Cisco ISE - Debug

De Wiki_DR13
Aller à : navigation, rechercher

Renseignements principaux[modifier]

  • Nœud 1 : 10.13.102.221/24
  • Nœud 2 : 10.13.102.222/24
  • Serveurs NAC MOY1300
  • Virtualisé sur cluster VMware
  • Identifiants compte admin dans KeePassX du campus, sur Mars\services\SSI\pwd
  • Nœud primaire - Gestion de l'ensemble des fonctionnalités d'ISE
  • Nœud secondaire - Gestion d'ISE en cas de plantage du nœud primaire + quelques autres fonctions (ex : conf NTP)

Interface Web[modifier]

Live Logs[modifier]

Pour les problèmes liés à l’authentification, la page Operations → RADIUS → Live logs permet de visualiser les différentes étapes liées au processus d’identification d’un client.

L'affichage des clients peut se faire selon plusieurs critères :

  • Identité (username)
  • adresse MAC
  • Type de device (marque / type d'équipement)
  • Politique d'authentification utilisée (DR13 / SHD)
  • VLAN
  • Switch

On clique sur l’icône au niveau de la ligne correspondant à notre client afin d’afficher des informations détaillées. On retrouve notamment :

  • les étapes de la phase d'authentification
  • le profil que le client a matché
  • le VLAN qui lui a été attribué
  • les informations liées à l'AD (CN et Groupe du client)

Outils de diagnostic[modifier]

RADIUS Authentication Troubleshooting[modifier]

  • 1. Renseigner l'identifiant de connexion ou l'adresse MAC du client
  • 2. Cliquer sur Search
  • 3. Sélectionner la ligne dont le status est failed
  • 4. Cliquer sur Troubelshoot
  • 5. Cliquer sur Show Result Summary

Le résultat contient l'identification du problème rencontré et indique quel élément de configuration entraîne un problème d'authentification du client.

Endpoint Debug[modifier]

/!\ Très très verbeux !!

Pour obtenir des logs plus précis à partir de l'adresse MAC ou l'adresse IP du client :

  • 1. Se rendre dans Operations → Troubleshoot → Diagnostic Tools → EndPoint Debug
  • 2. Cliquer sur Start
  • 3. Initier une connexion au réseau depuis le client à debugguer
  • 4. Télécharger les logs

C’est cette méthode qui nous a permis d’identifier une erreur protocolaire empêchant l’authentification 802.1X sur les anciennes imprimantes SHARP.

Switch Cisco[modifier]

Visualiser les sessions 802.1X[modifier]

show authentication sessions method dot1x  

Interface MAC Address    Method  Domain  Status Fg  Session ID 
------------------------------------------------------------------------
Gi1/0/3 f09f.fc14.df78 dot1x   DATA    Auth   A000000CC6A2703...

Logging 802.1X[modifier]

Activer les logs pour l’authentification dot1x. 

dot1x logging verbose

Visualiser les logs à la volée en CLI. 

terminal monitor

Désactiver le monitoring en CLI. 

terminal no monitor

Switch Juniper[modifier]

Visualiser les sessions 802.1X[modifier]

show dot1x interface brief             

802.1X Information:
Interface     Role           State           MAC address          User
ge-0/0/1      Authenticator  Authenticated   00:a0:d2:18:1a:c8    user

Détail d'une session sur une interface[modifier]

show dot1x interface ge-0/0/1.0 detail

Logging 802.1X[modifier]

Activer le logging dot1x en définissant le nom du fichier contenant les logs, sa taille maximale et les éléments à loguer. 

set protocols dot1x traceoptions file dot1x
set protocols dot1x traceoptions file size 5m
set protocols dot1x traceoptions flag all

Exemple : afficher les 10 dernières entrées du fichier de logs dot1x 

show log dot1x | last 10
Récupérée de « https://wiki.dr13.cnrs.fr/wiki/index.php?title=Cisco_ISE_-_Debug&oldid=10417 »