请选择 进入手机版 | 继续访问电脑版

设为首页 收藏本站
思科社区 关注
思科社区

   思科 CCO 登录 推荐
 找回密码
 立即注册

搜索
热搜: 邮件服务器
查看: 900|回复: 2

【专家面对面】问题汇总_思科身份服务引擎(ISE)服务的最佳实践及Q&A

[复制链接]
发表于 2019-6-19 11:19:36 | 显示全部楼层 |阅读模式
感谢大家参与微信公众号“思科助力客户成功(微信号:Cisco-CS)”6月13日举办的“专家面对面”思科ISE在线答疑活动,此次活动收到许多思科用户的提问,同时也十分感谢我们的TAC专家赵丽颖热心参与解答。以下为此次ISE在线答疑的部分问题及回复,以供参考:

【问题一】
Q:现网使用ISE作为认证服务器,版本为2.2.0.470,ISE上已经配置好protal,第一次授权推送CWA和Airespace ACL,只允许DNS和到达ISE的流量,第二次授权获取Airespace ACL,证书也是有效的,无线网使用WLC和AP。 现在情况是,当终端接入SSID时,protal页面时常不能推送成功,终端显示空白页面,此时终端ping ISE不通。请问是什么原因导致的?

A:首先需要查看ISE radius live log中匹配的授权策略是否正确,然后看一下WLC上client detail里是否有redirect URL。终端显示空白页面不知道具体是什么情况。是能跳转但是portal页面显示不出来,还是根本就没有跳转?这个问题需要具体看一下ISE和WLC的信息,建议您开个TAC case。

Q:ise的radius log正常,client detail有redirect url,终端没有跳转protal页面

A: 使用http跳转还是https跳转?输入的是FQDN还是IP?直接在终端上输入ISE的地址是否可以打开?输入ISE portal的URL是否可以打开?我看您提到了ping ISE不通。只有出问题的时候ping不通是吗?如果能正常跳转的话,是可以ping通的?

Q:使用http跳转,如果使用https无法跳转,输入1.1.1.1可以跳转,输入url无法打开,只有出现问题的时候ping不通,正常跳转是可以ping通的

A:这看上去更像是WLC的问题,还是建议您开个case具体看一下


【问题二】
Q:ISE做radius认证的时候,某个用户认错错误次数太多是不是会被拉黑一段时间?这个时间是多久,建议修改吗?

A:ISE有个setting,叫做Suppress Repeated Failed Clients。详细信息您可以参考配置文档 https://www.cisco.com/c/en/us/td/docs/security/ise/2-4/admin_guide/b_ise_admin_guide_24/b_ise_admin_guide_24_new_chapter_011011.html?bookSearch=true#ID911
这个值可以根据您的需要进行修改。

Q:客户有个l2tp vpn拨号的场景,客户想实现在ISE上进行特定用户名认证后,获取特定的ip地址,请问ise在这个场景里能否实现,如果可以实现的话,授权下发的属性需要设置什么。

A:cisco community有相关配置举例,您可以参考:https://community.cisco.com/t5/identity-services-engine-ise/per-user-ip-address-assignment-on-ise/td-p/3491906
这个功能我本人没有测试过,如果您在配置过程中或测试阶段有问题问题,可以开TAC case。

Q:ISE目前版本能支持短信网关对接吗?有时候做portal认证,客户有这方面的需求,想使用短信认证

A:可以的。SMS gateway setting:https://www.cisco.com/c/en/us/td/docs/security/ise/2-4/admin_guide/b_ise_admin_guide_24/b_ise_admin_guide_24_new_chapter_011011.html?bookSearch=true#reference_637B4FC473F247249AD42888125FA5D0 短信网关设置好后,可以在相关port中选择启用SMS功能。


【问题三】
Q:您好,我想问一个关于ISE许可的问题,最近ISE的许可发生的更新,老版本的tacacs许可停止出售,现在使用L-ISE-TACACS-ND =许可,那么这个许可对于ISE2.3及以前的版本有什么限制吗,是否能够使用呢?

A:L-ISE-TACACS-ND =只是license这个产品的PID,应用到ISE设备上需要用PAK到官网申请license文件(也可以开license case)。而license文件并没有版本号的区别。

Q:您好,我看到在ISE的版本中2.0、2.1、2.3都即将停止服务,那么想问一下2.2是否所有停止服务的计划

A:暂时没有看到ISE 2.2 EoL的通知。如果BU有相关计划,会公布在思科官网上。https://www.cisco.com/c/en/us/products/security/identity-services-engine/eos-eol-notice-listing.html

Q:您好,我对证书这块一直有疑惑,在多台ISE组成的集群中时需要导入证书,那么在有证书服务器的情况下,admin Primary我知道需要导入根证书到trust store,以及生成请求证书并绑定,那么其他节点只安装根证书就行吗,还要申请和绑定证书吗?

A:跟primary一样,需要申请相关证书,只有跟证书是不够的

Q:您好,对于上一个证书问题,节点之间不需要相互倒证书了吗?

A:不需要

Q:在ISE2.4以后tacacs的许可是按照PSN节点数量购买,假如在一个分布式部署的集群中有4个PSN,但是我只购买2个许可,并且在角色分配的过程中对两个节点进行开启PSN的tacacs+功能,是否可行呢?

A:可以的。文档中是这么描述的:A Base or Mobility license is required to install the Device Administration license.
The number of Device Administration licenses must be equal to the number of device administration nodes in a deployment.


【问题四】
Q:请教下专家,ISE使用通配符证书,有什么限制,现在发现EAP认证的时候,通配符的证书windows默认的客户端不认。

A:并没有特殊限制。如果客户端不能识别,建议您检查以下几点:
1. 客户端上是否有完整的证书链,既root CA和所有intermediate CA的证书都存在。
2. ISE的域名是否和通配符证书中的CN一致。比如通配符证书的CN是*.cisco.com,ISE的主机名必须是ise.cisco.com。
3.如果前两项都没有问题,看一下其他类型的客户端是否可以接受这个证书。如果只是windows有问题的话,您需要看一下windows系统本身是否对证书有要求,比如加密方式,key长度等。

Q:感谢回复,看了下好像就是windows native supplicant不支持通配符,MacOS的就可以,EAP-TLS的认证我只只能把validate server certificate 选项去了,不验证ISE的证书。就想和您确认下这是不是和ISE没关系,就是windows的支持问题

A:ISE只是展示证书给客户端,客户端自己判断是否trust。如果客户端对证书有特殊需求,可以在申请证书的时候进行相应的设置,比如我之前提到的加密算法,key长度等。如果windows不能支持通配符证书,那就如您所说,可以取消validate server certificate。


【问题五】
Q:TLS认证 2.4版本会校验 AD里的登录名 这是BUG么?

A:可以提供一些具体信息吗?您说的AD里的登录名具体指什么?是证书里的CN?您是怎么确定ISE会看这个信息的?


【问题六】
Q:你好,我们的WLC(aruba)通过ISE进行tacacs认证,对于readonly权限的用户啊来说,依然可以进行conf ter的模式,如果是用clearpass的话就不会出现这个问题,请问出现这个问题的原因是什么呢,有解决办法么。

A:您需要咨询aruba是否对TACACS配置有特殊要求,比如需要ISE返回特殊的属性值来限制用户权限。

Q:Aruba那边是根据角色来定义权限的,readonly是权限最小的角色了,按理说不应该进去conf t 才对,这个有没有办法通过ise进行限制呢

A:ISE进行限制的前提是,返回值能被aruba接受,且aruba能做出正确的处理。所以需要aruba提供正确的属性值,并在ISE上进行相应的配置。举个例子,比如登陆设备时输入用户名密码,ISE检查发现密码不正确,返回reject消息。但是收到reject消息的设备却把该用户放行了。这就不是ISE能控制的。


【问题七】
Q:ISE做集群数量有限制吗?做了集群license是只需要买一份吗?

A:数量限制请参考 https://www.cisco.com/c/en/us/td/docs/security/ise/2-4/install_guide/b_ise_InstallationGuide24/b_ise_InstallationGuide24_chapter_00.html?bookSearch=true
以及 https://www.cisco.com/c/en/us/td/docs/security/ise/2-4/admin_guide/b_ise_admin_guide_24/b_ise_admin_guide_24_new_chapter_011.html#typesofpersonas
license只需要在primary PAN上安装。请参考 https://www.cisco.com/c/en/us/td/docs/security/ise/2-4/admin_guide/b_ise_admin_guide_24/b_ise_admin_guide_24_new_chapter_0110.html

Q:ISE在导入endpoint数据库的时候是不是不支持中文(如果导入表描述里包含中文)?

A:可以支持中文


本期【专家面对面】同主题相关资料:
【专家面对面】思科身份服务引擎(ISE)服务的最佳实践及Q&A


  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分4 (1 评价)
发表于 2019-6-29 20:29:49 | 显示全部楼层
请问一下EAP-TLS认证时,Domain User在多台电脑上登录后没有用户证书,使用MMC申请证书提示没有权限, 是怎么做到证书跟用户走的? 证书导出吗?
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
 楼主| 发表于 2019-7-1 15:38:29 | 显示全部楼层
fanleimin 发表于 2019-6-29 20:29
请问一下EAP-TLS认证时,Domain User在多台电脑上登录后没有用户证书,使用MMC申请证书提示没有权限, 是怎 ...

您好,此次【专家面对面】活动已经结束,您可以在社区发起提问 或 关注“思科助力客户成功(微信号:Cisco-CS)”公众号留言提问。谢谢~
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver | 思科社区  

GMT+8, 2019-8-25 07:12 , Processed in 0.089465 second(s), 37 queries .

京ICP备09041801号-187

版权所有 :copyright:1992-2019 思科系统  重要声明 | 保密声明 | 隐私权政策 | 商标 |

快速回复 返回顶部 返回列表