Мы столкнулись с неожиданной проблемой. Несмотря на попытки различных методов устранения неполадок, нам не удалось выявить первопричину. Мы будем благодарны за экспертные рекомендации и советы. Краткое описание проблемы У нас возникла проблема с администрированием устройств Cisco ISE 3.3 TACACS+, при которой: Cisco ISE постоянно показывает, что аутентификация TACACS+ = ПРОЙДЕНА Политика авторизации соответствует Однако коммутатор Catalyst по-прежнему сообщает об ошибке аутентификации Среда Версия ISE: 3.3 Автономный узел Платформа коммутатора: Catalyst 9200 Версия IOS-XE: 17.9.4a Прямая связь между коммутатором и ISE Журналы ISE TACACS Live Logs — аутентификация прошла Журналы ISE Live Logs постоянно показывают успешную аутентификацию и авторизацию TACACS+: Тип запроса: Аутентификация Статус: Прошла Сообщение: Прошла аутентификация: Аутентификация прошла успешно Политика аутентификации: Наборы политик TACACS >> Политика авторизации по умолчанию Соответствие: Правило авторизации 2 Профиль авторизации: Профиль TACACS Ответ: {Authen-Reply-Status=Pass;} ![merloxuanyuan23_0-1768483193146.png] Сведения о протоколе TACACS (со стороны ISE) Действие аутентификации: Вход Тип аутентификации: ASCII Метод аутентификации: PAP_ASCII Уровень привилегий аутентификации (запрашиваемый устройством): 1 Catalyst 9200 Debug – Сбой аутентификации На коммутаторе с помощью debug aaa authentication и debug tacacs мы наблюдаем: пакет начала аутентификации, отправленный в ISE ISE отвечает GET_PASSWORD и запросами на подтверждение Коммутатор отправляет пакеты CONTINUE аутентификации Несколько таймаутов сокета TACACS Повторные перезапуски аутентификации Окончательный сбой входа на устройство Конфигурация коммутатора aaa authentication login default group TACACS-GRP local aaa authorization exec default group TACACS-GRP local if-authenticated aaa authorization commands 15 default group TACACS-GRP if-authenticated aaa authorization commands 1 default group TACACS-GRP if-authenticated aaa accounting exec default start-stop group TACACS-GRP aaa accounting commands 15 default start-stop group TACACS-GRP aaa accounting commands 1 default start-stop group TACACS-GRP [image: 20842820a448e329c6618a62fdd72e3e37bbd383.png]

Здравствуйте. Есть ли способ автоматически переключиться на вторичный узел PAN в случае сбоя основного узла PAN? Обычно это приходится делать вручную. Спасибо!

Здравствуйте, Грег, Если я хочу использовать следующие условия сертификата, такие как общее имя и OU, какова будет конфигурация профиля CAP Auth? Особенно использовать поле Identity From в CAP? Думаю, я должен использовать только Subject ? Это будет охватывать CN и OU. @Грег Гиббс ![MSJ1_0-1768937761722.png] [image: 2a4e582f3173c28b81da2cd5f18b019cbfb5a7e9.png]

Привет всем, Мы используем Cisco ISE 3.2 Patch 7 (6 узлов, без выделенного MNT). Мы столкнулись с проблемой, при которой не все конечные точки, импортированные через API из внешнего источника идентификации, отображаются в Context Visibility. В документации Cisco рекомендуется сбросить настройки и повторно синхронизировать Context Visibility, и мы рассматриваем возможность этого. Прежде чем приступить к этому, я хотел бы уточнить: Приводит ли сброс/синхронизация Context Visibility к простоям или влияет на активные конечные точки, если выполнять шаги в соответствии с документацией? ( https://www.cisco.com/c/en/us/support/docs/security/identity-services-engine-23/213610-ise-2-3-rest-sync-context-visibility.html ) Может ли эта операция повлиять на текущую аутентификацию или активные сессии? Является ли это разумным подходом к устранению неполадок, связанных с отсутствием конечных точек, импортированных API, в CV? В ходе этого процесса мы также планируем временно остановить автоматическую задачу, которая импортирует устройства в ISE. Будем благодарны за любые отзывы или реальный опыт. Спасибо!

Уважаемый поклонник Cisco ISE! Недавно мы проводили тестирование в лаборатории по повторной выдаче, связанной с Cisco ISE « База данных не работает », в то время как пользователь в интерфейсе Secure Client UI получал сообщение «Неудача из-за проблем с сервером ». Мы настроили распределенное развертывание 2 узлов PAN и SAN. ISE v3.1 P10 Оба PSN были активны во время возникновения проблемы Узел 1 (PAN) Сервер базы данных не работает oracle.jdbc.driver.T4CTTIoer11.processError(T4CTTIoer11.java:509) root: notice:[application:operation:isehourlycron.sh] База данных ISE не работает, прерывание очистки... Узел 2 (SAN) Сервер базы данных работает Поэтому мы использовали обходное решение, чтобы устранить проблему , остановив и запустив приложение ise на проблемном узле (PAN). После этого все стало нормально. Когда мы открыли заявку в TAC, они предположили, что это было связано с исчерпанием памяти . Кстати, мы вернулись к отчету о работоспособности ISE. Не было никаких пиков производительности, особенно в отношении памяти. Пожалуйста, поделитесь с нами своим опытом и дайте рекомендации, чтобы это больше не повторилось в будущем. Спасибо,

Доброе утро, есть ли способ сбросить настройки устройства ISE 3595 до состояния, когда для начала настройки необходимо ввести команду «setup»?

Здравствуйте. Помогите, пожалуйста, с следующим вопросом. Мы планируем развернуть виртуальные машины ISE. У нас есть два дата-центра. Архитектура выглядит следующим образом: Дата-центр 1 — узел ISE 1 (PAN + MnT + pxGrid primary) Дата-центр 1 — узел ISE 3 (PSN) ЦОД 2 — узел ISE 2 (PAN + MnT + pxGrid вторичный) ЦОД 2 — узел ISE 4 (PSN) Можно ли создать виртуальную машину со следующими параметрами? ЦОД 1 — узел ISE 1 (vCPU-12 RAM-32 ГБ Диск-800 ГБ) ЦОД 1 — узел ISE 3 (vCPU-12 RAM-32 ГБ Диск-400 ГБ) ЦОД 2 — узел ISE 2 (vCPU-12 RAM-32 ГБ Диск-800 ГБ) ЦОД 2 — узел ISE 4 (vCPU-12 RAM-32 ГБ Диск-400 ГБ) Нормально ли, что у узла PSN меньший диск? Можно ли сделать диск на ISE-узле 1 объемом 800 ГБ, а, например, на ISE-узле 2 — 400 ГБ? Кроме того, РЕКОМЕНДУЕМЫЙ размер диска должен составлять 800 ГБ. Для нас это слишком много. Можете ли вы объяснить, зачем нужно столько места? Что именно будет там храниться? Прошу проконсультировать.

Здравствуйте, Не могли бы вы оказать нам поддержку? В настоящее время мы сталкиваемся с проблемами аутентификации в Cisco ISE после включения биометрической и лицевой аутентификации для наших пользователей. С момента включения биометрической функции мы заметили, что Cisco ISE часто запрашивает аутентификацию и во многих случаях блокирует учетные записи пользователей. Обратите внимание, что: биометрическая служба полностью работоспособна и доступна для всех пользователей; Биометрическая аутентификация не интегрирована с Cisco ISE; В настоящее время используется внешняя платформа Microsoft Intune. В приложении вы найдете изображение, на котором показана используемая версия Cisco ISE: [image: f523a867caa90e3f63ff0a9919afceb3652169c6.png]

Можно ли пропустить патч 4 и перейти сразу к патчу 6? В патче 5 есть ошибка интерфейса, поэтому я хочу его пропустить.

![WhatsApp Image 2022-04-25 at 2.28.23 PM (1).jpeg] Я пытаюсь проверить валидацию после создания репозитория, но, к сожалению, получаю следующие ошибки на FTP и SFTP. Имя файла: ise-urtbundle-2.7.0.356-1.0.0.SPA.x86_64.tar [image: 137a53f491e2bfcc25a4d5095ba107f3b373d0e5.jpeg]

Мы находимся в процессе развертывания безопасности портов 802.1x/MAB в нашей организации с использованием ISE. Наша группа по клиентским вычислениям поставила перед нами требование обеспечить возможность создания образов/пересоздания образов рабочих станций с рабочих мест пользователей в режиме самообслуживания. Это может быть реализовано одним из трех способов: с помощью USB-накопителя с Windows PE, с помощью скрытого раздела Windows PE на ПК или с помощью PXE Boot для получения образа Windows PE. Затем образ Windows PE должен будет связаться с назначенным сервером SCCM (более 200 по всей компании), чтобы загрузить новый образ, и в конце процесса он присоединится к домену. Я пытаюсь понять, как разработать политику ISE, чтобы этот процесс работал так же, как и сегодня, но не был полностью открытым. Буду очень благодарен за любую помощь и предложения по этому вопросу.

Привет всем, Я столкнулся с проблемой поведения DAP (Dynamic Access Policy) в FTD 7.4 при переходе с прямого LDAP на ISE (RADIUS). Текущая настройка и цель: Пользователи проходят аутентификацию через ISE (AnyConnect VPN). ISE выполняет оценку состояния (оценка состояния является обязательной, поэтому я должен использовать ISE для авторизации). Мне нужно отправить ВСЕ группы Active Directory пользователя из ISE в FTD. На стороне FTD у меня есть несколько записей DAP (по одной для каждой группы AD), каждая из которых назначает определенный сетевой ACL. Проблема: когда я использую прямой LDAP AAA , DAP работает отлично — он видит массив memberOf , сопоставляет несколько записей DAP и агрегирует полученные списки доступа (объединяя разрешения). Однако, когда я использую ISE , я не могу найти способ передать группы AD, чтобы DAP обрабатывал их как многозначный массив для агрегирования. Если я отправляю их в виде одной строки (например, в атрибуте 25 или cisco-av-pair), DAP сопоставляет записи, но часто не может правильно агрегировать ACL по сравнению с нативным поведением LDAP memberOf. Вопросы: Как лучше всего отправить полный список групп AD из ISE, чтобы движок FTD LINA заполнил дерево aaa.radius для сопоставления нескольких записей DAP? Должен ли я использовать несколько атрибутов cisco-av-pair или определенный формат в атрибуте Class ? Существуют ли известные ограничения для агрегации ACL, когда источником является RADIUS, а не LDAP? Буду очень благодарен за любую помощь или рабочие примеры профиля авторизации ISE для этого случая использования! P.S. Примечание: я знаю о SGT, но на данный момент я специально ищу решение с помощью DAP и сетевых ACL из-за ограничений инфраструктуры.

Привет Я пытаюсь выполнить аутентификацию dot1x/MAB (здесь нет проблем), но я хочу собрать информацию dhcp об устройствах, запрашивающих IP-адрес от dhcp-сервера для профилирования с помощью device-sensor (cdp собирается — нет проблем), но когда я проверяю dhcp # show device-sensor cache all, нет ни одной записи для данных dhcp. DHCP-сервер находится на коммутаторе, с которого эти устройства пытаются получить доступ к сети, и так и должно быть. Однако я заметил следующее, и не знаю, связано ли это с проблемой (из #debug device-sensor error) — та же ошибка появляется с другим значением X. DSensor: NULL входной физический интерфейс, отбрасывание пакета. Отказ пакета на интерфейсе SVI VlanX Сейчас меня больше беспокоит сбор атрибутов, чем их отправка...! Switch IOS: версия 15.0(2)SE9 Есть какие-нибудь предложения?

Здравствуйте, Я использую EAP-TLS в нашей среде и подписал наш сертификат ISE с помощью внутреннего центра сертификации Microsoft. У нас есть промежуточный центр сертификации и корневой центр сертификации. Сертификат ISE подписан промежуточным центром сертификации и действителен до 2029 года. Сертификат промежуточного центра сертификации действителен до 2030 года. Но наш сертификат корневого центра сертификации истекает на следующей неделе. В этой ситуации мне следует продлить сертификат ISE (путем генерации нового CSR) или просто загрузить новый сертификат Root CA в доверенные сертификаты ISE? Спасибо

Всем привет! Я планирую сложную миграцию кластера Cisco ISE 3.4 (2 узла, PAN/PSN) и мне нужна «золотая» последовательность шагов, чтобы избежать повреждения базы данных и проблем с обнаружением SSL. Текущая ситуация: FQDN узлов: srv-ise-0x.user.zvit.local (присоединен к AD). Режим Posture: без перенаправления (настроен через профиль Secure Client 5.10). Сеть: FTD управляется FMC 7.4 (без перенаправления L7 HTTP). Цели: Изменить имена хостов/FQDN узлов ISE на публичный домен (например, srv-ise-0x.2zvit.xyz). Повторно присоединить эти узлы к внутреннему Active Directory (user.zvit.local) с использованием новых FQDN. Использовать другой, выделенный FQDN для портала Posture Portal (например, ise-posture.2zvit.xyz), защищенный сертификатом Wildcard (.2zvit.xyz). Мне нужно разъяснение по следующим техническим вопросам: Вопрос 1: Логика «идентичности» в Posture без перенаправления В настоящее время, даже когда внутренний корневой центр сертификации добавлен в «Доверенные корневые центры сертификации» в Windows, модуль Posture не может найти сервер политик, если я использую CNAME или URL, отличный от того, который указан в CN сертификата. Почему модуль Posture прерывает соединение, даже если цепочка сертификатов является 100% доверенной? Процесс обнаружения Posture требует строгого соответствия между тегом DiscoveryHost XML и SAN/CN сертификата, игнорируя способность хранилища доверенных сертификатов ОС проверять цепочку? Вопрос 2: Сертификат с подстановочным знаком для портала Posture Могу ли я использовать сертификат с подстановочным знаком (.2zvit.xyz) для роли портала на порту 8443? Примет ли модуль Secure Client 5.10 Posture подстановку подстановочного знака для DiscoveryHost (например, если хост — ise-posture.2zvit.xyz, а сертификат — *.2zvit.xyz)? В некоторых документах указано, что для обнаружения SWISS/Posture требуется явное указание полного доменного имени (FQDN) в поле SAN. Вопрос 3: Безопасное изменение FQDN и последовательность повторного присоединения к AD Моя предыдущая попытка изменить имя хоста привела к состоянию «7-часовая инициализация» (зависание базы данных). Какова правильная процедура изменения FQDN и повторного присоединения к внутреннему AD? Правильна ли следующая последовательность действий: отмена регистрации узла -> изменение имени хоста -> генерация нового самоподписанного/административного сертификата -> присоединение к AD -> повторная регистрация в кластере ? Как следует обрабатывать имя службы (SPN) в AD, когда полное доменное имя ISE (.xyz) отличается от домена AD (.local)? Вопрос 4: URL портала и имя хоста системы Если я использую ise-posture.2zvit.xyz в качестве URL обнаружения, но сам узел ISE — srv-ise-01.2zvit.xyz, как следует настроить сертификат портала? Должен ли сертификат роли «Портал» обязательно включать как FQDN узла, так и FQDN портала в поле SAN, чтобы работала функция Redirectionless Posture? Можно ли использовать сертификат с подстановочным знаком для описанных целей (портал администрирования и портал Posture, но с разными FQDN)? Буду признателен за любые комментарии, особенно касающиеся строгости проверки SSL Secure Client по сравнению со стандартным веб-браузером.

Здравствуйте, команда! У нас есть два небольших физических устройства ISE в основном центре обработки данных, оба используют одинаковые персональные данные (MnT, PSN, PAN и т. д.). Если я хочу добавить два виртуальных устройства ISE (той же модели, что и физические) в центр обработки данных для аварийного восстановления, означает ли это, что мне нужно добавить их в существующий кластер и нет возможности сделать их «активными» и «резервными», а узлы в центре обработки данных для аварийного восстановления будут иметь разные IP-адреса? Если я создам объединенный кластер, включающий узлы ISE в центре обработки данных и центре обработки данных для аварийного восстановления, то, полагаю, нагрузка будет распределена между всеми 4 узлами (конечно, если я настрою это на каждом NAS). Мне интересно, какова лучшая практика в этом случае. Заранее спасибо.

Привет всем, У нас в производственной сети установлено устройство SNS-3755-K9. После его установки мы заметили, что на веб-портале не отображаются живые журналы TACACS. Как лучше всего переустановить ISE? Согласно Cisco TAC, для устранения проблемы необходимо переустановить систему. Я выполнил следующие шаги, но при перезагрузке ISE загружалась существующая конфигурация и не запрашивался IP-адрес и т. д., так как у нас нет возможности настройки. Руководство по установке Cisco Identity Services Engine, версия 3.1 — Установка Cisco ISE [Cisco Identity Services Engine] — Cisco Буду очень благодарен за любую помощь. Шаг 1 Если вы устанавливаете Cisco ISE на: устройстве Cisco SNS: Установите аппаратное устройство. Подключитесь к CIMC для управления сервером. Виртуальной машине: убедитесь, что ваша виртуальная машина настроена правильно. Шаг 2 Загрузите ISO-образ Cisco ISE. Перейдите на страницу http://www.cisco.com/go/ise . Для доступа к этой ссылке у вас должны быть действующие учетные данные для входа на сайт Cisco.com. Нажмите « Скачать программное обеспечение для этого продукта ». Образ Cisco ISE поставляется с уже установленной 90-дневной пробной лицензией, поэтому вы можете начать тестирование всех служб Cisco ISE после завершения установки и начальной настройки. Шаг 3 Загрузите устройство или виртуальную машину. Устройство Cisco SNS: Подключитесь к CIMC и войдите в систему, используя учетные данные CIMC. Запустите консоль KVM. Выберите «Виртуальные носители» > «Активировать виртуальные устройства». Выберите Virtual Media > Map CD/DVD, выберите образ ISE ISO и нажмите Map Device. Выберите «Макросы» > «Статические макросы» > «Ctrl-Alt-Del», чтобы загрузить устройство с ISO-образом ISE. Нажмите F6, чтобы вызвать меню загрузки. Появится экран, похожий на следующий: Рисунок 1. Выбор загрузочного устройства Примечание Если устройства SNS размещены в удаленном месте (например, в центрах обработки данных), к которому у вас нет физического доступа, и вам необходимо выполнить установку CIMC с удаленных серверов, установка может занять много часов. Мы рекомендуем скопировать файл ISO на USB-накопитель и использовать его в удаленном месте, чтобы ускорить процесс установки. На установку Cisco ISE с помощью CIMC могут влиять скорость сети, стабильность сети, сегментация TCP или другие факторы операционной системы. Это может повлиять на скорость и время (примерно 30 минут), необходимое для установки Cisco ISE.

Всем привет, представляю свой план по обновлению ISE, чтобы выявить возможные недостатки/ограничения. Не могли бы вы поделиться своим мнением? Для наглядности прилагаю схему. A. Существующее развертывание: 2.6 (патч 12) B. Целевое развертывание: 3.1 (патч 10) C. 6 виртуальных машин построены на отдельном оборудовании ESXi с использованием OVA ISE для развертывания 3. 1 D. Обоснованием процесса обновления является сохранение имен узлов и IP-адресов всех узлов, построенных на новом оборудовании, чтобы можно было сохранить настройки NAD AAA, записи DNS, правила брандмауэра и сертификаты узлов ISE. E. В то же время существующее развертывание сохраняется в максимально возможной степени (а не переобразуется в 3.1 для каждого узла) для ускоренного отката F. Переход от традиционного к интеллектуальному лицензированию (лицензии были приобретены и зарегистрированы в интеллектуальной учетной записи). Процесс: Экспорт сертификатов Admin/EAP (и их закрытых ключей) со всех узлов существующей версии 2.6. Экспорт сертификатов из хранилища доверенных сертификатов всех узлов существующей версии 2.6. Экспорт сертификата Cisco ISE CA. Повысить NODE_A241 до роли PMnT, сделав NODE_A242 SMnT Сделать резервную копию настроек конфигурации Cisco ISE и операционных журналов существующего развертывания 2. 6 6. Отменить регистрацию узла NODE_A242 из развертывания 2. 6 7. Отключите vNIC этого узла от сети. Запустите установку на новой виртуальной машине 3.1 в местоположении A (назначенном для SAN/PMnT) и присвойте узлу имя NODE_A242 и IP-адрес, идентичный адресу узла NODE_A242 в развертывании 2. Восстановите конфигурацию ISE из резервной копии, созданной в шаге 5. Сделайте этот узел PAN для нового развертывания Включите и проверьте интеллектуальное лицензирование в развертывании 3. 1 11. Импортируйте сертификаты ise-https-admin CA из резервной копии Назначьте этому узлу первичную личность MnT 13. Назначьте этому узлу личность PSN 14. Присоедините этот узел к Active Directory Для узлов NODE_B241, NODE_B242, NODE_C241, NODE_C242 повторите шаги 6-8, зарегистрируйте эти узлы в новом развертывании 3.1, а затем выполните шаги 13-14 для каждого узла Отключите узел NODE_A241 от сети (этот узел не затрагивается, поскольку он готов стать источником потенциального процесса отката в своих ролях PAN/MnT/PSN) Запустите настройку на новой виртуальной машине 3.1 в местоположении AU и присвойте узлу имя NODE_A241 и IP-адрес, идентичный адресу NODE_A241 в развертывании 2.6 . 18. Зарегистрируйте NODE_A241 (3.1) в новом развертывании и присвойте ему роли/персонажи SAN и SMnT, а также персонаж PSN. 19. При необходимости перегенерируйте корневой сертификат CA PAN. 20. Переместите узел NODE_A241 (3.1) из роли SAN в PAN. [image: 7a6d96156881e8b03ee33e813467d04ef236bb45.png]

После обновления нашего Windows DC до сервера 2025 и последующего перехода обратно на сервер 2022 наш сервер ISE (3.3p4) пытается автоматически обновить пароль учетной записи AD, но не может этого сделать, начиная с 15 дней после последнего (ручного) действия. Учетная запись ISE настроена на «PasswordNeverExpires: True». Сервер подключен к AD, и все диагностические данные в порядке. Есть ли способ запретить ISE пытаться это сделать? Должны ли мы просто игнорировать предупреждения или что-то плохое произойдет, если это будет продолжаться еще 15 дней (30 дней кажется стандартным интервалом)? Помогут ли какие-либо из опций «Advanced Tools»/«Advanced Tuning» настройки ISE Active Directory?

Привет, команда! Может ли кто-нибудь прокомментировать эту ошибку? У нас более 80 политик авторизации ISE, привязанных к одному набору политик. Если мы пытаемся удалить одну политику, но при нажатии кнопки «Сохранить» получаем приложенную ошибку. Недопустимый ранг для правила: Default.Default rank=80 Должен быть не выше 79 ISE версия 2.6.0.156 Патч 6 С уважением, AK [image: 9cb3871f472368cfba8d424eeefac25001a72bfe.jpg]