購入する または契約更新する
購入する または契約更新する
キャンセル
提案をオンにする
自動提案では、入力時に可能な一致が提案されるので検索結果を素早く絞り込むことができます。
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
投稿メッセージを作成する
2313
閲覧回数
30
いいね!
5
返信

ISEネットワークアクセスユーザのパスワード有効期限について

解決策を見る
kensei.kawauchi
Level 1
Level 1

‎2021-02-18 10:08 AM

初めまして。

少し困ったことがあるので教えてください。

 

ISEのネットワークアクセスユーザにユーザを登録してRadiusサーバとしてVPNユーザの認証、認可を行っているのですが、設定したパスワードの有効期限が過ぎた後にログインした場合はパスワードを変更するプロンプトを表示するという動作は可能でしょうか。

機器構成はFirepower(ASA)、ISEのみで、外部ADサーバなどは設置していないです。

 

もし、ポリシーセットなどを組み合わせて上記の動作を行える場合はそれも合わせてお教えいただけますでしょうか。

 

お手数をお掛けしますが、よろしくお願いいたします。

ラベル:
0 いいね!
1 件の受理された解決策

受理された解決策

解決策を見る
Akira Muranaka
Level 8
Level 8

‎2021-03-10 08:44 PM ‎2021-03-10 08:45 PM 更新

こんばんは! ご丁寧な返信や検証、ありがとう御座います。

 

私の方で調べてみたのですが、残念ですがISEは現在 Expire the passwordは対応してないように思いました。。詳しくは以下の機能拡張要求に記載があり、Known Fixed Releasesが未記載なので、まだ実装目途は立ってないのかな、と思います。

ISE does not have the ability to expire internal user passwords without disabling them

CSCvm53543
https://bst.cloudapps.cisco.com/bugsearch/bug/CSCvm53543

 

以下のディスカッションをみると、ISE + ADでも LDAP使えば パスワード期限切れのポップアップは可能なようなので、別途ADサーバーの用意は必要なのかな、と思いました。

https://community.cisco.com/t5/network-access-control/ise-and-ad-password-expiration-notification-and-allow-user-to/m-p/2268873

 

元の投稿で解決策を見る

5件の返信5

解決策を見る
kensei.kawauchi
Level 1
Level 1
Akira Muranakaに対する応答

‎2021-03-10 03:33 PM

ご返信いただき有難うございます。

 

前者のURLの回答中のリンクが私のしたいことに近かったです。

ASA Remote Access VPN IKE/SSL - Password Expiry and Change for RADIUS, TACACS, and LDAP Configuration Example - Cisco

change password on next loginにチェックを入れることでanyconnectでのログイン時にパスワードを変更できました。

 

最終的にはISEでパスワードに有効期限を決めて、それを過ぎてログインした場合にパスワードをユーザが変更するようにしたいです。

ACSではPassword Lifetimeの設定でDisable user accountとExpire the passwordを選択できたのですが、ISEではDisable user accountしかないように見受けられます。

ISEでExpire the passwordを使えるような設定はないでしょうか。

 

よろしくお願いします。

0 いいね!

解決策を見る
Akira Muranaka
Level 8
Level 8

‎2021-03-10 08:44 PM ‎2021-03-10 08:45 PM 更新

こんばんは! ご丁寧な返信や検証、ありがとう御座います。

 

私の方で調べてみたのですが、残念ですがISEは現在 Expire the passwordは対応してないように思いました。。詳しくは以下の機能拡張要求に記載があり、Known Fixed Releasesが未記載なので、まだ実装目途は立ってないのかな、と思います。

ISE does not have the ability to expire internal user passwords without disabling them

CSCvm53543
https://bst.cloudapps.cisco.com/bugsearch/bug/CSCvm53543

 

以下のディスカッションをみると、ISE + ADでも LDAP使えば パスワード期限切れのポップアップは可能なようなので、別途ADサーバーの用意は必要なのかな、と思いました。

https://community.cisco.com/t5/network-access-control/ise-and-ad-password-expiration-notification-and-allow-user-to/m-p/2268873

 

解決策を見る
kensei.kawauchi
Level 1
Level 1

‎2021-03-11 10:47 AM

おはようございます!ご返信いただき有難うございます。

 

調べてみていただき、ありがとうございます。

Bug searchには機能拡張の要求もあるのですね。

 

現在はExpire the passwordに対応していないため、別途サーバを立てなければいけないとのこと、承知いたしました。

割と最近Bug searchに投稿されているみたいなので、対応ももう少し時間がかかっちゃうかもしれませんね。

チームの人に対応を相談してみます!

 

大変お世話になり有難うございました!

解決策を見る
Akira Muranaka
Level 8
Level 8

‎2021-03-11 11:35 AM

こんにちは! ご返信ありがとうございます。

 

はい、Severityが「6 Enhancement」の場合は、Enhancement(機能拡張要求)の情報になります。Enhancemnet機能が新OSに実装されると、このBug Searchの Known Fixed Releasesに掲載されることの他に、リリースノートなどに掲載されることがあるようです。また、Bug Searchは不具合の他、小規模?な機能追加要求の情報も載ってたりするので、私も活用してます。(ちなみに、どういうEnhancementがあるかは、Googleで検索して見つけるのが手っ取り早いので、私はGoogle検索使って探したりしてます~。)

 

あと、Last Modifiedが CSCvm53543は 2021年2月になってますが、これはこの機能拡張要求でシスコさん内部で何かアップデートがあった場合に更新されるようです。ただ、Affected Releaseに記載があるのは古めの2.1や 2.2,2.3,2.4系なので、恐らく 登録されてから しばらくたってるけど まだ実装目途がたってない 機能拡張要求なのかなぁと思いました。 対応に時間かかりそうなのは、私も同意です(汗)

 

上記も合わせてご参考になれば! 

Customers Also Viewed These Support Documents