本投稿では不定期に不特定のNADでTrustSec通信ができなくなる事象のうち、
に関連する事象を紹介します。
TrustSec NADで端末の新規接続等が全面的にできなくなった場合、PAC, environmet-data,sgt-map等を適切に取得できているかまずは確認するかと思います。PACが無いもしくはExpireしていた場合はcts refresh pac等でPACの更新を試みenvironment-dataやsgt-mapの取得ができるようになり事象が復旧するか確認します。また、PACはExpireしていないがenvironment-dataの取得が失敗していた場合、一過性の問題でenvironment-dataの取得ができなかったことを疑いcts refresh environment-dataでenvironment-dataの強制取得ができないかひとまず確認します(ここでは復旧優先とし、そもそも事象が発生した理由の調査は本投稿のscope外とします)。
本投稿で紹介するのはPACは新しいものを取得できている(PACの自動更新は問題無かった)が、environment-dataの取得に失敗し続ける場合(強制取得にも失敗)です。
CSCvy45135はNADでRADIUS Msssage-Authenticator attributeの計算途中で特定の条件を満たすような値が算出された場合に発生します。内部計算中の話になり設定等の目に見える形の発生条件を記述することはできず、事象が発生した場合はPACのrefreshやNAD configのpac keyコマンドの再投入がworkaroundとなっております。workaroundを実行したとしても計算途中で同じ条件に該当してしまった場合は再実施が必要になることが理論上考えられます。
cts refresh environment-dataでは復旧せずcts refresh pacでは復旧するという現象に不定期に不特定のNADで遭遇する場合は一度NADのご利用VersionがCSCvy45135の修正Versionになっているかご確認ください。本IDは17.3.6, 17.6.4, 17.9.2, 17.10.1以降で修正が盛り込まれておりますので未修正Versionをご利用の場合はUpgradeの検討をお願いいたします。
なお、事象発生中はNAD側では
%RADIUS-4-RADIUS_DEAD: RADIUS server <ISEのIP address>:1812,1813 is not responding.
といったISE側が反応しないためISE側に問題があるように見えるlog、ISE側(prrt-server.log)では
Radius attribute validation failed for attribute MessageAuthenticator,RADIUSHandler.cpp:211
といったMessageAuthenticatorでのValidationに失敗した旨のログが記録されます。このログはWARNレベルなため、ISEでlog levelを変更しなくても確認可能です。
