[서론 정보]
장비 모델 : ISE
영향 수준 : 2 [방치하면 큰 문제로 번질 수 있음]
내용 요약 :
단순히 Client Device MAC 주소를 이용한 MAB 정책 적용 목적으로 Endpoint Identity Groups를 사용했다가 Advantage License가 소모되는 건
해결 방법 :
ISE에서 기본으로 생성되어있는 Endpoint Identity Groups (특히 RegisteredDevices)를 사용하지 않도록 한다.
[본론]
확인 방법 :
1. Policy Set에서 Condition(조건)으로 Endpoint Identity Groups에서 RegisteredDevices를 사용하거나 RegisteredDevices를 Parent Group으로 사용하는 Group을 생성하여 사용
2. Administration – System – Licensing 에서 Advantage License 소모 여부 확인
해결 방법 :
Advantage License가 있는 게 아닌 한 Endpoint Identity Group에서 RegisteredDevices 그룹은 쳐다도 보지 않는다.
[잡담]
저는 해당 사태를 겪고 모든 Endpoint Identity Group에서 Advantage license를 소모하는 걸로 오해하여 User Identity Group에 MAC 계정을 넣고 관리하는 방향으로 설계했습니다.
사실 그 편이 GUI적으로는 불편하더라도 CSV로 통합 관리하기에 편한 점이 있어서, 문제의 원인을 파악한 뒤로도 해당 방식을 고수하고 있습니다.
게다가 Endpoint Identity Group 사용하다가 괜히 default로 사용되는 Profiling 기능 때문에 Advantage License 소모됐다는 표시가 보이면 기분이 나빠지는 점도 있고요 ㅋㅋ
그나저나 영향 수준이 2인 이유는, License 이슈를 관리자가 장기간 재수없게(!)1 놓친다면 Out of compliance 경고와 함께 정책 관리가 불가능해진다는 끔찍한 사태에 이르기 때문입니다.
실제로 그런 경우가 발생하는 걸 본 적도 없고 발생해서도 안되고 운영중인 환경에서 발생할 가능성도 낮지만, 믿는 도끼에 발등 찍힌다는 게 괜히 있는 속담이 아니니까요.
뭐, 관리할 수 없게 된다는 것뿐이지 기능 자체는 정상적으로 돌아갈 테니까 그냥 방치해버려도 상관없다 하면 그건 또 그거대로 의미가 있겠죠.
- 사실 오랜 시간 방치하여야 비로소 재수없다고 본인이 주장할 수 있는 것이므로, 본 문장에서 재수없게 라는 표현은 옳은 표현이 아니다. 하지만 무릇 모두가 이슈를 두고 외치지 않는가? 아, 재수 옴붙었다고! ↩︎
답글 남기기