AD のプローブに基づいて ISE 2.1 プロファイリング サービスを設定する 目次

はじめに前提条件要件使用するコンポーネント背景説明設定ネットワーク図WLC の設定ISE の設定ステップ 1：ネットワーク アクセス デバイスの追加ステップ 2：RADIUS および AD プローブの有効化ステップ 3：カスタム プロファイリング条件の設定ステップ 4：カスタム プロファイリング ポリシーの設定ステップ 5：AD への ISE の参加手順 6：許可ポリシーの設定確認トラブルシューティングISE でのデバッグ関連情報

概要

このドキュメントでは、Active Directory（AD）プローブに基づく Identity ServicesEngine（ISE）2.1 プロファイリング サービスの設定方法について説明します。 デバイス センサーはアクセス デバイスの機能です。 この機能で、接続エンドポイントに関する情報を収集します。

前提条件

要件

 次の項目に関する知識が推奨されます。

RADIUS プロトコル●

AD●

Cisco ISE●

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

Cisco ISE バージョン 2.1●

Wireless LAN Controller（WLC）8.0.133.0●

Windows 7 Service Pack 1●

AD 2012 R2●

本書の情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、初期（デフォルト）設定の状態から起動しています。 稼働中のネットワークで作業を行う場合、コマンドの影響について十分に理解したうえで作業してください。

背景説明

AD プローブ：

Windows エンドポイントに関するオペレーティング システム（OS）情報の再現性が向上します。 Microsoft AD は、AD に参加しているコンピュータのバージョンやサービス パック レベルなどの OS に関する詳細な情報を追跡します。 AD プローブは、この情報を直接取得し、AD ランタイム コネクタを使用して、信頼性が非常に高いクライアント OS 情報を提供します。

●

企業と企業以外の資産を区別するのに役立ちます。 基本的ではあるものの、AD プローブに使用可能な重要な属性は、AD にエンドポイントがあるかないかです。 この情報を使用して、AD に含まれているエンド ポイントを管理対象デバイスまたは企業の資産として分類できます。

●

設定

ネットワーク図

フローは次のとおりです。

クライアントが、MAC 認証バイパス（MAB）経由でワイヤレス ネットワークに接続され、制限付きアクセスがエンドポイントに付与されます。

1.

デバイス センサー機能を使用して、WLC がクライアント マシンのホスト名を ISE に送信します。

2.

ISE は AD クエリーをトリガーして次の属性を取得します。 AD-Host-Exists、AD-Join-Point、AD-Operating-System、AD-OS-Version、Ad-Service-Pack。

3.

手動プロファイリング ポリシーが設定されているため、認可ルールが存在しており、エン4.

ドポイントがプロファイリングされ、認可変更（CoA）がトリガーされます。フル アクセスがエンドポイントに付与されます。5.

WLC の設定

WLC は基本 MAB 認証に設定されています。 設定は赤で強調表示されています。

WLC は、デバイス センサーに設定され、接続されたエンドポイントから HTTP や DHCP などのプロトコルでネットワーク情報を収集し、この情報を RADIUS アカウンティング パケットで ISEのポリシー サービス ノード（PSN）に転送します。 ISE はホスト名を受信すると、新しいエンドポイントの AD 属性を取り出します。 ホスト名は通常、DHCP または DNS プローブから学習します。

ISE の設定

ステップ 1：ネットワーク アクセス デバイスの追加

[Administration] > [Network Resources] > [Network Devices] で WLC をネットワーク デバイスとして追加します。 WLC の RADIUS サーバ キーを [Authentication Setting] の [Shared Secret] として使用します。

ステップ 2：RADIUS および AD プローブの有効化

[Administration] > [System] > [Deployment] > [ISE node] > [Profiling Configuration] でプロファイリング ノードの RADIUS プローブを有効にします。 このシナリオでは、実際には、エンドポイントのホスト名を取得する RADIUS プローブと AD 属性を取得する AD プローブの 2 つの RADIUSプローブを使用しています。

正常に取得されると、ISE は再スキャン タイマーの期限が切れるまでは同じエンドポイントに対して AD へのクエリーを再試行しません。 これにより、属性のクエリーでの AD への負荷を制限します。 再スキャン タイマーは [Days Before Rescan] フィールド（[Administration] > [System]> [Deployment] > [Profiling Configuration] > [Active DirectoryActive Directory]）で設定します。 エンドポイントに追加のプロファイリング アクティビティがある場合、AD は再度クエリーを実行します。

ステップ 3：カスタム プロファイリング条件の設定

[Work Centers] > [Profiler] > [Policy Elements] > [Profiler Conditions] に移動します。 参加ポイントが EXAMPLE.COM ドメインであるかどうかを確認します。

オペレーティング システムが Windows 7 Professional であるかどうかを確認します。

OS に Service Pack 1 がインストールされているかどうかを確認します。

AD のエンドポイントにマシン アカウントがあるかどうかを確認します。

ステップ4：カスタム プロファイリング ポリシーの設定

[Work Centers] > [Profiler] > [Profiling Policies] に移動します。 特定のekorneyc_Win7_SP1_Corporate としてプロファイリングするには、すべての条件のうちの最小条件を満たす必要があります。 それらのすべてに一致している場合、累積確信度は 60 になります。これは、この例での最小プロファイリング ポリシーです。

ポリシーが保存されると、対応するエンドポイントの ID グループが作成されます。 [AssociatedCoA Type] を正しく設定し、エンドポイントがプロファイリングされたら、CoA 再認証が送信されて新しいポリシーが適用されることを確認することが重要です。

ステップ 5：AD への ISE の参加

1. [Administration] > [Identity Management] > [External Identity Sources] > [Active Directory] >[Add] を選択します。 [Join Point Name]、[AD Domain] に入力し、[Submit] をクリックします。

2. この AD ドメインにすべての ISE ノードを参加させる確認プロンプトが表示されたら、[Yes]をクリックします。

3. [AD User Name] と [Password] を入力し、[OK] をクリックします。

ISE でのドメイン アクセスに必要な AD アカウントには、次のいずれかが必要です。

対応するドメインのドメイン ユーザ権限にワークステーションを追加。●

ISE マシンをドメインに参加させる前に ISE マシンのアカウントが作成されるコンピュータコンテナでのコンピュータ オブジェクトを作成する権限またはコンピュータ オブジェクトを削除する権限。

●

ISE アカウントのロックアウト ポリシーを無効にし、不正なパスワードがこのアカウントに使用

された場合に、管理者にアラートを送信するように AD インフラストラクチャを設定することを推奨します。 誤ったパスワードが入力された場合、ISE は必要なときにマシン アカウントを作成または変更しないため、多くの場合すべての認証が拒否される可能性があります。

4. [Operation Status] を確認し、[Node Status] に [Completed] が表示されていたら、[Close] をクリックします。

5. AD のステータスは [Operational] になります。

手順 6：許可ポリシーの設定

2 つの認可ポリシーが設定されます。デフォルトのポリシーが制限付きアクセスでエンドポイントを承認します。 マシンがプロファイリングされると、CoA 再認証が送信され、フル アクセス権限を持つ新しいポリシーが割り当てられます。

確認

ここでは、設定が正常に動作していることを確認します。

[Operations] > [RADIUS] > [Live Logs on ISE] に移動します。 一番下の認証に [Limited Access] が付与されていることが表示されます。これに CoA が続き、その後にフル アクセス ポリシーが続きます。

[Context Visibility] > [Endpoints] に移動し、正しいエンドポイントが作成され、正しいエンドポイント プロファイルが割り当てられたことを確認します。

エンドポイントの MAC アドレスをクリックし、すべての属性を表示します。 AD 属性とプロファイリング ポリシーが強調表示されます。

AD 属性の取得をトリガーした WLC から受信したホスト名属性が強調表示されます。

トラブルシューティング

ここでは、設定のトラブルシューティングに役立つ情報について説明します。

ISE でのデバッグ

ISE でデバッグを有効にするには、[Administration] > [System] > [Logging] > [Debug LogConfiguration] に移動し、[PSN] を選択してプロファイラ コンポーネントの [Log Level] を[DEBUG] に変更します。

確認すべきログは profiler.log です。 ISE CLI から直接次の tail コマンドを発行します。

ISE21-3ek/admin# show logging application profiler.log tail

エンドポイントが初めて認証されます。

2016-07-01 18:52:54,916 DEBUG  [RADIUSParser-1-thread-2][]

cisco.profiler.probes.radius.RadiusParser -::- Radius Accounting message for

mac:24:77:03:D9:4D:48for probe typePROBE

2016-07-01 18:52:54,917 DEBUG  [forwarder-0][] cisco.profiler.infrastructure.probemgr.Forwarder

-:ProfilerCollection:- Processing endpoint:24:77:03:D9:4D:48

2016-07-01 18:52:54,917 DEBUG  [forwarder-0][] cisco.profiler.infrastructure.probemgr.Forwarder

-:ProfilerCollection:- Filtering:24:77:03:D9:4D:48

2016-07-01 18:52:54,917 DEBUG  [forwarder-0][] cisco.profiler.infrastructure.probemgr.Forwarder

-:ProfilerCollection:- Endpoint Attributes:EndPoint[id=<null>,name=<null>]

MAC: 24:77:03:D9:4D:48

       Attribute:AAA-Server     value:psn1-21

       Attribute:Airespace-Wlan-Id      value:11

       Attribute:AllowedProtocolMatchedRule     value:Default

       Attribute:AuthenticationMethod   value:Lookup

       Attribute:AuthorizationPolicyMatchedRule         value:Default

       Attribute:BYODRegistration       value:Unknown

       Attribute:Called-Station-ID      value:3c-ce-73-09-84-50:ekorneyc_Corporate

       Attribute:Calling-Station-ID     value:24-77-03-d9-4d-48

       Attribute:DestinationIPAddress   value:10.201.228.86

       Attribute:DestinationPort        value:1812

       Attribute:Device IP Address      value:10.201.228.93

       Attribute:Device Type    value:Device Type#All Device Types

       Attribute:DeviceRegistrationStatus       value:NotRegistered

       Attribute:EndPointMACAddress     value:24-77-03-D9-4D-48

       Attribute:EndPointProfilerServer         value:psn1-21.example.com

       Attribute:EndPointSource         value:RADIUS Probe

       Attribute:FailureReason  value:-

       Attribute:IsThirdPartyDeviceFlow         value:false

       Attribute:Location       value:Location#All Locations

       Attribute:MACAddress     value:24:77:03:D9:4D:48

       Attribute:MessageCode    value:5200

       Attribute:NAS-IP-Address         value:10.201.228.93

       Attribute:NAS-Identifier         value:(Cisco Controller)

       Attribute:NAS-Port       value:1

       Attribute:NAS-Port-Type  value:Wireless - IEEE 802.11

       Attribute:Network Device Profile         value:Cisco

       Attribute:NetworkDeviceGroups    value:Location#All Locations, Device Type#All Device

Types

       Attribute:NetworkDeviceName      value:WLC-backbone

       Attribute:NetworkDeviceProfileId         value:403ea8fc-7a27-41c3-80bb-27964031a08d

       Attribute:NetworkDeviceProfileName       value:Cisco

       Attribute:NmapSubnetScanID       value:0

       Attribute:OUI    value:Intel Corporate

       Attribute:OriginalUserName       value:247703d94d48

       Attribute:PolicyVersion  value:0

       Attribute:PortalUser     value:

       Attribute:PostureApplicable      value:Yes

       Attribute:PostureAssessmentStatus        value:NotApplicable

       Attribute:RadiusFlowType         value:WirelessMAB

       Attribute:Response       value:{User-Name=24-77-03-D9-4D-48;

State=ReauthSession:0ac9e456yGJQ/6QENVbTWpeIf_25n9rNta41Rhpm1mzosl3LL1s;

Class=CACS:0ac9e456yGJQ/6QENVbTWpeIf_25n9rNta41Rhpm1mzosl3LL1s:psn1-21/256595711/820; cisco-av-

pair=ACS:CiscoSecure-Defined-ACL=#ACSACL#-IP-LimitedAccess-57758e56; LicenseTypes=1; }

       Attribute:SSID   value:3c-ce-73-09-84-50:ekorneyc_Corporate

       Attribute:SelectedAccessService  value:Default Network Access

       Attribute:SelectedAuthenticationIdentityStores   value:Internal Users,

All_AD_Join_Points, Guest Users

       Attribute:SelectedAuthorizationProfiles  value:LimitedAccess

       Attribute:Service-Type   value:Call Check

       Attribute:StepData       value:6= Normalised Radius.RadiusFlowType, 7=

Airespace.Airespace-Wlan-Id, 11=All_User_ID_Stores, 12=Internal Users, 15=All_AD_Join_Points,

16=All_AD_Join_Points, 17=24-77-03-D9-4D-48, 18=example.com, 19=example.com,

21=ERROR_NO_SUCH_USER, 22=All_AD_Join_Points, 23=Guest Users, 31=Default

       Attribute:UseCase        value:Host Lookup

       Attribute:User-Name      value:247703d94d48

       Attribute:UserName       value:24-77-03-D9-4D-48

       Attribute:allowEasyWiredSession  value:true

       Attribute:SkipProfiling  value:false

エンドポイントは Intel-Device ポリシーと一致する UDI に基づいてプロファイリングされます。エンドポイントがデータベースに作成されます。

2016-07-01 18:52:54,922 DEBUG  [EndpointHandlerWorker-0-32-thread-1][]

cisco.profiler.infrastructure.profiling.ProfilerManager -:Profiling:- Generating

FirstTimeProfileEvent for mac : 24:77:03:D9:4D:48

2016-07-01 18:52:54,943 DEBUG  [EndpointHandlerWorker-0-32-thread-1][]

cisco.profiler.infrastructure.profiling.ProfilerManager -:Profiling:- Policy Intel-Device

matched 24:77:03:D9:4D:48 (certainty 5)

2016-07-01 18:52:54,975 DEBUG  [pool-42-thread-17][]

cisco.profiler.infrastructure.notifications.EndPointNotificationHandler -::- EndPoint created -

(mac : 24:77:03:D9:4D:48)

RADIUS アカウンティングが WLC から送信されます。これには、エンドポイントのホスト名が含まれています。

2016-07-01 18:52:59,349 DEBUG  [RADIUSParser-1-thread-1][]

cisco.profiler.probes.radius.RadiusParser -::- Parsed IOS Sensor 1: host-name=[EKORNEYC-PC]

2016-07-01 18:52:59,349 DEBUG  [RADIUSParser-1-thread-1][]

cisco.profiler.probes.radius.RadiusParser -::- Parsed IOS Sensor 2: dhcp-class-identifier=[MSFT

5.0]

2016-07-01 18:52:59,350 DEBUG  [RADIUSParser-1-thread-1][]

cisco.profiler.probes.radius.RadiusParser -::- Endpoint: EndPoint[id=<null>,name=<null>]

MAC: 24:77:03:D9:4D:48

       Attribute:AAA-Server     value:psn1-21

       Attribute:Acct-Authentic         value:RADIUS

       Attribute:Acct-Session-Id        value:57764da6/24:77:03:d9:4d:48/165

       Attribute:Acct-Status-Type       value:Start

       Attribute:AcsSessionID   value:psn1-21/256595711/821

       Attribute:Airespace-Wlan-Id      value:11

       Attribute:AllowedProtocolMatchedRule     value:Default

       Attribute:BYODRegistration       value:Unknown

       Attribute:CPMSessionID   value:0ac9e456yGJQ/6QENVbTWpeIf_25n9rNta41Rhpm1mzosl3LL1s

       Attribute:Called-Station-ID      value:10.201.228.93

       Attribute:Calling-Station-ID     value:24-77-03-d9-4d-48

       Attribute:Class  value:CACS:0ac9e456yGJQ/6QENVbTWpeIf_25n9rNta41Rhpm1mzosl3LL1s:psn1-

21/256595711/820

       Attribute:Device IP Address      value:10.201.228.93

       Attribute:Device Type    value:Device Type#All Device Types

       Attribute:DeviceRegistrationStatus       value:NotRegistered

       Attribute:EndPointPolicy         value:Unknown

       Attribute:EndPointPolicyID       value:

       Attribute:EndPointSource         value:RADIUS Probe

       Attribute:Event-Timestamp        value:1467370923

       Attribute:Framed-IP-Address      value:10.201.228.111

       Attribute:IdentityGroup  value:

       Attribute:IdentityGroupID        value:

       Attribute:Location       value:Location#All Locations

       Attribute:MACAddress     value:24:77:03:D9:4D:48

       Attribute:MatchedPolicy  value:Unknown

       Attribute:MatchedPolicyID        value:

       Attribute:MessageCode    value:3000

       Attribute:NAS-IP-Address         value:10.201.228.93

       Attribute:NAS-Identifier         value:(Cisco Controller)

       Attribute:NAS-Port       value:1

       Attribute:NAS-Port-Type  value:Wireless - IEEE 802.11

       Attribute:Network Device Profile         value:Cisco

       Attribute:NetworkDeviceGroups    value:Location#All Locations, Device Type#All Device

Types

       Attribute:NetworkDeviceName      value:WLC-backbone

       Attribute:NmapSubnetScanID       value:0

       Attribute:OUI    value:Intel Corporate

       Attribute:PolicyVersion  value:0

       Attribute:PortalUser     value:

       Attribute:PostureApplicable      value:Yes

       Attribute:RequestLatency         value:3

       Attribute:SelectedAccessService  value:Default Network Access

       Attribute:StaticAssignment       value:false

       Attribute:StaticGroupAssignment  value:false

       Attribute:Total Certainty Factor         value:0

       Attribute:Tunnel-Medium-Type     value:(tag=0) 802

       Attribute:Tunnel-Private-Group-ID        value:(tag=0) 903

       Attribute:Tunnel-Type    value:(tag=0) VLAN

       Attribute:User-Name      value:24-77-03-D9-4D-48

       Attribute:cisco-av-pair  value:audit-session-id=0ac9e45d000000a057764da7, dhcp-

option=host-name=EKORNEYC-PC, dhcp-option=dhcp-class-identifier=MSFT 5.0

       Attribute:dhcp-class-identifier  value:MSFT 5.0

       Attribute:host-name      value:EKORNEYC-PC

       Attribute:ip     value:10.201.228.111

       Attribute:SkipProfiling  value:false

ISE は、ホスト名を受信するとすぐに新しいエンドポイントの AD 属性を取り出します。

2016-07-01 18:52:59,671 DEBUG  [ActiveDirectoryRequestChecker-45-thread-1][]

profiler.infrastructure.probemgr.event.ActiveDirectoryEventHandler -::- Attr =

operatingSystemVersion, Value = [6.1 (7601)]

2016-07-01 18:52:59,671 DEBUG  [ActiveDirectoryRequestChecker-45-thread-1][]

profiler.infrastructure.probemgr.event.ActiveDirectoryEventHandler -::- Attr = jp, Value =

[EXAMPLE.COM]

2016-07-01 18:52:59,672 DEBUG  [ActiveDirectoryRequestChecker-45-thread-1][]

profiler.infrastructure.probemgr.event.ActiveDirectoryEventHandler -::- Attr = domain, Value =

[example.com]

2016-07-01 18:52:59,672 DEBUG  [ActiveDirectoryRequestChecker-45-thread-1][]

profiler.infrastructure.probemgr.event.ActiveDirectoryEventHandler -::- Attr = dn, Value =

[CN=EKORNEYC-PC,CN=Computers,DC=example,DC=com]

2016-07-01 18:52:59,672 DEBUG  [ActiveDirectoryRequestChecker-45-thread-1][]

profiler.infrastructure.probemgr.event.ActiveDirectoryEventHandler -::- Attr =

operatingSystemServicePack, Value = [Service Pack 1]

2016-07-01 18:52:59,672 DEBUG  [ActiveDirectoryRequestChecker-45-thread-1][]

profiler.infrastructure.probemgr.event.ActiveDirectoryEventHandler -::- Attr = operatingSystem,

Value = [Windows 7 Professional]

属性がデータベースのエンドポイントに追加されます。

2016-07-01 18:52:59,672 DEBUG  [forwarder-0][] cisco.profiler.infrastructure.probemgr.Forwarder

-:ProfilerCollection:- Endpoint Attributes:EndPoint[id=<null>,name=<null>]

MAC: 24:77:03:D9:4D:48

       Attribute:AD-Fetch-Host-Name     value:EKORNEYC-PC

       Attribute:AD-Host-Exists         value:true

       Attribute:AD-Join-Point  value:EXAMPLE.COM

       Attribute:AD-Last-Fetch-Time     value:1467399179672

       Attribute:AD-OS-Version  value:6.1 (7601)

       Attribute:AD-Operating-System    value:Windows 7 Professional

       Attribute:AD-Service-Pack        value:Service Pack 1

       Attribute:BYODRegistration       value:Unknown

       Attribute:DeviceRegistrationStatus       value:NotRegistered

       Attribute:EndPointProfilerServer         value:psn1-21.example.com

       Attribute:EndPointSource         value:Active Directory Probe

       Attribute:MACAddress     value:24:77:03:D9:4D:48

       Attribute:NmapSubnetScanID       value:0

       Attribute:OUI    value:Intel Corporate

       Attribute:PolicyVersion  value:0

       Attribute:PortalUser     value:

       Attribute:PostureApplicable      value:Yes

       Attribute:operating-system-result        value:Windows 7 Professional

       Attribute:SkipProfiling  value:false

設定されたプロファイリング ポリシーごとに新しいポリシーが照合されます。

2016-07-01 18:52:59,699 DEBUG  [EndpointHandlerWorker-0-32-thread-1][]

cisco.profiler.infrastructure.profiling.ProfilerManager -:Profiling:- Policy

ekorneyc_Win7_SP1_Corporate matched 24:77:03:D9:4D:48 (certainty 60)

関連情報

Cisco Identity Services Engine 管理者ガイド リリース 2.1●

テクニカル サポートとドキュメント – Cisco Systems●

ISE プロファイリング用のデバイス センサーの設定●

Cisco ISE プロファイリング設計ガイド●