Cisco Identity Services Engine (ISE)では、パスワードをユーザー名と誤入力した場合を想定して、ユーザー名情報 (Identity)をログではINVALIDと表示させる設定があります。

運用者が不用意に他者の資格情報を類推できないようにするために活用できますが、トラブルシューティングには不向きな点もあるため設定変更方法を記載します。 ただし、設定変更時点から反映されるため、予め設計方針で取り扱いを決めておく必要があります。

バージョン情報

検証時の環境情報を記します。

• Cisco Identity Service Engine (ISE)
  Version: 3.0.0.458
  Installed Patches: 3
  ADE-OS Version: 3.0.8.091

設定箇所

• メニュー: Administartion > System > Settings の Security Settings に移動します。

• Disclose invalid usernames にチェックをつけます。

• 常にユーザー名情報を表示する場合は、更に Always show invalid usernames のラジオ ボタンを選択します。

  Show invalid usernames for specific time [ ## ] minutes を選択すると、指定時間の経過後に Disclose invalid usernames のチェックが自動的に外れる挙動となります。

設定変更後は、ログが意図通りに出力されているかを適宜確認してください。