[環境]ISE(3.2)WLC9800(17.12)CW9164I AP端末A:ISE証明書端末B:ISE証明書端末C:証明書なし[実装したい機能]ISEでCertificate Provisioning Portalsから発行した証明書をクライアントに設定して、EAP-TLS認証を行うにあたり①SSID1は端末Aが接続②SSID2は端末Bが接続③端末Cはいづれにも接続できない③は接続には「既定証明書が必要」のひとつのポリシーセットで動作・①②を構成機器で完結できるような仕組みでどのように区分す...
フォーラム投稿
ISEにおいて、個別のNW認証用ユーザIDに対してパスワード有効期限ポリシー(password lifetime)を設定することは可能かどうか、ご教示頂きたいです。 ------------------------------------------------------------------------------------------------ 【環境】 ISE(version:3.1.0....
物理筐体Cisco ISE x 2台を小規模HA(PAN+MNT+PSN)構成で冗長化させて運用しています。バージョンは3.2でPatchは3と4を適用してあります。 Cisco ISEを802.1xの認証サーバとして使用しており、スイッチやWLCからはradiusサーバとしてPrimary機とSecondary機のIPアドレスを設定してあります。 先日、Primary機側が何らかの原因で突如動作を停止してしまいました。その際Secondary機側に問題はなく通常稼働していましたが、エンドポイン...
物理筐体Cisco ISE x 2台を小規模HA(PAN+MNT+PSN)構成で冗長化させて運用していますが、この構成だとPrimary機の障害時にSecondary機を手動で昇格させねばならないため、ヘルスチェックノードを1台追加する事を予定しています。 この構成においてPrimary機に障害が発生した場合はSecondary機が自動的にPrimaryに昇格すると思いますが、この際のサービス停止時間(=新規認証が出来ないダウンタイム)はどのくらいになるのでしょうか。手動昇格と同じように15~3...
普段家で繋ぐWi-Fiでは正常に接続出来ます。が、外出時にポケットWi-Fiを使用して接続しようとした場合に以下のようなエラーになります。(接続先のgroup, username, passwordを入力し、OK押下時)"login denied, your environment does not meet the access criteria defined by your administrator"正常に繋がる時とエラーが出る時の違いは、使用するWi-Fiが異なることくらいなのですが、...
物理筐体Cisco ISE x 2台を小規模HA(PAN+MNT+PSN)構成で冗長化させて運用しています。バージョンは3.2でPatchは3と4を適用してあります。 Primary機の動作が不安定だったので、Secondary機を手動でPrimaryに昇格させました。その操作自体は問題なく正常完了したのですが、切り替わりの処理が行われている間の数十分間(約20~30分)はクライアント側からの認証要求に対する応答が無くなり、認証処理が出来ない状態が発生しました。 このような長時間のサービス停止が...
物理筐体Cisco ISE x 2台を小規模HA(PAN+MNT+PSN)構成で冗長化させて運用しています。バージョンは3.2でPatchは3と4を適用してあります。 Cisco ISEを802.1xの認証サーバとして使用しており、スイッチやWLCからはradiusサーバとしてPrimary機とSecondary機のIPアドレスを設定してあります。 先日、Primary機側が何らかの原因で突如動作を停止してしまいました。その際、Secondary機側に問題はなく通常稼働していました。 認証装置(...
接続ボタン押下で以下のメッセージが表示されます。解決方法を教えて下さい。「証明書の検証の失敗」 AnyConnect VPI バージョン5.0.04232Secure Client UI バージョン5.0.00889証明書有効期限 2025/4/3
解決済み! Cisco ISE でのMAB登録
認証装置(Authenticator)にCatalystを、認証サーバ(Authentication Server)にCisco ISE 3.2 を使用しています。MAB認証を使っており、ISEにMACアドレス登録がある端末の場合は認証が成功するようにしています。ISEでのMACアドレスの登録について、個別で設定しているのですが、ベンダーコードで登録することは可能でしょうか。Endpoint Identity Groups→Context Visibility Endpoints→80:80:...
他社製認証サーバをCisco ISEにリプレースする提案を検討しています。 認証サーバは無線LANの認証で使用しており、ADサーバまたは他社製認証サーバで発行された証明書を用いて EAP-TLS 認証を用いています。無線APとWLCはCisco製です。 Cisco ISEで新しく証明書を発行してクライアントに配布するのは面倒・手間がかかるので、Cisco ISEへのリプレース後も、ADサーバまたは他社製認証サーバで発行された証明書をCisco ISEに取り込んで/信頼させて EAP-TLS認証に...
提題の件になるのですが、POSTで1件のリクエストで複数件のレコードを登録したいのですが、どのようにリクエストなどを設定すれば良いでしょうか?複数件登録する場合はbulkで処理するしかないのでしょうか?bulkで複数件登録する場合どのようにリクエストを送信すれば良いでしょうか?
EndPoinで PUT register、 POST でEndPointのデータの登録ができるのですが、この2つの機能についてどのように使い分けをすればよろしいでしょうか?APIを実行した際に、登録される項目が違うのはわかったのですが、これらがなぜ違うのかなどがわかっていません。POSTは単純にリクエストを送信した内容を登録するかと思うのですが、PUT registerは自動で設定される項目があり、これらはどういった意味合いで設定されるかがわかっていません。
提題の件についての質問になります。提示版に間違いがありましたら申し訳ありません。初歩的な質問になってしまうのかもしれませんが、EndPointAPIについてリファレンス※以上に仕様が詳細に記載されているサイト、資料などありますでしょうか?※確認したEndPointのURL:https://developer.cisco.com/docs/identity-services-engine/latest/確認したい情報の例:・登録解除(DeRegister)を行った場合データ、画面、ISE上の処理で...
有線・無線の802.1X認証においてCisco ISEを使用しています。 認証または認可時にクライアントPCがドメインに参加しているかどうかを条件判定に用いる事が出来るでしょうか。 具体的にはドメイン参加していれば許可し、非参加(ワークグループ)であれば拒否するという制御を行いたいです。 有識者あるいはご存じの方がおられましたら、ご回答いただけますと幸いです。
こんにちは アカウントの有効期限が近いゲストに電子メールを送信するように ISE 3.0 を構成しました。 イメージ (下図の "ISE アイコン" ) を自分で選択したカスタム イメージに変更できません。 Cisco が、このことが可能であると主張する 2019 年 (私は再び見つけることができません) にまでさかのぼるこのコミュニティの投稿があります。私は、カスタム画像が使用されているスポンサーポータルを参照することがトリックだと思います, そして、電子メールは魔法のようにそのイメー...
R1---------ISDN---------R2上記の構成でchap認証の動作がどうなるかを知りたいです。R1でaaa authentication ppp default noneコマンドを使用して、R1側では認証を行わないが、R2側では認証を行うといった仕組みをとることは可能でしょうか?以下関連するコンフィグです。■R1hostname R1!username Router2 password cisco2!aaa new-model!aaa authentication ppp def...
お世話になっております。Cisco Secure Access by Duoについて技術仕様を確認させて頂きたく存じます。1.ほかの特権ID管理システム(CyberArk等)との連携などは可能でしょうか。 例えば特権ID管理システムから払い出したIDに対して多要素認証を設定する等4.WinRM等のプロトコルでのログインにも対応されているでしょうか。 対応プロトコル一覧等があればご教示いただきたく存じます。以上、よろしくお願いします。
-機種名: SNS-3615-K9 -ソフトウェアバージョン: 2.7.0(Patch7適用済み)-状況:ISE認証サーバ(SNS-3615-K9)の物理ポート1を通常使用する予定ですが、物理ポート2についてもリンクアップを確認を実施しようとしましたところ、show interfaceにおいて判断がつきませんでした。 ・ISE認証サーバ(SNS-3615-K9)には物理ポートが2つのみ。・show interfaceコマンドでは、物理インタフェースは、GigabitEthernet 0~Giga...
こんにちは。下記サイトには、以下のように書かれています。--ここから--Threat containment. ISE matches endpoints with attributes like users, location, threat and vulnerability, which enable administrators to choose who and what devices to allow on a network.--ここまで--What is Cisco ISE?h...
MABで認証後、DACLを使用して接続したクライアントPCのIPアドレスのみ通信可能のDACLを設定したいと思ったのですがソースを接続したクライアントPCのIPアドレスで指定すると下記エラーがでます日本語1行目-「permitiphost 172.99.99.99 any」で、次の警告が見つかりました。1. DACLの作成中、キーワード「Any」はDACLのすべてのACEのソースである必要があります。DACLがプッシュされると、ソースの「Any」は、スイッチに接続しているクライアントのIPアドレ...
