Upload
others
View
2
Download
0
Embed Size (px)
Citation preview
Sesiones de usuario concurrente máximas de laconfiguración sobre ISE 2.2 Contenido
IntroducciónprerrequisitosRequisitosComponentes UtilizadosInformación previaDiagrama de la redEscenariosSesiones máximas por el usuarioConfiguraciónEjemplo:Sesión máxima para el grupoConfigurarEjemplo:Casos que ocurres sólo fuera de los parámetros de funcionamiento normalesSesiones máximas para el usuario en el grupoConfigurarEjemplo:Sesión máxima para el grupo y sesión máxima para el usuario en ese grupoConfigurarEjemplo:Límite de tiempo contrarioConfigurarEjemplo:Característica y acceso de invitado de la sesión máximaAutenticación Web centralAutenticación Web localTroubleshootingRegistros vivos del radioDebugs ISE
Introducción
Este documento describe cómo configurar la característica de las sesiones máximas introducidaen el Identity Services Engine (ISE) 2.2. Las sesiones máximas ofrecen proporcionan una manerade controlar y de aplicar las sesiones vivas por el usuario o por el grupo de la identidad. Estedocumento está para las sesiones RADIUS, pero podría ser utilizado también para las sesionesTACACS.
Prerrequisitos
Requisitos
Cisco recomienda que tenga conocimiento sobre estos temas:
Protocolo RADIUS●
configuración del 802.1x en el regulador del Wireless LAN (WLC)●
ISE y sus personajes (papeles)●
Componentes Utilizados
La información que contiene este documento se basa en las siguientes versiones de software yhardware.
Versión 2.2 del motor del servicio de la identidad de Cisco●
Regulador 8.0.100.0 del Wireless LAN●
Switch 3750 15.2(3)E2 del Cisco Catalyst●
Máquina de Windows 7●
Teléfono de Android que ejecuta 6.0.1●
Teléfono de Android que ejecuta 5.0●
IOS 9.1 del iPad de Apple●
La información que contiene este documento se creó a partir de los dispositivos en un ambientede laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron enfuncionamiento con una configuración verificada (predeterminada). Si la red está funcionando,asegúrese de haber comprendido el impacto que puede tener cualquier comando.
Información previa
La versión 2.2 ISE puede detectar y construir la directiva de la aplicación basada en la sesiónconcurrente de:
Identificación del usuario - limite el número de sesiones por el usuario específico●
Grupo de la identidad - limite el número de sesiones por el grupo específico●
Usuario en un grupo - limite el número de sesiones por el usuario, eso pertenece al grupoespecífico
●
La aplicación y la cuenta de una sesión concurrente es únicas y manejadas por cada nodo delservicio de la directiva (PSN). No hay sincronización entre los PSN en términos de cuenta desesiones. La característica de la sesión concurrente se implementa en el proceso del tiempo deejecución y los datos se salvan solamente en la memoria. En caso del reinicio PSN, restauraciónde contadores de MaxSessions.
La cuenta de la sesión del usuario es sin diferenciación entre mayúsculas y minúsculas con
respecto a los nombres de usuario y a la independiente del dispositivo de acceso a la red usados(mientras usted utiliza el mismo nodo PSN).
Diagrama de la red
Escenarios
Sesiones máximas por el usuario
Configuración
Navegue a la administración > al sistema > a las configuraciones > a las sesiones máximas, tal ycomo se muestra en de la imagen:
Para habilitar la característica, desmarque la sesión ilimitada por el checkbox del usuario, que semarca por abandono. En el máximo por las sesiones del usuario coloque el número de laconfiguración de sesiones que el usuario específico puede tener en cada PSN. En este ejemplo,se fija a 2.
Esta configuración afectan a los usuarios de las fuentes externas de la identidad (por ejemploActive Directory) también.
Ejemplo:
Bob es el nombre de usuario de una cuenta del dominio de Active Directory que está conectado yunido a al servidor ISE. Configuran a las sesiones máximas de usuario con el valor 2, así quesignifica que ninguna sesión para lo mismo usuario más allá este número no está permitida (por elPSN).
Tal y como se muestra en de la imagen, el usuario Bob conecta con la máquina del teléfono y deWindows de Android con las mismas credenciales:
Se permiten ambas sesiones porque el límite de las sesiones máximas no se excede. Según elregistro vivo del radio detallado, mostrado en la imagen:
El paso pasajero directiva de 22081 sesiones máximas proporciona la información que el controlmáximo de la sesión concurrente es acertado.
Una vez que la tercera conexión con otro dispositivo y las mismas credenciales se inicia, Bobrecibe PermitAccess, pero el Access-Reject se envía al authenticator:
La sesión no se permite, aunque en el registro vivo del radio usted puede ver que golpea el perfilcorrecto de la autorización. Para marcar las sesiones vivas, navegue a las operaciones > al radio> las sesiones vivas:
En este caso, ambas sesiones tienen estatus comenzado, que indica que comienzo de lasestadísticas llegaron en el ISE para la sesión. Es necesario recibir el radio que explica a la sesiónmáxima para trabajar correctamente, el estatus autenticado (sesión permitida, pero ningunasestadísticas) no se toma en la consideración durante la cuenta de sesiones:
Sesión máxima para el grupo
Configurar
Navegue a la administración > a System>Settings > a las sesiones máximas > al grupo:
Esta configuración aplica 2 sesiones como máximo para el grupo interno GroupTest2 de laidentidad: Usted puede configurar el enforcment por el grupo solamente para los grupos internos.
Ejemplo:
Alicia, Pablo y Peter son los usuarios del almacén interno del usuario ISE, todos son miembros deGroupTest2 nombrado grupo. Según la configuración en este ejemplo, el valor máximo de lassesiones se fija a 2 basados en la membresía del grupo.
Pablo y Peter conectan con la red con sus credenciales del grupo interno nombrado GroupTest2:
Una vez que Alicia intenta conectar, el límite de MaxSessions por el grupo se aplica:
No se permite a Alicia conectar con la red porque el límite del grupo de la sesión máxima esconsumido por Peter y Pablo:
Casos que ocurres sólo fuera de los parámetros de funcionamiento normales
Si configuran a las sesiones máximas del usuario, ambas características trabajan independetly.En este ejemplo, fijan a las sesiones máximas del usuario a 1 y fijan a la sesión máxima para elgrupo a 2.
Peter debe ser permitido basó en la sesión máxima para el grupo (2 sesiones), pero debido a laconfiguración de las sesiones máximas de usuario (una sesión) él no puede conectar con la red:
Si el usuario es miembro de más configuran a de un grupo al mismo tiempo y a las sesionesmáximas para el grupo para ellas, una vez que el ISE conectado aumenta el contador de lasesión máxima para el caché del grupo para cada grupo el usuario pertenece a.
En este ejemplo, Alicia y Pablo son miembros de GroupTest1 y de GroupTest2. El Veronicapertenece solamente a GroupTest1 y a Peter a GroupTest2
Fijan a la sesión máxima para el grupo a 2 para GroupTest1 y GroupTest2:
Cuando Alicia y Pablo están conectadas con la red, exceden los límites de sesión para ambosgrupos. El Veronica, que pertenece solamente a GroupTest1 y a Peter, miembro de GroupTest2no puede conectar debido a la sesión máxima para el grupo alcanzó el valor configurado máximo:
Sesiones máximas para el usuario en el grupo
Configurar
Navegue a la administración > al sistema > a las configuraciones > a las sesiones máximas > algrupo.
Esta configuración aplica 2 sesiones máximas para el grupo interno GroupTest2 de la identidad.
Ejemplo:
Alicia es miembro de GroupTest2:
Esta característica trabaja similar a la sesión máxima del usuario - el ISE limita el número desesiones concurrentes que el usuario dentro del grupo interno especificado puede tener. Estaconfiguración afecta solamente al usuario, que pertenece al grupo configurado.
Alicia, como miembro del GroupTest2 puede tener 2 sesiones simultáneas, conecta una vez conel tercer dispositivo, las devoluciones PermitAccess ISE y el Access-Reject basado en la sesiónmáxima excedida para el usuario en el grupo:
Registros Radio-vivos detallados:
Si habilitan a las sesiones máximas del usuario también, después ambas características trabajanindependientemente. Si un usuario Alicia es miembro del grupo GroupTest2 con la sesión máximapara el usuario en el grupo configurado para 2, y en las mismas sesiones máximas de usuario deltiempo se configura para permitir solamente una sesión por el usuario, las sesiones máximas deusuario toman la precedencia:
Cuando Alicia intenta conectar con el segundo dispositivo, el ISE vuelve el Access-Reject basado
en el límite del usuario de la sesión máxima excedido:
La razón de niega podría ser control bajo el Vivo-registro detallado del radio. El límite del usuariode las sesiones máximas es la razón del error:
Sesión máxima para el grupo y sesión máxima para el usuario en ese grupo
Configurar
Navegue a la administración > al sistema > a las configuraciones > a las sesiones máximas > algrupo.
Esta configuración aplica a la sesión máxima de la sesión máxima 3 en el grupo internoGroupTest2 de la identidad y 2 para el usuario en ese grupo.
Ejemplo:
Alicia y Pablo son miembros de GroupTest2. Según la configuración en este ejemplo, el máximode 3 sesiones se permite en GroupTest2. El ISE se asegura de que el único usuario pueda tenersesiones del máximo 2 dentro de este grupo.
Alicia conecta vía dos dispositivos, ambos puntos finales está conectada con la red:
Cuando Alicia está intentando conectar vía el tercer dispositivo, acceda se niega con la sesiónmáxima para el usuario en el límite del grupo excedido:
Si Pablo intenta acceder la red, él puede hacer así pues, puesto que la sesión máxima para elgrupo GroupTest2 no es todavía llena:
Cuando Pablo intenta acceder la red a partir del segunda dispositivo, él falla porque él excedió ellímite de la sesión máxima para el grupo (aunque él tiene solamente 1 sesión):
Como en los ejemplos anteriores, si usted habilita a las sesiones máximas del usuario, trabajaindependientemente.
Límite de tiempo contrario
Configurar
Navegue a la administración > al sistema > a las configuraciones > a las sesiones máximas >límite de tiempo contrario.
El límite de tiempo contrario es la característica que especifica el intervalo de tiempo durante elcual la sesión se cuenta en términos de caché de la sesión máxima. Esta característica permiteque usted especifique el tiempo después de lo cual la cancelación PSN la sesión del contador ypermite las nuevas sesiones.
Para habilitar la característica, usted necesita desmarcar ilimitado - ningún limitcheckbox deltiempo que se marque por abandono. En el campo editable usted puede fijar la hora durantecuánto tiempo la sesión se debe tomar en la consideración en los contadores de MaxSession.
Tenga por favor presente que las sesiones después de que el tiempo configurado no seadisconnected o quitado de la base de datos de la sesión. Hay ningún termina Chane de laautorización (CoA) después del tiempo configurado.
Ejemplo:
Fijan a la sesión máxima de usuario para permitir solamente una sesión para el usuario:
Alicia conecta con la red usando el IPad en 11:00:34, la segunda autenticación sucede en 11:07 eincluso permiten a la sesión máxima del usuario que el valor es acceso excedido. Ambasautenticaciones son acertadas debido al límite de tiempo contrario.
Alicia intenta conectar con otro dispositivo, antes de 5 minutos de los pasos más recientes de laconexión satisfactoria, autenticación de los rechazos ISE:
Después de 5 minutos de la autenticación más reciente, Alicia podría conectar con la red con eldispositivo adicional.
En las sesiones vivas usted podría ver la sesión tres en el estado comenzado:
Característica y acceso de invitado de la sesión máxima
Autenticación Web central
Con una sesión configurada bajo característica de la sesión máxima de usuario, usted puedetodavía conectar con el Guest1 explica ambas sesiones:
Para limitar el acceso de invitado, usted puede especificar los logines simultáneos máximos en laconfiguración del tipo del invitado.
Navegue a los centros de trabajo > al acceso de invitado > al portal y a los componentes > a lostipos del invitado y cambie la opción simultánea máxima de los logines, tal y como se muestra ende la imagen:
Autenticación Web local
Con una sesión configurada bajo sesión máxima de usuario usted no puede conectar:
Según los Vivo-registros del radio, el Guest1 siempre se autentica correctamente en términos deautenticación porta, una vez que el WLC envía el pedido de RADIUS con la segunda sesión parael Guest1, ISE niega el acceso debido a excede el límite del usuario:
Troubleshooting
Registros vivos del radio
El informe detallado del radio es un primer lugar para resolver problemas la característica deMaxSession.
Esta razón del error indica que el límite máximo global de la sesión del usuario está excedido paraesta sesión/usuario, tal y como se muestra en de la imagen:
Esta razón del error indica que el límite de las sesiones máximas del grupo está excedido paraesta sesión/usuario, tal y como se muestra en de la imagen:
Esta razón del error indica que el límite de las sesiones máximas de usuario del grupo estáexcedido para esta sesión/usuario.
El control del caché de MaxSession sucede después de la selección del perfil de la autorización:
Éxito:
Error:
Debugs ISE
Los registros de la sesión máxima están situados en prrt-server.log. Para recoger ésos, fije elRuntime-AAA componente al nivel de debug (navegue a la administración > al sistema > a laconfiguración del registro del registro > del debug > al PSN), tal y como se muestra en de laimagen:
Para obtener el archivo prrt-server.log navegue a las operaciones > al Troubleshooting > a ladescarga registra > los registros PSN > del debug. Los registros de la sesión máxima se recogenen los debugs del punto final también (las operaciones > Troubleshoot>Diagnostic equipa >Genral equipa > debug del punto final).
Control de la sesión máxima del usuario pasajero correctamente:
2017-01-29 08:33:11,310 INFO [Thread-83][] cisco.cpm.prrt.impl.PrRTLoggerImpl -:::::-
SessionCache,INFO
,0x7fe858867700,cntx=0000001335,sesn=pgruszczise22/275051099/8,CPMSessionID=0a3e944f00000e7d588d
a8a0,user=Bob,CallingStationID=c0-4a-00-14-56-f4,SessionCache::onMaxSessionsAznEvent: current
global configuration data: auditSessionTtl=[3600], maxUserSessions=[2],SessionCache.cpp:283
2017-01-29 08:33:11,311 INFO [Thread-83][] cisco.cpm.prrt.impl.PrRTLoggerImpl -:::::-
SessionCache,INFO
,0x7fe858867700,cntx=0000001335,sesn=pgruszczise22/275051099/8,CPMSessionID=0a3e944f00000e7d588d
a8a0,user=Bob,CallingStationID=c0-4a-00-14-56-f4,SessionCache::checkMaxSessions: user=[Bob] not
found in cache due to first time authorization,SessionCache.cpp:1025
2017-01-29 08:33:11,311 DEBUG [Thread-83][] cisco.cpm.prrt.impl.PrRTLoggerImpl -:::::-
SessionCache,DEBUG,0x7fe858867700,cntx=0000001335,sesn=pgruszczise22/275051099/8,CPMSessionID=0a
3e944f00000e7d588da8a0,user=Bob,CallingStationID=c0-4a-00-14-56-
f4,SessionCache::onMaxSessionsAznEvent: sessionID=[0a3e944f00000e7d588da8a0]; user=[Bob] -
checkMaxSessions passed,SessionCache.cpp:360
2017-01-29 08:33:11,311 INFO [Thread-83][] cisco.cpm.prrt.impl.PrRTLoggerImpl -:::::-
SessionCache,INFO
,0x7fe858867700,cntx=0000001335,sesn=pgruszczise22/275051099/8,CPMSessionID=0a3e944f00000e7d588d
a8a0,user=Bob,CallingStationID=c0-4a-00-14-56-f4,SessionCache::onMaxSessionsAznEvent: create a
new session object sessionID=[0a3e944f00000e7d588da8a0]; user=[Bob],SessionCache.cpp:375
El ISE incrementa el SessionCounter solamente después que recibe el comienzo de lasestadísticas para la sesión:
2017-01-29 08:33:11,619 DEBUG [Thread-90][] cisco.cpm.prrt.impl.PrRTLoggerImpl -:::::-
Radius,DEBUG,0x7fe858766700,cntx=0000001503,sesn=pgruszczise22/275051099/9,CPMSessionID=0a3e944f
00000e7d588da8a0,CallingStationID=c0-4a-00-14-56-f4,FramedIPAddress=10.62.148.141,RADIUS
PACKET:: Code=4(AccountingRequest) Identifier=0 Length=279
[1] User-Name - value: [Bob]
[4] NAS-IP-Address - value: [10.62.148.79]
[5] NAS-Port - value: [1]
[8] Framed-IP-Address - value: [10.62.148.141]
[25] Class - value: [****]
[30] Called-Station-ID - value: [80-e0-1d-8b-72-00]
[31] Calling-Station-ID - value: [c0-4a-00-14-56-f4]
[32] NAS-Identifier - value: [WLC7]
[40] Acct-Status-Type - value: [Start]
[44] Acct-Session-Id - value: [588da8a0/c0:4a:00:14:56:f4/3789]
[45] Acct-Authentic - value: [RADIUS]
[55] Event-Timestamp - value: [1485678753]
[61] NAS-Port-Type - value: [Wireless - IEEE 802.11]
[64] Tunnel-Type - value: [(tag=0) VLAN]
[65] Tunnel-Medium-Type - value: [(tag=0) 802]
[81] Tunnel-Private-Group-ID - value: [(tag=0) 481]
[26] cisco-av-pair - value: [audit-session-id=0a3e944f00000e7d588da8a0]
[26] Airespace-Wlan-Id - value: [4] ,RADIUSHandler.cpp:2003
(...)
2017-01-29 08:33:11,654 DEBUG [Thread-83][] cisco.cpm.prrt.impl.PrRTLoggerImpl -:::::-
SessionCache,DEBUG,0x7fe858867700,cntx=0000001503,sesn=pgruszczise22/275051099/9,CPMSessionID=0a
3e944f00000e7d588da8a0,user=Bob,CallingStationID=c0-4a-00-14-56-
f4,FramedIPAddress=10.62.148.141,SessionCache::onAccountingStart: user=[Bob];
sessionID=[0a3e944f00000e7d588da8a0],SessionCache.cpp:537
2017-01-29 08:33:11,655 DEBUG [Thread-83][] cisco.cpm.prrt.impl.PrRTLoggerImpl -:::::-
SessionCache,DEBUG,0x7fe858867700,cntx=0000001503,sesn=pgruszczise22/275051099/9,CPMSessionID=0a
3e944f00000e7d588da8a0,user=Bob,CallingStationID=c0-4a-00-14-56-
f4,FramedIPAddress=10.62.148.141,SessionCache::incrementSessionCounters: user=[Bob] current user
session count=[1],SessionCache.cpp:862
Error del control de la sesión máxima del usuario:
2017-01-29 08:37:00,534 INFO [Thread-75][] cisco.cpm.prrt.impl.PrRTLoggerImpl -:::::-
SessionCache,INFO
,0x7fe858a69700,cntx=0000005011,sesn=pgruszczise22/275051099/15,CPMSessionID=0a3e944f00000e7f588
da966,user=Bob,CallingStationID=34-ab-37-60-63-88,SessionCache::onMaxSessionsAznEvent: current
global configuration data: auditSessionTtl=[3600], maxUserSessions=[2],SessionCache.cpp:283
2017-01-29 08:37:00,535 INFO [Thread-75][] cisco.cpm.prrt.impl.PrRTLoggerImpl -:::::-
SessionCache,INFO
,0x7fe858a69700,cntx=0000005011,sesn=pgruszczise22/275051099/15,CPMSessionID=0a3e944f00000e7f588
da966,user=Bob,CallingStationID=34-ab-37-60-63-88,SessionCache::checkMaxSessions: user=[Bob] is
not authorized because current active user sessions=[2] >= max-user-
sessions=[2],SessionCache.cpp:1010
2017-01-29 08:37:00,535 DEBUG [Thread-75][] cisco.cpm.prrt.impl.PrRTLoggerImpl -:::::-
SessionCache,DEBUG,0x7fe858a69700,cntx=0000005011,sesn=pgruszczise22/275051099/15,CPMSessionID=0
a3e944f00000e7f588da966,user=Bob,CallingStationID=34-ab-37-60-63-
88,SessionCache::onMaxSessionsAznEvent: sessionID=[0a3e944f00000e7f588da966]; user=[Bob] -
checkMaxSessions failed,SessionCache.cpp:341
2017-01-29 08:37:00,535 DEBUG [Thread-75][] cisco.cpm.prrt.impl.PrRTLoggerImpl -:::::-
RadiusAuthorization,DEBUG,0x7fe858a69700,cntx=0000005011,sesn=pgruszczise22/275051099/15,CPMSess
ionID=0a3e944f00000e7f588da966,user=Bob,CallingStationID=34-ab-37-60-63-
88,RadiusAuthorization::onResponseMaxSessionsAznEvent return from
SessionCache,RadiusAuthorization.cpp:371