取消
显示结果 
搜索替代 
您的意思是: 
cancel
4940
查看次数
8
有帮助
5
评论
one-time
Level 13
Level 13
感谢大家参与微信公众号“思科助力客户成功(微信号:Cisco-CS)”6月13日举办的“专家面对面”思科ISE在线答疑活动,此次活动收到许多思科用户的提问,同时也十分感谢我们的TAC专家赵丽颖热心参与解答。以下为此次ISE在线答疑的部分问题及回复,以供参考:
【问题一】

Q:现网使用ISE作为认证服务器,版本为2.2.0.470,ISE上已经配置好protal,第一次授权推送CWA和Airespace ACL,只允许DNS和到达ISE的流量,第二次授权获取Airespace ACL,证书也是有效的,无线网使用WLC和AP。 现在情况是,当终端接入SSID时,protal页面时常不能推送成功,终端显示空白页面,此时终端ping ISE不通。请问是什么原因导致的?
A:首先需要查看ISE radius live log中匹配的授权策略是否正确,然后看一下WLC上client detail里是否有redirect URL。终端显示空白页面不知道具体是什么情况。是能跳转但是portal页面显示不出来,还是根本就没有跳转?这个问题需要具体看一下ISE和WLC的信息,建议您开个TAC case。
Q:ise的radius log正常,client detail有redirect url,终端没有跳转protal页面
A: 使用http跳转还是https跳转?输入的是FQDN还是IP?直接在终端上输入ISE的地址是否可以打开?输入ISE portal的URL是否可以打开?我看您提到了ping ISE不通。只有出问题的时候ping不通是吗?如果能正常跳转的话,是可以ping通的?
Q:使用http跳转,如果使用https无法跳转,输入1.1.1.1可以跳转,输入url无法打开,只有出现问题的时候ping不通,正常跳转是可以ping通的
A:这看上去更像是WLC的问题,还是建议您开个case具体看一下
【问题二】

Q:ISE做radius认证的时候,某个用户认错错误次数太多是不是会被拉黑一段时间?这个时间是多久,建议修改吗?
A:ISE有个setting,叫做Suppress Repeated Failed Clients。详细信息您可以参考配置文档 https://www.cisco.com/c/en/us/td/docs/security/ise/2-4/admin_guide/b_ise_admin_guide_24/b_ise_admin_guide_24_new_chapter_011011.html?bookSearch=true#ID911
这个值可以根据您的需要进行修改。
Q:客户有个l2tp vpn拨号的场景,客户想实现在ISE上进行特定用户名认证后,获取特定的ip地址,请问ise在这个场景里能否实现,如果可以实现的话,授权下发的属性需要设置什么。
A:cisco community有相关配置举例,您可以参考:https://community.cisco.com/t5/identity-services-engine-ise/per-user-ip-address-assignment-on-ise/td-p/3491906
这个功能我本人没有测试过,如果您在配置过程中或测试阶段有问题问题,可以开TAC case。
Q:ISE目前版本能支持短信网关对接吗?有时候做portal认证,客户有这方面的需求,想使用短信认证
A:可以的。SMS gateway setting:https://www.cisco.com/c/en/us/td/docs/security/ise/2-4/admin_guide/b_ise_admin_guide_24/b_ise_admin_guide_24_new_chapter_011011.html?bookSearch=true#reference_637B4FC473F247249AD42888125FA5D0 短信网关设置好后,可以在相关port中选择启用SMS功能。
【问题三】

Q:您好,我想问一个关于ISE许可的问题,最近ISE的许可发生的更新,老版本的tacacs许可停止出售,现在使用L-ISE-TACACS-ND =许可,那么这个许可对于ISE2.3及以前的版本有什么限制吗,是否能够使用呢?
A:L-ISE-TACACS-ND =只是license这个产品的PID,应用到ISE设备上需要用PAK到官网申请license文件(也可以开license case)。而license文件并没有版本号的区别。
Q:您好,我看到在ISE的版本中2.0、2.1、2.3都即将停止服务,那么想问一下2.2是否所有停止服务的计划
A:暂时没有看到ISE 2.2 EoL的通知。如果BU有相关计划,会公布在思科官网上。https://www.cisco.com/c/en/us/products/security/identity-services-engine/eos-eol-notice-listing.html
Q:您好,我对证书这块一直有疑惑,在多台ISE组成的集群中时需要导入证书,那么在有证书服务器的情况下,admin Primary我知道需要导入根证书到trust store,以及生成请求证书并绑定,那么其他节点只安装根证书就行吗,还要申请和绑定证书吗?
A:跟primary一样,需要申请相关证书,只有跟证书是不够的
Q:您好,对于上一个证书问题,节点之间不需要相互倒证书了吗?
A:不需要
Q:在ISE2.4以后tacacs的许可是按照PSN节点数量购买,假如在一个分布式部署的集群中有4个PSN,但是我只购买2个许可,并且在角色分配的过程中对两个节点进行开启PSN的tacacs+功能,是否可行呢?
A:可以的。文档中是这么描述的:A Base or Mobility license is required to install the Device Administration license.
The number of Device Administration licenses must be equal to the number of device administration nodes in a deployment.
【问题四】

Q:请教下专家,ISE使用通配符证书,有什么限制,现在发现EAP认证的时候,通配符的证书windows默认的客户端不认。
A:并没有特殊限制。如果客户端不能识别,建议您检查以下几点:
1. 客户端上是否有完整的证书链,既root CA和所有intermediate CA的证书都存在。
2. ISE的域名是否和通配符证书中的CN一致。比如通配符证书的CN是*.cisco.com,ISE的主机名必须是ise.cisco.com。
3.如果前两项都没有问题,看一下其他类型的客户端是否可以接受这个证书。如果只是windows有问题的话,您需要看一下windows系统本身是否对证书有要求,比如加密方式,key长度等。
Q:感谢回复,看了下好像就是windows native supplicant不支持通配符,MacOS的就可以,EAP-TLS的认证我只只能把validate server certificate 选项去了,不验证ISE的证书。就想和您确认下这是不是和ISE没关系,就是windows的支持问题
A:ISE只是展示证书给客户端,客户端自己判断是否trust。如果客户端对证书有特殊需求,可以在申请证书的时候进行相应的设置,比如我之前提到的加密算法,key长度等。如果windows不能支持通配符证书,那就如您所说,可以取消validate server certificate。
【问题五】

Q:TLS认证 2.4版本会校验 AD里的登录名 这是BUG么?
A:可以提供一些具体信息吗?您说的AD里的登录名具体指什么?是证书里的CN?您是怎么确定ISE会看这个信息的?
【问题六】

Q:你好,我们的WLC(aruba)通过ISE进行tacacs认证,对于readonly权限的用户啊来说,依然可以进行conf ter的模式,如果是用clearpass的话就不会出现这个问题,请问出现这个问题的原因是什么呢,有解决办法么。
A:您需要咨询aruba是否对TACACS配置有特殊要求,比如需要ISE返回特殊的属性值来限制用户权限。
Q:Aruba那边是根据角色来定义权限的,readonly是权限最小的角色了,按理说不应该进去conf t 才对,这个有没有办法通过ise进行限制呢
A:ISE进行限制的前提是,返回值能被aruba接受,且aruba能做出正确的处理。所以需要aruba提供正确的属性值,并在ISE上进行相应的配置。举个例子,比如登陆设备时输入用户名密码,ISE检查发现密码不正确,返回reject消息。但是收到reject消息的设备却把该用户放行了。这就不是ISE能控制的。
【问题七】

Q:ISE做集群数量有限制吗?做了集群license是只需要买一份吗?
A:数量限制请参考 https://www.cisco.com/c/en/us/td/docs/security/ise/2-4/install_guide/b_ise_InstallationGuide24/b_ise_InstallationGuide24_chapter_00.html?bookSearch=true
以及 https://www.cisco.com/c/en/us/td/docs/security/ise/2-4/admin_guide/b_ise_admin_guide_24/b_ise_admin_guide_24_new_chapter_011.html#typesofpersonas
license只需要在primary PAN上安装。请参考 https://www.cisco.com/c/en/us/td/docs/security/ise/2-4/admin_guide/b_ise_admin_guide_24/b_ise_admin_guide_24_new_chapter_0110.html
Q:ISE在导入endpoint数据库的时候是不是不支持中文(如果导入表描述里包含中文)?
A:可以支持中文
本期【专家面对面】同主题相关资料:
【专家面对面】思科身份服务引擎(ISE)服务的最佳实践及Q&A
评论
leimin fan
Spotlight
Spotlight
请问一下EAP-TLS认证时,Domain User在多台电脑上登录后没有用户证书,使用MMC申请证书提示没有权限, 是怎么做到证书跟用户走的? 证书导出吗?
one-time
Level 13
Level 13
fanleimin 发表于 2019-6-29 20:29
请问一下EAP-TLS认证时,Domain User在多台电脑上登录后没有用户证书,使用MMC申请证书提示没有权限, 是怎 ...

您好,此次【专家面对面】活动已经结束,您可以在社区发起提问 或 关注“思科助力客户成功(微信号:Cisco-CS)”公众号留言提问。谢谢~
nlxnalongxi
Level 1
Level 1
您好!烦请问一下,我这边ISE版本很低是version 1.2的,使用AD作为dot1x的注入服务器。现在出现的问题是在AD上新建了的用户,发现当时用无线登录准入时,用户无法登陆使用,ISE上报错是没有有效的用户名或者密码;除此以外,再进行test connection时候使用已存在的用户名就可以success,使用新建的用户名就无法成功。是否是ISE与AD同步出现了问题?应该怎样在不影响业务情况下处理呢?
one-time
Level 13
Level 13
nlxnalongxi 发表于 2019-11-13 16:59
您好!烦请问一下,我这边ISE版本很低是version 1.2的,使用AD作为dot1x的注入服务器。现在出现的问题是在A ...

您好,此次【专家面对面】活动已经结束,您可以在社区发起提问 或 关注“思科助力客户成功(微信号:Cisco-CS)”公众号留言提问。谢谢~
瞬间与永恒
Level 1
Level 1
学习学习:(
入门指南

使用上面的搜索栏输入关键字、短语或问题,搜索问题的答案。

我们希望您在这里的旅程尽可能顺利,因此这里有一些链接可以帮助您快速熟悉思科社区:









快捷链接