отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 
Объявления
Добро пожаловать в Сообщество Технической поддержки Cisco. Мы рады получить обратную связь .

Cisco ISE 1.2.x и MAB авторизация

Здравствуйте, не могу ни как побороть проблему с "зависанием" клиентских сессий авторизации, причем ровно через час от внесения клиентского MAC адреса в группу которой доступ разрешен проблема уходит, почему таймаут в 1 час???

Подробности:

Cisco ISE 1.2.0.899 + patch 1,2 - 2 ноды Primary и Secondary

на доступе C2960S-48TD-L

IOS (C2960S-UNIVERSALK9-M), Version 15.0(2)SE в основном, есть и новее но проблема и на нем тоже,

Конфиг свичей что касается aaa:

aaa new-model

aaa authentication login default group radius local

aaa authentication login console none

aaa authentication dot1x default group radius

aaa authorization exec default group radius local

aaa authorization exec console none

aaa authorization network default group radius

aaa accounting update periodic 10

aaa accounting dot1x default start-stop group radius

aaa server radius dynamic-author

aaa session-id common

aaa server radius dynamic-author

client 10.0.4.8 server-key 7 ****

client 10.0.4.9 server-key 7 ****

exit


ip device tracking

device-sensor notify all-changes

epm logging


dot1x system-auth-control

ip radius source-interface Vlan104

snmp-server community **** RO

snmp-server community **** RW

snmp-server trap-source Vlan104

snmp-server source-interface informs Vlan104

snmp-server enable traps snmp authentication linkdown linkup coldstart warmstart

snmp-server enable traps mac-notification change move threshold

snmp-server host 10.0.4.8 version 2c ***  mac-notification

snmp-server host 10.0.4.9 version 2c ***  mac-notification


radius-server attribute 6 on-for-login-auth

radius-server attribute 6 support-multiple

radius-server attribute 8 include-in-access-req

radius-server attribute 25 access-request include

radius-server dead-criteria time 30 tries 3

radius-server vsa send accounting

radius-server vsa send authentication



interface GigabitEthernet0/14

switchport access vlan 10

switchport mode access

switchport block unicast

switchport voice vlan 2

ip arp inspection limit rate 64

authentication event fail action next-method

authentication host-mode multi-auth

authentication order dot1x mab

authentication priority dot1x mab

authentication port-control auto

authentication timer inactivity 30

authentication violation restrict

mab

snmp trap mac-notification change added

snmp trap mac-notification change removed

dot1x pae authenticator

dot1x timeout tx-period 2

dot1x max-reauth-req 4

spanning-tree portfast

spanning-tree bpduguard enable

ip dhcp snooping limit rate 64

end


radius server ISE12

address ipv4 10.0.4.8 auth-port 1812 acct-port 1813

key 7 ****

exit


radius server ISE11

address ipv4 10.0.4.9 auth-port 1812 acct-port 1813

key 7 ****

exit


mac address-table notification change

mac address-table notification mac-move

вот что пишет ISE

Overview

Event 5434 Endpoint conducted several failed authentications of the same scenario

Username 00:1D:92:3D:84:39

Endpoint Id 00:1D:92:3D:84:39

Endpoint Profile 

Authorization Profile 

Authentication Details

Source Timestamp 2013-09-24 10:49:02.647

Received Timestamp 2013-09-24 10:49:02.647

Policy Server sc-ise1

Event 5434 Endpoint conducted several failed authentications of the same scenario

Failure Reason 15039 Rejected per authorization profile

Resolution Authorization Profile with ACCESS_REJECT attribute was selected as a result of the matching authorization rule. Check the appropriate Authorization policy rule-results.

Root cause Selected Authorization Profile contains ACCESS_REJECT attribute

Username 00:1D:92:3D:84:39

User Type 

Endpoint Id 00:1D:92:3D:84:39

Endpoint Profile 

IP Address 

Identity Store 

Identity Group 

Audit Session Id 0A00040F000005BB7BF30F76

Authentication Method mab

Authentication Protocol 

Service Type Call Check

Network Device SW24

Device Type Switch

  • Безопасность (Security)
5 ОТВЕТ.
Cisco Employee

Cisco ISE 1.2.x и MAB авторизация

Добрый день, Вячеслав,

Если я правильно поняла:

1) новые устройства не могут пройти MAB, т.к. их нет в базе данных;

2) вы добавляете устройство в базу данных;

3) через час устройство получает доступ в сеть.

Пробуете ли вы переподключить устройство (replug cable)? если нет, то:

Switch(config-if)# dot1x timeout reauth-period {seconds | server}

По умолчанию 3600 секунд. Попробуйте изменить.

Cheers, Iron

Re: Cisco ISE 1.2.x и MAB авторизация

Здравствуйте Iron

Ситуация немного странная, так как этот таймаут возникает в случаях если

1. устройство подключили к сети - в базе нет mac адреса - получаем:

Event5400 Authentication failed
Failure Reason15039 Rejected per authorization profile

2. Пользователи пытаются чтото с этим сделать, т.е. включают туда-сюда в сеть устройство -  в результате имеем:

Event5434 Endpoint conducted several failed  authentications of the same scenario
Failure Reason15039 Rejected per authorization profile

3. Потом добавляем mac адрес в группу, которой разрешен доступ в сеть - и все равно имеем:

Event5434 Endpoint conducted several failed  authentications of the same scenario
Failure Reason15039 Rejected per authorization profile

4. Никакие попытки не помогают пока не истечет час с момента добавления  mac адреса в группу, т.е. порт на коммутаторе shu/no shu, clear authen sess session-id 0A00040F0000...

p.s. нет такой комманды

SW24(config-if)#dot1x timeout r?

ratelimit-period 

может эта

SW24(config-if)#authentication timer reauthenticate 60

Cisco Employee

Дополнительно см.: https:/

Дополнительно см.: https://supportforums.cisco.com/blog/12093476/why-my-new-users-are-denied-access-ise-12

Cisco ISE 1.2.x и MAB авторизация

Похоже в этом была проблема, ISE блокировал подозрительное устройство на 60 минут

Cisco Employee

Cisco ISE 1.2.x и MAB авторизация

Отлично :-) Спасибо за скриншот!

1380
Просмотры
5
Полезный материал
5
Ответы
Не удалось отобразить этот виджет.