CISCO ISE - POSTURE - MacOS - Troubleshooting

Cisco ISE Posture sobre MacOS na Vida Real!

How-to Series Guide

Deploy e Troubleshoot 

Autor:Josinfo

Data: Julho 2020

Cisco Anyconnect

Objetivo:
 
Mostrar o passo a passo para realizar a instalação e configuração do anyconnect fazendo postura com cisco ISE.

Nível de Dificuldade: 8

O Cenario foi válidado com os seguintes componentes:

• Cisco ISE 2.7 (Patch2)
• AnyConnect Pre-Deploy Package (MacOS)
• anyconnect-macos-4.9.00086-predeploy-k9.dmg

Preparação do Ambiente:

 
Passos ISE:

• zero
• um
• dois

Passos Anyconnece Mac OS:

• Passo01: Instalação anyconnect
• Passo02: Criar e copiar arquivos de Postura
• Passo03: Teste de conexão

Passo01: Instalação anyconnect

 

 

Passo02: Criar e Copiar arquivos de Postura 

A Cisco disponibiliza um profile editor (Windows), para que possa criar e editar os profiles de Postura e depois salvar como ISEPostureCFG.xml.

 

Abaixo mostro como fica a versão final do arquivo .XML:

 

 

 

 

 

 

Nota ---- É Aconselhável criar o arquivo ISEPostureCFG.xml e salvar no respectivo diretório .

 

Ao já manter a pratica podemos evitar problemas em cenario em que o redirect esteja com problemas e impacte o Anyconnect de baixar os modulos de postura.

Passo03: Teste de conexão - Tudo dando certo o teste será concluido com SUCESSO conforme abaixo:

 

 

 

 

Passo04: Troubleshooting

A ideia é listar alguns problemas que possamos encontrar durante o deploy do MacOS fazendo postura no ISE.

Caso01: AnyConnect: Got an error after updating macOS Catalina

 "AnyConnect cannot confirm it is connected to your secure gateway.  The local network may not be trustworthy.  Please try another network."

Abra o terminal em modo root e modificar os parametros no campo ExcludeMacNativeCertStore para  "true" dentro do arquivo, conforme abaixo:

cd /opt/cisco/AnyConnect
vi AnyConnectLocalPolicy.xml
 

true
 

Apertar esc : wq para exit, e refaça o teste de conexão

Referencia:Here

Caso02: Ise Posture on Mac OSX 10.11.5

Garantir que o arquivo ISEPostureCFG.xml esteja presente dentro do diretorio "/opt/cisco/anyconnect/profile", e ,caso positivo delete o arquivo e refaça a conexão com a rede para que o suplicante possa baixar novamente direto das PSN do ISE

Referencia:Here

Caso03: AnyConnect ISE Posture Module does not run posture scan when using Login Window mode on Mac OSX

 

Sintoma:
Ao usar o recurso de janela de login do Mac OSX em conjunto com o módulo de postura

AnyConnect, o módulo de postura exibe uma mensagem de "System scan not required 

on current WiFi"  e não executa uma verificação de postura. Essa mensagem é 

exibida mesmo que a rede à qual o Mac está conectado esteja habilitada para 802.1X.

Condições:
- O recurso Janela de login no Mac OSX está em uso.
- O módulo de postura AnyConnect está em uso
- A rede que está sendo conectada com o recurso da janela de login está ativada 

para 802.1x.

Workaround:
Nas configurações do perfil do agente de postura (ISEPostureCFG.xml), 

altere a configuração "OperateOnNonDot1xWireless para True"

Descrição adicional do problema:
O recurso da janela de login do Mac OSX faz o seguinte:
1. Na tela de login do MAC OSX, o usuário seleciona uma rede Wi-Fi e insere as 

credenciais do diretório ativo.
2. O recurso da janela de login executa uma autenticação 802.1x na rede antes de 

tentar autenticar o usuário no diretório ativo
3. Após a autenticação 802.1x bem-sucedida, as credenciais do usuário são 

verificadas no diretório ativo.
4. Após uma autenticação bem-sucedida com o diretório ativo, o usuário está

logado e o módulo de postura mostra o status acima.

Referencia:Here

Caso04: 

Referencia:Here