Cisco ISE - 802.1X EAP-TLS with Dynamic VLAN + dACL



 ◆ Cisco ISE - 802.1X EAP-TLS with Dynamic VLAN + dACL - Success !

 ・ Cisco ISE - Operations - Authentication - Details






 ・ Catalyst 2960-X - IOS 15.x - show authentication sessions interface gigabitEthernet 1/0/1

 %AUTHMGR-5-START: Starting 'dot1x' for client (0000.0011.1111) on Interface Gi1/0/1 AuditSessionID C0A000
 %DOT1X-5-SUCCESS: Authentication successful for client (0000.0011.1111) on Interface Gi1/0/1 AuditSessionID C0A000
 %AUTHMGR-7-RESULT: Authentication result 'success' from 'dot1x' for client (0000.0011.1111) on Interface Gi1/0/1
 AuditSessionID C0A000
 %AUTHMGR-5-VLANASSIGN: VLAN 100 assigned to Interface Gi1/0/1 AuditSessionID C0A000
 %EPM-6-POLICY_REQ: IP 0.0.0.0| MAC 0000.0011.1111| AuditSessionID C0A000| AUTHTYPE DOT1X| EVENT APPLY
 %EPM-6-AAA: POLICY xACSACLx-IP-PERMIT_ALL_TRAFFIC-537cb1d6| EVENT DOWNLOAD-REQUEST
 %EPM-6-AAA: POLICY xACSACLx-IP-PERMIT_ALL_TRAFFIC-537cb1d6| EVENT DOWNLOAD-SUCCESS
 %EPM-6-IPEVENT:IP 0.0.0.0| MAC 0000.0011.1111| AuditSessionID C0A000| AUTHTYPE DOT1X| EVENT IP-WAIT
 %EPM-6-IPEVENT: IP 192.168.100.11| MAC 0000.0011.1111| AuditSessionID C0A000| AUTHTYPE DOT1X|
 EVENT IP-ASSIGNMENT
 %EPM-6-POLICY_APP_SUCCESS: IP 192.168.100.11| MAC 0000.0011.1111| AuditSessionID C0A000
 | AUTHTYPE DOT1X| POLICY_TYPE Named ACL| POLICY_NAME xACSACLx-IP-PERMIT_ALL_TRAFFIC-537cb1d6|
 RESULT SUCCESS
 %AUTHMGR-5-SUCCESS: Authorization succeeded for client (0000.0011.1111) on Interface Gi1/0/1 AuditSessionID C0A000

 %LINK-3-UPDOWN: Interface GigabitEthernet1/0/1, changed state to up
 %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet1/0/1, changed state to up


 


 ◆ Cisco ISE - 802.1X EAP-TLS with Dynamic VLAN + dACL - Failed !

 Cisco ISEがAD連携が適切に行えていない場合、あるいはLDAP連携が適切に行えていない場合、その結果に
 によりAuthorizationプロファイルが「DefaultのDeny Access」に落ちると以下のメッセージが出力されます。
 認証が成功している場合、success時の「15036 Evaluating Authorization Policy」までは同じメッセージ
 が出力されて、それ以降は以下のように出力されます。SW上では認証と認可ともに失敗として表示されます。

 15004 Matched rule - Default
 15016 Selected Authorization Profile - DenyAccess
 15039 Rejected per authorization profile
 11503 Prepared EAP-Success
 11003 Returned RADIUS Access-Reject
 5434 Endpoint conducted several failed authentications of the same scenario


 ◇ AD連携がうまくいっていない場合は
 ⇒ AD上にそのユーザが存在するかどうか
 ⇒ AD上にそのグループが存在するかどうか
 ⇒ ISEのポリシー設定が適切かどうか

 ◇ LDAP連携がうまくいかない場合は
 ※ AD連携に比べて格段に切り分けが難しい
 ⇒ パケットキャプチャーして解析した方が速い
 ⇒ OUを使用する場合はOU名に間違いないか
 ⇒ ISEのポリシー設定が適切かどうか
 ⇒ ISEのLDAP Identity Sourceの設定が適切か
 ※ 以下の項目を再確認しましょう


 ⇒ Subject Objectclass、Group Objectclass、Subject Name Attribute、Group Map attribute、Certificate Attribute



Cisco ISE

ネットワークエンジニアとして

Copyright (C) 2002-2019 ネットワークエンジニアとして All Rights Reserved.