Привет, команда! Приветствую. У меня есть вопрос по поводу интеграции Cisco ISE с Azure с использованием ROPC — EAP TLS для аутентификации пользователей WiFi. Мы проводим PoC с нашим клиентом для внедрения 802.1x/EAP-TLS с Azure (с использованием ROPC) на основе документации: https://www.cisco.com/c/en/us/support/docs/security/identity-services-engine/218197-configure-ise-3-2-eap-tls-with-azure-act.html Из того, что я понял из документа, ISE станет «посредником» для сопоставления сертификата клиента на клиентском устройстве и в Azure: ![Agung1007_0-1701327150475.png] ![Agung1007_1-1701328398336.png] Вопрос: - кто генерирует сертификат для пользователя (как в примере выше)? Azure? - Если это Azure, то какую службу Azure нам нужно использовать/включить? - В документации также упоминается: ![Agung1007_3-1701328539455.png] какие корневые и промежуточные центры сертификации нам нужно загрузить в ISE? Это из Azure? - ISE сохраняет/сохраняет сертификат пользователя, сгенерированный Azure? Если да, то где ISE его хранит? Спасибо! [image: c69af3460f7b11dce51d2936d72f8d2aa399b7c3.png] [image: d890707a8ca09af8be442377a159cde86a2f389d.png] [image: a49730a6bd49bcbd6a9788ddb026a1c411bcc0eb.png]

Здравствуйте, если у вас есть 2 узла Cisco в кластере, один основной и один вторичный, и мне нужно обновить системный сертификат, который связывает узлы. Как это сделать? Нужно ли удалить вторичный узел из развертывания и сгенерировать сертификат локально на этом узле, или я могу просто сделать это на основном узле? Когда я вхожу во вторичный узел, у меня нет возможности создать сертификат. У меня есть меню для запросов на подпись сертификата, но оно пустое. Я только что заметил, что системные сертификаты на вторичном узле отличаются от сертификатов на первичном узле. Первичный узел имеет сертификат, и его дружественное имя — это имя сертификата-связь. В дружественном имени указаны оба полных доменных имени узлов. Этот сертификат отсутствует на вторичном узле. Сертификат основной системы: ![alliasneo1_0-1762183459369.png] [image: f7b17f1dab38933b1c0de3e4a610bd526ee1168f.png]

В существующей среде нашего клиента все ПК подключаются к Entra ID, и на месте нет никакой инфраструктуры. Сейчас они хотели бы внедрить новую сеть Wi-Fi с помощью подобных решений, но для нас это в новинку, и у нас мало опыта в этой области. Поэтому я хотел бы спросить в этом сообществе, есть ли у кого-нибудь опыт внедрения этого решения в производстве. Есть ли какие-либо проблемы, связанные с этим, или это решение является хорошей идеей?

Здравствуйте, У нас есть несколько сертификатов OCSP-респондера, срок действия которых истекает через 60 дней. Когда я проверяю столбец «Выдано», в нем указано название одного из других узлов, а именно PAN. Однако я не знаю, как поступить дальше, чтобы продлить его. Похоже, что нет базовой документации, которая бы это описывала, но я уверен, что это довольно просто. Как мне его продлить? Дружественное имя Статус Доверенный для Выдан кому Выдан кем Действителен с Даты истечения Сертификационные службы OCSP-респондент — ISE01#00016 Включен Конечные точки, инфраструктура Сертификационные службы OCSP-респондент — ISE01 Сертификационные службы Корневой ЦС - ISE02 Вс, 25 сентября 2016 г. Вс, 26 сентября 2021 г. Сертификационные службы Конечная точка Подчиненный ЦС - ISE01#00017 Включено Инфраструктура, конечные точки Сертификационные службы Конечная точка Подчиненный ЦС - ISE01 Сертификационные службы Корневой ЦС - ISE02 Вс, 25 сентября 2016 г. Вс, 26 сентября 2021 г.

Здравствуйте, я искал в документации Cisco информацию о настройке DNS в ISE. Мне интересно, можно ли настроить до 3 DNS в ISE, и если основной DNS выйдет из строя, ISE будет пытаться разрешить запрос через вторичный DNS? Сегодня основной DNS вышел из строя, и из-за этого была потеряна связь с AD, в результате чего многие пользователи не могли пройти аутентификацию, поэтому клиент попросил добавить третий DNS, чтобы избежать повторения этой проблемы.

Привет, сообщество! сегодня мы заметили, что Cisco не поддерживает сервисный контракт на это виртуальное устройство R-ISE-VMM-K9=. Мы хотели бы узнать, объявила ли Cisco о выпуске замены этой модели или нам нужно перейти на физическое устройство. Спасибо.

Уважаемые специалисты, У нас есть два Cisco ISE (первичный и вторичный). ![Xibachao1_3-1762920904783.png] У нас есть вопросы по поводу службы Device Admin Services. Для чего она нужна? Мы изучили эту тему и, похоже, она связана со службой Tacas. В webgui ise-primary мы можем контролировать все функции, такие как Livelogs, Cert, Endpoint ... но в webgui ise-secondary есть только вкладка «Администрирование». Мы задаемся вопросом, связано ли это со службой Device Admin, которой нет в ise-secondary? ![Xibachao1_4-1762921211480.png] Кто-нибудь может это объяснить? [image: 6b8285a1ae6b4192946d281a8463896c30089d6f.png] [image: a62080f14146551e4df9baffc749e846e48efa62.png]

Здравствуйте, команда! Недавно я настроил аутентификацию для нашего портала спонсоров как Microsoft SSO с помощью приложения Azure. Я ничего не изменил в электронном письме с запросом на утверждение; я вижу, что в нем по-прежнему есть ссылки для УТВЕРЖДЕНИЯ или ОТКАЗА гостевому пользователю. ![fabioairoldi_0-1762528367400.png] В полученном нами электронном письме по-прежнему есть URL-адрес «oneclickaction», ![fabioairoldi_1-1762528663078.png] , однако теперь, если мы нажимаем кнопки «УТВЕРДИТЬ» или «ОТКЛОНИТЬ», мы перенаправляемся на страницу Microsoft SSO (что правильно), но затем попадаем на страницу «Создание учетной записи» ![fabioairoldi_2-1762528916536.png] Пользователи должны вручную перейти на вкладку «Ожидающие учетные записи» и выбрать учетную запись. Есть ли какие-то действия, которые я должен предпринять, чтобы восстановить утверждение в один клик? Есть ли какая-либо документация об изменении поведения при различных типах аутентификации? Буду очень благодарен за любую помощь. Заранее спасибо Фабио [image: 6981ec0f941f0db05974377170268d9393e88d0e.png] [image: b063fbf1a78cf448820e191ee692fca81ffdf1e5.png] [image: 39723e736be61d93cb2355c7bb4758c670b7dcb2.png]

Здравствуйте, возможно ли в Cisco ISE перенаправить клиента в VLAN «исправления» (например, гостевую VLAN с доступом только к Интернету), если клиент, подключающийся к сети (например, к определенному порту), не соответствует определенным требованиям? Если да, то как это сделать? Спасибо и с уважением

Всем привет, У меня огромные проблемы с ISE (я думаю, что проблема в ISE). Каждый раз, когда конечная точка подключается через WIRED MAB, она переходит к соответствующей политике, а затем к авторизации. Это происходит следующим образом ПК ---> КОММУТАТОР ----> ISE (Политика MAB -> Аутентификация по умолчанию внутренних конечных точек -> Авторизация коммутатора X, местоположение Z -> Профиль Vlan 244) У меня нет проблем с этим, так как после подключения ПК он сразу переходит к этой политике и переходит к VLAN 244 Моя проблема заключается в том, что я не получаю IP-адрес, присвоенный конечной точке, и в LIVE LOGS я не получаю IP в TAB IP Address SWITCH#sh authentication sessions int gi0/16 Интерфейс: GigabitEthernet0/16 MAC-адрес: 18a9.0598.f631 IP-адрес: Неизвестный Имя пользователя: 18-A9-05-98-F6-31 Статус: Authz Success Домен: DATA Политика безопасности: Should Secure Статус безопасности: Unsecure Режим оператора: single-host Директория управления оператором: both Авторизован: Сервер аутентификации Политика Vlan: 244 ACS ACL: xACSACLx-IP-PERMIT_ANY-5fad6532 Таймаут сеанса: N/A Таймаут бездействия: N/A Общий ID сеанса: 0AC31DFC0000002743AE10BE ID сеанса учетной записи: 0x00000034 Дескриптор: 0xAC000027 Список выполнимых методов: Метод Состояние mab Authc Success dot1x Не выполняется КОНФИГУРАЦИЯ КОММУТАТОРА aaa group server radius ISE server 10.194.224.21 auth-port 1812 acct-port 1813 ! aaa authentication dot1x default group ISE aaa authorization network default group ISE aaa accounting dot1x default start-stop group ISE ! ip radius source-interface ! radius-server host 10.194.224.21 auth-port 1812 acct-port 1813 ! radius-server key XXXXXXX ! dot1x system-auth-control dot1x critical eapol ! ip device tracking probe delay 10 ! radius-server attribute 6 on-for-login-auth radius-server attribute 6 support-multiple radius-server attribute 8 include-in-access-req radius-server attribute 25 access-request include radius-server attribute 31 mac format ietf upper-case radius-server attribute 31 send nas-port-detail radius-server dead-criteria tries 2 radius-server key XXXXXXX radius-server vsa send authentication radius-server vsa send accounting ! Интерфейс GI0/16 switchport mode access сбой события аутентификации действие следующий метод событие аутентификации сервер активен действие переинициализация аутентификация режим хоста мультидоменная аутентификация порядок dot1x mab приоритет аутентификации dot1x mab аутентификация контроль порта авто аутентификация периодический таймер аутентификации повторная аутентификация нарушение аутентификации сервера ограничение mab dot1x pae аутентификатор dot1x таймаут tx-период 3 ! Что я упустил?

Здравствуйте, Я пытаюсь использовать аутентификацию компьютера с Azure AD. Поскольку Azure AD работает только с SAML, а ROPC допускает только EAP-TTLS, т. е. аутентификацию пользователя, я рассматриваю Intune в качестве сервера MDM. Я выполнил все процедуры, описанные здесь: https://www.cisco.com/c/en/us/td/docs/security/ise/UEM-MDM-Server-Integration/b_MDM_UEM_Servers_CiscoISE/chapter.html Сертификаты являются доверенными для обеих сторон, но при тестировании соединения я получаю следующую ошибку: Сбой подключения к серверу: Нераспознанное поле «requestId» (класс com.cisco.cpm.mdm.auto.discovery.MdmAzureDirectoryServiceErrorOdata), не помеченное как игнорируемое в [Источник: java.io.StringReader@20d9ea84; строка: 1, столбец: 152] (через цепочку ссылок: com.cisco.cpm.mdm.auto.discovery.MdmAzureDirectoryServiceErrorResponse["odata.error"]->com.cisco.cpm.mdm.auto.discovery.MdmAzureDirectoryServiceErrorOdata["requestId"]) Попробуйте с другими настройками. Захват пакетов показывает одно соединение с URL-адресом токена, поэтому я предполагаю, что извлечение токена прошло успешно, а затем еще одно соединение с URL-адресом обнаружения https://graph.windows.net/<Tenant ID>. Мы используем версию 3.0 Patch 4. Кто-нибудь знает, как решить эту проблему?

Привет всем, Я следую этому руководству для настройки: [) Я также ознакомился с этой дискуссией о постоянстве радиуса на Netscaler: [) На данный момент балансировка нагрузки radius работает нормально. Однако я пытаюсь понять, как обеспечить кросс-сервисную персистентность между гостевым порталом (размещенным на ISE для веб-аутентификации в беспроводной настройке dot1x) и соответствующей сессией radius. На F5 — из того , что я прочитал — есть явная опция для кросс-сервисной персистентности, которая удерживает веб-трафик и трафик radius для клиента, привязанного к тому же бэкэнд ISE PSN. Я не уверен, как добиться такого же поведения на Netscaler. Я уже использую группу персистентности, но она работает только для radius, я не могу добавить свой портал vserver. Насколько я понимаю, контекст гостевой сессии (для саморегистрации и состояния портала) существует только на PSN, к которому пользователь первоначально подключается — он не реплицируется на другие PSN. Если перенаправление или запрос radius позже попадает на другой PSN, этот узел не распознает сессию, что может нарушить поток. Может ли кто-нибудь подтвердить, верно ли это понимание, и есть ли способ настроить межсервисную постоянность на Netscaler, чтобы как веб-трафик, так и radius-трафик от клиента всегда попадали в одну и ту же PSN? Спасибо за любой совет!

Здравствуйте. Мы используем Cisco ISE версии 3.3. Обычно мы настраиваем его для аутентификации по Radius, но в этом последнем проекте проектный менеджер хочет просто протестировать Radius Accounting для Start/Stop/Interim без аутентификации с устройств. Я настроил его таким образом и могу зайти в «Отчеты», «Аналитика журналов» и посмотреть сводку Radius Accounting, чтобы увидеть данные Radius Accounting. В таблице показаны данные по устройствам, но они суммированы за весь день, сколько всего за этот день было запусков и остановок в столбце «Счет». Мы надеялись извлечь каждую транзакцию по точному времени для каждого запуска и остановки Radius, а не только общую сумму. Похоже, что на графике выше показано время, но из графика сложно извлечь время запуска и остановки. Есть ли способ извлечь из журналов отдельные данные Radius Accounting, а не только сводку? Я также перешел в раздел «Устранение неполадок» и «Загрузка журналов» и загрузил все локальные журналы, но не вижу информации Radius Accounting. Буду благодарен за любую информацию. Спасибо.

Я обновил ISE с двумя узлами с версии 3.0 до 3.2. Но после обновления мой основной узел стал вторичным и отображается как обновленный , но когда я перешел на страницу обновления, там отображается общий процесс обновления. Статус застрял даже через два часа. ![jaheshkhan_0-1698681424008.png] Могу ли я узнать, что делать в этой ситуации? Я выбрал вариант раздельного обновления, и это был единственный доступный для меня вариант. [image: d4f556f022718c03a1968768f7a1b325e65dda79.png]

Здравствуйте, у нас установлена версия 3.3.0.430 с патчами 3, 4, 6, 7, и мы по-прежнему сталкиваемся с этой ошибкой. Известная исправленная версия — 3.3.0.430 с патчем 5. Разве патчи 6 и 7 не содержат исправление из патча 5? Кроме того: мы сталкиваемся с этой проблемой при изменении устройства на странице «Администрирование» -> «Сетевые устройства» (например, добавление нового IP-адреса приводит к изменению пароля Radius на ******** ). Я могу легко воспроизвести эту проблему с помощью тестового устройства.

Здравствуйте, эксперт Я просто хочу узнать, можно ли войти в систему ISE Identity Service Engine с помощью терминала Access Controller Access-Control System Identity Service Engine? Наш клиент проводит аудит и распорядился использовать все устройства с терминалом Access Controller Access-Control System. У них возник вопрос, почему служба идентификации устройств не использует терминал Access Controller Access-Control System при входе через веб-интерфейс, а существующая служба идентификации использует вход с внутренним пользователем для доступа через веб-интерфейс. Для информации: наш клиент имеет 2 лицензии для контроля доступа к сети и терминала Access Controller Access-Control System, разделенные на 2 устройства. 1 устройство для службы идентификации (dot1x) и 1 устройство только для пользовательских устройств терминального контроллера доступа и системы контроля доступа. Просьба предоставить любые предложения или исходные документы по данной теме. Спасибо

Привет всем Мы используем версию ISE 3.3. Можно ли удалить все DNS-серверы с помощью одной команды «no ip name server dns ip 1 dns ip2 dns ip3» или нужно удалять IP-адреса DNS по одному? Можно ли удалить все 3 с помощью одной команды no и снова добавить 3 IP-адреса с помощью другой команды ip name server? С общим перезапуском служб 2. Текущий порядок — IP1, IP2, IP3 Новый порядок — IP4, IP5, IP2

Полезная команда Cisco ISE 1: Создание пользователя ISEPAN/admin(config)# username <Имя пользователя> password plain <Пароль> role admin | user Например: username admin password plain ISE@dmin role admin 2: Сброс пароля GUI: ISEPAN/admin# application [ reset-passwd {application-name} {administrator-ID} ] Например: application reset-passwd ise admin 3: Проверьте состояние службы ise, чтобы остановить и запустить службы ISE. ISEPAN# application status ise ISEPAN/admin# application start ise ISEPAN/admin# application stop ise 4: Создание репозитория: Если репозиторий создан с помощью графического интерфейса, необходимо добавить ключ хоста через командную строку. ISEPAN/admin# crypto host_key add host {FTP_Server_Name} Создание репозитория через cli (это временное решение) ISEPAN/admin# ISEPAN/admin# config t ISEPAN/admin(config)# repository {Repository_Name} ISEPAN/admin(config-Repository)# url ftp://{FTP_Server_Name}/ISE ISEPAN/admin(config-Repository)# user {FTP_Username} password plain {FTP_Password} ISEPAN/admin#(config-Repository)# Для просмотра репозитория: ISEPAN/admin# show repository {Имя_репозитория} 5 Установка патча ISE: При установке непосредственно из репозитория. ISEPAN/admin# application install {ise-apply-patch-file-name} {Repository_Name} Проверьте, установлен ли патч. Для установки Hotpatch: show logging ade.log | inc {ise-apply-patch-file-name} Для обычного патча: show version 6 Устранение неполадок подключения: ping {Имя хоста / IP} nslookup {Имя хоста / IP} name-server {DNS-сервер} 7 Сброс ISE: ISEPAN/admin# application reset-config ise Убедитесь, что перед сбросом выполнена резервная копия конфигурации и сертификата.

Здравствуйте, Клиент хочет получать сообщения от ISE (с помощью syslog, SNMP, SMTP) о приближающемся истечении срока действия сертификатов ISE. Есть ли для этого встроенный syslog, SMTP или другой метод уведомления? С уважением Хенк

Рассматриваю возможность обновления установки ISE-PIC 3.1 до версии 3.4. Есть только пара серверов ISE-PIC без PAN. Процесс обновления такой же, как и при полном обновлении ISE? В документах, которые я нашел, указано, что на каждый узел может уйти более 4 часов. ISE-PIC занимает меньше времени и менее сложен? Буду благодарен за любую информацию и рекомендации.