تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.
ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).
يشرح هذا المقال التفاصيل المتعلقة بتطبيق EAP-FAST على مدير الوصول إلى الشبكة (NAM) من Cisco AnyConnect ومحرك خدمات الهوية (ISE). كما يشرح كيفية عمل الميزات المحددة معا ويقدم حالات وأمثلة نموذجية للاستخدام.
توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج التالية:
EAP-FAST هو أسلوب EAP مرن يسمح بالمصادقة المتبادلة للمطالب والخادم. يشبه EAP-PEAP، لكنه عادة لا يتطلب إستخدام شهادات العميل أو حتى الخادم. تتمثل إحدى ميزات EAP-FAST في القدرة على سلسلة مصادقات متعددة (باستخدام طرق داخلية متعددة) وربطها بتشفير معا (سلاسل EAP). تستخدم عمليات تنفيذ Cisco هذا الأمر لمصادقة المستخدم والآلة.
يستخدم EAP-FAST مسوغات الوصول المحمي (PAC) لإنشاء نفق TLS (الجلسة المستأنفة) بسرعة أو لتخويل المستخدم/الجهاز (تخطي الأسلوب الداخلي للمصادقة).
هناك 3 مراحل ل EAP-FAST:
يدعم EAP-FAST المحادثة التي لا تحتوي على مسوغات الوصول المحمي (PAC) والمحادثة المستندة إلى مسوغات الوصول المحمي (PAC). يتكون مستند إلى مسوغات الوصول المحمي من إمداد مسوغات الوصول المحمي والمصادقة المستندة إلى مسوغات الوصول المحمي. يمكن أن يستند توفير مسوغات الوصول المحمي إلى جلسة عمل TLS مجهولة أو مصدق عليها.
PAC هي مسوغات وصول محمي تم إنشاؤها بواسطة الخادم وتوفيرها للعميل. ويتألف من:
يقوم الخادم الذي يصدر مسوغات الوصول المحمي بتشفير مفتاح وهوية مسوغات الوصول المحمي باستخدام المفتاح الرئيسي لخادم EAP-FAST (وهو معتم في مسوغ الوصول المحمي (PAC)) ويرسل مسوغ الوصول المحمي الكامل إلى العميل. لا يحتفظ / يخزن أي معلومات أخرى (ماعدا المفتاح الرئيسي الذي هو نفسه لجميع PACs) .
وبمجرد تلقي معتم مسوغ الوصول المحمي (PAC)، يتم فك تشفيرها باستخدام المفتاح الرئيسي لخادم EAP-FAST ويتم التحقق من صحتها. يتم إستخدام مفتاح مسوغات الوصول المحمي (PAC) لاستخلاص مفاتيح TLS الرئيسية ومفاتيح جلسات العمل لنفق TLS المختصر.
يتم إنشاء مفاتيح خادم EAP-FAST جديدة عند انتهاء صلاحية المفتاح الرئيسي السابق. في بعض الحالات، يمكن إبطال مفتاح رئيسي.
هناك عدة أنواع من مسوغات الوصول المحمي المستخدمة حاليا:
يتم تسليم جميع مسوغات الوصول المحمي هذه تلقائيا في المرحلة 0. كما يمكن تسليم بعض مسوغات الوصول المحمي (Tunnel، Machine، TrustSec) يدويا.
ملاحظة:
تتطلب كل عملية توفير في مسوغ الوصول المحمي مصادقة ناجحة باستثناء حالة الاستخدام التالية: يطلب المستخدم المعتمد مسوغ الوصول إلى مسوغ الوصول المحمي للجهاز الذي ليس لديه حساب AD.
يلخص الجدول التالي وظيفة الإمداد والتحديث الاستباقي:
نوع مسوغ الوصول المحمي |
النفق v1/v1a/CTS |
آلة |
الاعتماد |
توفير مسوغات الوصول المحمي (PAC) عند الطلب عند الإمداد |
نعم |
فقط على التزويد المصادق |
فقط على الإعداد المصدق وإذا كان هناك طلب لمخزن الوصول المحمي (PAC) للنفق أيضا |
تقديم مسوغات الوصول المحمي (PAC) عند الطلب عند المصادقة |
نعم |
نعم |
في حالة عدم إستخدامه في هذه المصادقة فقط |
تحديث استباقي |
نعم |
لا |
لا |
عند الرجوع إلى توفير مسوغات الوصول المحمي (PAC) بعد فشل المصادقة المستندة إلى مسوغات الوصول المحمي (على سبيل المثال، عند انتهاء صلاحية مسوغ الوصول المحمي (PAC)) |
رفض و عدم توفير الجديد |
رفض و عدم توفير الجديد |
رفض و عدم توفير الجديد |
دعم ACS 4.x PACs |
ل Tunnel PAC v1/v1a |
نعم |
لا |
هناك أختلاف بسيط في معالجة المفتاح الرئيسي عند مقارنة ACS 4.x و ISE
وبمعنى آخر، سيحتفظ ISE بجميع المفاتيح الرئيسية القديمة وينشئ مفتاحا جديدا بشكل افتراضي مرة في الأسبوع. بما أن المفتاح الرئيسي لا يمكن أن ينتهي، سيتم التحقق من صحة PAC TTL فقط.
يتم تكوين فترة إنشاء المفتاح الرئيسي ISE من الإدارة -> الإعدادات -> البروتوكول -> EAP-FAST -> إعدادات EAP-FAST.
هذا مكون مهم يسمح باستخدام مسوغ الوصول المحمي (PAC) للنفق. وهو يسمح بإعادة تفاوض نفق TLS بدون إستخدام الشهادات.
هناك نوعان من أنواع إستئناف الجلسات ل EAP-FAST: مستندة إلى حالة الخادم وعديمة الحالة (مستندة إلى PAC).
يستند الأسلوب القياسي المستند إلى TLS إلى معرف جلسة عمل TLS المخزن مؤقتا على الخادم. يقوم العميل الذي يرسل TLS Client Hello بإرفاق SessionID لاستئناف الجلسة. يتم إستخدام الجلسة فقط لتوفير مسوغ الوصول المحمي (PAC) عند إستخدام نفق TLS مجهول:
يتم إستخدام مسوغ الوصول المحمي (PAC) الخاص بتفويض المستخدم/الجهاز لتخزين حالات المصادقة والتفويض السابقة للنظير.
تستند السيرة الذاتية لجانب العميل إلى RFC 4507. لا يحتاج الخادم إلى تخزين أية بيانات مؤقتا، وبدلا من ذلك يقوم العميل بإرفاق PAC في ملحق TLS Client Hello SessionTicket. وبالتالي، يتم التحقق من صحة مسوغ الوصول المحمي (PAC) بواسطة الخادم. مثال يستند إلى PAC النفق الذي تم تسليمه إلى الخادم:
يتم تمكينها على جانب العميل (AnyConnect NAM) عبر إعادة الاتصال السريع - ولكنها تستخدم للتحكم في إستخدام مسوغات الوصول المحمي (PAC) للتخويل فقط.
مع تعطيل الإعداد، ستظل NAM تستخدم مسوغ الوصول المحمي للنفق لإنشاء نفق TLS (لا توجد شهادات مطلوبة). ومع ذلك، لن يستخدم هذا الأمر مسوغات الوصول المحمي (PAC) للتفويض الفوري للمستخدم والآلة. ونتيجة لذلك، ستكون المرحلة 2 مع الأسلوب الداخلي مطلوبة دائما.
أمام ISE خيار لتمكين إستئناف جلسة عمل عديم الحالة. وكما هو الحال على NAM فإنه فقط للتخويل PAC. يتم التحكم في إستخدام مسوغ الوصول المحمي للنفق باستخدام الخيارات "إستخدام مسوغات الوصول المحمي".
ستحاول NAM إستخدام مسوغات الوصول المحمي (PAC) إذا تم تمكين الخيار. إذا تم تكوين "عدم إستخدام مسوغات الوصول المحمي (PAC)" في ISE واستلم ISE مسوغ وصول محمي PAC للنفق في امتداد TLS، سيتم الإبلاغ عن الخطأ التالي وإرجاع فشل EAP:
إدراج هنا
في ISE، من الضروري أيضا أن يمكن جلسة إستئناف بناء على TLS SessionID (من إعدادات EAP-FAST العمومية). هو معطل افتراضيا:
الرجاء مراعاة أنه يمكن إستخدام نوع واحد فقط من جلسات الاستئناف. يتم إستخدام SessionID المستند إلى PAC فقط لعمليات النشر التي لا تحتوي على PAC، ويتم إستخدام RFC 4507 المستند إلى RFC فقط لعمليات نشر PAC.
يمكن توفير مسوغات الوصول المحمي (PAC) تلقائيا في المرحلة0. تتكون المرحلة 0 من:
يتم تسليم قوائم التحكم في الوصول الخاصة بالمنفذ (PAC) بعد مصادقة ناجحة داخل نفق TLS عبر PAC TLV (واعتراف PAC TLV)
بالنسبة لعمليات النشر التي لا تتضمن بنية PKI الأساسية، من الممكن إستخدام نفق TLS مجهول. سيتم إنشاء نفق TLS المجهول باستخدام مجموعة تشفير Diffie Hellman - بدون الحاجة إلى شهادة خادم أو عميل. وهذا الاقتراب يميل إلى الانسان في الهجمات التي تجري في الوسط (الانتحال).
لاستخدام هذا الخيار، تتطلب NAM الخيار المكون التالي:
"إذا كان إستخدام مسوغات الوصول المحمي (PAC) يسمح بتوفير PAC غير مصدق عليه" (هذا منطقي فقط للأسلوب الداخلي المستند إلى كلمة المرور لأنه بدون بنية PKI الأساسية لا يمكن إستخدام الأسلوب الداخلي المستند إلى شهادة).
كما يحتاج ISE إلى المكونات التالية التي تم تكوينها بموجب بروتوكولات المصادقة المسموح بها:
"السماح بتزويد PAC داخل النطاق المجهول"
يتم إستخدام إمداد PAC مجهول داخل النطاق في عمليات نشر NDAC ل TrustSec (EAP-FAST جلسة يتم التفاوض عليها بين أجهزة الشبكة).
هذا هو الخيار الأكثر أمانا والتوصية. تم إنشاء نفق TLS استنادا إلى شهادة الخادم التي تم التحقق منها بواسطة الطالب. وهذا يتطلب بنية PKI الأساسية على جانب الخادم فقط، والتي تكون مطلوبة ل ISE (على NAM، من الممكن تعطيل الخيار "التحقق من هوية الخادم".
بالنسبة إلى ISE، هناك خياران إضافيان:
عادة، بعد توفير مسوغ الوصول المحمي، يجب إرسال رفض الوصول مما يفرض على الممول إعادة المصادقة باستخدام مسوغات الوصول المحمي (PAC). ولكن نظرا لأنه قد تم تسليم مسوغات الوصول المحمي في نفق TLS مع المصادقة، من الممكن إختصار العملية بأكملها وإرجاع قبول الوصول فورا بعد توفير مسوغ الوصول المحمي.
يعتمد الخيار الثاني نفق TLS على شهادة العميل (يتطلب هذا نشر PKI على نقاط النهاية). وهذا يسمح بإنشاء نفق TLS بمصادقة متبادلة، والتي تتجاوز الطريقة الداخلية وتذهب مباشرة إلى مرحلة إعداد مسوغ الوصول المحمي. من المهم أن نكون حذرين هنا - في بعض الأحيان، يقدم مقدم الطلب شهادة غير موثوق بها من قبل ISE (مخصصة لأغراض أخرى) وستفشل الجلسة.
السماح بمصادقة المستخدم والجهاز خلال جلسة عمل RADIUS/EAP واحدة. يمكن ربط أساليب EAP المتعددة معا. بعد انتهاء المصادقة الأولى (بشكل خاص للجهاز) بنجاح، يرسل الخادم TLV متوسط النتيجة (داخل نفق TLS) يشير إلى النجاح. يجب أن يكون TLV مصحوبا بطلب TLV ملزم للتشفير. يتم إستخدام التشفير لإثبات مشاركة كل من الخادم والنظير في التسلسل المحدد للمصادقة. تستخدم عملية التشفير مواد التضمين من المرحلتين 1 و 2. وبالإضافة إلى ذلك، يتم إرفاق TLV آخر: EAP-Payload - يقوم هذا ببدء جلسة عمل جديدة (عادة للمستخدم). بمجرد أن يستقبل خادم RADIUS (ISE) إستجابة TLV للربط المشفر ويتحقق من صحتها، سيظهر ما يلي في السجل وسيتم تجربة طريقة EAP التالية (عادة لمصادقة المستخدم):
12126 EAP-FAST cryptobinding verification passed
إذا فشل التحقق من صحة ربط التشفير، تفشل جلسة EAP بالكامل. في حالة فشل إحدى عمليات المصادقة الداخلية فلا يزال الأمر جيدا - ونتيجة لذلك، يسمح ISE للمسؤول بتكوين نتائج سلاسل متعددة استنادا إلى حالة التخويل NetworkAccess:EapChainingResult:
يتم تمكين EAP-Chaing على NAM تلقائيا عند تمكين مصادقة مستخدم وجهاز EAP-FAST.
يجب تكوين سلسلة EAP في ISE.
بشكل افتراضي، يتم تخزين قوائم التحكم في الوصول (PAC) للنفق والجهاز في C:\ProgramData\Cisco\Cisco AnyConnect Secure Mobility Client\Network Access Manager\system\internalConfiguration.xml في الأقسام <credential>. يتم تخزين هذه في شكل مشفر.
يتم تخزين قوائم التحكم في الوصول الخاصة بالتفويض في الذاكرة فقط وتتم إزالتها بعد إعادة التشغيل أو إعادة تشغيل خدمة NAM.
يجب إعادة تشغيل الخدمة لإزالة Tunnel أو PAC للجهاز.
سمح محرر ملف تعريف AnyConnect 3.x NAM للمسؤول بتكوين مسوغات الوصول المحمي (PACs) يدويا. تمت إزالة هذه الميزة من محرر ملف تعريف AnyConnect 4.x NAM.
يستند قرار إزالة هذه الوظيفة إلى CSCuf31422 وCSCua13140 .
تم إختبار جميع الأمثلة باستخدام مخطط الشبكة التالي. وينطبق الشيء نفسه أيضا عند إستخدام الاتصال اللاسلكي.
بشكل افتراضي، يتم تعطيل EAP_Chaing على ISE. ومع ذلك، يتم تمكين جميع الخيارات الأخرى بما في ذلك قوائم التحكم في الوصول الخاصة بالجهاز والتخويل. تحتوي المطالبة بالفعل على مسوغ وصول محمي PAC صالح للجهاز والنفق. في هذا التدفق، سيكون هناك مصادقتان منفصلتان - واحدة للجهاز وواحدة للمستخدم - مع سجل منفصل على ISE. الخطوات الرئيسية كما تم تسجيلها بواسطة ISE. المصادقة الأولى (الجهاز):
12102 Extracted EAP-Response containing EAP-FAST challenge-response and accepting EAP-FAST as negotiated
12800 Extracted first TLS record; TLS handshake started
12174 Received Machine PAC
12805 Extracted TLS ClientHello message
12806 Prepared TLS ServerHello message
12801 Prepared TLS ChangeCipherSpec message
12816 TLS handshake succeeded
12132 EAP-FAST built PAC-based tunnel for purpose of authentication
24351 Account validation succeeded
24420 User's Attributes retrieval from Active Directory succeeded - example.com
22037 Authentication Passed
12124 EAP-FAST inner method skipped
11503 Prepared EAP-Success
11002 Returned RADIUS Access-Accept
المصادقة الثانية (مستخدم):
12102 Extracted EAP-Response containing EAP-FAST challenge-response and accepting EAP-FAST as negotiated
12800 Extracted first TLS record; TLS handshake started
12175 Received Tunnel PAC
12805 Extracted TLS ClientHello message
12806 Prepared TLS ServerHello message
12801 Prepared TLS ChangeCipherSpec message
12816 TLS handshake succeeded
12132 EAP-FAST built PAC-based tunnel for purpose of authentication
12125 EAP-FAST inner method started
11806 Prepared EAP-Request for inner method proposing EAP-MSCHAP with challenge
24402 User authentication against Active Directory succeeded - example.com
22037 Authentication Passed
11503 Prepared EAP-Success
11002 Returned RADIUS Access-Accept
في قسم "سمات أخرى" من التقرير المفصل في ISE، يلاحظ ما يلي بالنسبة لكل من مصادقة المستخدم والمصادقة الآلية:
EapChainingResult: No chaining
في هذا التدفق، يكون للمطالب بالفعل مسوغات وصول محمي (PAC) نفق صالحة مع مسوغات الوصول المحمي (PAC) الخاصة بتفويض المستخدم والآلة:
12102 Extracted EAP-Response containing EAP-FAST challenge-response and accepting EAP-FAST as negotiated
12800 Extracted first TLS record; TLS handshake started
12175 Received Tunnel PAC
12805 Extracted TLS ClientHello message
12806 Prepared TLS ServerHello message
12801 Prepared TLS ChangeCipherSpec message
12816 TLS handshake succeeded
12132 EAP-FAST built PAC-based tunnel for purpose of authentication
12209 Starting EAP chaining
12210 Received User Authorization PAC
12211 Received Machine Authorization PAC
24420 User's Attributes retrieval from Active Directory succeeded - example.com
22037 Authentication Passed
24439 Machine Attributes retrieval from Active Directory succeeded - example.com
22037 Authentication Passed
11503 Prepared EAP-Success
11002 Returned RADIUS Access-Accept
وفي قسم "سمات أخرى" من التقرير المفصل في تقرير المعهد الدولي للإحصاءات، يلاحظ ما يلي:
EapChainingResult: EAP Chaining
بالإضافة إلى ذلك، يتم تضمين كل من مسوغات المستخدم والآلة في نفس السجل كما هو موضح أدناه:
Username: cisco,host/mgarcarz-PC
في هذا التدفق، تم تكوين NAM لعدم إستخدام مسوغ وصول محمي PAC، كما تم تكوين ISE لعدم إستخدام مسوغ الوصول المحمي (لكن مع توصيل EAP)
12102 Extracted EAP-Response containing EAP-FAST challenge-response and accepting EAP-FAST as negotiated
12800 Extracted first TLS record; TLS handshake started
12805 Extracted TLS ClientHello message
12806 Prepared TLS ServerHello message
12807 Prepared TLS Certificate message
12809 Prepared TLS CertificateRequest message
12811 Extracted TLS Certificate message containing client certificate
12812 Extracted TLS ClientKeyExchange message
12816 TLS handshake succeeded
12207 Client certificate was requested but not received during tunnel establishment. Will renegotiate and request client certificate inside the tunnel.
12226 Started renegotiated TLS handshake
12104 Extracted EAP-Response containing EAP-FAST challenge-response
12811 Extracted TLS Certificate message containing client certificate
12812 Extracted TLS ClientKeyExchange message
12804 Extracted TLS Finished message
12801 Prepared TLS ChangeCipherSpec message
12802 Prepared TLS Finished message
12226 Started renegotiated TLS handshake
12205 Client certificate was requested but not received inside the tunnel. Will continue with inner method.
12176 EAP-FAST PAC-less full handshake finished successfully
12209 Starting EAP chaining
12218 Selected identity type 'User'
11806 Prepared EAP-Request for inner method proposing EAP-MSCHAP with challenge
24402 User authentication against Active Directory succeeded - example.com
22037 Authentication Passed
12219 Selected identity type 'Machine'
11806 Prepared EAP-Request for inner method proposing EAP-MSCHAP with challenge
24470 Machine authentication against Active Directory is successful - example.com
22037 Authentication Passed
11503 Prepared EAP-Success
11002 Returned RADIUS Access-Accept
في هذا التدفق، يحتوي الممول على مسوغات وصول محمي (PAC) صالحة للتخويل ولكن انتهت صلاحيتها:
12102 Extracted EAP-Response containing EAP-FAST challenge-response and accepting EAP-FAST as negotiated
12800 Extracted first TLS record; TLS handshake started
12175 Received Tunnel PAC
12805 Extracted TLS ClientHello message
12806 Prepared TLS ServerHello message
12801 Prepared TLS ChangeCipherSpec message
12816 TLS handshake succeeded
12132 EAP-FAST built PAC-based tunnel for purpose of authentication
12209 Starting EAP chaining
12227 User Authorization PAC has expired - will run inner method
12228 Machine Authorization PAC has expired - will run inner method
12218 Selected identity type 'User'
11806 Prepared EAP-Request for inner method proposing EAP-MSCHAP with challenge
24402 User authentication against Active Directory succeeded - example.com
22037 Authentication Passed
12219 Selected identity type 'Machine'
24470 Machine authentication against Active Directory is successful - example.com
22037 Authentication Passed
12171 Successfully finished EAP-FAST user authorization PAC provisioning/update
12179 Successfully finished EAP-FAST machine authorization PAC provisioning/update
11503 Prepared EAP-Success
11002 Returned RADIUS Access-Accept
في هذا التدفق عندما لا يوجد مسوغ وصول محمي (PAC) نفق صالح، يحدث تفاوض TLS الكامل مع المرحلة الداخلية.
12102 Extracted EAP-Response containing EAP-FAST challenge-response and accepting EAP-FAST as negotiated
12800 Extracted first TLS record; TLS handshake started
12805 Extracted TLS ClientHello message
12806 Prepared TLS ServerHello message
12807 Prepared TLS Certificate message
12809 Prepared TLS CertificateRequest message
12105 Prepared EAP-Request with another EAP-FAST challenge
11006 Returned RADIUS Access-Challenge
11001 Received RADIUS Access-Request
12816 TLS handshake succeeded
12207 Client certificate was requested but not received during tunnel establishment. Will renegotiate and request client certificate inside the tunnel.
12226 Started renegotiated TLS handshake
12104 Extracted EAP-Response containing EAP-FAST challenge-response
12811 Extracted TLS Certificate message containing client certificate
12812 Extracted TLS ClientKeyExchange message
12804 Extracted TLS Finished message
12801 Prepared TLS ChangeCipherSpec message
12802 Prepared TLS Finished message
12226 Started renegotiated TLS handshake
12205 Client certificate was requested but not received inside the tunnel. Will continue with inner method.
12149 EAP-FAST built authenticated tunnel for purpose of PAC provisioning
12105 Prepared EAP-Request with another EAP-FAST challenge
11006 Returned RADIUS Access-Challenge
11001 Received RADIUS Access-Request
11018 RADIUS is re-using an existing session
12104 Extracted EAP-Response containing EAP-FAST challenge-response
12209 Starting EAP chaining
12218 Selected identity type 'User'
11806 Prepared EAP-Request for inner method proposing EAP-MSCHAP with challenge
24402 User authentication against Active Directory succeeded - example.com
22037 Authentication Passed
12126 EAP-FAST cryptobinding verification passed
12200 Approved EAP-FAST client Tunnel PAC request
12202 Approved EAP-FAST client Authorization PAC request
12219 Selected identity type 'Machine'
11806 Prepared EAP-Request for inner method proposing EAP-MSCHAP with challenge
24470 Machine authentication against Active Directory is successful - example.com
22037 Authentication Passed
12169 Successfully finished EAP-FAST tunnel PAC provisioning/update
12171 Successfully finished EAP-FAST user authorization PAC provisioning/update
12170 Successfully finished EAP-FAST machine PAC provisioning/update
12179 Successfully finished EAP-FAST machine authorization PAC provisioning/update
11503 Prepared EAP-Success
11002 Returned RADIUS Access-Accept
في هذا التدفق، تم تكوين نفق ISE و NAM Anonymous TLS لتوفير PAC (تم تعطيل نفق ISE المصدق TLS لتوفير PAC) يبدو طلب تزويد PAC:
12102 Extracted EAP-Response containing EAP-FAST challenge-response and accepting EAP-FAST as negotiated
12800 Extracted first TLS record; TLS handshake started
12805 Extracted TLS ClientHello message
12806 Prepared TLS ServerHello message
12808 Prepared TLS ServerKeyExchange message
12810 Prepared TLS ServerDone message
12812 Extracted TLS ClientKeyExchange message
12804 Extracted TLS Finished message
12801 Prepared TLS ChangeCipherSpec message
12802 Prepared TLS Finished message
12816 TLS handshake succeeded
12131 EAP-FAST built anonymous tunnel for purpose of PAC provisioning
12209 Starting EAP chaining
12218 Selected identity type 'User'
11806 Prepared EAP-Request for inner method proposing EAP-MSCHAP with challenge
24402 User authentication against Active Directory succeeded - example.com
22037 Authentication Passed
12162 Cannot provision Authorization PAC on anonymous provisioning. Authorization PAC can be provisioned only on authenticated provisioning
12200 Approved EAP-FAST client Tunnel PAC request
12219 Selected identity type 'Machine'
24470 Machine authentication against Active Directory is successful - example.com
22037 Authentication Passed
12162 Cannot provision Authorization PAC on anonymous provisioning. Authorization PAC can be provisioned only on authenticated provisioning
12169 Successfully finished EAP-FAST tunnel PAC provisioning/update
12170 Successfully finished EAP-FAST machine PAC provisioning/update
11504 Prepared EAP-Failure
11003 Returned RADIUS Access-Reject
التقاط حزمة Wireshark لمفاوضات نفق TLS مجهولة:
في هذا التدفق، تم تكوين AnyConnect NAM مع EAP-FAST والمستخدم (EAP-TLS) ومصادقة الجهاز (EAP-TLS). تم تمهيد كمبيوتر Windows ولكن لم يتم توفير بيانات اعتماد المستخدم. يقوم المحول بتهيئة جلسة عمل 802.1x، وعلى الرغم من ذلك، يجب أن تستجيب NAM، ولم يتم توفير بيانات اعتماد المستخدم، (لا يوجد وصول إلى مخزن المستخدم والشهادة بعد) لذلك. ستفشل مصادقة المستخدم بينما سينجح الجهاز - شرط ISE authz وصول الشبكة:EapChaingResult equals User فشل ونجح الجهاز. لاحقا، سيدخل المستخدم وستبدأ مصادقة أخرى، وسينجح كل من المستخدم والآلة.
12102 Extracted EAP-Response containing EAP-FAST challenge-response and accepting EAP-FAST as negotiated
12800 Extracted first TLS record; TLS handshake started
12174 Received Machine PAC
12805 Extracted TLS ClientHello message
12806 Prepared TLS ServerHello message
12801 Prepared TLS ChangeCipherSpec message
12802 Prepared TLS Finished message
12816 TLS handshake succeeded
12132 EAP-FAST built PAC-based tunnel for purpose of authentication
12209 Starting EAP chaining
12218 Selected identity type 'User'
12213 Identity type provided by client is not equal to requested type
12215 Client suggested 'Machine' identity type instead
12104 Extracted EAP-Response containing EAP-FAST challenge-response
12523 Extracted EAP-Response/NAK for inner method requesting to use EAP-TLS instead
12805 Extracted TLS ClientHello message
12806 Prepared TLS ServerHello message
12807 Prepared TLS Certificate message
12809 Prepared TLS CertificateRequest message
12816 TLS handshake succeeded
12509 EAP-TLS full handshake finished successfully
22070 Identity name is taken from certificate attribute
15013 Selected Identity Source - Test-AD
24323 Identity resolution detected single matching account
22037 Authentication Passed
12202 Approved EAP-FAST client Authorization PAC request
12218 Selected identity type 'User'
12213 Identity type provided by client is not equal to requested type
12216 Identity type provided by client was already used for authentication
12967 Sent EAP Intermediate Result TLV indicating failure
12179 Successfully finished EAP-FAST machine authorization PAC provisioning/update
12106 EAP-FAST authentication phase finished successfully
11503 Prepared EAP-Success
11002 Returned RADIUS Access-Accept
في هذا التدفق، تم تكوين ISE لتوفير مسوغ الوصول المحمي (PAC) فقط عبر نفق TLS المجهول، ولكن NAM تستخدم نفق TLS مصدق عليه، وسيتم تسجيل ما يلي بواسطة ISE:
12102 Extracted EAP-Response containing EAP-FAST challenge-response and accepting EAP-FAST as negotiated
12800 Extracted first TLS record; TLS handshake started
12805 Extracted TLS ClientHello message
12814 Prepared TLS Alert message
12817 TLS handshake failed
12121 Client didn't provide suitable ciphers for anonymous PAC-provisioning
11504 Prepared EAP-Failure
11003 Returned RADIUS Access-Reject
وهذا يحدث عندما تحاول NAM إنشاء نفق TLS مصدق باستخدام شفرة TLS الخاصة بها - ولا تقبل هذه الشفرات من قبل ISE التي تم تكوينها لنفق TLS مجهول (قبول شفرات DH فقط)
بالنسبة للسجلات التفصيلية، يجب تمكين تصحيح أخطاء وقت التشغيل AAA على عقدة PSN المقابلة. فيما يلي بعض سجلات الأمثلة من prrt-server.log:
إنشاء مسوغات الوصول المحمي (PAC) للجهاز:
DEBUG,0x7fd5332fe700,cntx=0001162745,sesn=mgarcarz-ise14/223983918/29245,CPMSessionID=0A3E946D00000FE5131F9D26,CallingStationID=00-50-B6-11-ED-31,FramedIPAddress=10.0.13.127,Using IID from PAC request for machine,EapFastTlv.cpp:1234
DEBUG,0x7fd5332fe700,cntx=0001162745,sesn=mgarcarz-ise14/223983918/29245,CPMSessionID=0A3E946D00000FE5131F9D26,CallingStationID=00-50-B6-11-ED-31,FramedIPAddress=10.0.13.127,Adding PAC of type=Machine Authorization,EapFastProtocol.cpp:3610
DEBUG,0x7fd5332fe700,cntx=0001162745,sesn=mgarcarz-ise14/223983918/29245,CPMSessionID=0A3E946D00000FE5131F9D26,CallingStationID=00-50-B6-11-ED-31,FramedIPAddress=10.0.13.127,Eap-Fast: Generating Pac, Issued PAC type=Machine Authorization with expiration time: Fri Jul 3 10:38:30 2015
الموافقة على طلب مسوغات الوصول المحمي:
INFO ,0x7fd5330fc700,cntx=0001162745,sesn=mgarcarz-ise14/223983918/29245,CPMSessionID=0A3E946D00000FE5131F9D26,user=host/mgarcarz-pc,CallingStationID=00-50-B6-11-ED-31,FramedIPAddress=10.0.13.127,Eap-Fast: client PAC request approved for PAC type - Requested PAC type=Machine,EapFastProtocol.cpp:955
INFO ,0x7fd5330fc700,cntx=0001162745,sesn=mgarcarz-ise14/223983918/29245,CPMSessionID=0A3E946D00000FE5131F9D26,user=host/mgarcarz-pc,CallingStationID=00-50-B6-11-ED-31,FramedIPAddress=10.0.13.127,Eap-Fast: client PAC request approved for PAC type - Requested PAC type=Machine Authorization,EapFastProtocol.cpp:955
التحقق من صحة مسوغ الوصول المحمي:
DEBUG,0x7fd5330fc700,cntx=0001162499,sesn=mgarcarz-ise14/223983918/29243,CPMSessionID=0A3E946D00000FE5131F9D26,user=anonymous,CallingStationID=00-50-B6-11-ED-31,FramedIPAddress=10.0.13.127,Authorization PAC is valid,EapFastProtocol.cpp:3403
Eap,2015-07-03 09:34:39,208,DEBUG,0x7fd5330fc700,cntx=0001162499,sesn=mgarcarz-ise14/223983918/29243,CPMSessionID=0A3E946D00000FE5131F9D26,user=anonymous,CallingStationID=00-50-B6-11-ED-31,FramedIPAddress=10.0.13.127,Authorization PAC accepted,EapFastProtocol.cpp:3430
مثال على الملخص الناجح لإنشاء مسوغات الوصول المحمي (PAC):
DEBUG,0x7fd5331fd700,cntx=0001162749,sesn=mgarcarz-ise14/223983918/29245,CPMSessionID=0A3E946D00000FE5131F9D26,user=cisco,CallingStationID=00-50-B6-11-ED-31,FramedIPAddress=10.0.13.127,Conversation summary: Provisioning. Authenticated. Inner method succeeded. Inner method succeeded. Generated PAC of type Tunnel V1A. Generated PAC of type User Authorization. Generated PAC of type Machine. Generated PAC of type Machine Authorization. Success
مثال على ملخص ناجح للتحقق من صحة مسوغ الوصول المحمي:
DEBUG,0x7fd5330fc700,cntx=0001162503,sesn=mgarcarz-ise14/223983918/29243,CPMSessionID=0A3E946D00000FE5131F9D26,user=host/mgarcarz-pc,CallingStationID=00-50-B6-11-ED-31,FramedIPAddress=10.0.13.127,Conversation summary: Authentication. PAC type Tunnel V1A. PAC is valid.Skip inner method. Skip inner method. Success
توفر سجلات DART من NAM التفاصيل التالية:
مثال لجلسة عمل عدم ربط EAP، مصادقة الجهاز بدون إعادة توصيل سريع:
EAP: Identity requested
Auth[eap-fast-pac:machine-auth]: Performing full authentication
Auth[eap-fast-pac:machine-auth]: Disabling fast reauthentication
مثال على بحث PAC للتخويل (مصادقة الجهاز لجلسة عمل غير EAP-Network):
Looking for matching pac with iid: host/ADMIN-PC2
Requested machine pac was sen
يمكن التحقق من جميع حالات الأسلوب الداخلي (ل MSCHAP) من السجلات أدناه:
EAP (0) EAP-MSCHAP-V2: State: 0 (eap_auth_mschapv2_c.c 731
EAP (0) EAP-MSCHAP-V2: State: 2 (eap_auth_mschapv2_c.c 731
EAP (0) EAP-MSCHAP-V2: State: 1 (eap_auth_mschapv2_c.c 731
EAP (0) EAP-MSCHAP-V2: State: 4 (eap_auth_mschapv2_c.c 73
تسمح NAM بتكوين ميزة التسجيل الموسع التي ستقبض على جميع حزم EAP وتحفظها في ملف PCAP. وهذا مفيد خصوصا لوظيفة Start Before Login (يتم التقاط حزم EAP حتى للمصادقة التي تحدث قبل تسجيل دخول المستخدم). لتنشيط الميزات، اسأل مهندس TAC.