2.0版本说明
修订日期:2016年8月22日
这些版本说明介绍了思科身份服务引擎(ISE)版本2.0的功能、限制和约束(警告)以及相关信息,是对产品硬件和软件版本附带的思科ISE文档的补充,涵盖以下主题:•简介(第2页)•思科ISE版本2.0中的新增功能(第2页)•思科ISE许可证信息(第9页)•部署术语、节点类型和角色(第9页)•系统要求(第11页)•安装思科ISE软件(第14页)•升级思科ISE软件(第15页)•从CiscoSecureACS迁移至思科ISE(第17页)•CA与思科ISE实现互通性的要求(第17页)•思科ISE版本2.0中的已知限制(第17页)•思科ISE版本2.0中不支持的功能(第18页)•思科ISE安装文件、更新和客户端资源(第19页)•思科ISE版本2.0未解决的警告(第22页)•思科ISE版本2.0.0.306补丁更新(第25页)•思科ISE版本2.0已解决的警告(第31页)•文档勘误表(第33页)•相关文档(第33页)
思科系统公司
简介
简介
思科ISE平台是一款基于情景的下一代综合访问控制解决方案。
它不仅提供经过身份验证的网络访问、分析、安全状态、自带设备(BYOD)自行激活服务(本地请求方和证书调配)、访客管理和安全组访问服务,还在一个物理或虚拟设备上提供监控、报告和故障排除功能。
思科ISE可以在两款具有不同性能特征的物理设备上提供,也可以作为软件在VMware服务器上运行。
您可以向部署中添加更多设备,以增强性能、可扩展性和恢复能力。
思科ISE具有支持独立式和分布式部署的可扩展架构,该架构同时提供集中配置和管理。
它还允许配置和管理不同角色和服务。
通过这一功能,您可以根据网络中的具体需求创建并应用服务,但是仍然作为一个完整且协调的系统来运行思科ISE部署。
思科ISE版本2.0中的新增功能 思科ISE版本2.0提供以下功能和服务。
请参阅《思科身份服务引擎版本2.0管理员指南》,了解更多信息。
•TACACS+设备管理(第3页)•第三方设备支持(第3页)•TrustSec控制面板(第4页)•TrustSec矩阵增强功能(第4页)•TrustSec工作中心(第5页)•自动创建SGT(第5页)•对SXP的支持(第5页)•基于位置的授权(第5页)•对布尔属性的支持(第5页)•对EAP-TTLS协议的支持(第6页)•KVM虚拟机监控程序支持(第6页)•思科ISE遥感勘测(第6页)•证书调配门户(第6页)•证书模板扩展名(第7页)•思科ISE内部CA向ASAVPN用户发布证书(第7页)•基于GUI的升级(第7页)•高级故障排除的技术支持隧道(第7页)•移动设备管理增强功能(第7页)•对Meraki移动设备管理的支持(第7页)•pxGrid增强功能(第7页)•访客增强功能(第8页)•分析器增强功能(第8页)•安全状态增强功能(第8页)•客户端调配增强功能(第8页)•FIPS模式支持(第8页)•IPv6支持(第8页) 思科身份服务引擎版本2.0版本说明
2 思科ISE版本2.0中的新增功能 TACACS+设备管理 注意思科ISE要求安装设备管理许可证,才能使用TACACS+服务。
设备管理许可证是一种永久许可证。
如果您从较低版本升级至思科ISE版本2.0,且希望启用TACACS+服务,则您必须以单独的附加许可证的形式订购设备管理许可证。
您需要一个设备管理许可证来完成整个ISE部署。
思科ISE支持设备管理,使用TACACS+安全协议来控制和审核网络设备的配置。
对网络设备进行适当配置,使其请求ISE对设备管理员的操作进行身份验证和授权,并发送记帐消息以便ISE记录这些操作。
它有利于精细控制谁可以访问哪个网络设备,并更改相关的网络设置。
ISE管理员可创建策略集,从而可在设备管理访问服务的授权策略规则中选择TACACS结果(例如命令集和shell配置文件)。
ISE监控节点提供与设备管理相关的增强型报告。
“设备管理工作中心”(DeviceAdministrationWorkCenter)菜单包含所有设备管理页面,可用作ISE管理员的统一操作起点。
第三方设备支持 思科ISE通过使用网络设备配置文件来支持某些第三方网络访问设备(NAD)。
这些配置文件定义思科ISE用于支持访客、BYOD、MAB和安全状态等流量的功能。
思科ISE包含适用于几家供应商的网络设备的预定义配置文件。
我们已使用表1中列出的供应商设备对思科ISE2.0进行了测试。
表1在思科ISE2.0测试中使用的供应商设备 供应商 无线 Aruba7000、InstantAP MotorolaRFS4000 HP830 RuckusZD1200 有线 HP3800(ProCurve) Alcatel6850 BrocadeICX6610 对于其他第三方NAD,您必须在思科ISE中确定设备属性和功能并创建自定义NAD配置文件。
支持的/经过验证的使用案例 802.1X/无CoA的有CoA的MAB分析器分析器 √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ - √ √ √ √ √ 需要CoA支持 安全状态 √√√- 需要CoA和URL重定向支持 访客/BYOD √ √ √ - - - - 需要CoA和URL重定向支持 您可以为没有预定义配置文件的其他第三方网络设备创建自定义NAD配置文件。
对于访客、BYOD和安全状态等流量,设备需要支持RFC5176“授权更改”(CoA),以及可重定向至思科ISE门户的URL重定向机制。
是否支持这些流量取决于NAD的功能。
有关网络设备配置文件所需的很多属性的信息,可能需要参阅设备的管理指南。
有关如何创建自定义NAD配置文件的信息,请参阅《使用思科身份服务引擎创建的网络访问设备配置文件》文档。
如果您在采用版本2.0之前已经部署非思科NAD,并已创建使用这些NAD的策略规则/RADIUS字典,则升级之后这些配置文件照常有效。
有关网络设备配置文件以及如何创建、导入和导出它们的更多信息,请参阅《思科身份服务引擎管理指南》中的“管理网络设备”一章。
思科身份服务引擎版本2.0版本说明
3 思科ISE版本2.0中的新增功能 TrustSec控制面板 TrustSec控制面板是TrustSec网络的一种集中式监控工具。
“指标”(Metrics)小面板显示有关TrustSec网络行为的统计信息。
“活动SGT会话”(ActiveSGTSessions)小面板显示网络中当前活动的SGT会话。
“警报”(Alarms)小面板显示与TrustSec会话有关的警报。
“快速查看”(QuickView)小面板显示NAD和SGT的TrustSec相关信息。
点击“实时日志”(LiveLog)小面板中的“TrustSec会话”(TrustSecSessions)链接可查看活动TrustSec会话。
还可以查看有关NAD向思科ISE发送的TrustSec协议数据请求和响应的信息。
TrustSec矩阵增强功能 您可以使用思科ISE创建、命名并保存自定义视图。
要创建自定义视图,请选择显示(Display)>创建自定义视图(CreateCustomView)。
您还可以更新视图标准或删除未使用的视图。
您可以使用“出口策略”(EgressPolicy)页面的“视图”(View)下拉列表中的下列选项来更改矩阵视图:•“使用SGACL名称压缩”(CondensedwithSGACLnames)-如果选择此选项,则空白单元格 隐藏,且SGACL名称显示在单元格中。
•“不使用SGACL名称压缩”(CondensedwithoutSGACLnames)-空白单元格隐藏,且 SGACL名称不显示在单元格中。
如果您希望查看更多矩阵单元格并使用颜色、图案和图标(单元格状态)来区分单元格的内容,则此视图十分有用。
•“全屏且包含SGACL名称”(FullwithSGACLnames)-如果选择此选项,则左侧和上部菜单隐藏,且SGACL名称显示在单元格中。
•“全屏且不包含SGACL名称”(FullwithoutSGACLnames)-如果选择此选项,则矩阵以全屏模式显示,且SGACL名称不显示在单元格中。
您可以更改外观设置。
以下选项可用:•“自定义主题”(Customtheme)-最初显示的是默认主题(有颜色但无图案)。
您可以自己设置颜色和图案。
•“默认主题”(Defaulttheme)-预定义颜色列表但无图案(不可编辑)。
•“可访问性主题”(essibilitytheme)-预定义颜色列表且有图案(不可编辑)。
要使矩阵更易于阅读,可根据矩阵单元格内容对单元格使用合适的颜色和图案。
以下显示类型可用:•“允许IP/允许IP日志”(PermitIP/PermitIPLog)-在单元格内配置•“拒绝IP/拒绝IP日志”(DenyIP/DenyIPLog)-在单元格内配置•SGACL-适用于在单元格内配置的SGACL•“允许IP/允许IP日志(继承)”(PermitIP/PermitIPLog(Inherited))-取自默认策略(适用于未配置的单元格)•“拒绝IP/拒绝IP日志(继承)”(DenyIP/DenyIPLog(Inherited))-取自默认策略(适用于未配置的单元格)•“SGACL(继承)”(SGACL(Inherited))-取自默认策略(适用于未配置的单元格)状态图标用于显示单元格的状态。
要配置TrustSec矩阵设置,请选择工作中心(WorkCenters)>TrustSec>设置(Settings)>TrustSec矩阵设置(TrustSecMatrixSettings)。
思科身份服务引擎版本2.0版本说明
4 思科ISE版本2.0中的新增功能 TrustSec工作中心 所有TrustSec相关选项都整合在“TrustSec工作中心”(TrustSecWorkCenter)菜单之下(工作中心[WorkCenters]>TrustSec),因此管理员可在一个位置轻松访问所有TrustSec选项。
自动创建SGT 您可以使用思科ISE自动创建SGT,同时创建授权策略规则。
自动创建的SGT基于规则属性进行命名。
启用此选项后,“授权策略”(AuthorizationPolicy)页面顶部将显示“自动安全组创建已开启”(AutoSecurityGroupCreationisOn)消息。
点击“权限”(Permissions)字段中显示的加号(+)可编辑SGT名称和值。
默认情况下,在全新安装或升级之后此选项处于禁用状态。
对SXP的支持 安全组标记(SGT)交换协议(SXP)可用于跨无TrustSec硬件支持的网络设备传播SGT。
SXP可用于将终端的SGT以及IP地址从一台SGT感知网络设备传输至另一台此类设备。
要在一个节点上启用SXP服务,请选中“通用节点设置”(GeneralNodeSettings)页面中的“启用SXP服务”(EnableSXPService)复选框。
您还必须指定用于SXP服务的接口。
在每个SXP连接中,一个对等体被指定为SXP扬声器,另一个对等体被指定为SXP监听器。
也可将这些对等体配置为双向模式,其中每个对等体都可充当扬声器兼监听器。
可从任一对等体发起连接,但是映射信息始终是从扬声器传播至监听器。
基于位置的授权 思科ISE与思科移动业务引擎(MSE)集成,以便引入基于物理位置的授权功能。
思科ISE使用来自MSE的信息,根据MSE报告的用户实际位置来提供差异化的网络访问。
当一名用户处在合适的区域时,您可以借助此功能使用终端位置信息来提供网络访问。
您也可以将终端位置作为额外属性添加至策略中,从而定义更加精细化的基于设备位置的策略授权集。
在使用基于位置的属性的授权规则中,您可以配置一些条件,例如:MSE.LocationEqualsLND_Campus1:Building1:Floor2:SecureZone您可以使用CiscoPrime基础设施应用来定义位置层次结构(园区/楼宇/楼层结构)并配置安全和非安全区域。
定义位置层次结构后,您必须将位置层次结构数据与MSE服务器同步。
使用从MSE实例检索的位置数据创建位置树。
您可以使用位置树选择呈现给授权策略的位置条目。
对布尔属性的支持 思科ISE支持从ActiveDirectory和LDAP身份库中检索布尔属性。
您可以在配置ActiveDirectory或LDAP的目录属性时配置布尔属性。
在使用ActiveDirectory或LDAP进行身份验证时检索这些属性。
布尔属性可用于配置策略规则的条件。
布尔属性值作为字符串类型从ActiveDirectory或LDAP服务器获取。
思科身份服务引擎版本2.0版本说明
5 思科ISE版本2.0中的新增功能 如果您将布尔属性(例如msTSAllowLogon)配置为字符串类型,那么在思科ISE中,ActiveDirectory或LDAP服务器中的布尔值属性将设置为字符串属性。
您可以将属性类型更改为布尔型,或者手动将属性添加为布尔型。
对EAP-TTLS协议的支持 EAP-TTLS是一种可扩展EAP-TLS协议功能的双阶段协议。
第1阶段构建安全隧道,并生成在第2阶段使用的会话密钥,以便在服务器与客户端之间安全地建立属性和内部方法数据的隧道。
思科ISE可处理来自各种TTLS请求方的身份认证,包括:•Windows上的AnyConnect网络访问管理器(NAM)•Windows8.1本地请求方•SecureW2(在MultiOS上也称为JoinNow)•MACOSX本地请求方•IOS本地请求方•基于Android的本地请求方•LinuxWPA请求方 KVM虚拟机监控程序支持 思科ISE支持RedHatEnterpriseLinux(RHEL)7.0上的KVM虚拟机监控程序。
KVM虚拟化需要主机处理器提供的虚拟化支持;包括Intel处理器的IntelVT-x和AMD处理器的AMD-
V。
在主机上打开一个终端窗口,并输入cat/proc/cpuinfo命令。
您会看到vmx或svm标志。
有关更多信息,请参阅《思科身份服务引擎版本2.0硬件安装指南》中的“在LinuxKVM上安装思科ISE”一章。
思科ISE遥感勘测 当您登录管理员门户之后,系统会立即显示思科ISE遥感勘测横幅。
思科ISE安全地搜集与您的部署、网络访问设备、分析器以及您正在使用的其他服务有关的非敏感信息。
收集的数据将用于在将来的版本中为您提供更好的服务和其他功能。
思科安全地收集遥感勘测信息,以便更好地了解思科ISE的使用情况,并改善本产品及其提供的各种服务。
默认情况下,系统会启用遥感勘测功能。
如果您不希望使用思科ISE遥感勘测功能,可从“ISE管理员门户”(ISEAdminPortal)禁用此功能(“管理”[Administration]>“系统”[System]>“设置”[Settings]>“遥测设置”[TelemetrySettings])。
证书调配门户 员工可使用证书调配门户为无法通过自行激活流程的设备请求证书。
例如,销售点终端等设备无法执行BYOD流程,需要手动发布证书。
特权用户组可使用证书调配门户为此类设备上传证书请求、生成密钥对(如需要)和下载证书。
员工可访问此门户,并请求单个证书或使用CSV文件提出批量证书请求。
思科身份服务引擎版本2.0版本说明
6 思科ISE版本2.0中的新增功能 证书模板扩展名 思科ISE内部CA包含一个表示用于创建终端证书的证书模板的扩展名。
内部CA发布的所有终端证书都包含一个证书模板扩展名。
您可以在授权策略条件中使用CERTIFICATE:TemplateName属性,并根据评估结果分配合适的访问特权。
思科ISE内部CA向ASAVPN用户发布证书 内部ISECA可向通过ASAVPN连接的客户端计算机发布证书。
思科ISE使用简单证书注册协议(SCEP)进行注册,并向客户端计算机调配证书。
基于GUI的升级 思科ISE提供从管理员门户进行基于GUI的集中式升级。
升级过程非常简单,且屏幕上会显示升级过程和节点状态。
注意基于GUI的升级仅适用于从版本2.0升级至更高版本。
高级故障排除的技术支持隧道 思科ISE使用CiscoIronPortTunnel基础设施来创建一个安全隧道,以便思科技术支持工程师可连接至您的部署环境中的ISE服务器,并对系统问题进行故障排除。
思科ISE使用SSH在隧道中创建安全连接。
作为管理员,您可以控制隧道访问。
您可以选择授予支持工程师的访问时间和时长。
如果没有您的干预,则思科客户支持无法建立隧道。
您将收到有关服务登录的通知。
您可以随时禁用隧道连接。
移动设备管理增强功能 在ISE网络外部的活动MDM服务器上注册的终端可使用思科ISE2.0连接至ISE网络,而无需重新向MDM服务器注册。
当终端连接至ISE网络时,MDM门户向MDM服务器请求该终端。
如果服务器在返回结果中确认终端是合规的,则ISE发布一条授权更改通知,并允许终端访问网络。
如果终端未向MDM服务器注册,则其必须执行注册流程。
对Meraki移动设备管理的支持 思科ISE支持MerakiMDM服务器。
pxGrid增强功能 pxGrid客户端可通过ISE2.0创建并设置新功能,而无需更新网格中的所有其他参与者。
管理员可在管理(Administration)>pxGrid服务(pxGridServices)>按功能查看(ViewbyCapabilities)页面启用该新功能。
思科身份服务引擎版本2.0版本说明
7 思科ISE版本2.0中的新增功能 访客增强功能 现在,发起人可在发起人门户中更改现有访客帐户的访客类型。
分析器增强功能 某些功能支持IPv6寻址。
有关详细信息,请参阅IPv6支持(第8页)。
安全状态增强功能 思科ISE支持以下功能:•磁盘加密检查。
用于保护写入磁盘的信息,并防止对数据存储空间的未授权访问。
您仅在使 用AnyConnectISE安全状态代理时才可将磁盘加密条件与安全状态要求相关联。
•SHA-256文件检查。
可为管理员检查文件完整性提供一种更加安全的方式。
•适用于OSX的属性列表文件检查。
便于管理员检查指定文件中的指定属性值。
•适用于OSX的后台守护程序检查增强功能。
管理员可使用该功能来检查后台守护程序或用 户代理的运行状态。
•用于文件检查的额外变量。
为用户目录提供变量,使得管理员可在用户目录中执行文件检查。
客户端调配增强功能 您只需运行一次SPW即可配置多个WiFiSSID(NSP配置文件)。
第一个配置文件是活动配置文件。
对于Windows和Mac而言,第一个配置文件的代理设置将会应用到全局(适用于所有后续配置文件)。
自动配置代理设置时将使用代理自动配置文件URL,支持它的操作系统包括iOS、MACOS、Windows和Android5.0或更高版本。
如果未定义代理自动配置文件URL,则所有操作系统都将使用代理主机/端口。
但是,所有Android5.x之前的版本都将使用代理主机/端口。
FIPS模式支持 思科身份服务引擎使用经过FIPS140-2验证的嵌入式加密模块-思科通用加密模块(证书编号1643和2100)。
有关FIPS合规性要求的详细信息,请参阅FIPS合规性证书。
IPv6支持 思科ISE版本2.0支持以下IPv6功能: •支持启用IPv6的终端:思科ISE可检测、管理和保护来自终端的IPv6流量。
您可以使用IPv6属性来在思科ISE中配置授权配置文件和策略,以处理来自启用IPv6的终端的请求,并确保该终端合规。
•报告中的IPv6支持:版本2.0中的报告支持IPv6值。
“实时会话”(LiveSession)和“实时身份验证”(LiveAuthentication)页面也支持IPv6值。
•CLI中的IPv6支持:版本2.0在以下CLI命令中支持IPv6: –ipv6address-可对每个网络接口配置静态IPv6地址 –ipv6enable-可在所有网络接口上启用或禁用IPv6 思科身份服务引擎版本2.0版本说明
8 思科ISE许可证信息 –ipv6route-可配置IPv6静态路由–iphost-可在主机本地表中添加IPv6地址–showIPv6route-可显示IPv6的路由请参阅《思科身份服务引擎CLI参考指南》,查看有关这些命令的更多信息。
思科ISE许可证信息 思科ISE许可提供管理应用功能和访问权限的功能,例如,可以使用思科ISE网络资源的并发终端的数量。
许可证仅适用于无线及VPN,或在LAN部署中仅适用于有线。
它以不同的软件包提供,包括Base、Plus、PlusAC、Apex、ApexAC、设备管理、移动和移动升级。
所有思科ISE设备均附带一个90天的Evaluation许可证。
要在90天的Evaluation许可证到期后继续使用思科ISE服务,并且要在网络上支持超过100个并发终端,必须根据系统上的并发用户数量获取和注册Base许可证。
如果需要附加功能,则需要Plus和/或Apex许可证才能启用该功能。
注意思科ISE要求安装设备管理许可证,才能使用TACACS+功能。
有关更多信息,请参阅TACACS+设备管理(第3页)的功能说明。
思科ISE版本2.0支持拥有两个UID的许可证。
您可以根据主要和辅助管理节点的UID获取许可证。
有关许可证类型以及如何获取思科ISE许可证的详细信息,请参阅《思科身份服务引擎版本2.0管理指南》中的“思科ISE许可证”一章。
有关思科ISE版本2.0许可证的更多信息,请参阅《思科身份服务引擎(ISE)产品手册》。
部署术语、节点类型和角色 思科ISE提供支持独立式和分布式部署的可扩展架构。
表2思科ISE部署术语 术语服务节点 角色部署模式 说明 角色提供的特定功能,例如网络访问、分析器、安全状态、安全组访问和监控。
运行思科ISE软件的单个实例。
思科ISE可作为设备提供,也可以作为软件在VMware服务器上运行。
运行思科ISE软件的各个实例都叫作节点,不管这些实例是在思科ISE设备上还是在VMware服务器上运行。
确定节点提供的服务。
思科ISE节点可以承担以下任意或所有角色:管理、策略服务和监控。
决定您的部署是独立式、高可用性独立式(基本双节点部署)还是分布式部署。
思科身份服务引擎版本2.0版本说明
9 部署术语、节点类型和角色 节点类型和角色 思科ISE网络具有以下类型的节点:•可承担以下任意角色的思科ISE节点: –管理-允许您为思科ISE执行所有管理操作。
此节点处理与诸如身份验证、授权和审核等功能有关的所有系统相关配置。
在分布式环境中,您可以有一个节点,或者最多两个运行管理角色且配置为一主一辅的节点。
如果主要管理节点出现故障,您可以手动升级辅助管理节点,也可以为管理角色配置自动故障切换。
有关配置自动故障切换的更多信息,请参阅《思科身份服务引擎版本2.0管理指南》中的“为主要管理节点配置自动故障切换”部分。
–策略服务-供网络访问、安全状态分析、自带设备(BYOD)自行激活服务(本地请求方和证书调配)、访客接入以及分析服务。
此角色评估策略并作出所有决策。
您可以让多个节点承担此角色。
通常,在分布式部署中会有多个策略服务角色。
驻留在负载均衡器后面的所有策略服务角色可以组合在一起,形成一个节点组。
如果节点组中的一个节点发生故障,组中的其他节点会处理故障节点收到的请求,从而实现高可用性。
注意分布式设置中至少有一个节点应当承担策略服务角色。
–监控-使思科ISE能够充当日志收集器,并存储网络中思科ISE节点上的所有管理和策略服务角色产生的日志消息。
此角色提供高级监控和故障排除工具,可用于有效地管理网络和资源。
承担此角色的节点会将其收集的数据汇聚并关联,以提供有意义的报告。
思科ISE最多允许存在一主一辅两个承担此角色的节点,以实现高可用性。
主要和辅助监控角色均会收集日志消息。
如果主要监控角色出现故障,辅助监控角色会自动承担起主要监控角色的职责。
注意在分布式设置中,至少应有一个节点承担监控角色。
建议在独立的专用节点上配置监控角色,以便提高数据收集和报告的性能。
–pxGrid-通过CiscopxGrid方法,网络和安全设备可使用安全发布和订用机制与其他设备共享数据。
这些服务适用于在ISE外部使用以及与pxGrid对接的应用。
pxGrid服务可以在整个网络中共享情景信息,以识别策略和共享通用策略对象。
这有助于扩展策略管理。
表3分布式部署中的建议节点和角色数量 节点/角色管理监控策略服务 pxGrid 部署中的最小数量111
0 部署中的最大数量2(配置为高可用性对)2(配置为高可用性对)•2-当管理/监控/策略服务角色配置于相同的主要/ 辅助设备上时 •5-当管理和监控角色配置于相同的设备上时•40-当每个角色配置于专用设备上时2(配置为高可用性对) 您可以更改节点的角色。
有关如何在思科ISE节点上配置角色的信息,请参阅《思科身份服务引擎版本2.0管理指南》中的“在分布式环境中设置思科ISE”一章。
思科身份服务引擎版本2.0版本说明 10 系统要求 系统要求 •支持的硬件(第11页)•支持的虚拟环境(第12页)•支持的浏览器(第12页)•支持的密码套件(第12页)•支持的设备和代理(第13页)•支持MicrosoftActiveDirectory(第13页)•支持的防病毒和反间谍软件产品(第13页) 注意有关思科ISE硬件平台和安装的更多详情,请参阅《思科身份服务引擎版本2.0硬件安装指南》。
支持的硬件 思科ISE软件与设备或安装映像文件一同提供。
以下平台附带思科ISE版本2.0。
安装完成后,您可以在表4中列出的平台上使用指定组件角色(管理、策略服务、监控和pxGrid)配置思科ISE。
表4支持的硬件和角色 硬件平台 角色 配置 CiscoSNS-3415-K9(小型) CiscoSNS-3495-K9(大型) 任意 有关设备的硬件规格(表3),请参阅《思科身份服务引擎(ISE)产品手册》。
思科ISE-VM-K9(VMware,Linux KVM) •有关CPU和内存的建议,请参阅《思科身份服务引擎版本2.0硬件安装指南》中的“VMware设备选型建议”部分。
1 •有关硬盘大小的建议,请参阅《思科身份服务引擎版本2.0硬件安装指南》中的“磁盘空间要求”部分。
•NIC-需要1GBNIC接口。
您最多可以安装4个NIC。
•支持的虚拟机版本包括:–ESXi5.x,6.x –RHEL7.0上的KVM
1.任何VM设备配置均不支持少于8GB的内存分配。
如果思科ISE出现行为问题,所有用户都需要将分配的内存更改为至少8GB,再提交支持请求。
注意旧版ACS和NAC设备(包括思科ISE3300系列)不支持思科ISE版本2.0。
思科身份服务引擎版本2.0版本说明 11 系统要求 支持的虚拟环境 思科ISE支持以下虚拟环境平台:•VMwareESXi5.x、6.x•RHEL7.0上的KVM 支持的浏览器 管理员门户支持的浏览器包括:•MozillaFirefox版本39及更高版本•GoogleChrome版本43及更高版本•MicrosoftExplorer9.x、10.x和11.x 如果使用Explorer10.x,请启用TLS1.1和TLS1.2,并禁用SSL3.0和TLS1.0(“选项”[Options]>“高级”[Advanced])。
注意必须在运行您的客户端浏览器的系统上安装AdobeFlashPlayer11.1.0.0或更高版本。
查看思科ISE管理员门户并实现更好的用户体验所需的最低屏幕分辨率是1280x800像素。
支持的密码套件 思科ISE版本2.0支持以下符合FIPS的密码:支持TLS版本1.0、1.1和1.2。
•对于EAP-TLS、PEAP、EAP-FAST、EAP-TTLS: –DHE_RSA_WITH_AES_256_SHA256–DHE_RSA_WITH_AES_128_SHA256–RSA_WITH_AES_256_SHA256–RSA_WITH_AES_128_SHA256–DHE_RSA_WITH_AES_256_SHA–DHE_RSA_WITH_AES_128_SHA–RSA_WITH_AES_256_SHA–RSA_WITH_AES_128_SHA•对于EAP-FAST匿名调配:–ADH_WITH_AES_128_SHA思科ISE版本2.0不支持不符合FIPS的密码。
不支持以下密码:•RSA_DES_192_CBC3_SHA•EDH_RSA_DES_192_CBC3_SHA•EDH_DSS_DES_192_CBC3_SHA•RSA_RC4_128_SHA•RSA_RC4_128_MD5•EDH_RSA_DES_64_CBC_SHA 思科身份服务引擎版本2.0版本说明 12 系统要求 •EDH_DSS_DES_64_CBC_SHA•RSA_RC4_128_SHA 注意如果您拥有使用这些已弃用密码的旧版设备,请联系思科技术支持中心获取支持。
支持的设备和代理 有关支持的设备、浏览器和代理,请参阅《思科身份服务引擎网络组件兼容性》。
思科NAC代理互通性 思科NAC代理版本4.9.5.8是思科NAC设备版本4.9(1)4.9
(3)、4.9
(4)、4.9
(5)以及思科ISE版本1.1.3补丁11、1.1.4补丁11、1.2.0、1.2.1、1.3、1.4和2.0的一个通用代理。
在用户需要在ISE和NAC部署之间漫游的环境中部署NAC代理时,建议使用上述型号。
支持MicrosoftActiveDirectory 思科ISE版本2.0适用于所有功能级别的MicrosoftActiveDirectory服务器2003、2008、2008R2、2012和2012R2。
思科ISE不支持MicrosoftActiveDirectory版本2000及其功能级别。
思科ISE2.0支持与ActiveDirectory基础设施进行多林/多域集成,以支持在整个大型企业网络中执行身份验证和属性收集。
思科ISE2.0最多支持50个域连接点。
支持的防病毒和反间谍软件产品 有关思科NAC代理和思科NACWeb代理对具体防病毒和反间谍软件产品的支持详情,请访问以下链接:/c/en/us/support/security/identity-services-engine/products-release-notes-list.html思科NACWeb代理拥有静态合规性模块,在不升级Web代理的情况下无法升级这些模块。
下表列出的是Web代理版本和兼容的合规性模块版本。
表5Web代理及合规性模块版本 思科NACWeb代理版本4.9.5.34.9.5.24.9.4.34.9.0.10074.9.0.1005 合规性模块版本3.6.9845.23.6.9186.23.6.8194.23.5.5980.23.5.5980.2 思科身份服务引擎版本2.0版本说明 13 安装思科ISE软件 安装思科ISE软件 要在思科SNS-3415和SNS-3495硬件平台上安装思科ISE版本2.0,请打开新设备,并配置思科集成管理控制器(CIMC)。
然后,您可以使用CIMC或可引导USB通过网络安装思科ISE版本2.0。
注意使用虚拟机(VM)时,在将.ISO映像或OVA文件安装到VM上之前,我们建议使用NTP服务器为访客VM设置正确的时间。
根据《思科身份服务引擎版本2.0硬件安装指南》中的说明,执行思科ISE初始配置。
运行安装程序之前,请确保您已了解表6中列出的配置参数。
表
6 思科ISE网络安装配置参数 提示Hostname (eth0)interfaceaddressNetmaskDefaultgatewayDNSdomainname PrimarynameserverAdd/Editanothernameserver PrimaryNTPserverAdd/EditanotherNTPserver SystemTimeZone 说明不得超过19个字符。
有效字符包括字母数字(A–Z、a–z、0–9)和连字符(-)。
第一个字符必须是字母。
必须是千兆以太网0(eth0)接口的有效IPv4地址。
必须是有效的IPv4网络掩码。
必须是默认网关的有效IPv4地址。
不能是IP地址。
有效字符包括ASCII字符、任意数字、连字符(-)和句点(.)。
必须是主要域名服务器的有效IPv4地址。
(可选)允许您配置多个域名服务器。
必须是其他域名服务器的有效IPv4地址。
必须是网络时间协议(NTP)服务器的有效IPv4地址或主机名。
(可选)允许您配置多个NTP服务器。
必须是有效的IPv4地址或主机名。
必须是有效时区。
有关详细信息,请参阅《思科身份服务引擎版本2.0CLI参考指南》,该文档提供思科ISE支持的时区列表。
例如,对于太平洋标准时间(PST),系统时区为PST8PDT(或协调世界时[UTC]减8小时)。
参照的时区均为最常用的时区。
您可以从思科ISECLI运行showtimezones命令,获取受支持时区的完整列表。
注我们建议您将所有思科ISE节点都设置为UTC时区。
此 设置可确保来自部署中各种节点的报告、日志和安全状态代理日志文件始终与时间戳同步。
示例isebeta1 10.12.13.14 255.255.255.010.12.13.1 10.15.20.25 输入y以添加额外域名服务器,或者输入n以配置下一个参数。
clock.nist.gov 输入y以添加额外NTP服务器,或者输入n以配置下一个参数。
UTC(默认值) 思科身份服务引擎版本2.0版本说明 14 升级思科ISE软件 表
6 思科ISE网络安装配置参数(续) 提示Username Password 说明 标识用于对思科ISE系统进行CLI访问的管理用户名。
如果选择不使用默认值(admin),则必须创建新用户名。
用户名的长度必须为三至八个字符,并且由有效的字母数字字符(A–Z、a–z或0–9)组成。
标识用于对思科ISE系统进行CLI访问的管理密码。
您必须创建此密码(无默认值)。
密码长度必须至少为六个字符,并且至少包含一个小写字母(a–z)、一个大写字母(A–Z)和一个数字(0–9)。
示例admin(默认值) MyIseYPass2 注意有关配置和管理思科ISE的更多信息,请参阅适用于具体版本的文档(第33页)以查看思科ISE文档集中的其他文档。
。
升级思科ISE软件 您可以从以下任何版本直接升级到思科ISE版本2.0:•思科ISE版本1.3•思科ISE版本1.4如果您的版本低于思科ISE版本1.3,则必须先升级到上述版本之
一,然后才能升级到版本2.0。
按照《思科身份服务引擎版本2.0升级指南》中的升级说明升级至思科ISE版本2.0。
注意当您升级至思科ISE版本2.0时,可能需要开启之前的思科ISE版本中未使用的网络端口。
有关更多信息,请参阅《思科身份服务引擎版本2.0硬件安装指南》中的“思科ISE端口参考”。
升级注意事项和要求 升级至思科ISE版本2.0之前,请阅读以下部分:•必须开放用于通信的防火墙端口(第16页)•管理员用户在升级后无法访问ISE登录页面(第16页)•将思科ISE重新加入ActiveDirectory(第16页)•发起人登录失败(第16页)•为新访客类型更新授权策略(第16页)•其他已知升级注意事项和问题(第16页) 思科身份服务引擎版本2.0版本说明 15 升级思科ISE软件 必须开放用于通信的防火墙端口 思科ISE版本2.0中的复制端口已更改。
如果您已在主管理节点与任何其他节点之间部署防火墙,则升级至版本2.0前必须开放以下端口:•TCP1521-用于主管理节点与监控节点之间的通信。
•TCP443-用于主管理节点与所有其他辅助节点之间的通信。
•TCP12001-用于全局集群复制。
•TCP7800和7802-(仅在节点组中包含策略服务节点时适用)用于PSN组集群。
如需了解思科ISE版本2.0使用的端口的完整列表,请参阅《思科身份服务引擎版本2.0硬件安装指南》中的“思科ISE端口参考”。
管理员用户在升级后无法访问ISE登录页面 如果在升级前为思科ISE的管理访问启用了基于证书的身份验证(管理[Administration]>管理员访问[Adminess]),并使用ActiveDirectory作为您的身份源,则升级后您将无法启动ISE登录页面,这是因为升级期间会丢失与ActiveDirectory的连接。
解决方法从思科ISECLI使用下列命令以安全模式启动ISE应用:applicationstartisesafe该命令可在安全模式下启动思科ISE节点,并且您可以使用内部管理员用户凭证登录ISEGUI。
登录后,您可以将ISE连接至ActiveDirectory。
将思科ISE重新加入ActiveDirectory 如果使用ActiveDirectory作为外部身份源,请确保您拥有ActiveDirectory凭证。
升级后,可能会丢失ActiveDirectory连接。
如果发生此问题,您必须将思科ISE重新加入ActiveDirectory。
重新加入后,请执行外部身份源调用流程以确保连接。
发起人登录失败 升级流程并不会迁移所有发起人组。
在访客角色的创建中未使用的发起人组不会被迁移。
由于此变更,升级到版本2.0后部分发起人(内部数据库或ActiveDirectory用户)可能无法登录。
请检查发起人组映射,查看哪些发起人无法登录发起人门户,然后将他们映射到适当的发起人组。
为新访客类型更新授权策略 在升级至思科ISE2.0后,创建的新访客类型与升级后的授权策略不匹配。
您需确保根据新的访客类型更新授权策略。
其他已知升级注意事项和问题 有关其他已知的升级注意事项和问题,请参阅《思科身份服务引擎版本2.0升级指南》。
思科身份服务引擎版本2.0版本说明 16 从CiscoSecureACS迁移至思科ISE 从CiscoSecureACS迁移至思科ISE 您只能从CiscoSecureACS版本5.5和5.6直接迁移至思科ISE版本2.0。
有关从CiscoSecureACS版本5.5和5.6迁移至思科ISE版本2.0的信息,请参阅《思科身份服务引擎迁移工具指南》。
您无法从CiscoSecureACS5.1、5.2、5.3、5.4、4.x或更低版本或者从思科网络准入控制(NAC)设备迁移至版本2.0。
要从CiscoSecureACS版本4.x、5.1、5.2、5.3或5.4迁移,您必须先升级到ACS版本5.5或5.6,然后再迁移至思科ISE版本2.0。
CA与思科ISE实现互通性的要求 配合思科ISE使用CA服务器时,请确保满足以下要求:•密钥大小应为1024、2048或更高。
在CA服务器中,密钥大小使用证书模板定义。
您可以使 用请求方配置文件在思科ISE上定义密钥大小。
•密钥使用应允许在扩展中应用签名和加密。
•通过SCEP协议使用GetCACapabilities时,应支持加密算法和请求散列。
建议使用RSA+ SHA1。
•支持在线证书状态协议(OCSP)。
虽然这在自带设备(BYOD)中并不会直接使用,但是可以使 用能充当OCSP服务器的CA来撤销证书。
思科ISE版本2.0中的已知限制 本节列出版本2.0中的已知限制:•请勿删除默认的内部思科ISECA模板(第17页)•升级前请勿安装补丁(第18页)•LDAP导入的访客帐户无法从版本1.2升级(第18页)•从1.2升级时无法看到LDAP发起人创建的访客用户(第18页)•Android设备上的TLS身份验证不使用由分配的证书颁发机构颁发的证书(第18页)•EKU验证:OCSP签名证书为根CA返回未知响应(第18页) 请勿删除默认的内部思科ISECA模板 内部思科ISECA配有两个默认的证书模板:•CA_SERVICE_Certificate_Template-当其他网络设备使用思科ISE作为CA时,思科ISE使 用此模板发布证书。
例如,该模板适用于通过ASAVPN连接的客户端计算机。
•EAP_Authentication_Certificate_Template-思科ISE根据此模板为EAP身份验证发布证书。
请勿删除这些默认的证书模板。
如果要自定义证书模板,您可以创建一个新的,或者复制并编辑现有模板。
思科身份服务引擎版本2.0版本说明 17 思科ISE版本2.0中不支持的功能 升级前请勿安装补丁 在升级过程中,请勿同时在部署中的任何节点上安装补丁。
应当在部署升级完成后安装补丁。
LDAP导入的访客帐户无法从版本1.2升级 在升级到1.3、1.4、2.0或2.1期间,无法迁移由通过LDAP身份验证的发起人在版本1.2中导入的访客。
从1.2升级时无法看到LDAP发起人创建的访客用户 从版本1.2升级到1.3、1.4、2.0或2.1时,由通过LDAP身份验证的发起人创建的访客仅对直接发起人可见。
相同发起人组中的其他发起人将看不到这些访客。
Android设备上的TLS身份验证不使用由分配的证书颁发机构颁发的证书 当您执行以下配置时,会发生此问题:•思科ISE中的内部和外部证书颁发机构(CA)。
•分别使用内部和外部CA进行TLS身份验证的两个配置文件(SSID1和SSID2)。
从思科ISE调配的证书导入至AnyConnect证书存储空间中。
有时候,无线网络在连接至网络时会使用众多证书的其中一个。
例如,当一台Android设备使用SSID1连接至网络时,用于身份验证的证书由内部CA颁发。
当第二台Android设备使用SSID2连接至网络时,用于身份验证的证书也由内部CA颁发,而非由外部CA颁发(按照SSID2中的配置)。
此问题只出现在Android设备中,并且没有解决方法。
思科建议您使用供应商提供的所有补丁包和升级包更新您的Android设备。
EKU验证:OCSP签名证书为根CA返回未知响应 BouncyCastleOCSP签名证书为根CA返回一个“未知”响应。
如果您已经将思科ISE配置为当OCSP服务返回未知的证书状态时拒绝请求,则思科ISE会拒绝正在评估的证书,且用户身份验证失败。
此问题出现在BouncyCastle版本1.6.145生成的证书中。
无解决办法。
思科ISE版本2.0中不支持的功能 本节列出版本2.0中不支持的功能:•内联安全状态节点(IPN/iPEP)(第18页) 内联安全状态节点(IPN/iPEP) 思科ISE版本2.0不再支持IPN/iPEP配置。
思科身份服务引擎版本2.0版本说明 18 思科ISE安装文件、更新和客户端资源 思科ISE安装文件、更新和客户端资源 您可以使用以下三种资源下载文件,为思科ISE调配和提供策略服务:•从“下载软件”(DownloadSoftware)中心获取思科ISE下载文件(第19页)•思科ISE实时更新(第19页)•思科ISE离线更新(第20页) 从“下载软件”(DownloadSoftware)中心获取思科ISE下载文件 除了安装思科ISE软件(第14页)中描述的执行思科ISE全新安装所需的.ISO安装程序包,您还可以使用软件下载网页检索其他思科ISE软件元素,比如Windows和MacOSX代理安装程序和AV/AS合规性模块。
下载的代理文件可用于在支持的终端中执行手动安装,也可通过第三方软件分发软件包进行大规模部署。
要访问思科“下载软件”(DownloadSoftware)中心并下载必要的软件: 步骤1步骤
2 步骤
3 转到“下载软件”(DownloadSoftware)网页:?
a=a&i=rpm。
您可能需要提供登录凭证。
依次导航至产品(Products)>安全(Security)>访问控制和策略(essControlandPolicy)>思科身份服务引擎(CiscoIdentityServicesEngine)>思科身份服务引擎软件(CiscoIdentityServicesEngineSoftware)。
从以下思科ISE安装程序和可供下载的软件包中进行选择: •思科ISE安装程序.ISO映像 •用于Windows和MacOSX本地请求方的调配向导 •Windows客户端计算机代理安装文件(包括用于执行动手调配的MST和MSI版本) •MacOSX客户端计算机代理安装文件 •AnyConnect代理安装文件 •AV/AS合规性模块 点击下载(Download)或加入购物车(AddtoCart)。
思科ISE实时更新 通过思科ISE实时更新位置,您能够让系统自动下载请求方调配向导、适用于Windows和MacOSX的思科NAC代理、AV/AS支持(合规性模块)以及支持客户端调配和状态策略服务的代理安装程序包。
您应于初次部署时在思科ISE中配置这些实时更新门户,以便直接从为思科ISE设备获取最新的客户端调配和状态软件。
思科身份服务引擎版本2.0版本说明 19 思科ISE安装文件、更新和客户端资源 前提条件:如果无法访问默认的更新源URL,且您的网络要求使用代理服务器,您可能需要在管理(Administration)>系统(System)>设置(Settings)>代理(Proxy)中配置代理设置,然后才能访问实时更新位置。
如果启用了代理设置以便访问分析器和状态/客户端调配源,则与MDM服务器的连接可能被中断,因为思科ISE无法为MDM通信绕过代理服务。
要解决此问题,您可以将代 理服务配置为允许和MDM服务器通信。
有关代理设置的更多信息,请参阅《思科身份服务引擎版本2.0管理员指南》中“管理思科ISE”一章的“在思科ISE中指定代理设置”部分。
客户端调配和安全状态实时更新门户:•客户端调配门户-/web/secure/pmbu/provisioning-update.xml 此URL提供以下软件元素: –用于Windows和MacOSX本地请求方的调配向导 –Windows版最新思科ISE永久代理和临时代理 –MacOSX版最新思科ISE永久代理 –ActiveX和Java小应用程序的安装程序帮助工具 –AV/AS合规性模块文件有关将此门户上已可用的软件包自动下载至思科ISE的更多信息,请参阅《思科身份服务引擎版本2.0管理员指南》中“配置客户端调配”一章的“自动下载客户端调配资源”部分。
•安全状态门户-/web/secure/pmbu/posture-update.xml 此URL提供以下软件元素: –思科预定义的检查和规则 –Windows和MacOSXAV/AS支持图表 –思科ISE操作系统支持有关将此门户上已可用的软件包自动下载至思科ISE的更多信息,请参阅《思科身份服务引擎版本2.0管理员指南》中“配置客户端安全状态策略”一章中的“自动下载安全状态更新”部分。
如果不启用上述自动下载功能,您可以选择离线下载更新。
请参阅思科ISE离线更新(第20页)。
思科ISE离线更新 通过思科ISE离线更新,您可以手动下载请求方调配向导、代理、AV/AS支持、合规性模块以及支持客户端调配和状态策略服务的代理安装程序包。
当从思科ISE设备通过互联网直接访问不可用或者安全策略不允许时,您可以使用此选项上传客户端调配和安全状态更新。
离线更新不适用于分析器源服务。
要上传离线客户端调配资源: 步骤1步骤
2 转到“下载软件”(DownloadSoftware)网页:?
a=a&i=rpm。
您可能需要提供登录凭证。
依次导航至产品(Products)>安全(Security)>访问控制和策略(essControlandPolicy)>思科身份服务引擎(CiscoIdentityServicesEngine)>思科身份服务引擎软件(CiscoIdentityServicesEngineSoftware)。
思科身份服务引擎版本2.0版本说明 20 思科ISE安装文件、更新和客户端资源 步骤
3 从下列可下载的离线安装程序包中选择:•win_spw-<版本>-isebundle.zip-适用于Windows的离线SPW安装程序包•mac-spw-<版本>.zip-适用于MacOSX的离线SPW安装程序包•pliancemodule-<版本>-isebundle.zip-离线合规性模块安装程序包•macagent-<版本>-isebundle.zip-离线Mac代理安装程序包•nacagent-<版本>-isebundle.zip-离线NAC代理安装程序包•webagent-<版本>-isebundle.zip-离线Web代理安装程序包点击下载(Download)或加入购物车(AddtoCart)。
有关将已下载安装版本包添加至思科ISE的更多信息,请参阅《思科身份服务引擎版本2.0管理员指南》中“配置客户端调配”一章的“从本地计算机添加客户端调配资源”部分。
您可以使用安全状态更新,以离线方式通过本地系统上的存档为Windows和Macintosh操作系统更新检查、操作系统信息以及防病毒和反间谍软件支持图表。
要进行离线更新,您需要确保存档文件版本与配置文件中的版本一致。
您可以在已配置思科ISE且想要为状态策略服务启用动态更新时使用离线状态更新。
要上传离线安全状态更新: 步骤
1 步骤2步骤3步骤4步骤5步骤
6 转至:。
将posture-offline.zip文件保存到本地系统。
此文件用于为Windows和Macintosh操作系统更新操作系统信息、检查、规则以及防病毒和反间谍软件支持图表。
访问思科ISE管理员用户界面,然后依次选择管理(Administration)>系统(System)>设置(Settings)>安全状态(Posture)。
点击箭头查看安全状态的设置。
选择更新(Updates)。
系统将显示“安全状态更新”(ProductUpdates)页面。
在“安全状态更新”(PostureUpdates)页面,选择离线(Offline)选项。
从“待更新文件”(Filetoupdate)字段,点击浏览(Browse),以从您的系统的本地文件夹中找到单个存档文件(posture-offline.zip)。
注意“待更新文件”(FiletoUpdate)字段是必填字段。
您可以选择包含适当文件的单个存档文件(.zip)。
不支持.zip之外的其他存档文件,例如.tar和.gz。
步骤
7 点击现在更新(UpdateNow)按钮。
更新后,“安全状态更新”(PostureUpdates)页面的“更新信息”(UpdateInformation)下将显示当前思科更新版本的信息。
思科身份服务引擎版本2.0版本说明 21 思科ISE版本2.0未解决的警告 思科ISE版本2.0未解决的警告 •未解决的警告(第22页)•待解决的代理警告(第24页) 未解决的警告 表7思科ISE版本2.0未解决的漏洞 警告CSCuy84839 说明ISE2.0中配置的默认规则从拒绝访问更改为内部用户。
CSCus91272CSCut18311CSCut33204 解决方法配置。
每次重新启动后,从GUI审核策略配置,如果出现问题则重新 由于EAP标识符不匹配,使用本地请求方的EAP-TTLS与EAP-MSCHAPv2身份验证失败。
在RADIUS身份验证报告的CVS文件中,如果身份验证失败,则RADIUS状态值显示为
0,如果身份验证通过则显示为
1,而不显示Pass或Fail。
不能使用包含正斜杠(\)的字符串搜索报告。
例如,Cisco\。
它不会返回相应的结果。
CSCut64610CSCuv03825 解决方法执行搜索时请勿使用正斜杠。
操作审核报告不显示以下更改: •身份验证策略:所有CRUD操作都记录为配置更改,而不会具体地记录为创建、更新或删除。
•策略(Policy)>策略元素(PolicyElements)>结果(Results)>身份验证(Authentication)>允许的协议(AllowedProtocols):CRUD操作无日志记录。
•策略(Policy)>策略元素(PolicyElements)>结果(Results)>身份验证(Authentication)>样本(Simple):不会记录删除操作。
系统和解决方案(SnS):在分布式部署中,有时所有辅助节点都处于“复制终止”(Replicationped)状态(极少发生)。
CSCuv13440 CSCuv14593CSCuv14605 解决方法如果所有节点处于“复制终止”(Replicationped)状态超过几分钟,请重新启动主PAN。
在双SSIDSAML流程中,完成证书调配后,系统会发送CoA断开的消息,并显示UI以便手动连接至SSID。
但是在Windows10中,当选择SSID和证书时,它会请求用户名,但调配后不启动身份验证。
RBAC管理员可从父终端组导入和查看终端。
在Windows10Edge浏览器上,访客门户中的LANDHCP发布页面不启动。
CSCuv83774 解决方法使用MozillaFirefox浏览器。
无法使用某些允许的字符创建时间和日期策略以及可下载的ACL名称。
支持的字符仅包括尖括号(<>)、和号(&)和百分数(%)符号。
思科身份服务引擎版本2.0版本说明 22 思科ISE版本2.0未解决的警告 表7思科ISE版本2.0未解决的漏洞(续) 警告CSCuv88378CSCuv90086 CSCuv94217 CSCuw08701 说明 证书调配门户复制操作不复制授权组和模板。
在大型部署中生成思科ISE根CA时,主要管理节点(PAN)会重新启动。
PAN无法长期使用。
在MozillaFirefox40中,对策略集重新排序并保存新顺序后,“保存顺序”(SaveOrder)按钮会消失。
此问题仅出现在MozillaFirefox版本40浏览器上。
如果授权配置文件名中包含空格,则ACS至ISE的迁移工具在导出时会产生错误。
CSCuw21758 CSCuw22718CSCuw23690CSCuw23941 解决方法删除ACS授权配置文件名中的空格,然后重新导出数据。
在“我的设备”(MyDevices)门户中,将“可接受的用户策略”(ChangestotheeptableUsePolicy(AUP)设置更改为“仅第一次登录开启”(Onfirstloginonly)或“每x天”(Everyxdays)后,更改不生效。
系统仍在每次登录时提示用户接受AUP。
当执行大量客户端调配事务时,PAP会耗尽堆内存并进行故障切换。
当启用或禁用SXP服务时,pxGrid服务会重新启动。
在MAC上,在网络重置后,非广播SSID不会自动连接。
CSCuw29997 解决方法SSID显示在“可用网络”(AvailableNetworks)列表中。
点击连接(Connect)以连接至SSID。
当与ArubaWLC一同使用时,ISE访客门户重定向静态URL包含特殊字符“?
”,且系统无法正确识别URL中的此字符,因此重定向无法正常运行。
CSCuw34150 解决方法手动配置所有WLC中的URL。
当SFTP服务器使用DSA密钥时,cryptohost_keyaddhost命令无法正常运行。
CSCuw35766CSCuw38040 解决方法建立与SFTP服务器的SSH连接,并手动将加密的主机密钥添加至思科ISE数据库。
即使已设置静态终端组分配,但仍然会消耗Plus许可证。
在MacOSX中,当使用不同身份验证协议或证书模板调配有线和无线配置文件时,有线配置文件未调配。
此问题出现在请求方调配向导版本1.0.0.35中。
CSCuw43915 解决方法为有线使用案例创建单独的本地请求方配置文件。
MacOSX10.10和MacOSX10.11:在PEAP或EAP-FAST身份验证过程中,调配NSP后无法自动连接至SSID。
解决方法点击“连接”(Connect)按钮并手动提供PEAP或EAP-FAST凭证。
思科身份服务引擎版本2.0版本说明 23 思科ISE版本2.0未解决的警告 表7思科ISE版本2.0未解决的漏洞(续) 警告CSCux31573 说明对于Windows10build10565,本地请求方调配(NSP)在BYODTLS流程中失败。
症状:对于Windows10版本10565设备,NSP在BYODTLS流程中失败。
条件:满足以下条件时会发生此问题:
1.已安装ISE版本2.0.0.306补丁
1。
2.将授权配置文件配置为重定向至BYOD门户。
3.使用Windows10配置NSP配置文件。
4.使用Windows10配置客户端调配策略并与NSP相关联。
5.安装Windows10(build10565)的设备通过BYOD流程连接。
解决方法:无。
待解决的代理警告 表8思科ISE版本2.0待解决的代理警告 警告CSCuw19276 说明 思科NAC代理和思科NACWeb代理不支持GoogleChrome版本45及更高版本。
Java插件在GoogleChrome中使用Netscape插件API(NPAPI),这是思科NAC代理和思科NACWeb代理运行的必要组件。
但是,GoogleChrome版本45及更高版本不支持NPAPI。
解决方法要启用Java插件,请执行以下步骤: CSCuw17919
1.在GoogleChrome窗口地址栏中,复制并粘贴以下URL:chrome://flags/#enable-npapi
2.点击启用(Enable)链接以便为Mac和Windows启用NPAPI。
3.点击页面底部的现在重启(RelaunchNow)以使更改生效。
TrendMicroSecurity10.x不可用。
为TrendMicroSecurity10.x执行安全状态评估时,您必须使用TrendMicroTitanium10.x配置安全状态条件,因为TrendMicroSecurity10.x使用TrendMicroTitanium10.xAV/AS引擎。
思科身份服务引擎版本2.0版本说明 24 思科ISE版本2.0.0.306补丁更新 思科ISE版本2.0.0.306补丁更新 思科ISE版本2.0.0.306累积型补丁1中已解决的问题(第25页)思科ISE版本2.0.0.306累积型补丁2中已解决的问题(第26页)思科ISE版本2.0.0.306累积型补丁3中已解决的问题(第28页) 思科ISE版本2.0.0.306累积型补丁1中已解决的问题 下表列出思科身份服务引擎版本2.0.0.306累积型补丁
1 (ise-patchbundle-2.0.0.306-PP1-161394.SPA.86_64.tar.gz)中已解决的问题。
要获取将补丁应用至思科ISE2.0所必需的补丁文件,请使用以下网址登录思科软件下载中心:?
a=a&i=rpm(您可能需要提供登录凭证),依次导航至安全(Security)>访问控制和策略(essControlandPolicy)>思科身份服务引擎(CiscoIdentityServicesEngine)>思科身份服务引擎软件(CiscoIdentityServicesEngineSoftware),然后保存一份补丁文件副本到本地计算机中。
补丁1可能不兼容旧版SPW,因此用户需要升级SPW。
有关如何将补丁应用至系统的说明,请参阅《思科身份服务引擎版本2.0管理员指南》中“管理思科ISE”一章的“安装软件补丁”部分。
表9思科ISE补丁版本2.0.0.306补丁1已解决的警告 警告CSCuw88770 说明 ISE2.0PEAPTLS1.2无线身份验证在Android6和Win10中失败。
之所以出现此问题,是因为在TLS1.2中,EAP-TLS、PEAP和EAP-TTLS的MPPE密钥生成机制已经更改。
EAP-FAST不受影响。
症状:日志中的身份验证报告显示身份验证已成功;但是,客户端会话的WLC状态需要dot1x。
无线数据包的获取结果显示EAP成功后的4次握手未完成,无论是M1和M2还是仅仅M1。
条件:满足以下组合条件时会发生此问题: •思科ISE版本2.0FCS未安装补丁。
•为WPA2企业版配置了无线LAN和L2安全。
•安装Android6或Windows10版本1511的设备尝试进行身份验证。
•使用的协议为PEAP、TTLS或EAP-TLS。
解决方法: •对于Android,无解决方法。
您无法从Android客户端或思科ISE配置TLS版本。
•对于Windows10客户端,您可以禁用TLS1.2并启用TLS1.0:–创建DWORDHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13\TlsVersion并将相关的DWORD值设为C0。
–重新启动EapHost服务。
思科身份服务引擎版本2.0版本说明 25 思科ISE版本2.0.0.306补丁更新 思科ISE版本2.0.0.306累积型补丁2中已解决的问题 下表列出思科身份服务引擎版本2.0.0.306累积型补丁2中已解决的问题。
要获取将补丁应用至思科ISE2.0所必需的补丁文件,请使用以下网址登录思科软件下载中心:?
a=a&i=rpm(您可能需要提供登录凭证),依次导航至安全(Security)>访问控制和策略(essControlandPolicy)>思科身份服务引擎(CiscoIdentityServicesEngine)>思科身份服务引擎软件(CiscoIdentityServicesEngineSoftware),然后保存一份补丁文件副本到本地计算机中。
补丁2可能不兼容旧版SPW,因此用户需要升级SPW。
有关如何将补丁应用至系统的说明,请参阅《思科身份服务引擎版本2.0管理员指南》中“管理思科ISE”一章的“安装软件补丁”部分。
表10思科ISE补丁版本2.0.0.306补丁2的已解决警告 警告CSCuw62692CSCuw89551CSCuw27405CSCuw58973CSCuw09138 说明 “网络设备名称”(NetworkDeviceName)字段不允许使用句点(.)。
ISEXML策略的导出不区分TACACS+和RADIUS策略集。
应删除ANC的“修复”(Remediate)和“调配”(Provisioning)选项。
无法在ISE2.0中手动取消对EPS终端的隔离。
如果使用AD连接器,将在PSN中看到高内存利用率。
一段时间后,将生成一条关于AD服务重启的警告。
内存使用率下降,然后再次升高。
CSCuw74703 解决方法重新启动服务。
从ISE1.2.1升级至ISE1.4后,不正确分析IP电话。
CSCuw94822CSCuw78737 解决方法在启用分析器的所有节点上运行EP_Reset_Time.sh脚本。
ISE2.0与LGPLv2.1许可证要求不兼容。
即使清除缓存后,某些访客终端仍然在HotSpotAUP门户循环中卡住。
CSCuv61017 CSCux30540CSCuw45102 解决方法将终端从ISE数据库中删除,并在控制器上清空该终端的所有会话。
BYOD流失败,因为dir:/opt/CSCOcpm/appsrv/apache-tomcat-ca/webapps/caservice-webapp/WEB-INF/lib中缺失PSP-Commons-1.3.0.295.jar。
安装ISE2.0补丁1后,pxGrid控制器服务不稳定。
CIDR格式中指定的ID映射过滤器(例如,10.1.100.0/24)无法正常工作。
CSCuw02111CSCuu94127 CSCuw22718 解决方法将各个IP地址指定为过滤器。
当VPN客户端断开连接时,ASA发送记帐停止消息,但ISE中未清除该会话。
使用基于IP的探测功能而不启动RADIUS探测功能时,ISE分析器会混淆不同会话的属性。
在应用此补丁后,请启用RADIUS探测功能,并将NAD配置为向已开启分析器的PSN发送RADIUS记帐消息。
当执行大量客户端调配事务时,PAP会耗尽堆内存并失败。
思科身份服务引擎版本2.0版本说明 26 思科ISE版本2.0.0.306补丁更新 表10思科ISE补丁版本2.0.0.306补丁2的已解决警告(续) 警告CSCuw65623 说明 当域名中间包含数字时,系统显示无效的FQDN消息,例如,是可行的,但或会导致错误。
CSCuu08092 解决方法FQDN中不能有数字。
升级后,读取来自数据库的网络设备出现问题。
ISE1.3允许在末尾使用句点(.)来定义网络设备。
升级至ISE1.4后,来自这些设备的身份验证将被丢弃,因为不允许在末尾使用句点。
CSCux11146 CSCuv81729CSCux30578CSCux27365CSCuw88244CSCuw40899 解决方法删除现有设备,并重新创建相同的设备。
使用错误的密钥对SXP密码进行加密。
加密SXP密码所使用的密钥应当与加密ISEOracleDB中存储的所有其他敏感材料所使用的相同。
升级至ISE1.4后,对于任何操作系统的新补丁管理条件,都不填充供应商列表。
使用HP设备的访客流程无法在分布式部署上正常运行。
重定向至访客门户时,系统显示500内部错误(500InternalError)消息。
ISE不支持使用传统密码的EAP客户端。
仅支持RC4或DES加密密码的传统客户端连接至ISE时,EAP握手会失败。
ISE-TACACS限期许可证在导入后显示为永久许可证。
当客户端从一个SSID切换为另一个时,终端MAC未在正确的终端身份组中更新。
CSCuw59035CSCuw51376CSCuw15139 CSCur44745 解决方法您必须手动将终端从之前的终端组中删除。
HTTP状态400-如果在非443/TCP端口上使用PAT/NAT,登录后将显示错误请求(BadRequest)错误。
PSN所有权更改后,无法正确分析终端。
生成主访客报告时,系统显示以下错误消息: Unabletoconnecttotheoperationdatabase.Pleasecheckworkconnectivityandretryagainlater. 当启用“抑制重复的成功身份验证”(SuppressRepeatedessfulAuthentications)选项时,CoA事件会添加到“实时日志”(LiveLog)会话条目的“身份验证”(Auth)详情中。
解决方法在“管理”(Administration)>“系统”(System)>“设置”(Settings)>“协议”(Protocols)>RADIUS下禁用“抑制重复的成功身份验证”(SuppressRepeatedessfulAuthentications)。
思科身份服务引擎版本2.0版本说明 27 思科ISE版本2.0.0.306补丁更新 思科ISE版本2.0.0.306累积型补丁3中已解决的问题 下表列出思科身份服务引擎版本2.0.0.306累积型补丁3中已解决的问题。
要获取将补丁应用至思科ISE2.0所必需的补丁文件,请使用以下网址登录思科软件下载中心:?
a=a&i=rpm(您可能需要提供登录凭证),依次导航至安全(Security)>访问控制和策略(essControlandPolicy)>思科身份服务引擎(CiscoIdentityServicesEngine)>思科身份服务引擎软件(CiscoIdentityServicesEngineSoftware),然后保存一份补丁文件副本到本地计算机中。
补丁3可能不兼容旧版SPW,因此用户需要升级SPW。
有关如何将补丁应用至系统的说明,请参阅《思科身份服务引擎版本2.0管理员指南》中“管理思科ISE”一章的“安装软件补丁”部分。
表11思科ISE补丁版本2.0.0.306补丁3的已解决警告 警告CSCuh80594CSCuu18124 CSCuu30079CSCuv68500 CSCuv71811 CSCuv77724CSCuv88011 CSCuv89453CSCuv91527CSCuv94231CSCuv97343CSCuv99833 说明为自定义属性选择的“默认枚举类型”(DefaultEnum)值无法正常运行。
升级至1.3后,LDAP发起帐户缺失。
解决方法使用ounts组而非Group或Own。
在AMPEnabler配置文件中执行添加、编辑和复制操作时存在问题。
MDM:请勿对未向MDM注册的设备执行强制重定向。
解决方法通过ISE自行激活设备。
ISE身份验证延迟每小时都增加。
解决方法每5天重启一次ISE服务。
在“证书调配”(CertificateProvisioning)页面,在PQDN字段输入内容会显示错误消息“FQDN字段格式无效”(TheFQDNfieldisnotinavalidformat)。
在ISE1.4中使用分析器源送服务时,源服务更新会覆盖管理员创建的同名规则。
解决方法配置“由思科提供”策略来适应自定分析器条件的需求,或者在运行源服务更新前重命名自定义策略。
在ISE1.3中,访客和发起人门户会出现重复的密码更改和登录循环。
ISE升级至1.4后,在补救中无ANYAV选项。
身份验证后,Radius令牌上的Acs.NormalizedUserName为空。
创建新的访客帐户时,ISE1.3会缓存上一个发起人的邮件地址。
ISE1.3源安全状态安排程序服务出现JDBC异常的故障。
解决方法 CSCuw09627
1.手动启动更新。
2.重新启动服务。
ISE1.3RSA代理在身份验证流程中引起延迟,导致身份验证在一般负载情况下失败。
ISE1.3和RSA/ACE代理版本8.1.2上会出现此问题。
解决方法请使用RADIUS令牌。
思科身份服务引擎版本2.0版本说明 28 思科ISE版本2.0.0.306补丁更新 表11思科ISE补丁版本2.0.0.306补丁3的已解决警告(续) 警告CSCuw27263 说明当外部RADIUS服务器被用作BYOD流的一部分时,不支持其身份验证。
CSCuw29108 解决方法请使用内部用户或AD用户帐户。
ISE1.3访客门户访问的嵌入式状态检查和Web代理流失败。
解决方法 CSCuw31016 CSCuw57930CSCuw60028CSCuw67042CSCuw95152CSCuw98748CSCuw99899 在访客门户(GuestPortals)中,取消选中“要求访客设备合规性”(Requireguestpliance)复选框以避免嵌入式安全检查,并为安全检查设置单独的策略。
或 使用NAC代理或AnyConnectISE安全状态模块访问网络。
“我的设备”(MyDevices)门户无法从访客流正确映射门户用户名称。
当使用包含ActiveDirectory短名称帐户通过访客门户调配设备时,“我的设备”(MyDevices)门户中的门户用户与访客门户的门户用户名未正确映射。
因此,除非使用UPN,否则会看到设备。
在用户帐户到期之前,未发送访客帐户到期邮件。
ISE1.x:外部Radius服务器不接受共享密钥中的“&”。
支持套件中缺失ISE文件。
向已知访客提供帐户详情时,如果取消选中“复制我”(Copyme)复选框,则它会缓存上一个发起人的邮件地址。
访问发起人门户时,其配置中的Javascript输入会翻倍。
ISE1.3补丁5:即便在收到记帐停止命令后,MNT会话也未清空。
CSCux03119CSCux07108 解决方法通过MNTAPI手动清空会话。
已发起自带设备(BYOD)支持。
ISE1.3补丁4应用在源服务复制消息后初始化。
如果用户打开分布式部署中的分析器源服务,则节点上的应用服务进入初始化状态。
CSCux10424CSCux18771 解决方法无。
运行applicationreset-config命令,以便从该状态中恢复。
在ISE中,AD黑名单未在预期频率内刷新。
解决方法重新加载表现出该行为的PSN。
在自助注册后,因为发生内部错误而无法成功使用其他用户登录。
解决方法 注册后,使用您在访客门户中创建的凭证。
所有其他登录在第一个页面会正常运行。
或 请勿将“访客用户”(GuestUsers)置于Guest_Portal_Sequence顶部。
思科身份服务引擎版本2.0版本说明 29 思科ISE版本2.0.0.306补丁更新 表11思科ISE补丁版本2.0.0.306补丁3的已解决警告(续) 警告CSCux21939CSCux43787 说明ISE终端清除操作无法删除终端。
ISE运行时在收到超过4个请求后卡住。
CSCux46301 解决方法重新启动服务并重新加入节点。
ISE2.0访客帐户到期的SMS通知无法正常运行。
CSCux53910 解决方法启用邮件通知。
ISE1.3补丁5内存提高导致身份验证延迟。
CSCux58966CSCux61238CSCux61360 解决方法每5天重启一次ISE应用。
在外部RADIUS服务器下显示用户密码。
SNMPQUERYEventTimeout的范围从60秒延长为150秒。
ISE2.0访客密码经过一天就到期。
CSCux66320CSCux73262 解决方法为访客帐户启用“密码永不过期”(passwordneverexpires)。
ISE2.0身份验证策略从配置中消失。
更新安全状态补救资源时,ISE1.4应用服务重新启动。
CSCux77620 解决方法联系TAC。
访客清除操作后显示“由于网络错误未收到服务器响应”(Failtoreceiveserverresponsedueworkerror)。
解决方法 CSCux79853CSCux91475CSCux92681CSCux97025CSCux99204 CSCuy10037CSCuy12346CSCuy29028CSCuy29124CSCuy33801 更改安排的清除时间或频率,然后重新改回来。
或更改ISE时区,然后重新改回来。
HTTPSAPI呼叫未到达SMS网关(使用Clickatell测试)。
手动完成源服务更新后,无法进行其他源更新。
对于Clickatell上的GlobalDefault,通过HTTP-POST发送SMS失败。
如果终端源是配置协议,则所有权更改/合并可能失败。
ISE2.0补丁2使HotSpot门户出现故障,可在AUP之前执行CoA。
解决方法降级至ISE2.0补丁1或不含补丁的ISE2.0。
如果网真没有cdpCacheAddress,则CDP无法正常工作。
ISE重复计数器未在24小时内重置。
EAP-TLS内存泄漏。
当有足够的可用资源时,ISE2.0.1MR无法纵向扩展。
ISE2.0管理员门户不接受带有“-”连字符的FQDN。
解决方法使用最后一个片段中不含“-”的FQDN。
思科身份服务引擎版本2.0版本说明 30 思科ISE版本2.0已解决的警告 表11思科ISE补丁版本2.0.0.306补丁3的已解决警告(续) 警告CSCuy34700CSCuy43592 说明更新glibc软件包以解决CVE-2015-7547。
将用户标记为合规后,ISE2.0发送CoA断开连接的消息。
CSCuy51958CSCuy81433 解决方法使用SSLVPN。
ISE2.0证书的自动验证操作会中断节点间通信。
ISE2.0CoANAK无法找到任何会话标识属性。
解决方法联系TAC。
思科ISE版本2.0已解决的警告 下表列出此版本中已解决的警告: 表12思科ISE版本2.0已解决的警告 警告CSCuh12811CSCun52844CSCuq22852CSCuq92574CSCuq96560CSCuq97051 CSCur11286CSCur13627CSCur28245 CSCur35764CSCur36983CSCur44557CSCus09940CSCus19913CSCus50476CSCus78802CSCus93665CSCut04544 CSCut04556 说明 我的设备和发起人门户URL都不支持主机和FQDN。
在客户端调配下报告跨域引用方泄漏(Cross-DomainRefererLeakage)问题。
如果用户名或密码中使用非字母数字字符,则本地Web身份验证失败。
在运行Android4.2.2的LG上,无法安装自带设备(BYOD)配置文件。
升级后,自助注册访客用户的访问持续时间值为
0。
在使用3300和3400系列硬件的部署中启用SNMP查询探测功能时,将看到缓慢复制错误。
iPhone6在调配后不重定向至配置的URL。
监控日志收集器不显示最近60分钟的任何数据。
“发起人组”(SponsorGroup)和“访客类型”(GuestType)页面出现用户界面问题。
从受信任证书存储空间中删除内部CA证书时,也会从证书颁发机构撤回证书。
配置数据恢复进程卡在80%处;LD_LIB_PATH库中缺失字段。
如果各门户的语言捆绑包不同,则发起人门户通知会失败。
跨站请求伪造(CSRF)保护在某些网页上无法正常运行。
ISEAuthStatusRestAPI不支持多个MAC地址。
监控节点(MnT)缓慢,尤其是在显示实时日志和报告时。
在字符串中间使用变量替换会删除初始字符。
从1.2.x.升级后,ISE1.3EAP-FAST链无法通过身份验证。
ISE-传输层保护-不安全传输(ISE-TransportLayerProtection-InsecureTransmission)上有漏洞。
思科ISE易受跨帧脚本攻击。
思科身份服务引擎版本2.0版本说明 31 思科ISE版本2.0已解决的警告 表12思科ISE版本2.0已解决的警告(续) 警告CSCut25212 CSCut25227CSCut40042CSCut42520 CSCut58228CSCut63392CSCuu03368CSCuu04061CSCuu04227CSCuu22410CSCuu43966CSCuu49759CSCuu60864CSCuu65509CSCuu76087CSCuu91928CSCuu92630CSCuv22443CSCuv22604 CSCuv24342CSCuv31567 CSCuv51519CSCuv52944CSCuv53534 CSCuv54014CSCuv61017 CSCuv71811CSCuv90268 说明 在Android4.3或更高版本中,本地请求方配置文件(NSP)不将证书存储在密钥存储库中。
在ISE管理员页面发现跨站脚本(XSS)漏洞。
在访客门户中升级ApacheTomcat后,重定向端口重新配置无法正常运行。
添加第二个ActiveDirectory(AD)连接点时,用户主体名称(UPN)身份验证失败。
SamsungAndroid设备无法为BYODEAP-TLS安装证书。
ISEGUI的锁定/高级调整导致AD服务崩溃。
轻量级目录访问协议(LDAP)用户无法管理我的设备(MyDevices)门户。
当MDM服务器关闭时,ISE策略服务节点(PSN)不响应RADIUS请求。
后接802.1X的MAB身份验证失败。
将访客会话数据写入缓存和DB时出现延迟。
当交换机上的身份验证顺序为MAB后跟802.1x时出现错误。
MacOSX版本10.10无法自动连接至使用单独SSID的网络。
无法保存新分析的终端。
从1.2升级至1.4后,无法访问管理员门户。
连接至IP电话的WindowsPC被分析为Cisco-IP-Phone-7970。
ISE必须发送产品名称进行定义检查,而非发送供应商名称。
修改思科ISE中的CTS策略时,触发复制失败警报。
发起访客用户在访客门户中输入凭证后,系统会提示其开启BYOD流程。
从1.2升级至1.3期间,并非当前所有者的PSN可能会获得所有权,从而导致无效的分析器分类。
CoA重新身份验证触发ISE附加“会话超时”(SessionTimeout)属性。
使用对象图导航语言(OGNL)控制台的ApacheStruts2Web应用易受远程命令执行攻击。
对于某些AD用户,发起人门户不会完全加载。
SWD-xxxLSQ-xxx-ISE无法发送停止记帐消息,从而影响用户。
当ISE对电话或其他设备进行身份验证/授权时,从分析器DB查询终端非常缓慢。
使用非公开顶级域名时,CRL/OCSPURL验证失败。
BYOD流失败,因为dir:/opt/CSCOcpm/appsrv/apache-tomcat-ca/webapps/caservice-webapp/WEB-INF/lib中缺失PSP-Commons-1.3.0.295.jar。
ISE身份验证延迟每小时都增加。
邮件地址中包含多个点号(“.”)的管理员用户身份验证失败。
思科身份服务引擎版本2.0版本说明 32 文档勘误表 文档勘误表 思科ISE2.0在线帮助包含对3300系列设备的参考-CSCuw68020。
思科ISE版本2.0不支持传统的3300系列、ACS或NAC设备。
但是,在线帮助中“管理网络设备”一章的“MDM设置中使用的组件”表格列出了3315、3355和3395系列设备。
此信息不正确,并已从上发布的《思科身份服务引擎版本2.0管理指南》中删除。
相关文档 适用于具体版本的文档 思科ISE的一般产品信息位于/go/ise。
最终用户文档位于上的/en/US/products/ps11640/tsd_products_support_series_home.html。
表13思科身份服务引擎的产品文档 文档标题思科身份服务引擎版本2.0版本说明 思科身份服务引擎版本2.0管理员指南 思科身份服务引擎版本2.0硬件安装指南 思科身份服务引擎版本2.0升级指南 思科身份服务引擎版本2.0迁移工具指南 思科身份服务引擎版本2.0发起人门户用户指南思科身份服务引擎版本2.0CLI参考指南 思科身份服务引擎版本2.0API参考指南 思科ISE与ActiveDirectory的集成 位置 /c/en/us/support/security/identity-services-engine/products-release-notes-list.html /c/en/us/support/security/identity-services-engine/products-installation-and-configuration-guides-list.html /c/en/us/support/security/identity-services-engine/products-installation-guideslist.html /c/en/us/support/security/identity-services-engine/products-installation-guideslist.html /c/en/us/support/security/identity-services-engine/products-installation-guideslist.html /c/en/us/support/security/identity-services-engine/products-user-guide-list.html /c/en/us/support/security/identity-services-engine/mand-reference-list.html /c/en/us/support/security/identity-services-engine/mand-reference-list.html /c/en/us/support/security/identity-services-engine/products-installation-and-configuration-guides-list.html 思科身份服务引擎版本2.0版本说明 33 获取文档和提交服务请求 表13思科身份服务引擎的产品文档(续)文档标题 思科ISE设备内文档和中国RoHS指针卡 使用思科身份服务引擎创建的网络访问设备配置文件 位置 /c/en/us/support/security/identity-services-engine/products-documentation-roadmaps-list.html /c/dam/en/us/td/docs/security/ise/how_to/HowTo-105-Network_ess_Device_Profiles_with_Cisco_ISE.pdf 平台特定文档 其他平台特定文档的链接位于以下位置: •思科ISE/c/en/us/support/security/identity-services-engine/tsd-products-support-series-home.html •思科UCSC系列服务器 puting/ucs/overview/guide/UCS_rack_roadmap.html •CiscoSecureACSess-control-system/tsd-products-supportseries-home.html •思科NAC设备ess/tsd-products-support-series-home.html •思科NAC分析器/c/en/us/support/security/nac-profiler/tsd-products-support-series-home.html •思科NAC访客服务器/c/en/us/support/security/nac-guest-server/tsd-products-support-series-home.html 获取文档和提交服务请求 关于如何获取文档、提交服务请求和收集详情,请参阅每月的思科产品文档更新(其中还含有所
有最新及修订的思科技术文档)。
要查看文档,请前往: 通过ReallySimpleSyndication(RSS)源的方式订阅思科产品文档更新,相关内容将通过阅读器应用程序直接发送至您的桌面。
RSS源是一项免费服务,思科目前支持RSS2.0版本。
本文档需结合“相关文档”部分中列出的文档一起使用。
思科和思科徽标是思科和/或其附属公司在美国和其他国家/地区的商标或注册商标。
要查看思科商标列表,请转至此URL:/go/trademarks。
文中提及的第三方商标为其相应所有者的财产。
“合作伙伴”一词的使用并不意味着思科和任何其他公司之间存在合作伙伴关系。
(1110R)本文档中使用的任何互联网协议(IP)地址和电话号码并非实际地址和电话号码。
本文档中所含的任何示例、命令显示输出、网络拓扑图和其他图形仅供说明之用。
说明性内容中用到的任何真实IP地址或电话号码纯属巧合,并非有意使用。
©2015年思科系统公司。
保留所有权利。
思科身份服务引擎版本2.0版本说明 34
它不仅提供经过身份验证的网络访问、分析、安全状态、自带设备(BYOD)自行激活服务(本地请求方和证书调配)、访客管理和安全组访问服务,还在一个物理或虚拟设备上提供监控、报告和故障排除功能。
思科ISE可以在两款具有不同性能特征的物理设备上提供,也可以作为软件在VMware服务器上运行。
您可以向部署中添加更多设备,以增强性能、可扩展性和恢复能力。
思科ISE具有支持独立式和分布式部署的可扩展架构,该架构同时提供集中配置和管理。
它还允许配置和管理不同角色和服务。
通过这一功能,您可以根据网络中的具体需求创建并应用服务,但是仍然作为一个完整且协调的系统来运行思科ISE部署。
思科ISE版本2.0中的新增功能 思科ISE版本2.0提供以下功能和服务。
请参阅《思科身份服务引擎版本2.0管理员指南》,了解更多信息。
•TACACS+设备管理(第3页)•第三方设备支持(第3页)•TrustSec控制面板(第4页)•TrustSec矩阵增强功能(第4页)•TrustSec工作中心(第5页)•自动创建SGT(第5页)•对SXP的支持(第5页)•基于位置的授权(第5页)•对布尔属性的支持(第5页)•对EAP-TTLS协议的支持(第6页)•KVM虚拟机监控程序支持(第6页)•思科ISE遥感勘测(第6页)•证书调配门户(第6页)•证书模板扩展名(第7页)•思科ISE内部CA向ASAVPN用户发布证书(第7页)•基于GUI的升级(第7页)•高级故障排除的技术支持隧道(第7页)•移动设备管理增强功能(第7页)•对Meraki移动设备管理的支持(第7页)•pxGrid增强功能(第7页)•访客增强功能(第8页)•分析器增强功能(第8页)•安全状态增强功能(第8页)•客户端调配增强功能(第8页)•FIPS模式支持(第8页)•IPv6支持(第8页) 思科身份服务引擎版本2.0版本说明
2 思科ISE版本2.0中的新增功能 TACACS+设备管理 注意思科ISE要求安装设备管理许可证,才能使用TACACS+服务。
设备管理许可证是一种永久许可证。
如果您从较低版本升级至思科ISE版本2.0,且希望启用TACACS+服务,则您必须以单独的附加许可证的形式订购设备管理许可证。
您需要一个设备管理许可证来完成整个ISE部署。
思科ISE支持设备管理,使用TACACS+安全协议来控制和审核网络设备的配置。
对网络设备进行适当配置,使其请求ISE对设备管理员的操作进行身份验证和授权,并发送记帐消息以便ISE记录这些操作。
它有利于精细控制谁可以访问哪个网络设备,并更改相关的网络设置。
ISE管理员可创建策略集,从而可在设备管理访问服务的授权策略规则中选择TACACS结果(例如命令集和shell配置文件)。
ISE监控节点提供与设备管理相关的增强型报告。
“设备管理工作中心”(DeviceAdministrationWorkCenter)菜单包含所有设备管理页面,可用作ISE管理员的统一操作起点。
第三方设备支持 思科ISE通过使用网络设备配置文件来支持某些第三方网络访问设备(NAD)。
这些配置文件定义思科ISE用于支持访客、BYOD、MAB和安全状态等流量的功能。
思科ISE包含适用于几家供应商的网络设备的预定义配置文件。
我们已使用表1中列出的供应商设备对思科ISE2.0进行了测试。
表1在思科ISE2.0测试中使用的供应商设备 供应商 无线 Aruba7000、InstantAP MotorolaRFS4000 HP830 RuckusZD1200 有线 HP3800(ProCurve) Alcatel6850 BrocadeICX6610 对于其他第三方NAD,您必须在思科ISE中确定设备属性和功能并创建自定义NAD配置文件。
支持的/经过验证的使用案例 802.1X/无CoA的有CoA的MAB分析器分析器 √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ - √ √ √ √ √ 需要CoA支持 安全状态 √√√- 需要CoA和URL重定向支持 访客/BYOD √ √ √ - - - - 需要CoA和URL重定向支持 您可以为没有预定义配置文件的其他第三方网络设备创建自定义NAD配置文件。
对于访客、BYOD和安全状态等流量,设备需要支持RFC5176“授权更改”(CoA),以及可重定向至思科ISE门户的URL重定向机制。
是否支持这些流量取决于NAD的功能。
有关网络设备配置文件所需的很多属性的信息,可能需要参阅设备的管理指南。
有关如何创建自定义NAD配置文件的信息,请参阅《使用思科身份服务引擎创建的网络访问设备配置文件》文档。
如果您在采用版本2.0之前已经部署非思科NAD,并已创建使用这些NAD的策略规则/RADIUS字典,则升级之后这些配置文件照常有效。
有关网络设备配置文件以及如何创建、导入和导出它们的更多信息,请参阅《思科身份服务引擎管理指南》中的“管理网络设备”一章。
思科身份服务引擎版本2.0版本说明
3 思科ISE版本2.0中的新增功能 TrustSec控制面板 TrustSec控制面板是TrustSec网络的一种集中式监控工具。
“指标”(Metrics)小面板显示有关TrustSec网络行为的统计信息。
“活动SGT会话”(ActiveSGTSessions)小面板显示网络中当前活动的SGT会话。
“警报”(Alarms)小面板显示与TrustSec会话有关的警报。
“快速查看”(QuickView)小面板显示NAD和SGT的TrustSec相关信息。
点击“实时日志”(LiveLog)小面板中的“TrustSec会话”(TrustSecSessions)链接可查看活动TrustSec会话。
还可以查看有关NAD向思科ISE发送的TrustSec协议数据请求和响应的信息。
TrustSec矩阵增强功能 您可以使用思科ISE创建、命名并保存自定义视图。
要创建自定义视图,请选择显示(Display)>创建自定义视图(CreateCustomView)。
您还可以更新视图标准或删除未使用的视图。
您可以使用“出口策略”(EgressPolicy)页面的“视图”(View)下拉列表中的下列选项来更改矩阵视图:•“使用SGACL名称压缩”(CondensedwithSGACLnames)-如果选择此选项,则空白单元格 隐藏,且SGACL名称显示在单元格中。
•“不使用SGACL名称压缩”(CondensedwithoutSGACLnames)-空白单元格隐藏,且 SGACL名称不显示在单元格中。
如果您希望查看更多矩阵单元格并使用颜色、图案和图标(单元格状态)来区分单元格的内容,则此视图十分有用。
•“全屏且包含SGACL名称”(FullwithSGACLnames)-如果选择此选项,则左侧和上部菜单隐藏,且SGACL名称显示在单元格中。
•“全屏且不包含SGACL名称”(FullwithoutSGACLnames)-如果选择此选项,则矩阵以全屏模式显示,且SGACL名称不显示在单元格中。
您可以更改外观设置。
以下选项可用:•“自定义主题”(Customtheme)-最初显示的是默认主题(有颜色但无图案)。
您可以自己设置颜色和图案。
•“默认主题”(Defaulttheme)-预定义颜色列表但无图案(不可编辑)。
•“可访问性主题”(essibilitytheme)-预定义颜色列表且有图案(不可编辑)。
要使矩阵更易于阅读,可根据矩阵单元格内容对单元格使用合适的颜色和图案。
以下显示类型可用:•“允许IP/允许IP日志”(PermitIP/PermitIPLog)-在单元格内配置•“拒绝IP/拒绝IP日志”(DenyIP/DenyIPLog)-在单元格内配置•SGACL-适用于在单元格内配置的SGACL•“允许IP/允许IP日志(继承)”(PermitIP/PermitIPLog(Inherited))-取自默认策略(适用于未配置的单元格)•“拒绝IP/拒绝IP日志(继承)”(DenyIP/DenyIPLog(Inherited))-取自默认策略(适用于未配置的单元格)•“SGACL(继承)”(SGACL(Inherited))-取自默认策略(适用于未配置的单元格)状态图标用于显示单元格的状态。
要配置TrustSec矩阵设置,请选择工作中心(WorkCenters)>TrustSec>设置(Settings)>TrustSec矩阵设置(TrustSecMatrixSettings)。
思科身份服务引擎版本2.0版本说明
4 思科ISE版本2.0中的新增功能 TrustSec工作中心 所有TrustSec相关选项都整合在“TrustSec工作中心”(TrustSecWorkCenter)菜单之下(工作中心[WorkCenters]>TrustSec),因此管理员可在一个位置轻松访问所有TrustSec选项。
自动创建SGT 您可以使用思科ISE自动创建SGT,同时创建授权策略规则。
自动创建的SGT基于规则属性进行命名。
启用此选项后,“授权策略”(AuthorizationPolicy)页面顶部将显示“自动安全组创建已开启”(AutoSecurityGroupCreationisOn)消息。
点击“权限”(Permissions)字段中显示的加号(+)可编辑SGT名称和值。
默认情况下,在全新安装或升级之后此选项处于禁用状态。
对SXP的支持 安全组标记(SGT)交换协议(SXP)可用于跨无TrustSec硬件支持的网络设备传播SGT。
SXP可用于将终端的SGT以及IP地址从一台SGT感知网络设备传输至另一台此类设备。
要在一个节点上启用SXP服务,请选中“通用节点设置”(GeneralNodeSettings)页面中的“启用SXP服务”(EnableSXPService)复选框。
您还必须指定用于SXP服务的接口。
在每个SXP连接中,一个对等体被指定为SXP扬声器,另一个对等体被指定为SXP监听器。
也可将这些对等体配置为双向模式,其中每个对等体都可充当扬声器兼监听器。
可从任一对等体发起连接,但是映射信息始终是从扬声器传播至监听器。
基于位置的授权 思科ISE与思科移动业务引擎(MSE)集成,以便引入基于物理位置的授权功能。
思科ISE使用来自MSE的信息,根据MSE报告的用户实际位置来提供差异化的网络访问。
当一名用户处在合适的区域时,您可以借助此功能使用终端位置信息来提供网络访问。
您也可以将终端位置作为额外属性添加至策略中,从而定义更加精细化的基于设备位置的策略授权集。
在使用基于位置的属性的授权规则中,您可以配置一些条件,例如:MSE.LocationEqualsLND_Campus1:Building1:Floor2:SecureZone您可以使用CiscoPrime基础设施应用来定义位置层次结构(园区/楼宇/楼层结构)并配置安全和非安全区域。
定义位置层次结构后,您必须将位置层次结构数据与MSE服务器同步。
使用从MSE实例检索的位置数据创建位置树。
您可以使用位置树选择呈现给授权策略的位置条目。
对布尔属性的支持 思科ISE支持从ActiveDirectory和LDAP身份库中检索布尔属性。
您可以在配置ActiveDirectory或LDAP的目录属性时配置布尔属性。
在使用ActiveDirectory或LDAP进行身份验证时检索这些属性。
布尔属性可用于配置策略规则的条件。
布尔属性值作为字符串类型从ActiveDirectory或LDAP服务器获取。
思科身份服务引擎版本2.0版本说明
5 思科ISE版本2.0中的新增功能 如果您将布尔属性(例如msTSAllowLogon)配置为字符串类型,那么在思科ISE中,ActiveDirectory或LDAP服务器中的布尔值属性将设置为字符串属性。
您可以将属性类型更改为布尔型,或者手动将属性添加为布尔型。
对EAP-TTLS协议的支持 EAP-TTLS是一种可扩展EAP-TLS协议功能的双阶段协议。
第1阶段构建安全隧道,并生成在第2阶段使用的会话密钥,以便在服务器与客户端之间安全地建立属性和内部方法数据的隧道。
思科ISE可处理来自各种TTLS请求方的身份认证,包括:•Windows上的AnyConnect网络访问管理器(NAM)•Windows8.1本地请求方•SecureW2(在MultiOS上也称为JoinNow)•MACOSX本地请求方•IOS本地请求方•基于Android的本地请求方•LinuxWPA请求方 KVM虚拟机监控程序支持 思科ISE支持RedHatEnterpriseLinux(RHEL)7.0上的KVM虚拟机监控程序。
KVM虚拟化需要主机处理器提供的虚拟化支持;包括Intel处理器的IntelVT-x和AMD处理器的AMD-
V。
在主机上打开一个终端窗口,并输入cat/proc/cpuinfo命令。
您会看到vmx或svm标志。
有关更多信息,请参阅《思科身份服务引擎版本2.0硬件安装指南》中的“在LinuxKVM上安装思科ISE”一章。
思科ISE遥感勘测 当您登录管理员门户之后,系统会立即显示思科ISE遥感勘测横幅。
思科ISE安全地搜集与您的部署、网络访问设备、分析器以及您正在使用的其他服务有关的非敏感信息。
收集的数据将用于在将来的版本中为您提供更好的服务和其他功能。
思科安全地收集遥感勘测信息,以便更好地了解思科ISE的使用情况,并改善本产品及其提供的各种服务。
默认情况下,系统会启用遥感勘测功能。
如果您不希望使用思科ISE遥感勘测功能,可从“ISE管理员门户”(ISEAdminPortal)禁用此功能(“管理”[Administration]>“系统”[System]>“设置”[Settings]>“遥测设置”[TelemetrySettings])。
证书调配门户 员工可使用证书调配门户为无法通过自行激活流程的设备请求证书。
例如,销售点终端等设备无法执行BYOD流程,需要手动发布证书。
特权用户组可使用证书调配门户为此类设备上传证书请求、生成密钥对(如需要)和下载证书。
员工可访问此门户,并请求单个证书或使用CSV文件提出批量证书请求。
思科身份服务引擎版本2.0版本说明
6 思科ISE版本2.0中的新增功能 证书模板扩展名 思科ISE内部CA包含一个表示用于创建终端证书的证书模板的扩展名。
内部CA发布的所有终端证书都包含一个证书模板扩展名。
您可以在授权策略条件中使用CERTIFICATE:TemplateName属性,并根据评估结果分配合适的访问特权。
思科ISE内部CA向ASAVPN用户发布证书 内部ISECA可向通过ASAVPN连接的客户端计算机发布证书。
思科ISE使用简单证书注册协议(SCEP)进行注册,并向客户端计算机调配证书。
基于GUI的升级 思科ISE提供从管理员门户进行基于GUI的集中式升级。
升级过程非常简单,且屏幕上会显示升级过程和节点状态。
注意基于GUI的升级仅适用于从版本2.0升级至更高版本。
高级故障排除的技术支持隧道 思科ISE使用CiscoIronPortTunnel基础设施来创建一个安全隧道,以便思科技术支持工程师可连接至您的部署环境中的ISE服务器,并对系统问题进行故障排除。
思科ISE使用SSH在隧道中创建安全连接。
作为管理员,您可以控制隧道访问。
您可以选择授予支持工程师的访问时间和时长。
如果没有您的干预,则思科客户支持无法建立隧道。
您将收到有关服务登录的通知。
您可以随时禁用隧道连接。
移动设备管理增强功能 在ISE网络外部的活动MDM服务器上注册的终端可使用思科ISE2.0连接至ISE网络,而无需重新向MDM服务器注册。
当终端连接至ISE网络时,MDM门户向MDM服务器请求该终端。
如果服务器在返回结果中确认终端是合规的,则ISE发布一条授权更改通知,并允许终端访问网络。
如果终端未向MDM服务器注册,则其必须执行注册流程。
对Meraki移动设备管理的支持 思科ISE支持MerakiMDM服务器。
pxGrid增强功能 pxGrid客户端可通过ISE2.0创建并设置新功能,而无需更新网格中的所有其他参与者。
管理员可在管理(Administration)>pxGrid服务(pxGridServices)>按功能查看(ViewbyCapabilities)页面启用该新功能。
思科身份服务引擎版本2.0版本说明
7 思科ISE版本2.0中的新增功能 访客增强功能 现在,发起人可在发起人门户中更改现有访客帐户的访客类型。
分析器增强功能 某些功能支持IPv6寻址。
有关详细信息,请参阅IPv6支持(第8页)。
安全状态增强功能 思科ISE支持以下功能:•磁盘加密检查。
用于保护写入磁盘的信息,并防止对数据存储空间的未授权访问。
您仅在使 用AnyConnectISE安全状态代理时才可将磁盘加密条件与安全状态要求相关联。
•SHA-256文件检查。
可为管理员检查文件完整性提供一种更加安全的方式。
•适用于OSX的属性列表文件检查。
便于管理员检查指定文件中的指定属性值。
•适用于OSX的后台守护程序检查增强功能。
管理员可使用该功能来检查后台守护程序或用 户代理的运行状态。
•用于文件检查的额外变量。
为用户目录提供变量,使得管理员可在用户目录中执行文件检查。
客户端调配增强功能 您只需运行一次SPW即可配置多个WiFiSSID(NSP配置文件)。
第一个配置文件是活动配置文件。
对于Windows和Mac而言,第一个配置文件的代理设置将会应用到全局(适用于所有后续配置文件)。
自动配置代理设置时将使用代理自动配置文件URL,支持它的操作系统包括iOS、MACOS、Windows和Android5.0或更高版本。
如果未定义代理自动配置文件URL,则所有操作系统都将使用代理主机/端口。
但是,所有Android5.x之前的版本都将使用代理主机/端口。
FIPS模式支持 思科身份服务引擎使用经过FIPS140-2验证的嵌入式加密模块-思科通用加密模块(证书编号1643和2100)。
有关FIPS合规性要求的详细信息,请参阅FIPS合规性证书。
IPv6支持 思科ISE版本2.0支持以下IPv6功能: •支持启用IPv6的终端:思科ISE可检测、管理和保护来自终端的IPv6流量。
您可以使用IPv6属性来在思科ISE中配置授权配置文件和策略,以处理来自启用IPv6的终端的请求,并确保该终端合规。
•报告中的IPv6支持:版本2.0中的报告支持IPv6值。
“实时会话”(LiveSession)和“实时身份验证”(LiveAuthentication)页面也支持IPv6值。
•CLI中的IPv6支持:版本2.0在以下CLI命令中支持IPv6: –ipv6address-可对每个网络接口配置静态IPv6地址 –ipv6enable-可在所有网络接口上启用或禁用IPv6 思科身份服务引擎版本2.0版本说明
8 思科ISE许可证信息 –ipv6route-可配置IPv6静态路由–iphost-可在主机本地表中添加IPv6地址–showIPv6route-可显示IPv6的路由请参阅《思科身份服务引擎CLI参考指南》,查看有关这些命令的更多信息。
思科ISE许可证信息 思科ISE许可提供管理应用功能和访问权限的功能,例如,可以使用思科ISE网络资源的并发终端的数量。
许可证仅适用于无线及VPN,或在LAN部署中仅适用于有线。
它以不同的软件包提供,包括Base、Plus、PlusAC、Apex、ApexAC、设备管理、移动和移动升级。
所有思科ISE设备均附带一个90天的Evaluation许可证。
要在90天的Evaluation许可证到期后继续使用思科ISE服务,并且要在网络上支持超过100个并发终端,必须根据系统上的并发用户数量获取和注册Base许可证。
如果需要附加功能,则需要Plus和/或Apex许可证才能启用该功能。
注意思科ISE要求安装设备管理许可证,才能使用TACACS+功能。
有关更多信息,请参阅TACACS+设备管理(第3页)的功能说明。
思科ISE版本2.0支持拥有两个UID的许可证。
您可以根据主要和辅助管理节点的UID获取许可证。
有关许可证类型以及如何获取思科ISE许可证的详细信息,请参阅《思科身份服务引擎版本2.0管理指南》中的“思科ISE许可证”一章。
有关思科ISE版本2.0许可证的更多信息,请参阅《思科身份服务引擎(ISE)产品手册》。
部署术语、节点类型和角色 思科ISE提供支持独立式和分布式部署的可扩展架构。
表2思科ISE部署术语 术语服务节点 角色部署模式 说明 角色提供的特定功能,例如网络访问、分析器、安全状态、安全组访问和监控。
运行思科ISE软件的单个实例。
思科ISE可作为设备提供,也可以作为软件在VMware服务器上运行。
运行思科ISE软件的各个实例都叫作节点,不管这些实例是在思科ISE设备上还是在VMware服务器上运行。
确定节点提供的服务。
思科ISE节点可以承担以下任意或所有角色:管理、策略服务和监控。
决定您的部署是独立式、高可用性独立式(基本双节点部署)还是分布式部署。
思科身份服务引擎版本2.0版本说明
9 部署术语、节点类型和角色 节点类型和角色 思科ISE网络具有以下类型的节点:•可承担以下任意角色的思科ISE节点: –管理-允许您为思科ISE执行所有管理操作。
此节点处理与诸如身份验证、授权和审核等功能有关的所有系统相关配置。
在分布式环境中,您可以有一个节点,或者最多两个运行管理角色且配置为一主一辅的节点。
如果主要管理节点出现故障,您可以手动升级辅助管理节点,也可以为管理角色配置自动故障切换。
有关配置自动故障切换的更多信息,请参阅《思科身份服务引擎版本2.0管理指南》中的“为主要管理节点配置自动故障切换”部分。
–策略服务-供网络访问、安全状态分析、自带设备(BYOD)自行激活服务(本地请求方和证书调配)、访客接入以及分析服务。
此角色评估策略并作出所有决策。
您可以让多个节点承担此角色。
通常,在分布式部署中会有多个策略服务角色。
驻留在负载均衡器后面的所有策略服务角色可以组合在一起,形成一个节点组。
如果节点组中的一个节点发生故障,组中的其他节点会处理故障节点收到的请求,从而实现高可用性。
注意分布式设置中至少有一个节点应当承担策略服务角色。
–监控-使思科ISE能够充当日志收集器,并存储网络中思科ISE节点上的所有管理和策略服务角色产生的日志消息。
此角色提供高级监控和故障排除工具,可用于有效地管理网络和资源。
承担此角色的节点会将其收集的数据汇聚并关联,以提供有意义的报告。
思科ISE最多允许存在一主一辅两个承担此角色的节点,以实现高可用性。
主要和辅助监控角色均会收集日志消息。
如果主要监控角色出现故障,辅助监控角色会自动承担起主要监控角色的职责。
注意在分布式设置中,至少应有一个节点承担监控角色。
建议在独立的专用节点上配置监控角色,以便提高数据收集和报告的性能。
–pxGrid-通过CiscopxGrid方法,网络和安全设备可使用安全发布和订用机制与其他设备共享数据。
这些服务适用于在ISE外部使用以及与pxGrid对接的应用。
pxGrid服务可以在整个网络中共享情景信息,以识别策略和共享通用策略对象。
这有助于扩展策略管理。
表3分布式部署中的建议节点和角色数量 节点/角色管理监控策略服务 pxGrid 部署中的最小数量111
0 部署中的最大数量2(配置为高可用性对)2(配置为高可用性对)•2-当管理/监控/策略服务角色配置于相同的主要/ 辅助设备上时 •5-当管理和监控角色配置于相同的设备上时•40-当每个角色配置于专用设备上时2(配置为高可用性对) 您可以更改节点的角色。
有关如何在思科ISE节点上配置角色的信息,请参阅《思科身份服务引擎版本2.0管理指南》中的“在分布式环境中设置思科ISE”一章。
思科身份服务引擎版本2.0版本说明 10 系统要求 系统要求 •支持的硬件(第11页)•支持的虚拟环境(第12页)•支持的浏览器(第12页)•支持的密码套件(第12页)•支持的设备和代理(第13页)•支持MicrosoftActiveDirectory(第13页)•支持的防病毒和反间谍软件产品(第13页) 注意有关思科ISE硬件平台和安装的更多详情,请参阅《思科身份服务引擎版本2.0硬件安装指南》。
支持的硬件 思科ISE软件与设备或安装映像文件一同提供。
以下平台附带思科ISE版本2.0。
安装完成后,您可以在表4中列出的平台上使用指定组件角色(管理、策略服务、监控和pxGrid)配置思科ISE。
表4支持的硬件和角色 硬件平台 角色 配置 CiscoSNS-3415-K9(小型) CiscoSNS-3495-K9(大型) 任意 有关设备的硬件规格(表3),请参阅《思科身份服务引擎(ISE)产品手册》。
思科ISE-VM-K9(VMware,Linux KVM) •有关CPU和内存的建议,请参阅《思科身份服务引擎版本2.0硬件安装指南》中的“VMware设备选型建议”部分。
1 •有关硬盘大小的建议,请参阅《思科身份服务引擎版本2.0硬件安装指南》中的“磁盘空间要求”部分。
•NIC-需要1GBNIC接口。
您最多可以安装4个NIC。
•支持的虚拟机版本包括:–ESXi5.x,6.x –RHEL7.0上的KVM
1.任何VM设备配置均不支持少于8GB的内存分配。
如果思科ISE出现行为问题,所有用户都需要将分配的内存更改为至少8GB,再提交支持请求。
注意旧版ACS和NAC设备(包括思科ISE3300系列)不支持思科ISE版本2.0。
思科身份服务引擎版本2.0版本说明 11 系统要求 支持的虚拟环境 思科ISE支持以下虚拟环境平台:•VMwareESXi5.x、6.x•RHEL7.0上的KVM 支持的浏览器 管理员门户支持的浏览器包括:•MozillaFirefox版本39及更高版本•GoogleChrome版本43及更高版本•MicrosoftExplorer9.x、10.x和11.x 如果使用Explorer10.x,请启用TLS1.1和TLS1.2,并禁用SSL3.0和TLS1.0(“选项”[Options]>“高级”[Advanced])。
注意必须在运行您的客户端浏览器的系统上安装AdobeFlashPlayer11.1.0.0或更高版本。
查看思科ISE管理员门户并实现更好的用户体验所需的最低屏幕分辨率是1280x800像素。
支持的密码套件 思科ISE版本2.0支持以下符合FIPS的密码:支持TLS版本1.0、1.1和1.2。
•对于EAP-TLS、PEAP、EAP-FAST、EAP-TTLS: –DHE_RSA_WITH_AES_256_SHA256–DHE_RSA_WITH_AES_128_SHA256–RSA_WITH_AES_256_SHA256–RSA_WITH_AES_128_SHA256–DHE_RSA_WITH_AES_256_SHA–DHE_RSA_WITH_AES_128_SHA–RSA_WITH_AES_256_SHA–RSA_WITH_AES_128_SHA•对于EAP-FAST匿名调配:–ADH_WITH_AES_128_SHA思科ISE版本2.0不支持不符合FIPS的密码。
不支持以下密码:•RSA_DES_192_CBC3_SHA•EDH_RSA_DES_192_CBC3_SHA•EDH_DSS_DES_192_CBC3_SHA•RSA_RC4_128_SHA•RSA_RC4_128_MD5•EDH_RSA_DES_64_CBC_SHA 思科身份服务引擎版本2.0版本说明 12 系统要求 •EDH_DSS_DES_64_CBC_SHA•RSA_RC4_128_SHA 注意如果您拥有使用这些已弃用密码的旧版设备,请联系思科技术支持中心获取支持。
支持的设备和代理 有关支持的设备、浏览器和代理,请参阅《思科身份服务引擎网络组件兼容性》。
思科NAC代理互通性 思科NAC代理版本4.9.5.8是思科NAC设备版本4.9(1)4.9
(3)、4.9
(4)、4.9
(5)以及思科ISE版本1.1.3补丁11、1.1.4补丁11、1.2.0、1.2.1、1.3、1.4和2.0的一个通用代理。
在用户需要在ISE和NAC部署之间漫游的环境中部署NAC代理时,建议使用上述型号。
支持MicrosoftActiveDirectory 思科ISE版本2.0适用于所有功能级别的MicrosoftActiveDirectory服务器2003、2008、2008R2、2012和2012R2。
思科ISE不支持MicrosoftActiveDirectory版本2000及其功能级别。
思科ISE2.0支持与ActiveDirectory基础设施进行多林/多域集成,以支持在整个大型企业网络中执行身份验证和属性收集。
思科ISE2.0最多支持50个域连接点。
支持的防病毒和反间谍软件产品 有关思科NAC代理和思科NACWeb代理对具体防病毒和反间谍软件产品的支持详情,请访问以下链接:/c/en/us/support/security/identity-services-engine/products-release-notes-list.html思科NACWeb代理拥有静态合规性模块,在不升级Web代理的情况下无法升级这些模块。
下表列出的是Web代理版本和兼容的合规性模块版本。
表5Web代理及合规性模块版本 思科NACWeb代理版本4.9.5.34.9.5.24.9.4.34.9.0.10074.9.0.1005 合规性模块版本3.6.9845.23.6.9186.23.6.8194.23.5.5980.23.5.5980.2 思科身份服务引擎版本2.0版本说明 13 安装思科ISE软件 安装思科ISE软件 要在思科SNS-3415和SNS-3495硬件平台上安装思科ISE版本2.0,请打开新设备,并配置思科集成管理控制器(CIMC)。
然后,您可以使用CIMC或可引导USB通过网络安装思科ISE版本2.0。
注意使用虚拟机(VM)时,在将.ISO映像或OVA文件安装到VM上之前,我们建议使用NTP服务器为访客VM设置正确的时间。
根据《思科身份服务引擎版本2.0硬件安装指南》中的说明,执行思科ISE初始配置。
运行安装程序之前,请确保您已了解表6中列出的配置参数。
表
6 思科ISE网络安装配置参数 提示Hostname (eth0)interfaceaddressNetmaskDefaultgatewayDNSdomainname PrimarynameserverAdd/Editanothernameserver PrimaryNTPserverAdd/EditanotherNTPserver SystemTimeZone 说明不得超过19个字符。
有效字符包括字母数字(A–Z、a–z、0–9)和连字符(-)。
第一个字符必须是字母。
必须是千兆以太网0(eth0)接口的有效IPv4地址。
必须是有效的IPv4网络掩码。
必须是默认网关的有效IPv4地址。
不能是IP地址。
有效字符包括ASCII字符、任意数字、连字符(-)和句点(.)。
必须是主要域名服务器的有效IPv4地址。
(可选)允许您配置多个域名服务器。
必须是其他域名服务器的有效IPv4地址。
必须是网络时间协议(NTP)服务器的有效IPv4地址或主机名。
(可选)允许您配置多个NTP服务器。
必须是有效的IPv4地址或主机名。
必须是有效时区。
有关详细信息,请参阅《思科身份服务引擎版本2.0CLI参考指南》,该文档提供思科ISE支持的时区列表。
例如,对于太平洋标准时间(PST),系统时区为PST8PDT(或协调世界时[UTC]减8小时)。
参照的时区均为最常用的时区。
您可以从思科ISECLI运行showtimezones命令,获取受支持时区的完整列表。
注我们建议您将所有思科ISE节点都设置为UTC时区。
此 设置可确保来自部署中各种节点的报告、日志和安全状态代理日志文件始终与时间戳同步。
示例isebeta1 10.12.13.14 255.255.255.010.12.13.1 10.15.20.25 输入y以添加额外域名服务器,或者输入n以配置下一个参数。
clock.nist.gov 输入y以添加额外NTP服务器,或者输入n以配置下一个参数。
UTC(默认值) 思科身份服务引擎版本2.0版本说明 14 升级思科ISE软件 表
6 思科ISE网络安装配置参数(续) 提示Username Password 说明 标识用于对思科ISE系统进行CLI访问的管理用户名。
如果选择不使用默认值(admin),则必须创建新用户名。
用户名的长度必须为三至八个字符,并且由有效的字母数字字符(A–Z、a–z或0–9)组成。
标识用于对思科ISE系统进行CLI访问的管理密码。
您必须创建此密码(无默认值)。
密码长度必须至少为六个字符,并且至少包含一个小写字母(a–z)、一个大写字母(A–Z)和一个数字(0–9)。
示例admin(默认值) MyIseYPass2 注意有关配置和管理思科ISE的更多信息,请参阅适用于具体版本的文档(第33页)以查看思科ISE文档集中的其他文档。
。
升级思科ISE软件 您可以从以下任何版本直接升级到思科ISE版本2.0:•思科ISE版本1.3•思科ISE版本1.4如果您的版本低于思科ISE版本1.3,则必须先升级到上述版本之
一,然后才能升级到版本2.0。
按照《思科身份服务引擎版本2.0升级指南》中的升级说明升级至思科ISE版本2.0。
注意当您升级至思科ISE版本2.0时,可能需要开启之前的思科ISE版本中未使用的网络端口。
有关更多信息,请参阅《思科身份服务引擎版本2.0硬件安装指南》中的“思科ISE端口参考”。
升级注意事项和要求 升级至思科ISE版本2.0之前,请阅读以下部分:•必须开放用于通信的防火墙端口(第16页)•管理员用户在升级后无法访问ISE登录页面(第16页)•将思科ISE重新加入ActiveDirectory(第16页)•发起人登录失败(第16页)•为新访客类型更新授权策略(第16页)•其他已知升级注意事项和问题(第16页) 思科身份服务引擎版本2.0版本说明 15 升级思科ISE软件 必须开放用于通信的防火墙端口 思科ISE版本2.0中的复制端口已更改。
如果您已在主管理节点与任何其他节点之间部署防火墙,则升级至版本2.0前必须开放以下端口:•TCP1521-用于主管理节点与监控节点之间的通信。
•TCP443-用于主管理节点与所有其他辅助节点之间的通信。
•TCP12001-用于全局集群复制。
•TCP7800和7802-(仅在节点组中包含策略服务节点时适用)用于PSN组集群。
如需了解思科ISE版本2.0使用的端口的完整列表,请参阅《思科身份服务引擎版本2.0硬件安装指南》中的“思科ISE端口参考”。
管理员用户在升级后无法访问ISE登录页面 如果在升级前为思科ISE的管理访问启用了基于证书的身份验证(管理[Administration]>管理员访问[Adminess]),并使用ActiveDirectory作为您的身份源,则升级后您将无法启动ISE登录页面,这是因为升级期间会丢失与ActiveDirectory的连接。
解决方法从思科ISECLI使用下列命令以安全模式启动ISE应用:applicationstartisesafe该命令可在安全模式下启动思科ISE节点,并且您可以使用内部管理员用户凭证登录ISEGUI。
登录后,您可以将ISE连接至ActiveDirectory。
将思科ISE重新加入ActiveDirectory 如果使用ActiveDirectory作为外部身份源,请确保您拥有ActiveDirectory凭证。
升级后,可能会丢失ActiveDirectory连接。
如果发生此问题,您必须将思科ISE重新加入ActiveDirectory。
重新加入后,请执行外部身份源调用流程以确保连接。
发起人登录失败 升级流程并不会迁移所有发起人组。
在访客角色的创建中未使用的发起人组不会被迁移。
由于此变更,升级到版本2.0后部分发起人(内部数据库或ActiveDirectory用户)可能无法登录。
请检查发起人组映射,查看哪些发起人无法登录发起人门户,然后将他们映射到适当的发起人组。
为新访客类型更新授权策略 在升级至思科ISE2.0后,创建的新访客类型与升级后的授权策略不匹配。
您需确保根据新的访客类型更新授权策略。
其他已知升级注意事项和问题 有关其他已知的升级注意事项和问题,请参阅《思科身份服务引擎版本2.0升级指南》。
思科身份服务引擎版本2.0版本说明 16 从CiscoSecureACS迁移至思科ISE 从CiscoSecureACS迁移至思科ISE 您只能从CiscoSecureACS版本5.5和5.6直接迁移至思科ISE版本2.0。
有关从CiscoSecureACS版本5.5和5.6迁移至思科ISE版本2.0的信息,请参阅《思科身份服务引擎迁移工具指南》。
您无法从CiscoSecureACS5.1、5.2、5.3、5.4、4.x或更低版本或者从思科网络准入控制(NAC)设备迁移至版本2.0。
要从CiscoSecureACS版本4.x、5.1、5.2、5.3或5.4迁移,您必须先升级到ACS版本5.5或5.6,然后再迁移至思科ISE版本2.0。
CA与思科ISE实现互通性的要求 配合思科ISE使用CA服务器时,请确保满足以下要求:•密钥大小应为1024、2048或更高。
在CA服务器中,密钥大小使用证书模板定义。
您可以使 用请求方配置文件在思科ISE上定义密钥大小。
•密钥使用应允许在扩展中应用签名和加密。
•通过SCEP协议使用GetCACapabilities时,应支持加密算法和请求散列。
建议使用RSA+ SHA1。
•支持在线证书状态协议(OCSP)。
虽然这在自带设备(BYOD)中并不会直接使用,但是可以使 用能充当OCSP服务器的CA来撤销证书。
思科ISE版本2.0中的已知限制 本节列出版本2.0中的已知限制:•请勿删除默认的内部思科ISECA模板(第17页)•升级前请勿安装补丁(第18页)•LDAP导入的访客帐户无法从版本1.2升级(第18页)•从1.2升级时无法看到LDAP发起人创建的访客用户(第18页)•Android设备上的TLS身份验证不使用由分配的证书颁发机构颁发的证书(第18页)•EKU验证:OCSP签名证书为根CA返回未知响应(第18页) 请勿删除默认的内部思科ISECA模板 内部思科ISECA配有两个默认的证书模板:•CA_SERVICE_Certificate_Template-当其他网络设备使用思科ISE作为CA时,思科ISE使 用此模板发布证书。
例如,该模板适用于通过ASAVPN连接的客户端计算机。
•EAP_Authentication_Certificate_Template-思科ISE根据此模板为EAP身份验证发布证书。
请勿删除这些默认的证书模板。
如果要自定义证书模板,您可以创建一个新的,或者复制并编辑现有模板。
思科身份服务引擎版本2.0版本说明 17 思科ISE版本2.0中不支持的功能 升级前请勿安装补丁 在升级过程中,请勿同时在部署中的任何节点上安装补丁。
应当在部署升级完成后安装补丁。
LDAP导入的访客帐户无法从版本1.2升级 在升级到1.3、1.4、2.0或2.1期间,无法迁移由通过LDAP身份验证的发起人在版本1.2中导入的访客。
从1.2升级时无法看到LDAP发起人创建的访客用户 从版本1.2升级到1.3、1.4、2.0或2.1时,由通过LDAP身份验证的发起人创建的访客仅对直接发起人可见。
相同发起人组中的其他发起人将看不到这些访客。
Android设备上的TLS身份验证不使用由分配的证书颁发机构颁发的证书 当您执行以下配置时,会发生此问题:•思科ISE中的内部和外部证书颁发机构(CA)。
•分别使用内部和外部CA进行TLS身份验证的两个配置文件(SSID1和SSID2)。
从思科ISE调配的证书导入至AnyConnect证书存储空间中。
有时候,无线网络在连接至网络时会使用众多证书的其中一个。
例如,当一台Android设备使用SSID1连接至网络时,用于身份验证的证书由内部CA颁发。
当第二台Android设备使用SSID2连接至网络时,用于身份验证的证书也由内部CA颁发,而非由外部CA颁发(按照SSID2中的配置)。
此问题只出现在Android设备中,并且没有解决方法。
思科建议您使用供应商提供的所有补丁包和升级包更新您的Android设备。
EKU验证:OCSP签名证书为根CA返回未知响应 BouncyCastleOCSP签名证书为根CA返回一个“未知”响应。
如果您已经将思科ISE配置为当OCSP服务返回未知的证书状态时拒绝请求,则思科ISE会拒绝正在评估的证书,且用户身份验证失败。
此问题出现在BouncyCastle版本1.6.145生成的证书中。
无解决办法。
思科ISE版本2.0中不支持的功能 本节列出版本2.0中不支持的功能:•内联安全状态节点(IPN/iPEP)(第18页) 内联安全状态节点(IPN/iPEP) 思科ISE版本2.0不再支持IPN/iPEP配置。
思科身份服务引擎版本2.0版本说明 18 思科ISE安装文件、更新和客户端资源 思科ISE安装文件、更新和客户端资源 您可以使用以下三种资源下载文件,为思科ISE调配和提供策略服务:•从“下载软件”(DownloadSoftware)中心获取思科ISE下载文件(第19页)•思科ISE实时更新(第19页)•思科ISE离线更新(第20页) 从“下载软件”(DownloadSoftware)中心获取思科ISE下载文件 除了安装思科ISE软件(第14页)中描述的执行思科ISE全新安装所需的.ISO安装程序包,您还可以使用软件下载网页检索其他思科ISE软件元素,比如Windows和MacOSX代理安装程序和AV/AS合规性模块。
下载的代理文件可用于在支持的终端中执行手动安装,也可通过第三方软件分发软件包进行大规模部署。
要访问思科“下载软件”(DownloadSoftware)中心并下载必要的软件: 步骤1步骤
2 步骤
3 转到“下载软件”(DownloadSoftware)网页:?
a=a&i=rpm。
您可能需要提供登录凭证。
依次导航至产品(Products)>安全(Security)>访问控制和策略(essControlandPolicy)>思科身份服务引擎(CiscoIdentityServicesEngine)>思科身份服务引擎软件(CiscoIdentityServicesEngineSoftware)。
从以下思科ISE安装程序和可供下载的软件包中进行选择: •思科ISE安装程序.ISO映像 •用于Windows和MacOSX本地请求方的调配向导 •Windows客户端计算机代理安装文件(包括用于执行动手调配的MST和MSI版本) •MacOSX客户端计算机代理安装文件 •AnyConnect代理安装文件 •AV/AS合规性模块 点击下载(Download)或加入购物车(AddtoCart)。
思科ISE实时更新 通过思科ISE实时更新位置,您能够让系统自动下载请求方调配向导、适用于Windows和MacOSX的思科NAC代理、AV/AS支持(合规性模块)以及支持客户端调配和状态策略服务的代理安装程序包。
您应于初次部署时在思科ISE中配置这些实时更新门户,以便直接从为思科ISE设备获取最新的客户端调配和状态软件。
思科身份服务引擎版本2.0版本说明 19 思科ISE安装文件、更新和客户端资源 前提条件:如果无法访问默认的更新源URL,且您的网络要求使用代理服务器,您可能需要在管理(Administration)>系统(System)>设置(Settings)>代理(Proxy)中配置代理设置,然后才能访问实时更新位置。
如果启用了代理设置以便访问分析器和状态/客户端调配源,则与MDM服务器的连接可能被中断,因为思科ISE无法为MDM通信绕过代理服务。
要解决此问题,您可以将代 理服务配置为允许和MDM服务器通信。
有关代理设置的更多信息,请参阅《思科身份服务引擎版本2.0管理员指南》中“管理思科ISE”一章的“在思科ISE中指定代理设置”部分。
客户端调配和安全状态实时更新门户:•客户端调配门户-/web/secure/pmbu/provisioning-update.xml 此URL提供以下软件元素: –用于Windows和MacOSX本地请求方的调配向导 –Windows版最新思科ISE永久代理和临时代理 –MacOSX版最新思科ISE永久代理 –ActiveX和Java小应用程序的安装程序帮助工具 –AV/AS合规性模块文件有关将此门户上已可用的软件包自动下载至思科ISE的更多信息,请参阅《思科身份服务引擎版本2.0管理员指南》中“配置客户端调配”一章的“自动下载客户端调配资源”部分。
•安全状态门户-/web/secure/pmbu/posture-update.xml 此URL提供以下软件元素: –思科预定义的检查和规则 –Windows和MacOSXAV/AS支持图表 –思科ISE操作系统支持有关将此门户上已可用的软件包自动下载至思科ISE的更多信息,请参阅《思科身份服务引擎版本2.0管理员指南》中“配置客户端安全状态策略”一章中的“自动下载安全状态更新”部分。
如果不启用上述自动下载功能,您可以选择离线下载更新。
请参阅思科ISE离线更新(第20页)。
思科ISE离线更新 通过思科ISE离线更新,您可以手动下载请求方调配向导、代理、AV/AS支持、合规性模块以及支持客户端调配和状态策略服务的代理安装程序包。
当从思科ISE设备通过互联网直接访问不可用或者安全策略不允许时,您可以使用此选项上传客户端调配和安全状态更新。
离线更新不适用于分析器源服务。
要上传离线客户端调配资源: 步骤1步骤
2 转到“下载软件”(DownloadSoftware)网页:?
a=a&i=rpm。
您可能需要提供登录凭证。
依次导航至产品(Products)>安全(Security)>访问控制和策略(essControlandPolicy)>思科身份服务引擎(CiscoIdentityServicesEngine)>思科身份服务引擎软件(CiscoIdentityServicesEngineSoftware)。
思科身份服务引擎版本2.0版本说明 20 思科ISE安装文件、更新和客户端资源 步骤
3 从下列可下载的离线安装程序包中选择:•win_spw-<版本>-isebundle.zip-适用于Windows的离线SPW安装程序包•mac-spw-<版本>.zip-适用于MacOSX的离线SPW安装程序包•pliancemodule-<版本>-isebundle.zip-离线合规性模块安装程序包•macagent-<版本>-isebundle.zip-离线Mac代理安装程序包•nacagent-<版本>-isebundle.zip-离线NAC代理安装程序包•webagent-<版本>-isebundle.zip-离线Web代理安装程序包点击下载(Download)或加入购物车(AddtoCart)。
有关将已下载安装版本包添加至思科ISE的更多信息,请参阅《思科身份服务引擎版本2.0管理员指南》中“配置客户端调配”一章的“从本地计算机添加客户端调配资源”部分。
您可以使用安全状态更新,以离线方式通过本地系统上的存档为Windows和Macintosh操作系统更新检查、操作系统信息以及防病毒和反间谍软件支持图表。
要进行离线更新,您需要确保存档文件版本与配置文件中的版本一致。
您可以在已配置思科ISE且想要为状态策略服务启用动态更新时使用离线状态更新。
要上传离线安全状态更新: 步骤
1 步骤2步骤3步骤4步骤5步骤
6 转至:。
将posture-offline.zip文件保存到本地系统。
此文件用于为Windows和Macintosh操作系统更新操作系统信息、检查、规则以及防病毒和反间谍软件支持图表。
访问思科ISE管理员用户界面,然后依次选择管理(Administration)>系统(System)>设置(Settings)>安全状态(Posture)。
点击箭头查看安全状态的设置。
选择更新(Updates)。
系统将显示“安全状态更新”(ProductUpdates)页面。
在“安全状态更新”(PostureUpdates)页面,选择离线(Offline)选项。
从“待更新文件”(Filetoupdate)字段,点击浏览(Browse),以从您的系统的本地文件夹中找到单个存档文件(posture-offline.zip)。
注意“待更新文件”(FiletoUpdate)字段是必填字段。
您可以选择包含适当文件的单个存档文件(.zip)。
不支持.zip之外的其他存档文件,例如.tar和.gz。
步骤
7 点击现在更新(UpdateNow)按钮。
更新后,“安全状态更新”(PostureUpdates)页面的“更新信息”(UpdateInformation)下将显示当前思科更新版本的信息。
思科身份服务引擎版本2.0版本说明 21 思科ISE版本2.0未解决的警告 思科ISE版本2.0未解决的警告 •未解决的警告(第22页)•待解决的代理警告(第24页) 未解决的警告 表7思科ISE版本2.0未解决的漏洞 警告CSCuy84839 说明ISE2.0中配置的默认规则从拒绝访问更改为内部用户。
CSCus91272CSCut18311CSCut33204 解决方法配置。
每次重新启动后,从GUI审核策略配置,如果出现问题则重新 由于EAP标识符不匹配,使用本地请求方的EAP-TTLS与EAP-MSCHAPv2身份验证失败。
在RADIUS身份验证报告的CVS文件中,如果身份验证失败,则RADIUS状态值显示为
0,如果身份验证通过则显示为
1,而不显示Pass或Fail。
不能使用包含正斜杠(\)的字符串搜索报告。
例如,Cisco\。
它不会返回相应的结果。
CSCut64610CSCuv03825 解决方法执行搜索时请勿使用正斜杠。
操作审核报告不显示以下更改: •身份验证策略:所有CRUD操作都记录为配置更改,而不会具体地记录为创建、更新或删除。
•策略(Policy)>策略元素(PolicyElements)>结果(Results)>身份验证(Authentication)>允许的协议(AllowedProtocols):CRUD操作无日志记录。
•策略(Policy)>策略元素(PolicyElements)>结果(Results)>身份验证(Authentication)>样本(Simple):不会记录删除操作。
系统和解决方案(SnS):在分布式部署中,有时所有辅助节点都处于“复制终止”(Replicationped)状态(极少发生)。
CSCuv13440 CSCuv14593CSCuv14605 解决方法如果所有节点处于“复制终止”(Replicationped)状态超过几分钟,请重新启动主PAN。
在双SSIDSAML流程中,完成证书调配后,系统会发送CoA断开的消息,并显示UI以便手动连接至SSID。
但是在Windows10中,当选择SSID和证书时,它会请求用户名,但调配后不启动身份验证。
RBAC管理员可从父终端组导入和查看终端。
在Windows10Edge浏览器上,访客门户中的LANDHCP发布页面不启动。
CSCuv83774 解决方法使用MozillaFirefox浏览器。
无法使用某些允许的字符创建时间和日期策略以及可下载的ACL名称。
支持的字符仅包括尖括号(<>)、和号(&)和百分数(%)符号。
思科身份服务引擎版本2.0版本说明 22 思科ISE版本2.0未解决的警告 表7思科ISE版本2.0未解决的漏洞(续) 警告CSCuv88378CSCuv90086 CSCuv94217 CSCuw08701 说明 证书调配门户复制操作不复制授权组和模板。
在大型部署中生成思科ISE根CA时,主要管理节点(PAN)会重新启动。
PAN无法长期使用。
在MozillaFirefox40中,对策略集重新排序并保存新顺序后,“保存顺序”(SaveOrder)按钮会消失。
此问题仅出现在MozillaFirefox版本40浏览器上。
如果授权配置文件名中包含空格,则ACS至ISE的迁移工具在导出时会产生错误。
CSCuw21758 CSCuw22718CSCuw23690CSCuw23941 解决方法删除ACS授权配置文件名中的空格,然后重新导出数据。
在“我的设备”(MyDevices)门户中,将“可接受的用户策略”(ChangestotheeptableUsePolicy(AUP)设置更改为“仅第一次登录开启”(Onfirstloginonly)或“每x天”(Everyxdays)后,更改不生效。
系统仍在每次登录时提示用户接受AUP。
当执行大量客户端调配事务时,PAP会耗尽堆内存并进行故障切换。
当启用或禁用SXP服务时,pxGrid服务会重新启动。
在MAC上,在网络重置后,非广播SSID不会自动连接。
CSCuw29997 解决方法SSID显示在“可用网络”(AvailableNetworks)列表中。
点击连接(Connect)以连接至SSID。
当与ArubaWLC一同使用时,ISE访客门户重定向静态URL包含特殊字符“?
”,且系统无法正确识别URL中的此字符,因此重定向无法正常运行。
CSCuw34150 解决方法手动配置所有WLC中的URL。
当SFTP服务器使用DSA密钥时,cryptohost_keyaddhost命令无法正常运行。
CSCuw35766CSCuw38040 解决方法建立与SFTP服务器的SSH连接,并手动将加密的主机密钥添加至思科ISE数据库。
即使已设置静态终端组分配,但仍然会消耗Plus许可证。
在MacOSX中,当使用不同身份验证协议或证书模板调配有线和无线配置文件时,有线配置文件未调配。
此问题出现在请求方调配向导版本1.0.0.35中。
CSCuw43915 解决方法为有线使用案例创建单独的本地请求方配置文件。
MacOSX10.10和MacOSX10.11:在PEAP或EAP-FAST身份验证过程中,调配NSP后无法自动连接至SSID。
解决方法点击“连接”(Connect)按钮并手动提供PEAP或EAP-FAST凭证。
思科身份服务引擎版本2.0版本说明 23 思科ISE版本2.0未解决的警告 表7思科ISE版本2.0未解决的漏洞(续) 警告CSCux31573 说明对于Windows10build10565,本地请求方调配(NSP)在BYODTLS流程中失败。
症状:对于Windows10版本10565设备,NSP在BYODTLS流程中失败。
条件:满足以下条件时会发生此问题:
1.已安装ISE版本2.0.0.306补丁
1。
2.将授权配置文件配置为重定向至BYOD门户。
3.使用Windows10配置NSP配置文件。
4.使用Windows10配置客户端调配策略并与NSP相关联。
5.安装Windows10(build10565)的设备通过BYOD流程连接。
解决方法:无。
待解决的代理警告 表8思科ISE版本2.0待解决的代理警告 警告CSCuw19276 说明 思科NAC代理和思科NACWeb代理不支持GoogleChrome版本45及更高版本。
Java插件在GoogleChrome中使用Netscape插件API(NPAPI),这是思科NAC代理和思科NACWeb代理运行的必要组件。
但是,GoogleChrome版本45及更高版本不支持NPAPI。
解决方法要启用Java插件,请执行以下步骤: CSCuw17919
1.在GoogleChrome窗口地址栏中,复制并粘贴以下URL:chrome://flags/#enable-npapi
2.点击启用(Enable)链接以便为Mac和Windows启用NPAPI。
3.点击页面底部的现在重启(RelaunchNow)以使更改生效。
TrendMicroSecurity10.x不可用。
为TrendMicroSecurity10.x执行安全状态评估时,您必须使用TrendMicroTitanium10.x配置安全状态条件,因为TrendMicroSecurity10.x使用TrendMicroTitanium10.xAV/AS引擎。
思科身份服务引擎版本2.0版本说明 24 思科ISE版本2.0.0.306补丁更新 思科ISE版本2.0.0.306补丁更新 思科ISE版本2.0.0.306累积型补丁1中已解决的问题(第25页)思科ISE版本2.0.0.306累积型补丁2中已解决的问题(第26页)思科ISE版本2.0.0.306累积型补丁3中已解决的问题(第28页) 思科ISE版本2.0.0.306累积型补丁1中已解决的问题 下表列出思科身份服务引擎版本2.0.0.306累积型补丁
1 (ise-patchbundle-2.0.0.306-PP1-161394.SPA.86_64.tar.gz)中已解决的问题。
要获取将补丁应用至思科ISE2.0所必需的补丁文件,请使用以下网址登录思科软件下载中心:?
a=a&i=rpm(您可能需要提供登录凭证),依次导航至安全(Security)>访问控制和策略(essControlandPolicy)>思科身份服务引擎(CiscoIdentityServicesEngine)>思科身份服务引擎软件(CiscoIdentityServicesEngineSoftware),然后保存一份补丁文件副本到本地计算机中。
补丁1可能不兼容旧版SPW,因此用户需要升级SPW。
有关如何将补丁应用至系统的说明,请参阅《思科身份服务引擎版本2.0管理员指南》中“管理思科ISE”一章的“安装软件补丁”部分。
表9思科ISE补丁版本2.0.0.306补丁1已解决的警告 警告CSCuw88770 说明 ISE2.0PEAPTLS1.2无线身份验证在Android6和Win10中失败。
之所以出现此问题,是因为在TLS1.2中,EAP-TLS、PEAP和EAP-TTLS的MPPE密钥生成机制已经更改。
EAP-FAST不受影响。
症状:日志中的身份验证报告显示身份验证已成功;但是,客户端会话的WLC状态需要dot1x。
无线数据包的获取结果显示EAP成功后的4次握手未完成,无论是M1和M2还是仅仅M1。
条件:满足以下组合条件时会发生此问题: •思科ISE版本2.0FCS未安装补丁。
•为WPA2企业版配置了无线LAN和L2安全。
•安装Android6或Windows10版本1511的设备尝试进行身份验证。
•使用的协议为PEAP、TTLS或EAP-TLS。
解决方法: •对于Android,无解决方法。
您无法从Android客户端或思科ISE配置TLS版本。
•对于Windows10客户端,您可以禁用TLS1.2并启用TLS1.0:–创建DWORDHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13\TlsVersion并将相关的DWORD值设为C0。
–重新启动EapHost服务。
思科身份服务引擎版本2.0版本说明 25 思科ISE版本2.0.0.306补丁更新 思科ISE版本2.0.0.306累积型补丁2中已解决的问题 下表列出思科身份服务引擎版本2.0.0.306累积型补丁2中已解决的问题。
要获取将补丁应用至思科ISE2.0所必需的补丁文件,请使用以下网址登录思科软件下载中心:?
a=a&i=rpm(您可能需要提供登录凭证),依次导航至安全(Security)>访问控制和策略(essControlandPolicy)>思科身份服务引擎(CiscoIdentityServicesEngine)>思科身份服务引擎软件(CiscoIdentityServicesEngineSoftware),然后保存一份补丁文件副本到本地计算机中。
补丁2可能不兼容旧版SPW,因此用户需要升级SPW。
有关如何将补丁应用至系统的说明,请参阅《思科身份服务引擎版本2.0管理员指南》中“管理思科ISE”一章的“安装软件补丁”部分。
表10思科ISE补丁版本2.0.0.306补丁2的已解决警告 警告CSCuw62692CSCuw89551CSCuw27405CSCuw58973CSCuw09138 说明 “网络设备名称”(NetworkDeviceName)字段不允许使用句点(.)。
ISEXML策略的导出不区分TACACS+和RADIUS策略集。
应删除ANC的“修复”(Remediate)和“调配”(Provisioning)选项。
无法在ISE2.0中手动取消对EPS终端的隔离。
如果使用AD连接器,将在PSN中看到高内存利用率。
一段时间后,将生成一条关于AD服务重启的警告。
内存使用率下降,然后再次升高。
CSCuw74703 解决方法重新启动服务。
从ISE1.2.1升级至ISE1.4后,不正确分析IP电话。
CSCuw94822CSCuw78737 解决方法在启用分析器的所有节点上运行EP_Reset_Time.sh脚本。
ISE2.0与LGPLv2.1许可证要求不兼容。
即使清除缓存后,某些访客终端仍然在HotSpotAUP门户循环中卡住。
CSCuv61017 CSCux30540CSCuw45102 解决方法将终端从ISE数据库中删除,并在控制器上清空该终端的所有会话。
BYOD流失败,因为dir:/opt/CSCOcpm/appsrv/apache-tomcat-ca/webapps/caservice-webapp/WEB-INF/lib中缺失PSP-Commons-1.3.0.295.jar。
安装ISE2.0补丁1后,pxGrid控制器服务不稳定。
CIDR格式中指定的ID映射过滤器(例如,10.1.100.0/24)无法正常工作。
CSCuw02111CSCuu94127 CSCuw22718 解决方法将各个IP地址指定为过滤器。
当VPN客户端断开连接时,ASA发送记帐停止消息,但ISE中未清除该会话。
使用基于IP的探测功能而不启动RADIUS探测功能时,ISE分析器会混淆不同会话的属性。
在应用此补丁后,请启用RADIUS探测功能,并将NAD配置为向已开启分析器的PSN发送RADIUS记帐消息。
当执行大量客户端调配事务时,PAP会耗尽堆内存并失败。
思科身份服务引擎版本2.0版本说明 26 思科ISE版本2.0.0.306补丁更新 表10思科ISE补丁版本2.0.0.306补丁2的已解决警告(续) 警告CSCuw65623 说明 当域名中间包含数字时,系统显示无效的FQDN消息,例如,是可行的,但或会导致错误。
CSCuu08092 解决方法FQDN中不能有数字。
升级后,读取来自数据库的网络设备出现问题。
ISE1.3允许在末尾使用句点(.)来定义网络设备。
升级至ISE1.4后,来自这些设备的身份验证将被丢弃,因为不允许在末尾使用句点。
CSCux11146 CSCuv81729CSCux30578CSCux27365CSCuw88244CSCuw40899 解决方法删除现有设备,并重新创建相同的设备。
使用错误的密钥对SXP密码进行加密。
加密SXP密码所使用的密钥应当与加密ISEOracleDB中存储的所有其他敏感材料所使用的相同。
升级至ISE1.4后,对于任何操作系统的新补丁管理条件,都不填充供应商列表。
使用HP设备的访客流程无法在分布式部署上正常运行。
重定向至访客门户时,系统显示500内部错误(500InternalError)消息。
ISE不支持使用传统密码的EAP客户端。
仅支持RC4或DES加密密码的传统客户端连接至ISE时,EAP握手会失败。
ISE-TACACS限期许可证在导入后显示为永久许可证。
当客户端从一个SSID切换为另一个时,终端MAC未在正确的终端身份组中更新。
CSCuw59035CSCuw51376CSCuw15139 CSCur44745 解决方法您必须手动将终端从之前的终端组中删除。
HTTP状态400-如果在非443/TCP端口上使用PAT/NAT,登录后将显示错误请求(BadRequest)错误。
PSN所有权更改后,无法正确分析终端。
生成主访客报告时,系统显示以下错误消息: Unabletoconnecttotheoperationdatabase.Pleasecheckworkconnectivityandretryagainlater. 当启用“抑制重复的成功身份验证”(SuppressRepeatedessfulAuthentications)选项时,CoA事件会添加到“实时日志”(LiveLog)会话条目的“身份验证”(Auth)详情中。
解决方法在“管理”(Administration)>“系统”(System)>“设置”(Settings)>“协议”(Protocols)>RADIUS下禁用“抑制重复的成功身份验证”(SuppressRepeatedessfulAuthentications)。
思科身份服务引擎版本2.0版本说明 27 思科ISE版本2.0.0.306补丁更新 思科ISE版本2.0.0.306累积型补丁3中已解决的问题 下表列出思科身份服务引擎版本2.0.0.306累积型补丁3中已解决的问题。
要获取将补丁应用至思科ISE2.0所必需的补丁文件,请使用以下网址登录思科软件下载中心:?
a=a&i=rpm(您可能需要提供登录凭证),依次导航至安全(Security)>访问控制和策略(essControlandPolicy)>思科身份服务引擎(CiscoIdentityServicesEngine)>思科身份服务引擎软件(CiscoIdentityServicesEngineSoftware),然后保存一份补丁文件副本到本地计算机中。
补丁3可能不兼容旧版SPW,因此用户需要升级SPW。
有关如何将补丁应用至系统的说明,请参阅《思科身份服务引擎版本2.0管理员指南》中“管理思科ISE”一章的“安装软件补丁”部分。
表11思科ISE补丁版本2.0.0.306补丁3的已解决警告 警告CSCuh80594CSCuu18124 CSCuu30079CSCuv68500 CSCuv71811 CSCuv77724CSCuv88011 CSCuv89453CSCuv91527CSCuv94231CSCuv97343CSCuv99833 说明为自定义属性选择的“默认枚举类型”(DefaultEnum)值无法正常运行。
升级至1.3后,LDAP发起帐户缺失。
解决方法使用ounts组而非Group或Own。
在AMPEnabler配置文件中执行添加、编辑和复制操作时存在问题。
MDM:请勿对未向MDM注册的设备执行强制重定向。
解决方法通过ISE自行激活设备。
ISE身份验证延迟每小时都增加。
解决方法每5天重启一次ISE服务。
在“证书调配”(CertificateProvisioning)页面,在PQDN字段输入内容会显示错误消息“FQDN字段格式无效”(TheFQDNfieldisnotinavalidformat)。
在ISE1.4中使用分析器源送服务时,源服务更新会覆盖管理员创建的同名规则。
解决方法配置“由思科提供”策略来适应自定分析器条件的需求,或者在运行源服务更新前重命名自定义策略。
在ISE1.3中,访客和发起人门户会出现重复的密码更改和登录循环。
ISE升级至1.4后,在补救中无ANYAV选项。
身份验证后,Radius令牌上的Acs.NormalizedUserName为空。
创建新的访客帐户时,ISE1.3会缓存上一个发起人的邮件地址。
ISE1.3源安全状态安排程序服务出现JDBC异常的故障。
解决方法 CSCuw09627
1.手动启动更新。
2.重新启动服务。
ISE1.3RSA代理在身份验证流程中引起延迟,导致身份验证在一般负载情况下失败。
ISE1.3和RSA/ACE代理版本8.1.2上会出现此问题。
解决方法请使用RADIUS令牌。
思科身份服务引擎版本2.0版本说明 28 思科ISE版本2.0.0.306补丁更新 表11思科ISE补丁版本2.0.0.306补丁3的已解决警告(续) 警告CSCuw27263 说明当外部RADIUS服务器被用作BYOD流的一部分时,不支持其身份验证。
CSCuw29108 解决方法请使用内部用户或AD用户帐户。
ISE1.3访客门户访问的嵌入式状态检查和Web代理流失败。
解决方法 CSCuw31016 CSCuw57930CSCuw60028CSCuw67042CSCuw95152CSCuw98748CSCuw99899 在访客门户(GuestPortals)中,取消选中“要求访客设备合规性”(Requireguestpliance)复选框以避免嵌入式安全检查,并为安全检查设置单独的策略。
或 使用NAC代理或AnyConnectISE安全状态模块访问网络。
“我的设备”(MyDevices)门户无法从访客流正确映射门户用户名称。
当使用包含ActiveDirectory短名称帐户通过访客门户调配设备时,“我的设备”(MyDevices)门户中的门户用户与访客门户的门户用户名未正确映射。
因此,除非使用UPN,否则会看到设备。
在用户帐户到期之前,未发送访客帐户到期邮件。
ISE1.x:外部Radius服务器不接受共享密钥中的“&”。
支持套件中缺失ISE文件。
向已知访客提供帐户详情时,如果取消选中“复制我”(Copyme)复选框,则它会缓存上一个发起人的邮件地址。
访问发起人门户时,其配置中的Javascript输入会翻倍。
ISE1.3补丁5:即便在收到记帐停止命令后,MNT会话也未清空。
CSCux03119CSCux07108 解决方法通过MNTAPI手动清空会话。
已发起自带设备(BYOD)支持。
ISE1.3补丁4应用在源服务复制消息后初始化。
如果用户打开分布式部署中的分析器源服务,则节点上的应用服务进入初始化状态。
CSCux10424CSCux18771 解决方法无。
运行applicationreset-config命令,以便从该状态中恢复。
在ISE中,AD黑名单未在预期频率内刷新。
解决方法重新加载表现出该行为的PSN。
在自助注册后,因为发生内部错误而无法成功使用其他用户登录。
解决方法 注册后,使用您在访客门户中创建的凭证。
所有其他登录在第一个页面会正常运行。
或 请勿将“访客用户”(GuestUsers)置于Guest_Portal_Sequence顶部。
思科身份服务引擎版本2.0版本说明 29 思科ISE版本2.0.0.306补丁更新 表11思科ISE补丁版本2.0.0.306补丁3的已解决警告(续) 警告CSCux21939CSCux43787 说明ISE终端清除操作无法删除终端。
ISE运行时在收到超过4个请求后卡住。
CSCux46301 解决方法重新启动服务并重新加入节点。
ISE2.0访客帐户到期的SMS通知无法正常运行。
CSCux53910 解决方法启用邮件通知。
ISE1.3补丁5内存提高导致身份验证延迟。
CSCux58966CSCux61238CSCux61360 解决方法每5天重启一次ISE应用。
在外部RADIUS服务器下显示用户密码。
SNMPQUERYEventTimeout的范围从60秒延长为150秒。
ISE2.0访客密码经过一天就到期。
CSCux66320CSCux73262 解决方法为访客帐户启用“密码永不过期”(passwordneverexpires)。
ISE2.0身份验证策略从配置中消失。
更新安全状态补救资源时,ISE1.4应用服务重新启动。
CSCux77620 解决方法联系TAC。
访客清除操作后显示“由于网络错误未收到服务器响应”(Failtoreceiveserverresponsedueworkerror)。
解决方法 CSCux79853CSCux91475CSCux92681CSCux97025CSCux99204 CSCuy10037CSCuy12346CSCuy29028CSCuy29124CSCuy33801 更改安排的清除时间或频率,然后重新改回来。
或更改ISE时区,然后重新改回来。
HTTPSAPI呼叫未到达SMS网关(使用Clickatell测试)。
手动完成源服务更新后,无法进行其他源更新。
对于Clickatell上的GlobalDefault,通过HTTP-POST发送SMS失败。
如果终端源是配置协议,则所有权更改/合并可能失败。
ISE2.0补丁2使HotSpot门户出现故障,可在AUP之前执行CoA。
解决方法降级至ISE2.0补丁1或不含补丁的ISE2.0。
如果网真没有cdpCacheAddress,则CDP无法正常工作。
ISE重复计数器未在24小时内重置。
EAP-TLS内存泄漏。
当有足够的可用资源时,ISE2.0.1MR无法纵向扩展。
ISE2.0管理员门户不接受带有“-”连字符的FQDN。
解决方法使用最后一个片段中不含“-”的FQDN。
思科身份服务引擎版本2.0版本说明 30 思科ISE版本2.0已解决的警告 表11思科ISE补丁版本2.0.0.306补丁3的已解决警告(续) 警告CSCuy34700CSCuy43592 说明更新glibc软件包以解决CVE-2015-7547。
将用户标记为合规后,ISE2.0发送CoA断开连接的消息。
CSCuy51958CSCuy81433 解决方法使用SSLVPN。
ISE2.0证书的自动验证操作会中断节点间通信。
ISE2.0CoANAK无法找到任何会话标识属性。
解决方法联系TAC。
思科ISE版本2.0已解决的警告 下表列出此版本中已解决的警告: 表12思科ISE版本2.0已解决的警告 警告CSCuh12811CSCun52844CSCuq22852CSCuq92574CSCuq96560CSCuq97051 CSCur11286CSCur13627CSCur28245 CSCur35764CSCur36983CSCur44557CSCus09940CSCus19913CSCus50476CSCus78802CSCus93665CSCut04544 CSCut04556 说明 我的设备和发起人门户URL都不支持主机和FQDN。
在客户端调配下报告跨域引用方泄漏(Cross-DomainRefererLeakage)问题。
如果用户名或密码中使用非字母数字字符,则本地Web身份验证失败。
在运行Android4.2.2的LG上,无法安装自带设备(BYOD)配置文件。
升级后,自助注册访客用户的访问持续时间值为
0。
在使用3300和3400系列硬件的部署中启用SNMP查询探测功能时,将看到缓慢复制错误。
iPhone6在调配后不重定向至配置的URL。
监控日志收集器不显示最近60分钟的任何数据。
“发起人组”(SponsorGroup)和“访客类型”(GuestType)页面出现用户界面问题。
从受信任证书存储空间中删除内部CA证书时,也会从证书颁发机构撤回证书。
配置数据恢复进程卡在80%处;LD_LIB_PATH库中缺失字段。
如果各门户的语言捆绑包不同,则发起人门户通知会失败。
跨站请求伪造(CSRF)保护在某些网页上无法正常运行。
ISEAuthStatusRestAPI不支持多个MAC地址。
监控节点(MnT)缓慢,尤其是在显示实时日志和报告时。
在字符串中间使用变量替换会删除初始字符。
从1.2.x.升级后,ISE1.3EAP-FAST链无法通过身份验证。
ISE-传输层保护-不安全传输(ISE-TransportLayerProtection-InsecureTransmission)上有漏洞。
思科ISE易受跨帧脚本攻击。
思科身份服务引擎版本2.0版本说明 31 思科ISE版本2.0已解决的警告 表12思科ISE版本2.0已解决的警告(续) 警告CSCut25212 CSCut25227CSCut40042CSCut42520 CSCut58228CSCut63392CSCuu03368CSCuu04061CSCuu04227CSCuu22410CSCuu43966CSCuu49759CSCuu60864CSCuu65509CSCuu76087CSCuu91928CSCuu92630CSCuv22443CSCuv22604 CSCuv24342CSCuv31567 CSCuv51519CSCuv52944CSCuv53534 CSCuv54014CSCuv61017 CSCuv71811CSCuv90268 说明 在Android4.3或更高版本中,本地请求方配置文件(NSP)不将证书存储在密钥存储库中。
在ISE管理员页面发现跨站脚本(XSS)漏洞。
在访客门户中升级ApacheTomcat后,重定向端口重新配置无法正常运行。
添加第二个ActiveDirectory(AD)连接点时,用户主体名称(UPN)身份验证失败。
SamsungAndroid设备无法为BYODEAP-TLS安装证书。
ISEGUI的锁定/高级调整导致AD服务崩溃。
轻量级目录访问协议(LDAP)用户无法管理我的设备(MyDevices)门户。
当MDM服务器关闭时,ISE策略服务节点(PSN)不响应RADIUS请求。
后接802.1X的MAB身份验证失败。
将访客会话数据写入缓存和DB时出现延迟。
当交换机上的身份验证顺序为MAB后跟802.1x时出现错误。
MacOSX版本10.10无法自动连接至使用单独SSID的网络。
无法保存新分析的终端。
从1.2升级至1.4后,无法访问管理员门户。
连接至IP电话的WindowsPC被分析为Cisco-IP-Phone-7970。
ISE必须发送产品名称进行定义检查,而非发送供应商名称。
修改思科ISE中的CTS策略时,触发复制失败警报。
发起访客用户在访客门户中输入凭证后,系统会提示其开启BYOD流程。
从1.2升级至1.3期间,并非当前所有者的PSN可能会获得所有权,从而导致无效的分析器分类。
CoA重新身份验证触发ISE附加“会话超时”(SessionTimeout)属性。
使用对象图导航语言(OGNL)控制台的ApacheStruts2Web应用易受远程命令执行攻击。
对于某些AD用户,发起人门户不会完全加载。
SWD-xxxLSQ-xxx-ISE无法发送停止记帐消息,从而影响用户。
当ISE对电话或其他设备进行身份验证/授权时,从分析器DB查询终端非常缓慢。
使用非公开顶级域名时,CRL/OCSPURL验证失败。
BYOD流失败,因为dir:/opt/CSCOcpm/appsrv/apache-tomcat-ca/webapps/caservice-webapp/WEB-INF/lib中缺失PSP-Commons-1.3.0.295.jar。
ISE身份验证延迟每小时都增加。
邮件地址中包含多个点号(“.”)的管理员用户身份验证失败。
思科身份服务引擎版本2.0版本说明 32 文档勘误表 文档勘误表 思科ISE2.0在线帮助包含对3300系列设备的参考-CSCuw68020。
思科ISE版本2.0不支持传统的3300系列、ACS或NAC设备。
但是,在线帮助中“管理网络设备”一章的“MDM设置中使用的组件”表格列出了3315、3355和3395系列设备。
此信息不正确,并已从上发布的《思科身份服务引擎版本2.0管理指南》中删除。
相关文档 适用于具体版本的文档 思科ISE的一般产品信息位于/go/ise。
最终用户文档位于上的/en/US/products/ps11640/tsd_products_support_series_home.html。
表13思科身份服务引擎的产品文档 文档标题思科身份服务引擎版本2.0版本说明 思科身份服务引擎版本2.0管理员指南 思科身份服务引擎版本2.0硬件安装指南 思科身份服务引擎版本2.0升级指南 思科身份服务引擎版本2.0迁移工具指南 思科身份服务引擎版本2.0发起人门户用户指南思科身份服务引擎版本2.0CLI参考指南 思科身份服务引擎版本2.0API参考指南 思科ISE与ActiveDirectory的集成 位置 /c/en/us/support/security/identity-services-engine/products-release-notes-list.html /c/en/us/support/security/identity-services-engine/products-installation-and-configuration-guides-list.html /c/en/us/support/security/identity-services-engine/products-installation-guideslist.html /c/en/us/support/security/identity-services-engine/products-installation-guideslist.html /c/en/us/support/security/identity-services-engine/products-installation-guideslist.html /c/en/us/support/security/identity-services-engine/products-user-guide-list.html /c/en/us/support/security/identity-services-engine/mand-reference-list.html /c/en/us/support/security/identity-services-engine/mand-reference-list.html /c/en/us/support/security/identity-services-engine/products-installation-and-configuration-guides-list.html 思科身份服务引擎版本2.0版本说明 33 获取文档和提交服务请求 表13思科身份服务引擎的产品文档(续)文档标题 思科ISE设备内文档和中国RoHS指针卡 使用思科身份服务引擎创建的网络访问设备配置文件 位置 /c/en/us/support/security/identity-services-engine/products-documentation-roadmaps-list.html /c/dam/en/us/td/docs/security/ise/how_to/HowTo-105-Network_ess_Device_Profiles_with_Cisco_ISE.pdf 平台特定文档 其他平台特定文档的链接位于以下位置: •思科ISE/c/en/us/support/security/identity-services-engine/tsd-products-support-series-home.html •思科UCSC系列服务器 puting/ucs/overview/guide/UCS_rack_roadmap.html •CiscoSecureACSess-control-system/tsd-products-supportseries-home.html •思科NAC设备ess/tsd-products-support-series-home.html •思科NAC分析器/c/en/us/support/security/nac-profiler/tsd-products-support-series-home.html •思科NAC访客服务器/c/en/us/support/security/nac-guest-server/tsd-products-support-series-home.html 获取文档和提交服务请求 关于如何获取文档、提交服务请求和收集详情,请参阅每月的思科产品文档更新(其中还含有所
有最新及修订的思科技术文档)。
要查看文档,请前往: 通过ReallySimpleSyndication(RSS)源的方式订阅思科产品文档更新,相关内容将通过阅读器应用程序直接发送至您的桌面。
RSS源是一项免费服务,思科目前支持RSS2.0版本。
本文档需结合“相关文档”部分中列出的文档一起使用。
思科和思科徽标是思科和/或其附属公司在美国和其他国家/地区的商标或注册商标。
要查看思科商标列表,请转至此URL:/go/trademarks。
文中提及的第三方商标为其相应所有者的财产。
“合作伙伴”一词的使用并不意味着思科和任何其他公司之间存在合作伙伴关系。
(1110R)本文档中使用的任何互联网协议(IP)地址和电话号码并非实际地址和电话号码。
本文档中所含的任何示例、命令显示输出、网络拓扑图和其他图形仅供说明之用。
说明性内容中用到的任何真实IP地址或电话号码纯属巧合,并非有意使用。
©2015年思科系统公司。
保留所有权利。
思科身份服务引擎版本2.0版本说明 34
声明:
该资讯来自于互联网网友发布,如有侵犯您的权益请联系我们。
相关文章
