Cisco ISE - Debug

De Wiki_DR13
Aller à : navigation, rechercher

Renseignements principaux

  • Nœud 1 : 10.13.102.221/24
  • Nœud 2 : 10.13.102.222/24
  • Serveurs NAC MOY1300
  • Virtualisé sur cluster VMware
  • Identifiants compte admin dans KeePassX du campus, sur Mars\services\SSI\pwd
  • Nœud primaire - Gestion de l'ensemble des fonctionnalités d'ISE
  • Nœud secondaire - Gestion d'ISE en cas de plantage du nœud primaire + quelques autres fonctions (ex : conf NTP)

Interface Web

Live Logs

Pour les problèmes liés à l’authentification, la page Operations → RADIUS → Live logs permet de visualiser les différentes étapes liées au processus d’identification d’un client.

L'affichage des clients peut se faire selon plusieurs critères :

  • Identité (username)
  • adresse MAC
  • Type de device (marque / type d'équipement)
  • Politique d'authentification utilisée (DR13 / SHD)
  • VLAN
  • Switch

On clique sur l’icône au niveau de la ligne correspondant à notre client afin d’afficher des informations détaillées. On retrouve notamment :

  • les étapes de la phase d'authentification
  • le profil que le client a matché
  • le VLAN qui lui a été attribué
  • les informations liées à l'AD (CN et Groupe du client)

Outils de diagnostic

RADIUS Authentication Troubleshooting

  • 1. Renseigner l'identifiant de connexion ou l'adresse MAC du client
  • 2. Cliquer sur Search
  • 3. Sélectionner la ligne dont le status est failed
  • 4. Cliquer sur Troubelshoot
  • 5. Cliquer sur Show Result Summary

Le résultat contient l'identification du problème rencontré et indique quel élément de configuration entraîne un problème d'authentification du client.

Endpoint Debug

/!\ Très très verbeux !!

Pour obtenir des logs plus précis à partir de l'adresse MAC ou l'adresse IP du client :

  • 1. Se rendre dans Operations → Troubleshoot → Diagnostic Tools → EndPoint Debug
  • 2. Cliquer sur Start
  • 3. Initier une connexion au réseau depuis le client à debugguer
  • 4. Télécharger les logs

C’est cette méthode qui nous a permis d’identifier une erreur protocolaire empêchant l’authentification 802.1X sur les anciennes imprimantes SHARP.

Switch Cisco

Visualiser les sessions 802.1X

show authentication sessions method dot1x  

Interface MAC Address    Method  Domain  Status Fg  Session ID 
------------------------------------------------------------------------
Gi1/0/3 f09f.fc14.df78 dot1x   DATA    Auth   A000000CC6A2703...

Logging 802.1X

Activer les logs pour l’authentification dot1x. 

dot1x logging verbose

Visualiser les logs à la volée en CLI. 

terminal monitor

Désactiver le monitoring en CLI. 

terminal no monitor

Switch Juniper

Visualiser les sessions 802.1X

show dot1x interface brief             

802.1X Information:
Interface     Role           State           MAC address          User
ge-0/0/1      Authenticator  Authenticated   00:a0:d2:18:1a:c8    user

Détail d'une session sur une interface

show dot1x interface ge-0/0/1.0 detail

Logging 802.1X

Activer le logging dot1x en définissant le nom du fichier contenant les logs, sa taille maximale et les éléments à loguer. 

set protocols dot1x traceoptions file dot1x
set protocols dot1x traceoptions file size 5m
set protocols dot1x traceoptions flag all

Exemple : afficher les 10 dernières entrées du fichier de logs dot1x 

show log dot1x | last 10
Récupérée de « https://wiki.dr13.cnrs.fr/wiki/index.php?title=Cisco_ISE_-_Debug&oldid=10417 »