解決済み: Re: Cisco ISE の AVPair の詳細について

cja56910tf · ‎2021-05-22

AnyConnectの接続時において、Cisco ISE 2.7を認証サーバとして使用しています。

AnyConnectの接続そのものは問題ないのですが、ISEの方で接続時の認証情報を確認するとOther Attributeという欄があり、その中にCisco AVPair という項目があります。

項目の中にはmdm-～から始まる接続端末の固有情報と思われる項目と値が表示されているのですが、これが具体的には何を表しているのかご存知の方がおられましたら、ご教授いただけませんでしょうか。

または、詳細/項目説明が記載されたURLのご教授でも構いません。

また、ここで表示されている値を、ISEの認証・認可時のポリシーセットの中に指定できるものでしょうか？

一部だけでも構いませんので、ご教授いただけると大変助かります。

yuzhan4 · ‎2021-06-10

こんにちは

Cisco AVPair の属性はRADIUSのパケットにCisco製品専用の属性というイメージになります。

また、製品によって、この部分に記載している内容が異なりることになります。

ご希望のURLではないかもしれませんが、ある程度AVPairが言及されています。ご参考になればと思います。

https://www.cisco.com/c/ja_jp/support/docs/security/identity-services-engine/215525-use-radius-for-device-administration-wit.html#anc15

ISE側のポリシー条件として設定することも可能ですが、その際に以下のようにcisco-av-pairで値のタイプが文字列なので、その文字列に属性の内容を記載する形になります。

Dictionary Type	RADIUS Attribute	Attribute Type	Attribute Value
RADIUS-Cisco	cisco-av-pair	String	(属性内容)

Anyconnectクライアントから返せるCisco-AV-pairはASA側のdebug radiusログからも一見が可能ですが、

mdm-tlv=device-platform=xxx,mdm-tlv=device-mac=xxxxなどがございます。

ーーーーーログの抜粋ーーーー

Radius: Type = 26 (0x1A) Vendor-Specific

Radius: Length = 35 (0x23)

Radius: Vendor ID = 9 (0x00000009)

Radius: Type = 1 (0x01) Cisco-AV-pair

Radius: Length = 29 (0x1D)

Radius: Value (String) =

6d 64 6d 2d 74 6c 76 3d 64 65 76 69 63 65 2d 70 | mdm-tlv=device-p

6c 61 74 66 6f 72 6d 3d 77 69 6e | latform=win

Radius: Type = 26 (0x1A) Vendor-Specific

Radius: Length = 44 (0x2C)

Radius: Vendor ID = 9 (0x00000009)

Radius: Type = 1 (0x01) Cisco-AV-pair

Radius: Length = 38 (0x26)

Radius: Value (String) =

6d 64 6d 2d 74 6c 76 3d 64 65 76 69 63 65 2d 6d | mdm-tlv=device-m

61 63 3d 30 30 2d 35 30 2d 35 36 2d 62 61 2d 39 | ac=00-50-56-ba-9

61 2d 36 36 | a-66

Radius: Type = 26 (0x1A) Vendor-Specific

Radius: Length = 49 (0x31)

Radius: Vendor ID = 9 (0x00000009)

Radius: Type = 1 (0x01) Cisco-AV-pair

Radius: Length = 43 (0x2B)

Radius: Value (String) =

61 75 64 69 74 2d 73 65 73 73 69 6f 6e 2d 69 64 | audit-session-id

3d 31 34 30 30 30 30 66 65 30 35 35 65 38 30 30 | =140000fe055e800

30 36 30 63 31 36 36 35 38 | 060c16658

Radius: Type = 26 (0x1A) Vendor-Specific

Radius: Length = 51 (0x33)

Radius: Vendor ID = 9 (0x00000009)

Radius: Type = 1 (0x01) Cisco-AV-pair

Radius: Length = 45 (0x2D)

Radius: Value (String) =

6d 64 6d 2d 74 6c 76 3d 64 65 76 69 63 65 2d 70 | mdm-tlv=device-p

6c 61 74 66 6f 72 6d 2d 76 65 72 73 69 6f 6e 3d | latform-version=

31 30 2e 30 2e 31 34 33 39 33 20 | 10.0.14393

Radius: Type = 26 (0x1A) Vendor-Specific

Radius: Length = 51 (0x33)

Radius: Vendor ID = 9 (0x00000009)

Radius: Type = 1 (0x01) Cisco-AV-pair

Radius: Length = 45 (0x2D)

Radius: Value (String) =

6d 64 6d 2d 74 6c 76 3d 64 65 76 69 63 65 2d 70 | mdm-tlv=device-p

75 62 6c 69 63 2d 6d 61 63 3d 30 30 2d 35 30 2d | ublic-mac=00-50-

35 36 2d 62 61 2d 39 61 2d 36 36 | 56-ba-9a-66

Radius: Type = 26 (0x1A) Vendor-Specific

Radius: Length = 58 (0x3A)

Radius: Vendor ID = 9 (0x00000009)

Radius: Type = 1 (0x01) Cisco-AV-pair

Radius: Length = 52 (0x34)

Radius: Value (String) =

6d 64 6d 2d 74 6c 76 3d 61 63 2d 75 73 65 72 2d | mdm-tlv=ac-user-

61 67 65 6e 74 3d 41 6e 79 43 6f 6e 6e 65 63 74 | agent=AnyConnect

20 57 69 6e 64 6f 77 73 20 34 2e 39 2e 30 36 30 | Windows 4.9.060

33 37 | 37

Radius: Type = 26 (0x1A) Vendor-Specific

Radius: Length = 64 (0x40)

Radius: Vendor ID = 9 (0x00000009)

Radius: Type = 1 (0x01) Cisco-AV-pair

Radius: Length = 58 (0x3A)

Radius: Value (String) =

6d 64 6d 2d 74 6c 76 3d 64 65 76 69 63 65 2d 74 | mdm-tlv=device-t

79 70 65 3d 56 4d 77 61 72 65 2c 20 49 6e 63 2e | ype=VMware, Inc.

20 56 4d 77 61 72 65 20 56 69 72 74 75 61 6c 20 | VMware Virtual

50 6c 61 74 66 6f 72 6d | Platform

Radius: Type = 26 (0x1A) Vendor-Specific

Radius: Length = 91 (0x5B)

Radius: Vendor ID = 9 (0x00000009)

Radius: Type = 1 (0x01) Cisco-AV-pair

Radius: Length = 85 (0x55)

Radius: Value (String) =

6d 64 6d 2d 74 6c 76 3d 64 65 76 69 63 65 2d 75 | mdm-tlv=device-u

69 64 3d 39 45 33 36 36 42 33 46 39 46 33 44 42 | id=9E366B3F9F3DB

34 32 39 46 30 32 46 35 42 36 42 43 39 44 42 42 | 429F02F5B6BC9DBB

44 30 38 33 41 30 35 32 31 30 38 31 32 45 31 30 | D083A05210812E10

45 30 45 41 41 43 41 37 44 34 46 34 46 33 39 34 | E0EAACA7D4F4F394

41 44 38 | AD8

ーーーーーーーーーー

元の投稿で解決策を見る

yuzhan4 · ‎2021-06-10

こんにちは

Cisco AVPair の属性はRADIUSのパケットにCisco製品専用の属性というイメージになります。

また、製品によって、この部分に記載している内容が異なりることになります。

ご希望のURLではないかもしれませんが、ある程度AVPairが言及されています。ご参考になればと思います。

https://www.cisco.com/c/ja_jp/support/docs/security/identity-services-engine/215525-use-radius-for-device-administration-wit.html#anc15

ISE側のポリシー条件として設定することも可能ですが、その際に以下のようにcisco-av-pairで値のタイプが文字列なので、その文字列に属性の内容を記載する形になります。

Dictionary Type	RADIUS Attribute	Attribute Type	Attribute Value
RADIUS-Cisco	cisco-av-pair	String	(属性内容)

Anyconnectクライアントから返せるCisco-AV-pairはASA側のdebug radiusログからも一見が可能ですが、

mdm-tlv=device-platform=xxx,mdm-tlv=device-mac=xxxxなどがございます。

ーーーーーログの抜粋ーーーー

Radius: Type = 26 (0x1A) Vendor-Specific

Radius: Length = 35 (0x23)

Radius: Vendor ID = 9 (0x00000009)

Radius: Type = 1 (0x01) Cisco-AV-pair

Radius: Length = 29 (0x1D)

Radius: Value (String) =

6d 64 6d 2d 74 6c 76 3d 64 65 76 69 63 65 2d 70 | mdm-tlv=device-p

6c 61 74 66 6f 72 6d 3d 77 69 6e | latform=win

Radius: Type = 26 (0x1A) Vendor-Specific

Radius: Length = 44 (0x2C)

Radius: Vendor ID = 9 (0x00000009)

Radius: Type = 1 (0x01) Cisco-AV-pair

Radius: Length = 38 (0x26)

Radius: Value (String) =

6d 64 6d 2d 74 6c 76 3d 64 65 76 69 63 65 2d 6d | mdm-tlv=device-m

61 63 3d 30 30 2d 35 30 2d 35 36 2d 62 61 2d 39 | ac=00-50-56-ba-9

61 2d 36 36 | a-66

Radius: Type = 26 (0x1A) Vendor-Specific

Radius: Length = 49 (0x31)

Radius: Vendor ID = 9 (0x00000009)

Radius: Type = 1 (0x01) Cisco-AV-pair

Radius: Length = 43 (0x2B)

Radius: Value (String) =

61 75 64 69 74 2d 73 65 73 73 69 6f 6e 2d 69 64 | audit-session-id

3d 31 34 30 30 30 30 66 65 30 35 35 65 38 30 30 | =140000fe055e800

30 36 30 63 31 36 36 35 38 | 060c16658

Radius: Type = 26 (0x1A) Vendor-Specific

Radius: Length = 51 (0x33)

Radius: Vendor ID = 9 (0x00000009)

Radius: Type = 1 (0x01) Cisco-AV-pair

Radius: Length = 45 (0x2D)

Radius: Value (String) =

6d 64 6d 2d 74 6c 76 3d 64 65 76 69 63 65 2d 70 | mdm-tlv=device-p

6c 61 74 66 6f 72 6d 2d 76 65 72 73 69 6f 6e 3d | latform-version=

31 30 2e 30 2e 31 34 33 39 33 20 | 10.0.14393

Radius: Type = 26 (0x1A) Vendor-Specific

Radius: Length = 51 (0x33)

Radius: Vendor ID = 9 (0x00000009)

Radius: Type = 1 (0x01) Cisco-AV-pair

Radius: Length = 45 (0x2D)

Radius: Value (String) =

6d 64 6d 2d 74 6c 76 3d 64 65 76 69 63 65 2d 70 | mdm-tlv=device-p

75 62 6c 69 63 2d 6d 61 63 3d 30 30 2d 35 30 2d | ublic-mac=00-50-

35 36 2d 62 61 2d 39 61 2d 36 36 | 56-ba-9a-66

Radius: Type = 26 (0x1A) Vendor-Specific

Radius: Length = 58 (0x3A)

Radius: Vendor ID = 9 (0x00000009)

Radius: Type = 1 (0x01) Cisco-AV-pair

Radius: Length = 52 (0x34)

Radius: Value (String) =

6d 64 6d 2d 74 6c 76 3d 61 63 2d 75 73 65 72 2d | mdm-tlv=ac-user-

61 67 65 6e 74 3d 41 6e 79 43 6f 6e 6e 65 63 74 | agent=AnyConnect

20 57 69 6e 64 6f 77 73 20 34 2e 39 2e 30 36 30 | Windows 4.9.060

33 37 | 37

Radius: Type = 26 (0x1A) Vendor-Specific

Radius: Length = 64 (0x40)

Radius: Vendor ID = 9 (0x00000009)

Radius: Type = 1 (0x01) Cisco-AV-pair

Radius: Length = 58 (0x3A)

Radius: Value (String) =

6d 64 6d 2d 74 6c 76 3d 64 65 76 69 63 65 2d 74 | mdm-tlv=device-t

79 70 65 3d 56 4d 77 61 72 65 2c 20 49 6e 63 2e | ype=VMware, Inc.

20 56 4d 77 61 72 65 20 56 69 72 74 75 61 6c 20 | VMware Virtual

50 6c 61 74 66 6f 72 6d | Platform

Radius: Type = 26 (0x1A) Vendor-Specific

Radius: Length = 91 (0x5B)

Radius: Vendor ID = 9 (0x00000009)

Radius: Type = 1 (0x01) Cisco-AV-pair

Radius: Length = 85 (0x55)

Radius: Value (String) =

6d 64 6d 2d 74 6c 76 3d 64 65 76 69 63 65 2d 75 | mdm-tlv=device-u

69 64 3d 39 45 33 36 36 42 33 46 39 46 33 44 42 | id=9E366B3F9F3DB

34 32 39 46 30 32 46 35 42 36 42 43 39 44 42 42 | 429F02F5B6BC9DBB

44 30 38 33 41 30 35 32 31 30 38 31 32 45 31 30 | D083A05210812E10

45 30 45 41 41 43 41 37 44 34 46 34 46 33 39 34 | E0EAACA7D4F4F394

41 44 38 | AD8

ーーーーーーーーーー

cja56910tf · ‎2021-06-10

ご回答、誠にありがとうございます。

ご教示いただいた内容のおかげで、大分理解が進みました。

もし分かればご教授いただきたいのですが、CiscoAVPairの値は文字列という事なので、"特定の文字列を含む"という条件は設定出来そうなのですが、Endpoint IdentityGroupに登録されたMACアドレスとmdm-tlv=device-macまたはmdm-tlv=device-public-macが一致するという条件は設定できると思われますでしょうか。

ご意見頂戴できれば幸いです。

yuzhan4 · ‎2021-06-11

>Endpoint IdentityGroupに登録されたMACアドレスとmdm-tlv=device-macまたはmdm-tlv=device-public-macが一致するという条件は設定

>できると思われますでしょうか。

はい、ご認識の通りでございます。

cja56910tf · ‎2021-06-11

早速のご回答、誠にありがとうございます。

可能との事ですが、詳細をお尋ねしたく思います。

「条件の属性の選択」に"cisco-av-pair"を選択するのは分かるのですが、演算子には"一致","場所","次の文字列を含む"のどれを選択したら良いでしょうか？

さらに、「Attribute value」欄にはIdentitiy Group の何をセットしたら良いでしょうか？

「Administration > Identity Management > Identities > Users」で登録したMACアドレスは、ポリシーセットの条件スタジオのエディタ画面において、条件で"IdentityGroup Name"を指定しないと、「Attribute value」欄にはIdentity Groupが表示されないと思うのですが・・・

ご指南いただけますと幸いです。

yuzhan4 · ‎2021-06-14

もしcisco-av-pairを条件として指定する場合は、　値が文字列となりますのでmdm-tlv=device-public-mac=xx-xx-xx-xx-xx-xxみたいな形に指定しないといけないので、MACアドレスの場合はcisco-av-pairとして指定するのは望ましくないと思われます。ISEはAnyconnectから帰ってきたmdm-tlv=device-macやmdm-tlv=device-public-macからどのIdentityGroupに所属するか判断できる実装になっていますので、MACアドレスの制御はIdentityGroupを条件にすることで実現できる認識でございます。

cja56910tf · ‎2021-06-14

ご回答、誠にありがとうございます。

いただいた内容について承知致しました。

あとは実環境・実機に条件を設定して試してみたいと思います。

本件、丁寧にご対応いただきましてありがとうございました。