ISE状态前的样式比较和过帐2.2

ContentsIntroductionPrerequisitesRequirementsComponentsUsed背景信息前状态流ISE2.
2在ISE2.
2的状态流ConfigureNetworkDiagram配置客户端设置配置状态策略和情况配置客户端设置的门户配置授权配置文件和策略VerifyTroubleshoot概要排除故障常见问题SSO相关问题排除客户端提供的策略选择故障排除状态进程故障Introduction本文描述在身份服务引擎的新的功能(ISE)2.
2被添加.
它准许支持没有任何的状态流在网络接入设备(NAD)或ISE的重定向技术支持.
更要好了解新的功能,本文包含在状态流之间的详细的比较在前ISE2.
2版本和在ISE2.
2.
PrerequisitesRequirementsCisco建议您了解以下主题:在ISE的状态流q状态组件的配置在ISE的q状态的可适应的安全工具(ASA)配置在虚拟私有网络(VPN)qComponentsUsed本文档中的信息基于以下软件和硬件版本:CiscoISE版本2.
2q与软件的CiscoASAv9.
6(2)qTheinformationinthisdocumentwascreatedfromthedevicesinaspecificlabenvironment.
Allofthedevicesusedinthisdocumentstartedwithacleared(default)configuration.
Ifyournetworkislive,makesurethatyouunderstandthepotentialimpactofanycommand.
背景信息状态是CiscoISE核心组件.
状态作为组件可以由三个主要单元表示:ISE作为策略配置分配和决策点.
从对ISE的管理员方面您配置状态策略(应该符合什么确切的情况标记设备作为一公司兼容),客户端提供的策略(应该在什么样的设备上安装什么代理软件)和授权策略(什么样的权限应该分配到,取决于他们的状态状态).
1.
网络接入设备作为政策加强点.
在NAD旁边实际授权限制适用在用户认证的时期.
ISE作为策略点提供授权参数类似下载的ACL(dACL)/VLAN/Redirect-URL/Redirect访问控制表(ACL).
传统上,为了状态能发生,要求NADs支持授权(CoA)的重定向(提示与联系ISE节点应该)的用户或代理软件和更改重新鉴别用户,在确定后终端的状态状况.
2.
代理软件作为问题的数据收集和交互作用与终端用户.
CiscoISE使用代理软件的三种类型:AnyConnect状态模块,NAC代理程序,Web代理程序.
代理程序从ISE收到关于状态需求的信息和提供报告对关于需求状态的ISE.
3.
Note:本文根据Anyconnect是只那个支持状态,不用重定向的状态模块.
当您考虑得前时ISE2.
2流状态依靠NADs不仅用户认证和访问限制的,但是设置的信息到关于必须被接触的特定ISE节点的代理软件.
作为重定向过程一部分,关于ISE节点的信息返回到代理软件.

历史上,重定向技术支持在NAD或在ISE边是状态实施的一个关键需求.
在ISE2.
2需求支持重定向为首字母客户端设置和状态进程被排除.
没有redirectioin-的客户端设置在ISE2.
2您能直接地通过门户完全合格的域名(FQDN)访问客户端设置的门户(CPP).
这类似于您访问赞助商门户或MyDevice门户的方式.
没有重定向的状态进程在从CPP门户信息的代理程序instalation时关于ISE服务器在成为直接通信可能的客户端被保存.
前状态流ISE2.
2这是AnyconnectISE状态模块流的一个逐步解释在ISE2.
2前的步骤1.
认证是流的第一步,它可能是dot1x、MAB或者VPN.
步骤2.
ISE需要为用户选择认证和授权策略.
在状态方案中所选的授权策略必须包含在状态状态的一个参考,应该最初是未知或不可适用的.
用状态状态不同等兼容要覆盖两此可以使用案件,情况.
所选的授权配置文件必须包含关于重定向的信息:应该指定状态事例的Web重定向,Web重定向类型作为客户端设置(状态).
qACL在NAD边被配置的此部分需要包含ACL名称.
此ACL用于提示应该实际上重定向数据流应该绕过重定向,并且的NAD.
qDACL-它可以与重定向访问列表一起使用,但是您应该记住该不同的平台进程DACL和重定向在不同命令的ACL.
q例如:在重定向ACL前的总是ASA进程DACL.
同时一些交换机平台进程它,以与ASA和其他交换机平台进程首先相似的方式重定向ACL,及以后检查DACL/InterfaceACL,如果数据流应该降低或允许.
Note:在您enable(event)Web在授权配置文件的重定向选项,瞄准后重定向的门户必须选择.
步骤3.
ISE与授权属性的回归Access-Accept.
在授权属性的重定向URL是自动地由ISE生成的.
它包含那些组件:的ISE节点FQDN认证发生.
在某些情况下动态FQDN可以由授权配置文件配置(静态IP/Hostname/FQDN)重写在Web重定向部分.
如果使用静态值应该指向认证被处理的同一个ISE节点.

在负荷平衡器(LB)的情况下此FQDN能指向LBVIP,但是,只有万一,当配置LB配合Radius和SSL连接时.
q端口Port值从目标Portal配置获得.
q会话ID此值由从CiscoAV对在访问请求提交的审计会话ID的ISE采取.
值是动态地由NAD创造的.
q一个目标门户的门户ID标识在ISE边的.
q步骤4.
NAD运用授权策略于会话.
另外,如果配置DACL,它是内容被请求,在授权策略适用前.

重要考虑:所有NADs-设备应该本地用名字配置ACL和在Access-Accept接收的那个一样作为重定向ACL.

q在showauthentication会话接口详细资料命令中的输出应该提交客户端的交换机IP地址顺利地适用重定向和ACL.
IP设备跟踪功能了解客户端IP地址(IPDT).
q步骤5.
客户端发送在Web浏览器被输入的DNS请求FQDN.
在此阶段DNS数据流应该绕过重定向,并且应该由DNS服务器返回正确的IP地址.
步骤6.
客户端发送TCPSYN到在DNS回复收到的IP地址.
在信息包的IP原地址是客户端IP,目的地IP地址是被请求的资源IP.
当直接http代理在客户端Web浏览器时,被配置目的地端口等于80,除了案件.
步骤7.
NAD截住客户端的要求和准备与来源IP的SYN-ACK信息包相等与被请求的资源IP,目的地IP相等与客户端IP,源端口相等到80.
重要考虑:NADs应该有运行在客户端发送请求的端口的HTTP服务器.
默认情况下它是端口80.

q如果客户端用途处理http代理Web服务器,在NASHTTP服务器在代理端口应该运行.
此方案是在范围本文外面.
q在案件,当NAD没有时在客户端子网SYN-ACK的一个本地IP地址用NAD路由表传送(在通常管理接口).
在此方案中信息包在L3基础设施路由,并且应该路由往客户端由L3上行设备.
如果第3层设备是状态防火墙,另外的例外需要为这样asymetric路由产生.
q步骤8.
客户端由ACK完成TCP三次握手.
步骤9.
客户端发送目标资源的HTTPGET.
步骤10.
NAD回归重定向URL给有HTTP代码的302(被移动的页客户端),在某NADs重定向可以返回在HTTP200在位置报头的OK消息里面.
步骤11.
客户端从重定向URL发送DNS请求FQDN.
FQDN应该是可溶解的在DNS服务器端.

步骤12.
在重定向URL接收的端口的SSL连接被建立(默认值8443).
此连接受门户认证的保护免受ISE边.
客户端设置的门户(CPP)被提交给用户.
提供下载选项的步骤13.
Before给客户端,ISE必须选择目标客户端设置(CP)策略.
操作系统(OS从浏览器用户代理发现的)客户端,CPP策略选择的其他需的信息从认证会话被检索(类似AD/LDAP组和那么一个).
ISE认识从在重定向URL提交的会话ID的目标会话.
步骤14.
网络建立辅助(NSA)下载链路返回到客户端.
客户端下载应用程序.

Note:通常您也许发现作为BYOD一部分的NSA为Windows和机器人流,但是此应用程序可以用于从ISE安装Anyconnect或其组件.
步骤15.
User运行NSA应用程序.
第16步.
NSA发送第一个发现探测-对默认网关的HTTP/auth/discovery.
结果NSA期待重定向URL.
Note:对于在VPN的连接,因为MACOS没有在VPN适配器的默认网关在MACOS设备此探测被忽略.
如果第一个发生故障,步骤17.
NSA发送第二次探测.
第二次探测是HTTPGET/auth/discovery对enroll.
cisco.
com.
此FQDN必须顺利地是可溶解的由DNS服务器.
在VPN方案中用独立的隧道,对enroll.
cisco.
com的数据流需要通过隧道被路由.

第18步.
如果其中任一次探测成功,NSA建立在端口8905的SSL连接与从重定向URL得到的信息.
此连接受ISEadmin认证的保护.
在此连接NSA下载Anyconnect里面.
重要考虑:在ISE2.
2之前请发布在端口8905的SSL通信是状态的一个需求.
q要避免认证警告的门户和admin证书在客户端必须委托.
q在多接口ISE配置建立接口其他G0可以一定到FQDN与系统FQDN不同(使用CLI命令的IP主机).
这也许引起问题由于附属的Name(SN)/主题代替命名(SAN)验证.
因为客户端可能例如重定向到接口G1FQDN,但是对于与也许不配比到在重定向URL的FQDN的系统FQDN的8905通信认证返回.
您也许考虑添加额外接口FQDNs在admin认证SAN字段的此方案的一个解决方案或者您在admin认证能使用通配符.
q步骤19.
Anyconnect状态进程被启动.
状态模块在启动任何这些情况:在安装以后q在网络接口状态变化以后(Up/Down)q在默认网关值更改以后q在系统用户登录事件以后,q第20步.
在此阶段Anyconnect状态模块起动策略服务器检测.
这用状态模块同时发送的系列或探测完成:探测1-对默认网关IP的HTTPGET/auth/discovery.
您应该记得MACOS设备没有在VPN适配器的默认网关.
探测的预期结果是重定向URL.
q探测2-对enroll.
cisco.
com的HTTPGET/auth/discovery.
此FQDN需要顺利地是可溶解的由DNS服务器.
在VPN方案中用独立的隧道,对enroll.
cisco.
com的数据流必须通过隧道被路由.

探测的预期结果是重定向URL.
q探测3-对发现主机的HTTPGET/auth/discovery.
发现主机值从ISE返回在AC状态配置文件的安装时.
探测的预期结果是重定向URL.
q探测4-在SSL的HTTPGET/auth/status在对以前被连接的PSN的端口8905.
此请求包含关于客户端IP的信息和橡皮防水布为在ISE边的会话查找列出.
在第一个状态尝试期间,此proble没有presneted.
连接受ISEadmin认证的保护.
由于此探测ISE能返回会话ID返回客户端,如果节点登陆的探测是用户验证的同一个节点的地方.
qNote:由于此探测,状态可以顺利地完成甚而,不用在一些情况下的工作的重定向.
没有重定向的成功的状态要求验证会话应该是相同的象早先成功连接的PSN的该当前PSN.
记住前期没有重定向的ISE2.
2成功的状态比规则相当是例外.
以下步骤描述状态进程,万一,当重定向URL被接受时(流标记用字母a)由于其中一次探测:第21步.
状态模块建立与客户端设置的门户的连接使用在发现阶段期间被检索的URL.
在此阶段ISE再次做客户端提供的策略验证使用信息由认证的会话.
步骤22.
If客户端发现提供的策略,ISE对端口8905的回归重定向.
第23步.
代理程序建立与ISE的连接在端口8905.
在此连接时ISE返回状态配置文件、标准模块和anyconnect更新的URL.
步骤24.
AC状态从ISE的模块配置下载.
步骤25.
Updates下载和安装如果必须.
步骤26.
Posture模块收集关于系统的初始信息(类似OS版本、安装的安全产品,他们的定义版本).

在此阶段状态模块介入OPSWATAPI收集关于安全产品的infromation.
收集的数据被发送到ISE.
给此请求ISE的一个回复提供状态需求列表.
由于状态策略处理,需求列表选择.
匹配正确的策略,ISE用途设备OS版本(在请求的存在)和会话ID值选择其他需要的属性(AD/LDAP组).
客户端发送会话ID值.
第27步.
在此步骤客户端介入OPSWAT呼叫和其他机制检查状态需求.
与需求的总结报告列出,并且他们的状态被发送到ISE.
ISE需要做出关于终端标准状态的最终决策.
如果终端市场如非兼容在此步骤套修正动作返回.
对于兼容终端,如果配置,ISE写符合状态到会话和放置前个状态时间戳对终端属性状态租赁.
状态结果被退还到终端.
万一,当状态PRA的重新估价(PRA)时间由ISE放到此信息包.
在固执的方案中请考虑到那些点:一些修正动作(类似显示文本消息、链路修正,文件修正和其他)由状态代理程序执行.

q其他修正键入(类似AV.
AS,WSUS,SCCM)要求opswat状态代理程序和目标产品之间的API通信.
在此方案状态代理程序发送修正请求到产品.
Remidiation由安全产品直接地完成.

qNote:万一,当安全产品必须与外部资源(内部/外部更新服务器)联络需要保证此通信在重定向ACL/DACL允许.
步骤28.
ISE发送COA请求到应该触发用户的新证书的NAD.
NAD应该由COAACK确认此请求.
记住对于VPN案件COA使用推进,因此没有发送新证书请求.
反而ASA从会话去除早先授权参数(重定向URL、重定向ACL,DACL)并且从COA请求运用新的参数.
用户的Stpe29.
New认证请求.
重要考虑:典型地对于CiscoNADCOAISE使用reauth,并且这指示NAD起动与早先会话ID的新证书请求.
q在ISE边同样会话ID值是以前收集会话属性应该重新使用的征兆(在我们的情况的投诉状态),并且应该分配根据那些属性的新的授权配置文件.
q在会话ID的情况下一个新和充分的状态进程被重新启动,请更改此连接对待.

q要避免再状态在每会话ID请更改状态租赁能使用.
在此方案中关于在ISE坚持的状态状态的信息在终端属性被存储,即使会话ID获得更改.
q步骤30.
New授权策略在根据状态状态的ISE边选择.
第31步.
与新的授权属性的Access-Accept被发送到NAD.
下流描述方案,当重定向URL没有被检索时(标记用字母由所有状态探测和以前被连接的PSN的b)由最后探测查询了.
这里所有步骤正确地是相同的正如在于探测4.
,由PSN返回与重定向URL的案件除了重播.
如果是当前authenitcation会话的一个责任人的此探测在同样PSN登陆了,重播包含状态代理程序以后用于完成进程的会话ID值.
万一,当早先被连接的数据转发器不是相同的象当前会话责任人时,会话查找发生故障,并且空回应返回到状态模块.
作为此的一个最终结果,DETECTED信息的策略服务器没有返回到终端用户.
在ISE2.
2的状态流ISE2.
2同时支持老和新式.
这是新的流的详细说明:步骤1.
Authentication是流的第一步,它可能是dot1x、MAB或者VPN.
步骤2.
ISE必须为用户选择认证和授权策略.
在状态方案中所选的授权策略需要包含在状态状态的一个参考,应该最初是未知或不可适用的.
用状态状态不同等兼容要覆盖两此可以使用案件,情况.

对于没有重定向的状态没有需要使用所有Web重定向配置在授权配置文件.
当状态状态不是可用的时,您也许仍然考虑使用DACL或领空ACL限制用户访问在阶段.
步骤3.
ISE返回与授权属性的Access-Accept.
第4步:如果DACL名字在Access-Accept返回,NAD开始DACL内容下载并且运用授权配置文件于会话,在获得后.
第5步:新的方法假设,重定向不是可能的,因此用户需要输入手工设置门户FQDN的客户端.

CPP门户的FQDN在ISEsdie的Portal配置需要被定义.
从DNS服务器方面记录需要指向有PSN角色功能的ISE服务器.
步骤6.
客户端发送HTTPGET到设置门户FQDN的客户端,此请求在ISE边解析,并且充分的门户URL返回返回客户端.
在重定向URL接收的端口的步骤7.
SSL连接被建立(默认值8443).
此连接受门户认证的保护免受ISE边.
客户端设置的门户(CPP)被提交给用户.
第8.
步.
在此第两步事件在ISE发生:单个符号(SSO)-ISE尝试对查找早先成功的验证.
ISE使用从信息包的IP原地址作为搜索过滤器生活半径会话.
qNote:会话在会话上被检索根据在来源IP之间的匹配在信息包并且构筑了IP地址.
被构筑的IP地址由ISE通常检索从临时记帐更新,因此要求有在NAD边启用的认为.
您应该记得SSO只是可能的在拥有会话的节点.
如果例如会话在PSN1,但是FQDN验证指向PSN2SSO机制出故障.
客户端提供的策略查找-在成功的SSO的情况下,ISE能使用从认证的会话和用户代理的数据从客户端浏览器.
在不成功的SSO的情况下用户必须提供证件和,在用户认证信息从内部和外部身份存储(AD/LDAP/Internal组)后被检索,它可以用于客户端提供的策略检查.

qNote:当外部用户是在外部身份存储配置时,添加的多个AD/LDAP组的成员由于BugCSCvd11574您也许在客户端提供的策略选择时发现错误为非SSO案件.
第9.
步.
在客户端提供的策略选择ISE显示代理程序下载URL给用户后.
在您点击下载NSA后,应用程序被推进给用户.
NSA文件名包含CPP门户的FQDN.
步骤10.
At此步骤NSA运行探测建立与ISE的连接.
两次探测是经典那些,并且第三个在环境里设计允许ISE发现,不用网域名称转址.
NSA发送第一个发现探测-对默认网关的HTTP/auth/discovery.
结果NSA期待重定向URL.
q如果第一个发生故障,NSA发送第二次探测.
第二次探测是HTTPGET/auth/discovery对enroll.
cisco.
com.
此FQDN必须顺利地是可溶解的由DNS服务器.
在VPN方案中用独立的隧道,对enroll.
cisco.
com的数据流必须通过隧道被路由.
qNSA发送在CPP门户端口的第三次探测到设置门户FQDN的客户端.
此请求包含关于允许ISE识别的门户会话ID的信息哪些资源必须是provided.
nq步骤11.
NSA下载Anyconnect并且/或者特定模块.
下载过程在设置门户端口的客户端执行.

步骤12.
在ISE2.
2,状态进程被划分成两个阶段.
第一阶段包含套传统状态发现探测支持在URL重定向传递与配置的向后兼容性.
第13步.
第一阶段包含所有传统状态发现探测.
要获得关于探测的更多详细资料请检查在前ISE2.
2状态流的第20步.
允许AC状态模块建立与PSN的连接会话在环境里验证不支持重定向的步骤14.
Stage两包含两个发现探测.
在阶段两次所有探测是连续的.
探测1-在第一个探测AC状态模块期间设法设立与从"CallHome列表的"IP/FQDNs.
探测的目标列表必须在AC在ISE边的状态配置文件被配置.
您能定义IP/逗号分离的FQDNs,与您能定义q每个CallHome目的地的端口号的冒号.
此端口需要是相等的与客户端设置的门户是运行的端口.
在关于CallHome服务器的客户端信息位于ISEPostureCFG.
xml,此文件能在文件夹找到-C:\ProgramData\Cisco\CiscoAnyConnect安全移动性客户端\ISE状态\CallHome目标也许没拥有会话,并且会话责任人查找在此阶段需要发生.
状态模块指示ISE开始责任人查找通过使用特殊目标URL-/auth/ng-discovery,请求包含客户端IP和橡皮防水布列出.
在此消息由PSN会话查找收到是执行的第一本地后.
如果没找到会话PSN起动MNT节点查询.
此请求包含clintIP/橡皮防水布列出,结果应该从MNT获得责任人的FQDN.
在此PSN以后返回责任人FQDN返回客户端.
Next请求从客户端被发送到会话责任人FQDN以auth/状态在IP和橡皮防水布URL和列表.
探测2-在此阶段状态模块尝试PSN位于ConnectionData.
xml的FQDNs.
您能找到在C:\Users\\AppData\本地\Cisco\CiscoAnyConnect安全移动客户端的此文件\.
状态模块retrievs在第一个状态尝试的时期的此文件.
文件包含ISEPSNFQDN列表.
列表的内容也许是动态地更新的在导航尝试期间.
探测的结尾目标是获得当前会话责任人FQDN.
实施是相同的探查1与在探测目的地选择上的唯一的区别.
q万一多个用户,使用设备文件位于当前用户文件夹.
另外用户不能使用信息从此文件.
当CallHome目标没有指定时,这在环境里也许导致用户鸡和蛋问题,不用重定向.

第15步.
在关于会话责任人的信息得到后,所有随后的步骤与前ISE2.
2流是相同的.
Configure对于本文,ASAv使用作为网络接入设备.
所有测试进行与在VPN的状态.
状态的欲了解更详细的信息ASA配置在VPN技术支持是在本文的范围外面,是指:ASA版本9.
2.
1基于ISE的VPN安全评估配置示例NetworkDiagram以上的拓扑用于测试.
使用ASA它可能容易地模拟方案,当客户端设置的门户的SSO机制在PSN边失效,由于NAT功能.
在VPN的正常状态流的情况下,SSO应该工作罚款正弦NATnormaly没有为VPNIP被强制执行,当用户进入公司网络时.
配置客户端设置配置这些是准备Anyconnect配置的步骤.
步骤1.
Anyconnect程序包下载.
Anyconnect程序包不可以从ISE的直接下载,因此,在您开始前,保证AC是可用的在您的PC.
此链路可以用于AC下载-使用在本文anyconnect-win-4.
4.
00243-webdeploy-k9.
pkg程序包的http://cisco.
com/go/anyconnect.
步骤2.
为了加载AC程序包到ISE,请连接对策略>Policy元素>结果>客户端设置>Resourcesand点击添加.
从本地磁盘选择代理程序资源.
在新建窗口请选择Cisco提供了程序包,点击访问并且选择在您的PC的AC程序包.
点击提交完成导入.
步骤3.
标准模块必须被加载到ISE.
在同一页请点击从Cisco站点添加并且选择代理程序资源.
在资源列表中您应该检查标准模块.
对于本文AnyConnectComplianceModuleWindows4.
2.
508.
0标准模块使用.
第4步:现在AC状态配置文件必须被创建.
点击添加并且选择NAC代理程序或Anyconnect状态配置文件.
选择配置文件的类型.
AnyConnect如果请使用此方案.
q指定配置文件名字.
连接摆配置文件的协议部分姿势q指定服务器名规则,此字段不可以是空的.
字段能包含与从适当的namespace限制AC状态与PSN的模块连接的通配符的FQDN.
如果任何FQDN应该允许,请放置星形.
q指定的名字和IP这里在阶段状态发现2是在使用中的.
使用冒号,您能由昏迷端口号分离名字可以在FQDN/IP以后被添加.
qNote:记住CallHome家庭地址出现为多用户个人计算机是重要.
请查看步骤14.
在状态流过帐ISE2.
2.
步骤5.
CreateAC配置.
连接对策略>Policy元素>结果>客户端设置>资源并且点击添加,然后选择AnyConnect配置.
选择AC程序包.
q提供AC配置名称.
q选择标准模块版本.
q选择AC状态配置配置文件从下拉列表.
q步骤6.
配置客户端提供的策略.
连接对策略>客户端设置.
在初始配置的情况下您能用默认值填装在出席的策略的空值.
在您请需要添加策略到现有的状态配置,连接到能重新使用和选择上面重复项或下面复制的策略.
全新的策略可能也被创建.
这是用于本文的策略的示例.
选择您的在结果部分的AC配置.
在SSO故障ISE的情况下记住,那能有仅属性从登录到门户.
这归因于对可以被检索关于用户从内部和外部身份存储的信息被限制.
在本文中,AD组使用作为情况在客户端提供的策略.
状态策略和情况使用简单的状态检查.
配置ISE检查窗口在终端设备边的防御者服务的状况.
实际生活情景可以是更加复杂的,但是一般配置步骤是相同的.
步骤1.
创造状态条件.
状态情况位于策略>Policy元素>情况>状态.
选择状态情况的类型.
在您之下能找到应该检查服务情况的示例Windows防御者服务是否运行.
步骤2.
Posture需求配置.
连接对策略>Policy元素>结果>状态>需求.
这是窗口防御者检查的一个示例:选择您的在新要求的状态情况并且指定修正动作.
步骤3.
状态策略配置.
连接对策略>状态.
在您之下能找到策略示例使用本文.
策略有Windows作为必须分配的防御者要求和只包含外部AD组名作为情况.
配置客户端设置的门户对于没有重定向的状态,客户端设置的门户的配置必须被编辑.
连接给ProvisioningYou能使用门户的默认值或创建您自己的Administration>设备门户Management>客户端.
同样门户可以用于两状态有和没有重定向.
在非重定向方案的Portal配置应该编辑那些设置:在认证,请指定身份应该使用的来源顺序,如果SSO不能找出用户的会话.
q根据可用的组所选的身份来源顺序列表被填充.
这时您需要选择为门户登录被核准的组.

q客户端设置的门户FQDN必须指定.
此FQDN应该是可溶解的对ISEPSNIP.
在第一个连接尝试期间,用户在Web浏览器应该被指示指定FQDN.
q配置授权配置文件和策略客户端的初始访问,当状态状态不是可用的需要被限制.
这能达到用多种方式:DACL分配-在限制访问位置阶段期间DACL可以分配到限制访问的用户.
此方法可以用于Cisco网络接入设备.
qVLAN分配-,在成功的状态用户在限制VLAN前可以放置,此方法应该为几乎所有NAD供应商良q好工作.
Radius过滤器ID-当此属性,ACL本地被定义在NAD可以分配到用户以未知状态状态.
因为这是一个标准的RFC属性,此方法应该为所有NAD供应商工作良好.
q步骤1.
配置DACL.
因为此示例根据ASA,可以使用NADDACL.
对于实际生活情景您也许VLAN或过滤器ID把可能的选项视为.
为了创建DACL请连接对策略>Policy元素>结果>授权>可下载的ACLsand点击添加在未知状态状态期间应该提供至少那些权限:DNS数据流qDHCP流量q对ISECPP门户FQDN指出的PSN的数据流q对修正服务器的若需要数据流q没有修正服务器,这是DACL示例:步骤2.
配置授权配置文件.
照常对于状态需要两个授权配置文件.
第一个应该包含任何网络访问限制(与用于此示例的DACL的配置文件).
此配置文件可以被运用于状态状态与兼容不是相等的认证.
第二个授权配置文件也许包含许可证acces,并且可以适用为与状态状态等于的会话对兼容.
要创建授权配置文件请连接对策略>Policy元素>结果>授权>授权配置文件.

限制访问位置配置文件示例在本例中,默认ISE配置文件PermitAccess使用会话在成功的状态状态检查以后.

步骤3.
配置授权策略.
在此第两步授权策略期间应该创建.
匹配最初的认证请求的一以未知状态状态和第二个分配全部存取在成功的状态进程以后.
它是简单的授权策略示例此案件的认证策略的配置不是本文的部分,但是您应该记住在授权前处理成功的验证的策略必须发生.

Verify流的基本验证可能包括三个主要步骤:步骤1.
认证流验证最初的认证.
对于此步骤您可以是对适用授权配置文件的验证感兴趣.
如果请运用了意外的授权配置文件请调查详细的认证报告.
您能打开此报告通过单击在Details列的放大镜.
您能在详细的认证报告的属性与在您期望匹配的授权策略的条件比较.
1.
DACL下载事件.
当为最初的认证选择的授权配置文件包含DACL名字时,此字符串在案件仅被提交.
2.
门户认证-在流的此步骤指示没能的该SSO机制找出用户会话.
这也许发生由于多个原因:没有配置NAD传送记帐信息或被构筑的IP地址不是存在他们.
CPP门户FQDN被解决了对ISE节点的IP与首字母认证被处理了的节点不同.
在NAT后位于的客户端.
3.
会话数据在此特定的示例会话状态更改,从未知更改了到兼容.
4.
对网络接入设备的COA.
此COA应该是成功的推进从NAD边的新证书和在ISE边的新的授权分配.
如果COA发生了故障您能打开详细资料报表调查原因.
与COA的多数常见问题可以是:COA超时-在发送了请求的这样案件任一个PSN没有被配置作为在NAD边的一个COA请求在途中下降了某处的客户端或者COA.
COA负值ACK-请表明COA由NAD接受了,但是由于一些理由COA操作不能被确认.
对于此方案详细资料报表应该包含详细说明.
5.
因为ASA使用了作为NAD此示例,您不能为用户看到随后的认证请求.
这发生事实ISE使用COA推进ASA避免VPN服务interuption的到期.
在这样方案中,COA包含新的授权参数,因此再验证不是需要的.
步骤2.
Client提供的策略选择验证-对于此您能送关于可帮助您了解的ISE的一个报告哪些客户端提供的策略为用户适用.
连接对操作>报告终端和用户>客户端设置并且送报告为您需要的日期使用此报告您能验证什么客户端提供的策略精选和在故障的情况下,原因在故障原因列应该提交.

步骤3.
Posture报告验证-连接对操作>报告终端和用户>状态评估由终端.
您能打开从这里的详细资料报表为了每个特定的事件能检查例如到哪会话ID此报告属于,确切的状态需求由ISE为终端和状态选择为每个需求.
Troubleshoot概要对于排除故障状态的进程,那些ISE组件在状态进程能发生的ISE节点的调试必须被启用:客户端webapp-组件负责对代理程序设置.
目标日志文件guest.
log和ise-psc.
log.
qguestacess-组件负责对设置门户组件和会话责任人查找的客户端(当请求来到错误的PSN).
目标日志文件-guest.
log.
q设置-组件负责对客户端提供的策略处理.
目标日志文件-guest.
log.
q状态-所有状态相关事件.
目标日志文件-ise-psc.
log.
q对于客户端排除您故障能使用:acisensa.
log-在客户端在客户端的设置故障的情况下此文件在NSA下载了的同一个文件夹被创建(正常Windows的下载目录),qAnyConnect_ISEPosture.
txt-此文件可以在目录CiscoAnyConnectISE状态模块的箭套件找到.
关于ISEPSN发现的所有信息和一般步骤状态流被记录到此文件.
q排除故障常见问题SSO相关问题在成功的SSO的情况下您也许发现在ise-psc.
log的这些消息,此套消息表明会话查找顺利地完成了,并且在门户的认证可以被跳过.
2016-11-0915:07:35,951DEBUG[http-bio-10.
48.
30.
40-8443-exec-12][]cisco.
cpm.
posture.
runtime.
PostureRuntimeFactory-::::-lookingforRadiussessionwithinputvalues:sessionId:null,MacAddr:null,ipAddr:10.
62.
145.
1212016-11-0915:07:35,989DEBUG[http-bio-10.
48.
30.
40-8443-exec-12][]cisco.
cpm.
posture.
runtime.
PostureRuntimeFactory-::::-lookingforsessionusingsessionID:null,IPaddrs:[10.
62.
145.
121],macAddrs[null]2016-11-0915:07:35,989DEBUG[http-bio-10.
48.
30.
40-8443-exec-12][]cisco.
cpm.
posture.
runtime.
PostureRuntimeFactory-::::-lookingforsessionusingIP10.
62.
145.
1212016-11-0915:07:35,989DEBUG[http-bio-10.
48.
30.
40-8443-exec-12][]cisco.
cpm.
posture.
runtime.
PostureRuntimeFactory-::::-nasPortType=52016-11-0915:07:35,989DEBUG[http-bio-10.
48.
30.
40-8443-exec-12][]cisco.
cpm.
posture.
runtime.
PostureRuntimeFactory-::::-nasPortTypeequalto5(5isvirtualNAS_PORT_TYPEforVPN).
FoundaVPNsessionnullusingipaddress10.
62.
145.
1212016-11-0915:07:35,989DEBUG[http-bio-10.
48.
30.
40-8443-exec-12][]cisco.
cpm.
posture.
runtime.
PostureRuntimeFactory-::::-Foundsessionc0a801010002600058232bb8usingipAddr10.
62.
145.
121您能使用终端IP地址作为Search键找到此信息.
有点在客户日志您应该以后看到认证被跳过了:2016-11-0915:07:35,989DEBUG[http-bio-10.
48.
30.
40-8443-exec-12][]guestaccess.
flowmanager.
step.
cp.
CPInitStepExecutor-::-SessionInfoisnotnullandsessionAUTH_STATUS=12016-11-0915:07:35,989DEBUG[http-bio-10.
48.
30.
40-8443-exec-12][]com.
cisco.
ise.
portalSessionManager.
PortalSession-::-PuttingdatainPortalSessionwithkeyandvalue:Radius.
Sessionc0a801010002600058232bb82016-11-0915:07:35,989DEBUG[http-bio-10.
48.
30.
40-8443-exec-12][]com.
cisco.
ise.
portalSessionManager.
PortalSession-::-PuttingdatainPortalSessionwithkey:Radius.
Session2016-11-0915:07:35,989DEBUG[http-bio-10.
48.
30.
40-8443-exec-12][]guestaccess.
flowmanager.
step.
cp.
CPInitStepExecutor-::-Loginstepwillbeskipped,asthesession=c0a801010002600058232bb8alreadyestablishedformacaddressnull,clientIPAddress10.
62.
145.
1212016-11-0915:07:36,066DEBUG[http-bio-10.
48.
30.
40-8443-exec-12][]cpm.
guestaccess.
flowmanager.
processor.
PortalFlowProcessor-::-AfterexecuteStepAction(INIT),returnedEnum:SKIP_LOGIN_PROCEED在不工作的SSOISEPSC日志文件的情况下包含关于会话查找故障的信息:2017-02-2317:59:00,779DEBUG[http-bio-10.
48.
17.
249-8443-exec-2][]cisco.
cpm.
posture.
runtime.
PostureRuntimeFactory-::::-lookingforRadiussessionwithinputvalues:sessionId:null,MacAddr:null,ipAddr:10.
62.
145.
442017-02-2317:59:00,779DEBUG[http-bio-10.
48.
17.
249-8443-exec-2][]cisco.
cpm.
posture.
runtime.
PostureRuntimeFactory-::::-lookingforsessionusingsessionID:null,IPaddrs:[10.
62.
145.
44],macAddrs[null]2017-02-2317:59:00,779DEBUG[http-bio-10.
48.
17.
249-8443-exec-2][]cisco.
cpm.
posture.
runtime.
PostureRuntimeFactory-::::-lookingforsessionusingIP10.
62.
145.
442017-02-2317:59:00,779DEBUG[http-bio-10.
48.
17.
249-8443-exec-2][]cisco.
cpm.
posture.
runtime.
PostureRuntimeFactory-::::-nasPortType=null2017-02-2317:59:00,779DEBUG[http-bio-10.
48.
17.
249-8443-exec-2][]cisco.
cpm.
posture.
runtime.
PostureRuntimeFactory-::::-nasPortType==nullorisnotavirtualNAS_PORT_TYPE(5).
2017-02-2317:59:00,779DEBUG[http-bio-10.
48.
17.
249-8443-exec-2][]cisco.
cpm.
posture.
runtime.
PostureRuntimeFactory-::::-NoRadiussessionfound在这样案件的guest.
log您应该看到在门户的充分的用户认证:2017-02-2317:59:00,779DEBUG[http-bio-10.
48.
17.
249-8443-exec-2][]cpm.
guestaccess.
flowmanager.
step.
StepExecutor-::-FindNextStep=LOGIN2017-02-2317:59:00,779DEBUG[http-bio-10.
48.
17.
249-8443-exec-2][]cpm.
guestaccess.
flowmanager.
step.
StepExecutor-::-Step:LOGINwillbevisible!
2017-02-2317:59:00,779DEBUG[http-bio-10.
48.
17.
249-8443-exec-2][]cpm.
guestaccess.
flowmanager.
step.
StepExecutor-::-Returningnextstep=LOGIN2017-02-2317:59:00,780INFO[http-bio-10.
48.
17.
249-8443-exec-2][]cpm.
guestaccess.
flowmanager.
step.
StepExecutor-::-RadiusSessionIDisnotset,assumingindry-runmode在门户的认证失败的情况下您需要着重身份存储是在使用中的Portal配置验证-哪些组为登录被核准排除客户端提供的策略选择故障欲了解更详细的信息在客户端提供的策略故障或处理不正确的策略的情况下您能检查guest.
log文件:2017-02-2317:59:07,080DEBUG[http-bio-10.
48.
17.
249-8443-exec-2][]guestaccess.
flowmanager.
step.
guest.
ClientProvStepExecutor-:user1:-InClientProv:userAgent=Mozilla/5.
0(WindowsNT6.
1;WOW64;rv:51.
0)Gecko/20100101Firefox/51.
0,radiusSessionID=null,idGroupName=S-1-5-21-70538695-790656579-4293929702-513,userName=user1,isInUnitTestMode=false2017-02-2317:59:07,080DEBUG[http-bio-10.
48.
17.
249-8443-exec-2][]cpm.
guestaccess.
common.
utils.
OSMapper-:user1:-UserAgent:Mozilla/5.
0(WindowsNT6.
1;WOW64;rv:51.
0)Gecko/20100101Firefox/51.
02017-02-2317:59:07,080DEBUG[http-bio-10.
48.
17.
249-8443-exec-2][]cpm.
guestaccess.
common.
utils.
OSMapper-:user1:-ClientOS:Windows7(All)2017-02-2317:59:07,080DEBUG[http-bio-10.
48.
17.
249-8443-exec-2][]guestaccess.
flowmanager.
step.
guest.
ClientProvStepExecutor-:user1:-RetrievedOS=Windows7(All)2017-02-2317:59:07,080DEBUG[http-bio-10.
48.
17.
249-8443-exec-2][]guestaccess.
flowmanager.
step.
guest.
ClientProvStepExecutor-:user1:-UpdatingtheidGroupNametoNACGroup:NAC:IdentityGroups:S-1-5-21-70538695-790656579-4293929702-5132017-02-2317:59:07,080DEBUG[http-bio-10.
48.
17.
249-8443-exec-2][]guestaccess.
flowmanager.
step.
guest.
ClientProvStepExecutor-:user1:-UserAgent/RadiusSessionisemptyorinUnitTestMode2017-02-2317:59:07,080DEBUG[http-bio-10.
48.
17.
249-8443-exec-2][]guestaccess.
flowmanager.
step.
guest.
ClientProvStepExecutor-:user1:-CallinggetMatchedPolicyWithNoRedirectionforuser=user12017-02-2317:59:07,505DEBUG[http-bio-10.
48.
17.
249-8443-exec-2][]guestaccess.
flowmanager.
step.
guest.
ClientProvStepExecutor-:user1:-CPPolicyStatus=SUCCESS,needToDoVlan=false,CoaAction=NO_COA在第一弦您能在没有策略匹配或您能从这里的属性与您的客户端提供的策略配置比较的不正确策略匹配的情况下看到关于会话的信息如何被注入在策略选择引擎.
前个字符串指示策略选择状态.