認証ステータスの結果の 1 つが: • 合格 |
name="failed" |
2 種類の可能な認証ステータスの結果の 1 つが: • 不合格 |
name="user_name" |
ユーザ名 |
name="nas_ip_address" |
ネットワーク アクセス スイッチの IP アドレス / ホスト名 |
name="failure_reason" |
セッション認証エラーの原因 |
name="calling_station_id" |
ソース IP アドレス |
name="nas_port" |
ネットワーク アクセス サーバのポート |
name="identity_group" |
関係ユーザおよびホストからなる論理グループ |
name="network_device_name" |
ネットワーク デバイス名 |
name="acs_server" |
Cisco ISE アプライアンス名 |
name="eap_authentication" |
認証要求に使用される拡張認証プロトコル(EAP)メソッド |
name="framed_ip_address" |
指定ユーザに設定されるアドレス |
network_device_groups" |
関係ネットワーク デバイスからなる論理グループ |
name="access_service" |
適用されたアクセス サービス |
name="acs_timestamp" |
Cisco ISE 認証要求に関連付けられたタイム スタンプ |
name="authentication_method" |
認証に使用されるメソッドを識別する |
name="execution_steps" |
要求の処理中にロギングされる各診断メッセージのメッセージ コード リスト |
name="radius_response" |
RADIUS 応答のタイプ(VLAN や ACL など) |
name="audit_session_id" |
認証セッションの ID |
name="nas_identifier" |
特定のリソースに関連付けられたネットワーク アクセス サーバ(NAS) |
name="nas_port_id" |
使用された NAS ポートの ID |
name="nac_policy_compliance" |
ポスチャの状態を反映する(準拠、または非準拠) |
name="selected_azn_profiles" |
承認に使用されたプロファイルを識別する |
name="service_type" |
フレームド ユーザを表す |
name="eap_tunnel" |
EAP 認証に使用されるトンネルまたは外部メソッド |
name="message_code" |
処理された要求の結果を定義する監査メッセージの識別子 |
name="destination_ip_address" |
宛先 IP アドレスを識別する |
AuthStatus API の出力スキーマ
このサンプル スキーマ ファイルは、ターゲット Cisco Monitoring ISE ノードでの指定されたセッションへの送信後の、AuthStatus API コールの出力です。
<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<xs:schema version="1.0" xmlns:xs="http://www.w3.org/2001/XMLSchema">
<xs:element name="authStatusOutputList" type="fullRESTAuthStatusOutputList"/>
<xs:complexType name="fullRESTAuthStatusOutputList">
<xs:element name="authStatusList" type="fullRESTAuthStatusList" minOccurs="0" maxOccurs="unbounded"/>
<xs:complexType name="fullRESTAuthStatusList">
<xs:element name="authStatusElements" type="fullRESTAuthStatus" minOccurs="0" maxOccurs="unbounded"/>
<xs:attribute name="key" type="xs:string"/>
<xs:complexType name="fullRESTAuthStatus">
<xs:extension base="restAuthStatus">
<xs:element name="id" type="xs:long" minOccurs="0"/>
<xs:element name="acsview_timestamp" type="xs:dateTime" minOccurs="0"/>
<xs:element name="acs_session_id" type="xs:string" minOccurs="0"/>
<xs:element name="service_selection_policy" type="xs:string" minOccurs="0"/>
<xs:element name="authorization_policy" type="xs:string" minOccurs="0"/>
<xs:element name="identity_store" type="xs:string" minOccurs="0"/>
<xs:element name="response" type="xs:string" minOccurs="0"/>
<xs:element name="cts_security_group" type="xs:string" minOccurs="0"/>
<xs:element name="use_case" type="xs:string" minOccurs="0"/>
<xs:element name="cisco_av_pair" type="xs:string" minOccurs="0"/>
<xs:element name="ad_domain" type="xs:string" minOccurs="0"/>
<xs:element name="acs_username" type="xs:string" minOccurs="0"/>
<xs:element name="radius_username" type="xs:string" minOccurs="0"/>
<xs:element name="nac_role" type="xs:string" minOccurs="0"/>
<xs:element name="nac_username" type="xs:string" minOccurs="0"/>
<xs:element name="nac_posture_token" type="xs:string" minOccurs="0"/>
<xs:element name="nac_radius_is_user_auth" type="xs:string" minOccurs="0"/>
<xs:element name="selected_posture_server" type="xs:string" minOccurs="0"/>
<xs:element name="selected_identity_store" type="xs:string" minOccurs="0"/>
<xs:element name="authentication_identity_store" type="xs:string"
<xs:element name="azn_exp_pol_matched_rule" type="xs:string" minOccurs="0"/>
<xs:element name="ext_pol_server_matched_rule" type="xs:string" minOccurs="0"/>
<xs:element name="grp_mapping_pol_matched_rule" type="xs:string" minOccurs="0"/>
<xs:element name="identity_policy_matched_rule" type="xs:string" minOccurs="0"/>
<xs:element name="nas_port_type" type="xs:string" minOccurs="0"/>
<xs:element name="query_identity_stores" type="xs:string" minOccurs="0"/>
<xs:element name="sel_exp_azn_profiles" type="xs:string" minOccurs="0"/>
<xs:element name="selected_query_identity_stores" type="xs:string" minOccurs="0"/>
<xs:element name="tunnel_details" type="xs:string" minOccurs="0"/>
<xs:element name="cisco_h323_attributes" type="xs:string" minOccurs="0"/>
<xs:element name="cisco_ssg_attributes" type="xs:string" minOccurs="0"/>
<xs:element name="other_attributes" type="xs:string" minOccurs="0"/>
<xs:element name="response_time" type="xs:long" minOccurs="0"/>
<xs:element name="nad_failure" type="xs:anyType" minOccurs="0"/>
<xs:complexType name="restAuthStatus">
<xs:element name="passed" type="xs:anyType" minOccurs="0"/>
<xs:element name="failed" type="xs:anyType" minOccurs="0"/>
<xs:element name="user_name" type="xs:string" minOccurs="0"/>
<xs:element name="nas_ip_address" type="xs:string" minOccurs="0"/>
<xs:element name="failure_reason" type="xs:string" minOccurs="0"/>
<xs:element name="calling_station_id" type="xs:string" minOccurs="0"/>
<xs:element name="nas_port" type="xs:string" minOccurs="0"/>
<xs:element name="identity_group" type="xs:string" minOccurs="0"/>
<xs:element name="network_device_name" type="xs:string" minOccurs="0"/>
<xs:element name="acs_server" type="xs:string" minOccurs="0"/>
<xs:element name="eap_authentication" type="xs:string" minOccurs="0"/>
<xs:element name="framed_ip_address" type="xs:string" minOccurs="0"/>
<xs:element name="network_device_groups" type="xs:string" minOccurs="0"/>
<xs:element name="access_service" type="xs:string" minOccurs="0"/>
<xs:element name="acs_timestamp" type="xs:dateTime" minOccurs="0"/>
<xs:element name="authentication_method" type="xs:string" minOccurs="0"/>
<xs:element name="execution_steps" type="xs:string" minOccurs="0"/>
<xs:element name="radius_response" type="xs:string" minOccurs="0"/>
<xs:element name="audit_session_id" type="xs:string" minOccurs="0"/>
<xs:element name="nas_identifier" type="xs:string" minOccurs="0"/>
<xs:element name="nas_port_id" type="xs:string" minOccurs="0"/>
<xs:element name="nac_policy_compliance" type="xs:string" minOccurs="0"/>
<xs:element name="selected_azn_profiles" type="xs:string" minOccurs="0"/>
<xs:element name="service_type" type="xs:string" minOccurs="0"/>
<xs:element name="eap_tunnel" type="xs:string" minOccurs="0"/>
<xs:element name="message_code" type="xs:string" minOccurs="0"/>
<xs:element name="destination_ip_address" type="xs:string" minOccurs="0"/>
AuthStatus API コールの呼び出し
(注) API コールを発行するターゲット ノードが、有効な Cisco Monitoring ISE ノードであることを確認している必要があります。Cisco ISE ノードのペルソナを確認するには、「Cisco Monitoring ISE ノードの確認」を参照してください。
AuthStatus API コールを発行するには、次の手順を実行します。
ステップ 1 ターゲット Cisco Monitoring ISE ノードにログインします。
たとえば、ホスト名が acme123 の Cisco Monitoring ISE ノードに最初にログインする場合、このノードの URL アドレスが次のように表示されます。
https://acme123/admin/LoginAction.do#pageId=com_cisco_xmp_web_page_tmpdash
ステップ 2 「/admin/」コンポーネントを API コールのコンポーネント(/ise/mnt/api/<specific-api-call>/MACAddress/ <macaddress>/<seconds>/<numberofrecordspermacaddress>/All)に置き換えて、ターゲット ノードの URL アドレス フィールドに AuthStatus API コールを入力します。
https://acme123/ise/mnt/api/AuthStatus/MACAddress/00:50:56:10:13:02/120/100/All
(注) これらのコールは、大文字小文字を区別するため、ターゲット ノードの URL アドレス フィールドに慎重に各 API コールを入力する必要があります。API コール規則での「mnt」の使用は、Cisco Monitoring ISE ノードを表します。
ステップ 3 Enter キーを押して API コールを発行します。
AuthStatus API コールから返されるサンプル データ
次に、ターゲット Cisco Monitoring ISE ノードで AuthStatus API コールを呼び出すときに返されるデータを示します。
This XML file does not appear to have any style information associated with it. The document tree is shown below.
<authStatusList key="00:25:9C:A3:7D:48">
<passed xsi:type="xs:boolean">true</passed>
<failed xsi:type="xs:boolean">false</failed>
<user_name>hareesh6</user_name>
<nas_ip_address>10.203.107.10</nas_ip_address>
<calling_station_id>00:25:9C:A3:7D:48</calling_station_id>
<identity_group>iPEP-WLC-Group</identity_group>
<network_device_name>iPEP3</network_device_name>
<acs_server>HAREESH-R6-1-PDP1</acs_server>
<eap_authentication>EAP-MSCHAPv2</eap_authentication>
Device Type#All Device Types#iPEP,Location#All Locations
<access_service>Default Network Access</access_service>
<acs_timestamp>2010-12-20T01:38:49.566Z</acs_timestamp>
<authentication_method>MSCHAPV2</authentication_method>
11001,11017,15008,15048,15048,15004,11507,12500,11006,11001,11018,12101,12100,11006,11001,
11018,12102,12800,12175,12805,12806,12801,12802,12105,11006,11001,11018,12104,12804,12816,
12132,12125,11806,12105,11006,11001,11018,12104,11808,15041,15006,15013,24210,24212,22037,
11824,12105,11006,11001,11018,12104,11810,11814,11519,12128,12105,11006,11001,11018,12104,
12126,12127,15036,15048,15048,15004,15016,12171,12105,11006,11001,11018,12104,12106,11503,
15036,15048,15048,15004,15016,11002
<audit_session_id>0acb6b0b0000000D4D0EB3A9</audit_session_id>
<nas_identifier>Cisco_4d:c0:a0</nas_identifier>
<nac_policy_compliance>NotApplicable</nac_policy_compliance>
<selected_azn_profiles>iPEP-Compliant-Authz-Profile</selected_azn_profiles>
<service_type>Framed</service_type>
<eap_tunnel>EAP-FAST</eap_tunnel>
<message_code>5200</message_code>
<destination_ip_address>10.203.107.150</destination_ip_address>
<id>1292549379215912</id>
<acsview_timestamp>2010-12-20T01:38:49.567Z</acsview_timestamp>
<acs_session_id>HAREESH-R6-1-PDP1/81999140/50</acs_session_id>
<service_selection_policy>iPEP-WLC</service_selection_policy>
<authorization_policy>iPEP-WLC-Compliant-Policy</authorization_policy>
<identity_store>Internal Users</identity_store>
{User-Name=hareesh6; State=ReauthSession:0acb6b0b0000000D4D0EB3A9; Class=CACS:0acb6b0b0000000D4D0EB3A9:HAREESH-R6-1-PDP1/81999140/50; Termination-Action=RADIUS-Request; MS-MPPE-Send-Key=04:11:2d:bf:8b:5f:c1:b0:14:b1:73:ad:48:90:65:e0:c2:a3:f7:66:2d:dc:70:f1:a
b:56:cd:09:c4:b0:b7:ae; MS-MPPE-Recv-Key=7e:38:94:72:e2:a3:8a:e4:90:18:45:61:91:c0:44:ea:0c:21:39:14:2f:7c:9f:55:d
6:52:af:fd:55:48:3f:34; }
audit-session-id=0acb6b0b0000000D4D0EB3A9,ipep-proxy=true
<acs_username>hareesh6</acs_username>
<radius_username>anonymous</radius_username>
<selected_identity_store>Internal Users</selected_identity_store>
<authentication_identity_store>Internal Users</authentication_identity_store>
<identity_policy_matched_rule>Default</identity_policy_matched_rule>
<nas_port_type>Wireless - IEEE 802.11</nas_port_type>
Tunnel-Type=(tag=0) VLAN,Tunnel-Medium-Type=(tag=0) 802,Tunnel-Private-Group-ID=(tag=0) 208
ConfigVersionId=18,DestinationPort=1812,Protocol=Radius,Framed-MTU=1300,State=37CPMSession
ID=0acb6b0b0000000D4D0EB3A9;39SessionID=HAREESH-R6-1-PDP1/81999140/50;,Proxy-State=Cisco
Secure
ACS53e5cfac-0a31-11e0-c000-000000000000-2905701264-3372,Airespace-Wlan-Id=2,CPMSessionID=0
acb6b0b0000000D4D0EB3A9,IssuedPacInfo=Issued PAC type=Authorization with expiration time:
Mon Dec 20 02:38:49
2010,CPMSessionID=0acb6b0b0000000D4D0EB3A9,EndPointMACAddress=00-25-9C-A3-7D-48,Device
Type=Device Type#All Device Types#iPEP,Location=Location#All Locations,Model
Name=Unknown,Software Version=Unknown,Device IP
Address=10.203.107.11,Called-Station-ID=00-24-c4-1b-36-70:ipep3
<response_time>3</response_time>
<passed xsi:type="xs:boolean">true</passed>
<failed xsi:type="xs:boolean">false</failed>
<user_name>hareesh6</user_name>
<nas_ip_address>10.203.107.10</nas_ip_address>
<calling_station_id>00:25:9C:A3:7D:48</calling_station_id>
<identity_group>iPEP-WLC-Group</identity_group>
<network_device_name>iPEP3</network_device_name>
<acs_server>HAREESH-R6-1-PDP1</acs_server>
<eap_authentication>EAP-MSCHAPv2</eap_authentication>
Device Type#All Device Types#iPEP,Location#All Locations
<access_service>Default Network Access</access_service>
<acs_timestamp>2010-12-19T01:32:39.220Z</acs_timestamp>
<authentication_method>MSCHAPV2</authentication_method>
11001,11017,15008,15048,15048,15004,11507,12500,11006,11001,11018,12101,12100,11006,11001,
11018,12102,12800,12175,12805,12806,12801,12802,12105,11006,11001,11018,12104,12804,12816,
12132,12125,11806,12105,11006,11001,11018,12104,11808,15041,15006,15013,24210,24212,22037,
11824,12105,11006,11001,11018,12104,11810,11814,11519,12128,12105,11006,11001,11018,12104,
12126,12127,15036,15048,15048,15004,15016,12171,12105,11006,11001,11018,12104,12106,11503,
15036,15048,15048,15004,15016,11002
<audit_session_id>0acb6b0b0000000C4D0D60B6</audit_session_id>
<nas_identifier>Cisco_4d:c0:a0</nas_identifier>
<nac_policy_compliance>NotApplicable</nac_policy_compliance>
<selected_azn_profiles>iPEP-Compliant-Authz-Profile</selected_azn_profiles>
<service_type>Framed</service_type>
<eap_tunnel>EAP-FAST</eap_tunnel>
<message_code>5200</message_code>
<destination_ip_address>10.203.107.150</destination_ip_address>
<id>1292549379206881</id>
<acsview_timestamp>2010-12-19T01:32:39.218Z</acsview_timestamp>
<acs_session_id>HAREESH-R6-1-PDP1/81999140/46</acs_session_id>
<service_selection_policy>iPEP-WLC</service_selection_policy>
<authorization_policy>iPEP-WLC-Compliant-Policy</authorization_policy>
<identity_store>Internal Users</identity_store>
{User-Name=hareesh6; State=ReauthSession:0acb6b0b0000000C4D0D60B6;
Class=CACS:0acb6b0b0000000C4D0D60B6:HAREESH-R6-1-PDP1/81999140/46;
Termination-Action=RADIUS-Request;
MS-MPPE-Send-Key=f0:f4:5d:38:c4:5d:e8:85:51:65:ea:9e:ad:27:9f:c6:50:ae:11:ae:f8:8c:9d:c2:5
c:d3:33:06:36:be:14:79;
MS-MPPE-Recv-Key=d3:4a:2b:e6:6b:f8:31:ef:cc:84:d0:57:96:24:ab:e4:9b:45:3a:43:a7:1a:05:e7:5
d:a0:46:33:02:63:ef:39; }
audit-session-id=0acb6b0b0000000C4D0D60B6,ipep-proxy=true
<acs_username>hareesh6</acs_username>
<radius_username>anonymous</radius_username>
<selected_identity_store>Internal Users</selected_identity_store>
<authentication_identity_store>Internal Users</authentication_identity_store>
<identity_policy_matched_rule>Default</identity_policy_matched_rule>
<nas_port_type>Wireless - IEEE 802.11</nas_port_type>
Tunnel-Type=(tag=0) VLAN,Tunnel-Medium-Type=(tag=0) 802,Tunnel-Private-Group-ID=(tag=0) 208
ConfigVersionId=18,DestinationPort=1812,Protocol=Radius,Framed-MTU=1300,State=37CPMSession
ID=0acb6b0b0000000C4D0D60B6;39SessionID=HAREESH-R6-1-PDP1/81999140/46;,Proxy-State=Cisco
Secure
ACS53e5cfac-0a31-11e0-c000-000000000000-2905701264-3372,Airespace-Wlan-Id=2,CPMSessionID=0
acb6b0b0000000C4D0D60B6,IssuedPacInfo=Issued PAC type=Authorization with expiration time:
Sun Dec 19 02:32:39
2010,CPMSessionID=0acb6b0b0000000C4D0D60B6,EndPointMACAddress=00-25-9C-A3-7D-48,Device
Type=Device Type#All Device Types#iPEP,Location=Location#All Locations,Model
Name=Unknown,Software Version=Unknown,Device IP
Address=10.203.107.11,Called-Station-ID=00-24-c4-1b-36-70:ipep3
<response_time>3</response_time>
<passed xsi:type="xs:boolean">true</passed>
<failed xsi:type="xs:boolean">false</failed>
<user_name>hareesh6</user_name>
<nas_ip_address>10.203.107.10</nas_ip_address>
<calling_station_id>00:25:9C:A3:7D:48</calling_station_id>
<identity_group>iPEP-WLC-Group</identity_group>
<network_device_name>iPEP3</network_device_name>
<acs_server>HAREESH-R6-1-PDP1</acs_server>
<eap_authentication>EAP-MSCHAPv2</eap_authentication>
Device Type#All Device Types#iPEP,Location#All Locations
<access_service>Default Network Access</access_service>
<acs_timestamp>2010-12-18T01:26:22.089Z</acs_timestamp>
<authentication_method>MSCHAPV2</authentication_method>
11001,11017,15008,15048,15048,15004,11507,12500,11006,11001,11018,12101,12100,11006,11001,
11018,12102,12800,12805,12806,12807,12810,12105,11006,11001,11018,12104,12812,12804,12801,
12802,12816,12149,12105,11006,11001,11018,12104,12125,11521,12105,11006,11001,11018,12104,
11522,11806,12105,11006,11001,11018,12104,11808,15041,15006,15013,24210,24212,22037,11824,
12105,11006,11001,11018,12104,11810,11814,11519,12128,12105,11006,11001,11018,12104,12126,
12127,15036,15048,15048,15004,15016,12169,12105,11006,11001,11018,12104,12651,12107,11503,
15036,15048,15048,15004,15016,11002
<audit_session_id>0acb6b0b0000000B4D0C0DBD</audit_session_id>
<nas_identifier>Cisco_4d:c0:a0</nas_identifier>
<nac_policy_compliance>NotApplicable</nac_policy_compliance>
<selected_azn_profiles>iPEP-Compliant-Authz-Profile</selected_azn_profiles>
<service_type>Framed</service_type>
<eap_tunnel>EAP-FAST</eap_tunnel>
<message_code>5200</message_code>
<destination_ip_address>10.203.107.150</destination_ip_address>
<id>1292549379197803</id>
<acsview_timestamp>2010-12-18T01:26:22.042Z</acsview_timestamp>
<acs_session_id>HAREESH-R6-1-PDP1/81999140/30</acs_session_id>
<service_selection_policy>iPEP-WLC</service_selection_policy>
<authorization_policy>iPEP-WLC-Compliant-Policy</authorization_policy>
<identity_store>Internal Users</identity_store>
{User-Name=hareesh6; State=ReauthSession:0acb6b0b0000000B4D0C0DBD;
Class=CACS:0acb6b0b0000000B4D0C0DBD:HAREESH-R6-1-PDP1/81999140/30;
Termination-Action=RADIUS-Request;
MS-MPPE-Send-Key=d3:94:df:2b:fc:18:12:91:ad:4f:3b:09:d1:76:93:83:21:83:33:3a:14:b9:9b:c0:a
0:81:71:96:95:64:2c:ed;
MS-MPPE-Recv-Key=3b:c2:31:58:81:8a:34:24:d4:55:03:cd:a2:91:85:49:7f:16:36:30:d9:8d:24:a7:5
0:ec:3e:df:7a:85:ea:5c; }
audit-session-id=0acb6b0b0000000B4D0C0DBD,ipep-proxy=true
<acs_username>hareesh6</acs_username>
<radius_username>anonymous</radius_username>
<selected_identity_store>Internal Users</selected_identity_store>
<authentication_identity_store>Internal Users</authentication_identity_store>
<identity_policy_matched_rule>Default</identity_policy_matched_rule>
<nas_port_type>Wireless - IEEE 802.11</nas_port_type>
Tunnel-Type=(tag=0) VLAN,Tunnel-Medium-Type=(tag=0) 802,Tunnel-Private-Group-ID=(tag=0) 208
ConfigVersionId=18,DestinationPort=1812,Protocol=Radius,Framed-MTU=1300,State=37CPMSession
ID=0acb6b0b0000000B4D0C0DBD;39SessionID=HAREESH-R6-1-PDP1/81999140/30;,Proxy-State=Cisco
Secure
ACS53e5cfac-0a31-11e0-c000-000000000000-2905701264-3372,Airespace-Wlan-Id=2,CPMSessionID=0
acb6b0b0000000B4D0C0DBD,IssuedPacInfo=Issued PAC type=Tunnel V1 with expiration time: Fri
Mar 18 01:26:22
2011,CPMSessionID=0acb6b0b0000000B4D0C0DBD,EndPointMACAddress=00-25-9C-A3-7D-48,Device
Type=Device Type#All Device Types#iPEP,Location=Location#All Locations,Model
Name=Unknown,Software Version=Unknown,Device IP
Address=10.203.107.11,Called-Station-ID=00-24-c4-1b-36-70:ipep3
<response_time>3</response_time>
アカウント ステータス API コール
ターゲット ノードの最新のデバイスおよびセッションのアカウント情報を取得するために AcctStatus API コールを使用できます。ここでは、スキーマ ファイルの出力例、この API コールを呼び出すことにより、最新のデバイスおよびセッション情報の要求を送信する手順、この API コール発行後に返されるデータのサンプルについて説明します。AcctStatus API コールにより、時間関連パラメータを設定できるようになります。
• 期間:指定された MAC アドレスに関連付けられた最新アカウントのデバイス レコードの検索と取得が試行される秒数を定義します。ユーザが設定可能な値の有効範囲は 1 ~ 432000 秒(5 日)です。
– 2400 秒(40 分)の値を入力した場合は、過去 40 分間に使用可能な指定 MAC アドレスの最新アカウントのデバイス レコードが必要であることを意味します。
– 0 秒の値を入力した場合は、デフォルト期間の 15 分(900 秒)を指定します。これは、この時間内に使用可能な指定 MAC アドレスの最新アカウントのデバイス レコードが必要であることを意味します。
AcctList API コールは、API 出力として、次のアカウント ステータスのデータ フィールドを提供します( 表 3-3 を参照)。
表 3-3 アカウンティング ステータスのデータ フィールド
|
|
|
MAC アドレス |
クライアントの MAC アドレス |
audit-session-id |
認証セッション ID |
パケット入力 |
総受信パケット数 |
パケット出力 |
総送信パケット数 |
バイト入力 |
総受信バイト数 |
バイト出力 |
総送信バイト数 |
セッション時間 |
現在のセッションの存続時間 |
AcctStatus API の出力スキーマ
このサンプル スキーマ ファイルは、ターゲット Cisco Monitoring ISE ノードでの指定されたセッションへの送信後の、AcctStatus API コールの出力です。
<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<xs:schema version="1.0" xmlns:xs="http://www.w3.org/2001/XMLSchema">
<xs:element name="acctStatusOutputList" type="restAcctStatusOutputList"/>
<xs:complexType name="restAcctStatusOutputList">
<xs:element name="acctStatusList" type="restAcctStatusList" minOccurs="0" maxOccurs="unbounded"/>
<xs:complexType name="restAcctStatusList">
<xs:element name="acctStatusElements" type="restAcctStatus" minOccurs="0" maxOccurs="unbounded"/>
<xs:attribute name="macAddress" type="xs:string"/>
<xs:attribute name="username" type="xs:string"/>
<xs:complexType name="restAcctStatus">
<xs:element name="calling_station_id" type="xs:string" minOccurs="0"/>
<xs:element name="audit_session_id" type="xs:string" minOccurs="0"/>
<xs:element name="paks_in" type="xs:long" minOccurs="0"/>
<xs:element name="paks_out" type="xs:long" minOccurs="0"/>
<xs:element name="bytes_in" type="xs:long" minOccurs="0"/>
<xs:element name="bytes_out" type="xs:long" minOccurs="0"/>
<xs:element name="session_time" type="xs:long" minOccurs="0"/>
<xs:element name="username" type="xs:string" minOccurs="0"/>
<xs:element name="server" type="xs:string" minOccurs="0"/>
AcctStatus API 呼び出しを呼び出すこと
(注) API コールを発行するターゲット ノードが、有効な Cisco Monitoring ISE ノードであることを確認している必要があります。Cisco ISE ノードのペルソナを確認するには、「Cisco Monitoring ISE ノードの確認」を参照してください。
AcctStatus API コールを発行するには、次の手順を実行します。
ステップ 1 ターゲット Cisco Monitoring ISE ノードにログインします。
たとえば、ホスト名が acme123 の Cisco Monitoring ISE ノードに最初にログインする場合、このノードの URL アドレスが次のように表示されます。
https://acme123/admin/LoginAction.do#pageId=com_cisco_xmp_web_page_tmpdash
ステップ 2 「/admin/」コンポーネントを API コールのコンポーネント(/ise/mnt/api/<specific-api-call>/MACAddress/<macaddress>/ <durationofcurrenttime>)に置き換えて、ターゲット ノードの URL アドレス フィールドに AcctStatus API コールを入力します。
https://acme123/ise/mnt/api/AcctStatus/MACAddress/00:26:82:7B:D2:51/1200
(注) これらのコールは、大文字小文字を区別するため、ターゲット ノードの URL アドレス フィールドに慎重に各 API コールを入力する必要があります。API コール規則での「mnt」の使用は、Cisco Monitoring ISE ノードを表します。
ステップ 3 Enter キーを押して API コールを発行します。
AcctStatus API コールから返されるサンプル データ
次に、ターゲット Cisco Monitoring ISE ノードで AcctStatus API コールを呼び出すときに返されるデータを示します。
This XML file does not appear to have any style information associated with it. The document tree is shown below.
<acctStatusList macAddress="00:25:9C:A3:7D:48">
<calling_station_id>00:25:9C:A3:7D:48</calling_station_id>
<audit_session_id>0acb6b0b0000000B4D0C0DBD</audit_session_id>
<session_time>240243</session_time>
<server>HAREESH-R6-1-PDP1</server>
フィードバック