In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.
Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.
In diesem Artikel werden Details zu EAP-FAST-Implementierungen auf dem Cisco AnyConnect Network Access Manager (NAM) und der Identity Services Engine (ISE) erläutert. Darüber hinaus wird erläutert, wie bestimmte Funktionen zusammenarbeiten, und es werden typische Anwendungsfälle und Beispiele vorgestellt.
Cisco empfiehlt, über Kenntnisse in folgenden Bereichen zu verfügen:
Die Informationen in diesem Dokument basieren auf den folgenden Softwareversionen:
EAP-FAST ist eine flexible EAP-Methode, die die gegenseitige Authentifizierung von Supplicant und Server ermöglicht. Sie ähnelt EAP-PEAP, erfordert jedoch in der Regel keine Client- oder Serverzertifikate. Ein Vorteil von EAP-FAST ist die Fähigkeit, mehrere Authentifizierungen (mit mehreren inneren Methoden) zu verketten und kryptografisch zusammenzubinden (EAP Chaining). In Implementierungen von Cisco wird dies für Benutzer- und Computerauthentifizierungen verwendet.
EAP-FAST verwendet Protected Access Credentials (PAC), um schnell den TLS-Tunnel (Sitzungswiederaufnahme) einzurichten oder den Benutzer/das System zu autorisieren (überspringen Sie die innere Authentifizierungsmethode).
EAP-FAST umfasst drei Phasen:
EAP-FAST unterstützt Konversationen ohne PAC und PAC. PAC-basiert besteht aus PAC-Bereitstellung und PAC-basierter Authentifizierung. Die PAC-Bereitstellung kann auf einer anonymen oder authentifizierten TLS-Sitzung basieren.
PAC ist die geschützten Zugriffsberechtigungen, die vom Server generiert und dem Client bereitgestellt werden. Es besteht aus:
Der Server, der die PAC ausgibt, verschlüsselt den PAC-Schlüssel und die PAC-Identität mithilfe des EAP-FAST-Server-Master-Schlüssels (d. h. PAC-deckend) und sendet die gesamte PAC an den Client. Es werden keine anderen Informationen gespeichert bzw. gespeichert (mit Ausnahme des Master-Schlüssels, der für alle PACs identisch ist).
Sobald die PAC-Opak empfangen wurde, wird sie mithilfe des EAP-FAST-Server-Master-Schlüssels entschlüsselt und validiert. Der PAC-Schlüssel wird zum Ableiten der TLS-Master- und Sitzungsschlüssel für einen abgekürzten TLS-Tunnel verwendet.
Nach Ablauf des vorherigen Master-Schlüssels werden neue EAP-FAST-Servermaster-Schlüssel generiert. In einigen Fällen kann ein Master-Schlüssel widerrufen werden.
Derzeit werden einige PAC-Typen verwendet:
Alle diese PACs werden in der Regel automatisch in Phase 0 ausgeliefert. Einige der PACs (Tunnel, Machine, TrustSec) können auch manuell bereitgestellt werden.
Hinweis:
Für jede PAC-Bereitstellung ist eine erfolgreiche Authentifizierung erforderlich, mit Ausnahme des folgenden Anwendungsfalls: Autorisierter Benutzer bittet um die PAC des Computers für einen Computer, der über kein AD-Konto verfügt.
Die folgende Tabelle fasst die Bereitstellungs- und die proaktive Aktualisierungsfunktion zusammen:
PAC-Typ |
Tunnel v1/v1a/CTS |
Maschine |
Autorisierung |
PAC auf Anfrage bei Bereitstellung bereitstellen |
Ja |
Nur bei authentifizierter Bereitstellung |
nur bei authentifizierter Bereitstellung und wenn Tunnel-PAC ebenfalls angefordert wird |
PAC auf Anfrage bei Authentifizierung bereitstellen |
Ja |
Ja |
Nur wenn es in dieser Authentifizierung nicht verwendet wurde |
Proaktive Aktualisierung |
Ja |
Nein |
Nein |
Wenn nach fehlgeschlagener PAC-basierter Authentifizierung (z. B. wenn PAC abgelaufen ist) auf PAC-Bereitstellung zurückgegriffen wird |
die neue nicht weitergeben |
die neue nicht weitergeben |
die neue nicht weitergeben |
Unterstützung von ACS 4.x-PACs |
für Tunnel PAC v1/v1a |
Ja |
Nein |
Beim Vergleich von ACS 4.x und ISE besteht ein leichter Unterschied in der Master-Schlüsselbearbeitung.
Mit anderen Worten: Die ISE behält alle alten Master-Schlüssel bei und generiert standardmäßig einmal pro Woche einen neuen. Da der Master-Schlüssel nicht ablaufen kann, wird nur die PAC-TTL validiert.
Der Zeitraum für die ISE-Master-Key-Generierung wird über Administration -> Settings -> Protocol -> EAP-FAST -> EAP-FAST Settings konfiguriert.
Dies ist eine wichtige Komponente, die die PAC-Nutzung durch Tunnel ermöglicht. Sie ermöglicht die Neuverhandlung von TLS-Tunneln ohne Verwendung von Zertifikaten.
Es gibt zwei Sitzungswiederaufnahmetypen für EAP-FAST: Serverstatus basiert und stateless (PAC-basiert).
Die standardmäßige TLS-basierte Methode basiert auf der auf dem Server zwischengespeicherten TLS SessionID. Der Client, der den TLS-Client-Hello sendet, fügt die SessionID hinzu, um die Sitzung wieder aufzunehmen. Die Sitzung wird nur für die PAC-Bereitstellung bei Verwendung eines anonymen TLS-Tunnels verwendet:
Benutzer-/Maschinenautorisierungs-PAC wird zum Speichern der vorherigen Authentifizierungs- und Autorisierungsstatus für den Peer verwendet.
Die clientseitige Wiederaufnahme basiert auf RFC 4507. Der Server muss keine Daten zwischenspeichern. Stattdessen fügt der Client die PAC in die Erweiterung TLS Client Hello SessionTicket hinzu. Die PAC wird wiederum vom Server validiert. Beispiel basierend auf dem Tunnel-PAC, der dem Server bereitgestellt wird:
Sie wird auf Client-Seite (AnyConnect NAM) über Fast Reconnect aktiviert, dient jedoch nur zur Steuerung der PAC-Nutzung.
Wenn die Einstellung deaktiviert ist, verwendet NAM weiterhin die Tunnel-PAC, um den TLS-Tunnel zu erstellen (keine Zertifikate erforderlich). Dies verwendet jedoch keine Autorisierungs-PACs, um eine sofortige Benutzer- und Computerautorisierung durchzuführen. Daher wird immer Phase 2 mit der inneren Methode benötigt.
Die ISE hat die Option, das Stateless Session Resume zu aktivieren. Und wie bei NAM ist es nur für Autorisierungs-PAC. Die PAC-Nutzung für Tunnel wird über die Option "Use PACs" (PACs verwenden) gesteuert.
NAM versucht, PACs zu verwenden, wenn die Option aktiviert ist. Wenn in der ISE "PACs nicht verwenden" konfiguriert ist und die ISE eine Tunnel-PAC in der TLS-Erweiterung empfängt, wird folgender Fehler gemeldet und ein EAP-Fehler wird zurückgegeben:
hier einfügen
In der ISE muss auch die Sitzungswiederaufnahme auf der Grundlage der TLS-SessionID (von den globalen EAP-FAST-Einstellungen) aktiviert werden. Es ist standardmäßig deaktiviert:
Bitte beachten Sie, dass nur ein Sitzungswiederaufnahmetyp verwendet werden kann. Sitzungs-ID-basiert wird nur für PAC-lose Bereitstellungen verwendet, RFC 4507-basiert nur für PAC-Bereitstellungen.
PACs können automatisch in Phase0 bereitgestellt werden. Phase 0 umfasst:
PACs werden nach erfolgreicher Authentifizierung im TLS-Tunnel über PAC TLV (und PAC TLV-Bestätigung) bereitgestellt.
Für Bereitstellungen ohne PKI-Infrastruktur kann ein anonymer TLS-Tunnel verwendet werden. Der anonyme TLS-Tunnel wird mithilfe der Diffie Hellman-Verschlüsselungs-Suite erstellt, ohne dass ein Server- oder Clientzertifikat erforderlich ist. Dieser Ansatz ist anfällig für Man in the Middle Attacks (Identitätswechsel).
Um diese Option verwenden zu können, benötigt NAM die folgende konfigurierte Option:
"Wenn PACs eine nicht authentifizierte PAC-Bereitstellung ermöglichen" (das ist nur für eine kennwortbasierte innere Methode sinnvoll, da es ohne PKI-Infrastruktur nicht möglich ist, eine zertifikatsbasierte innere Methode zu verwenden).
Darüber hinaus muss die ISE die folgenden, unter den Authentifizierungsprotokollen konfigurierten Protokolle konfigurieren:
"Anonyme In-Band-PAC-Bereitstellung zulassen"
Anonyme In-Band-PAC-Bereitstellung wird in TrustSec NDAC-Bereitstellungen (EAP-FAST-Sitzungen, die zwischen Netzwerkgeräten ausgehandelt werden) verwendet.
Dies ist die sicherste und empfohlene Option. Der TLS-Tunnel basiert auf dem Serverzertifikat, das vom Supplicant validiert wird. Dies erfordert eine PKI-Infrastruktur nur auf Serverseite, die für ISE erforderlich ist (bei NAM ist es möglich, die Option "Serveridentität validieren" zu deaktivieren.
Für die ISE gibt es zwei zusätzliche Optionen:
Normalerweise sollte nach der PAC-Bereitstellung eine Access-Reject gesendet werden, die die Komponente zwingt, sich mithilfe von PACs erneut zu authentifizieren. Da die PACs jedoch im TLS-Tunnel mit Authentifizierung bereitgestellt wurden, ist es möglich, den gesamten Prozess zu verkürzen und die Access-Accept-Option unmittelbar nach der PAC-Bereitstellung zurückzugeben.
Bei der zweiten Option wird der TLS-Tunnel basierend auf dem Clientzertifikat erstellt (hierfür ist die PKI-Bereitstellung auf den Endpunkten erforderlich). Dadurch kann der TLS-Tunnel mit gegenseitiger Authentifizierung erstellt werden. Dadurch wird die innere Methode übersprungen und die PAC-Bereitstellungsphase direkt abgeschlossen. Es ist wichtig, hier vorsichtig zu sein. Manchmal präsentiert der Supplicant ein Zertifikat, das von der ISE nicht als vertrauenswürdig eingestuft wird (das für andere Zwecke bestimmt ist), und die Sitzung schlägt fehl.
Ermöglicht die Benutzer- und Computerauthentifizierung innerhalb einer Radius/EAP-Sitzung. Mehrere EAP-Methoden können verkettet werden. Nachdem die erste Authentifizierung (in der Regel der Computer) erfolgreich abgeschlossen wurde, sendet der Server eine TLV mit Zwischenergebnissen (im TLS-Tunnel), die auf Erfolg hinweist. Diese TLV muss von einer Krypto-Binding-TLV-Anforderung begleitet sein. Cryptobinding wird verwendet, um zu beweisen, dass sowohl der Server als auch der Peer an der bestimmten Authentifizierungssequenz teilgenommen haben. Der Cryptobindungsprozess verwendet das Keying-Material aus Phase 1 und Phase 2. Zusätzlich ist eine weitere TLV angehängt: EAP-Payload: Diese Funktion initiiert die neue Sitzung (in der Regel für den Benutzer). Sobald der Radius-Server (ISE) die Crypto-Binding TLV Response empfängt und validiert hat, wird im Protokoll Folgendes angezeigt und die nächste EAP-Methode ausprobiert (in der Regel für die Benutzerauthentifizierung):
12126 EAP-FAST cryptobinding verification passed
Wenn die Verschlüsselungsvalidierung fehlschlägt, schlägt die gesamte EAP-Sitzung fehl. Wenn eine der Authentifizierungen innerhalb des Netzwerks fehlgeschlagen ist, ist es immer noch in Ordnung. Infolgedessen kann ein Administrator mit der ISE mehrere Ketingergebnisse auf Grundlage der Autorisierungsbedingung Netzwerkzugriff:EapChainingResult:
EAP-Chaining wird im NAM automatisch aktiviert, wenn die EAP-FAST-Benutzer- und Maschinenauthentifizierung aktiviert ist.
EAP-Verkettung muss in der ISE konfiguriert werden.
Standardmäßig werden Tunnel- und Machine-PACs in den Abschnitten <credential> unter C:\ProgramData\Cisco\Cisco AnyConnect Secure Mobility Client\Network Access Manager\system\internalConfiguration.xml gespeichert. Diese werden verschlüsselt gespeichert.
Autorisierungs-PACs werden nur im Speicher gespeichert und nach einem Neustart oder einem Neustart des NAM-Services entfernt.
Ein Service-Neustart ist erforderlich, um den Tunnel- oder Computer-PAC zu entfernen.
Mit dem AnyConnect 3.x NAM-Profil-Editor konnte der Administrator PACs manuell konfigurieren. Diese Funktion wurde aus dem AnyConnect 4.x NAM-Profil-Editor entfernt.
Die Entscheidung, diese Funktionalität zu entfernen, basiert auf CSCuf31422 und CSCua13140 .
Alle Beispiele wurden mithilfe der folgenden Netzwerktopologie getestet. Gleiches gilt auch bei der Verwendung von Wireless-Netzwerken.
EAP_Chaining ist auf der ISE standardmäßig deaktiviert. Alle anderen Optionen sind jedoch aktiviert, einschließlich Rechner- und Autorisierungs-PACs. Der Supplicant verfügt bereits über eine gültige Computer- und Tunnel-PAC. In diesem Datenfluss gibt es zwei separate Authentifizierungen - eine für den Computer und eine für den Benutzer - mit separaten Protokollen für die ISE. Die Hauptschritte werden von der ISE protokolliert. Erste Authentifizierung (Rechner):
12102 Extracted EAP-Response containing EAP-FAST challenge-response and accepting EAP-FAST as negotiated
12800 Extracted first TLS record; TLS handshake started
12174 Received Machine PAC
12805 Extracted TLS ClientHello message
12806 Prepared TLS ServerHello message
12801 Prepared TLS ChangeCipherSpec message
12816 TLS handshake succeeded
12132 EAP-FAST built PAC-based tunnel for purpose of authentication
24351 Account validation succeeded
24420 User's Attributes retrieval from Active Directory succeeded - example.com
22037 Authentication Passed
12124 EAP-FAST inner method skipped
11503 Prepared EAP-Success
11002 Returned RADIUS Access-Accept
Die zweite Authentifizierung (Benutzer):
12102 Extracted EAP-Response containing EAP-FAST challenge-response and accepting EAP-FAST as negotiated
12800 Extracted first TLS record; TLS handshake started
12175 Received Tunnel PAC
12805 Extracted TLS ClientHello message
12806 Prepared TLS ServerHello message
12801 Prepared TLS ChangeCipherSpec message
12816 TLS handshake succeeded
12132 EAP-FAST built PAC-based tunnel for purpose of authentication
12125 EAP-FAST inner method started
11806 Prepared EAP-Request for inner method proposing EAP-MSCHAP with challenge
24402 User authentication against Active Directory succeeded - example.com
22037 Authentication Passed
11503 Prepared EAP-Success
11002 Returned RADIUS Access-Accept
Im Abschnitt "Andere Attribute" des detaillierten Berichts in der ISE wird Folgendes sowohl für die Benutzer- als auch für die Computerauthentifizierung angegeben:
EapChainingResult: No chaining
In diesem Datenfluss verfügt der Supplicant bereits über eine gültige Tunnel-PAC sowie die Benutzer- und Maschinenautorisierungs-PACs:
12102 Extracted EAP-Response containing EAP-FAST challenge-response and accepting EAP-FAST as negotiated
12800 Extracted first TLS record; TLS handshake started
12175 Received Tunnel PAC
12805 Extracted TLS ClientHello message
12806 Prepared TLS ServerHello message
12801 Prepared TLS ChangeCipherSpec message
12816 TLS handshake succeeded
12132 EAP-FAST built PAC-based tunnel for purpose of authentication
12209 Starting EAP chaining
12210 Received User Authorization PAC
12211 Received Machine Authorization PAC
24420 User's Attributes retrieval from Active Directory succeeded - example.com
22037 Authentication Passed
24439 Machine Attributes retrieval from Active Directory succeeded - example.com
22037 Authentication Passed
11503 Prepared EAP-Success
11002 Returned RADIUS Access-Accept
Im Abschnitt "Andere Attribute" des detaillierten Berichts in der ISE wird Folgendes vermerkt:
EapChainingResult: EAP Chaining
Darüber hinaus sind sowohl Benutzer- als auch Computeranmeldeinformationen im gleichen Protokoll enthalten, wie im Folgenden dargestellt:
Username: cisco,host/mgarcarz-PC
In diesem Datenfluss ist das NAM so konfiguriert, dass es keine PAC verwendet. Die ISE ist auch so konfiguriert, dass sie keine PAC verwendet (jedoch mit EAP-Verkettung).
12102 Extracted EAP-Response containing EAP-FAST challenge-response and accepting EAP-FAST as negotiated
12800 Extracted first TLS record; TLS handshake started
12805 Extracted TLS ClientHello message
12806 Prepared TLS ServerHello message
12807 Prepared TLS Certificate message
12809 Prepared TLS CertificateRequest message
12811 Extracted TLS Certificate message containing client certificate
12812 Extracted TLS ClientKeyExchange message
12816 TLS handshake succeeded
12207 Client certificate was requested but not received during tunnel establishment. Will renegotiate and request client certificate inside the tunnel.
12226 Started renegotiated TLS handshake
12104 Extracted EAP-Response containing EAP-FAST challenge-response
12811 Extracted TLS Certificate message containing client certificate
12812 Extracted TLS ClientKeyExchange message
12804 Extracted TLS Finished message
12801 Prepared TLS ChangeCipherSpec message
12802 Prepared TLS Finished message
12226 Started renegotiated TLS handshake
12205 Client certificate was requested but not received inside the tunnel. Will continue with inner method.
12176 EAP-FAST PAC-less full handshake finished successfully
12209 Starting EAP chaining
12218 Selected identity type 'User'
11806 Prepared EAP-Request for inner method proposing EAP-MSCHAP with challenge
24402 User authentication against Active Directory succeeded - example.com
22037 Authentication Passed
12219 Selected identity type 'Machine'
11806 Prepared EAP-Request for inner method proposing EAP-MSCHAP with challenge
24470 Machine authentication against Active Directory is successful - example.com
22037 Authentication Passed
11503 Prepared EAP-Success
11002 Returned RADIUS Access-Accept
In diesem Datenfluss verfügt der Supplicant über eine gültige Tunnel-PAC, hat jedoch abgelaufene Autorisierungs-PACs:
12102 Extracted EAP-Response containing EAP-FAST challenge-response and accepting EAP-FAST as negotiated
12800 Extracted first TLS record; TLS handshake started
12175 Received Tunnel PAC
12805 Extracted TLS ClientHello message
12806 Prepared TLS ServerHello message
12801 Prepared TLS ChangeCipherSpec message
12816 TLS handshake succeeded
12132 EAP-FAST built PAC-based tunnel for purpose of authentication
12209 Starting EAP chaining
12227 User Authorization PAC has expired - will run inner method
12228 Machine Authorization PAC has expired - will run inner method
12218 Selected identity type 'User'
11806 Prepared EAP-Request for inner method proposing EAP-MSCHAP with challenge
24402 User authentication against Active Directory succeeded - example.com
22037 Authentication Passed
12219 Selected identity type 'Machine'
24470 Machine authentication against Active Directory is successful - example.com
22037 Authentication Passed
12171 Successfully finished EAP-FAST user authorization PAC provisioning/update
12179 Successfully finished EAP-FAST machine authorization PAC provisioning/update
11503 Prepared EAP-Success
11002 Returned RADIUS Access-Accept
Wenn in diesem Fluss kein gültiger Tunnel-PAC vorhanden ist, wird eine vollständige TLS-Aushandlung mit der inneren Phase durchgeführt.
12102 Extracted EAP-Response containing EAP-FAST challenge-response and accepting EAP-FAST as negotiated
12800 Extracted first TLS record; TLS handshake started
12805 Extracted TLS ClientHello message
12806 Prepared TLS ServerHello message
12807 Prepared TLS Certificate message
12809 Prepared TLS CertificateRequest message
12105 Prepared EAP-Request with another EAP-FAST challenge
11006 Returned RADIUS Access-Challenge
11001 Received RADIUS Access-Request
12816 TLS handshake succeeded
12207 Client certificate was requested but not received during tunnel establishment. Will renegotiate and request client certificate inside the tunnel.
12226 Started renegotiated TLS handshake
12104 Extracted EAP-Response containing EAP-FAST challenge-response
12811 Extracted TLS Certificate message containing client certificate
12812 Extracted TLS ClientKeyExchange message
12804 Extracted TLS Finished message
12801 Prepared TLS ChangeCipherSpec message
12802 Prepared TLS Finished message
12226 Started renegotiated TLS handshake
12205 Client certificate was requested but not received inside the tunnel. Will continue with inner method.
12149 EAP-FAST built authenticated tunnel for purpose of PAC provisioning
12105 Prepared EAP-Request with another EAP-FAST challenge
11006 Returned RADIUS Access-Challenge
11001 Received RADIUS Access-Request
11018 RADIUS is re-using an existing session
12104 Extracted EAP-Response containing EAP-FAST challenge-response
12209 Starting EAP chaining
12218 Selected identity type 'User'
11806 Prepared EAP-Request for inner method proposing EAP-MSCHAP with challenge
24402 User authentication against Active Directory succeeded - example.com
22037 Authentication Passed
12126 EAP-FAST cryptobinding verification passed
12200 Approved EAP-FAST client Tunnel PAC request
12202 Approved EAP-FAST client Authorization PAC request
12219 Selected identity type 'Machine'
11806 Prepared EAP-Request for inner method proposing EAP-MSCHAP with challenge
24470 Machine authentication against Active Directory is successful - example.com
22037 Authentication Passed
12169 Successfully finished EAP-FAST tunnel PAC provisioning/update
12171 Successfully finished EAP-FAST user authorization PAC provisioning/update
12170 Successfully finished EAP-FAST machine PAC provisioning/update
12179 Successfully finished EAP-FAST machine authorization PAC provisioning/update
11503 Prepared EAP-Success
11002 Returned RADIUS Access-Accept
In diesem Datenfluss wird der ISE- und der anonyme NAM-TLS-Tunnel für die PAC-Bereitstellung konfiguriert (ISE-authentifizierter TLS-Tunnel für PAC-Bereitstellung ist deaktiviert). Die PAC-Bereitstellungsanfrage sieht wie folgt aus:
12102 Extracted EAP-Response containing EAP-FAST challenge-response and accepting EAP-FAST as negotiated
12800 Extracted first TLS record; TLS handshake started
12805 Extracted TLS ClientHello message
12806 Prepared TLS ServerHello message
12808 Prepared TLS ServerKeyExchange message
12810 Prepared TLS ServerDone message
12812 Extracted TLS ClientKeyExchange message
12804 Extracted TLS Finished message
12801 Prepared TLS ChangeCipherSpec message
12802 Prepared TLS Finished message
12816 TLS handshake succeeded
12131 EAP-FAST built anonymous tunnel for purpose of PAC provisioning
12209 Starting EAP chaining
12218 Selected identity type 'User'
11806 Prepared EAP-Request for inner method proposing EAP-MSCHAP with challenge
24402 User authentication against Active Directory succeeded - example.com
22037 Authentication Passed
12162 Cannot provision Authorization PAC on anonymous provisioning. Authorization PAC can be provisioned only on authenticated provisioning
12200 Approved EAP-FAST client Tunnel PAC request
12219 Selected identity type 'Machine'
24470 Machine authentication against Active Directory is successful - example.com
22037 Authentication Passed
12162 Cannot provision Authorization PAC on anonymous provisioning. Authorization PAC can be provisioned only on authenticated provisioning
12169 Successfully finished EAP-FAST tunnel PAC provisioning/update
12170 Successfully finished EAP-FAST machine PAC provisioning/update
11504 Prepared EAP-Failure
11003 Returned RADIUS Access-Reject
Wireshark-Paketerfassung für anonyme TLS-Tunnelverhandlung:
In diesem Datenfluss wird AnyConnect NAM mit EAP-FAST und User (EAP-TLS) und Machine Authentication (EAP-TLS) konfiguriert. Der Windows-PC wird gestartet, es werden jedoch keine Benutzeranmeldeinformationen bereitgestellt. Switch initiiert 802.1x-Sitzung, NAM muss jedoch antworten, Benutzeranmeldeinformationen werden nicht bereitgestellt (noch kein Zugriff auf Benutzerspeicher und -zertifikat). Die Benutzerauthentifizierung schlägt fehl, während der Computer erfolgreich ist - ISE-Authentifizierungsbedingung "Netzwerkzugriff:EapChainingResult EQUALS User failed and machine successfully" (Netzwerkzugriff:EapChainingResult EQUALS User fehlgeschlagen und maschinell erfolgreich ausgeführt) ist erfüllt. Später meldet sich der Benutzer an, und eine weitere Authentifizierung wird gestartet, sowohl der Benutzer als auch der Computer sind erfolgreich.
12102 Extracted EAP-Response containing EAP-FAST challenge-response and accepting EAP-FAST as negotiated
12800 Extracted first TLS record; TLS handshake started
12174 Received Machine PAC
12805 Extracted TLS ClientHello message
12806 Prepared TLS ServerHello message
12801 Prepared TLS ChangeCipherSpec message
12802 Prepared TLS Finished message
12816 TLS handshake succeeded
12132 EAP-FAST built PAC-based tunnel for purpose of authentication
12209 Starting EAP chaining
12218 Selected identity type 'User'
12213 Identity type provided by client is not equal to requested type
12215 Client suggested 'Machine' identity type instead
12104 Extracted EAP-Response containing EAP-FAST challenge-response
12523 Extracted EAP-Response/NAK for inner method requesting to use EAP-TLS instead
12805 Extracted TLS ClientHello message
12806 Prepared TLS ServerHello message
12807 Prepared TLS Certificate message
12809 Prepared TLS CertificateRequest message
12816 TLS handshake succeeded
12509 EAP-TLS full handshake finished successfully
22070 Identity name is taken from certificate attribute
15013 Selected Identity Source - Test-AD
24323 Identity resolution detected single matching account
22037 Authentication Passed
12202 Approved EAP-FAST client Authorization PAC request
12218 Selected identity type 'User'
12213 Identity type provided by client is not equal to requested type
12216 Identity type provided by client was already used for authentication
12967 Sent EAP Intermediate Result TLV indicating failure
12179 Successfully finished EAP-FAST machine authorization PAC provisioning/update
12106 EAP-FAST authentication phase finished successfully
11503 Prepared EAP-Success
11002 Returned RADIUS Access-Accept
In diesem Datenfluss wird die ISE für die PAC-Bereitstellung nur über einen anonymen TLS-Tunnel konfiguriert. Das NAM verwendet jedoch einen authentifizierten TLS-Tunnel. Folgendes wird von der ISE protokolliert:
12102 Extracted EAP-Response containing EAP-FAST challenge-response and accepting EAP-FAST as negotiated
12800 Extracted first TLS record; TLS handshake started
12805 Extracted TLS ClientHello message
12814 Prepared TLS Alert message
12817 TLS handshake failed
12121 Client didn't provide suitable ciphers for anonymous PAC-provisioning
11504 Prepared EAP-Failure
11003 Returned RADIUS Access-Reject
Dies tritt auf, wenn NAM versucht, einen authentifizierten TLS-Tunnel mit den spezifischen TLS-Chiffren zu erstellen - und diese werden von der ISE nicht akzeptiert, die für einen anonymen TLS-Tunnel konfiguriert ist (nur DH-Chiffre akzeptiert).
Für detaillierte Protokolle sollten LaufzeitAAA-Debugger auf dem entsprechenden PSN-Knoten aktiviert werden. Nachfolgend finden Sie einige Beispielprotokolle von prt-server.log:
PAC-Generierung für Systeme:
DEBUG,0x7fd5332fe700,cntx=0001162745,sesn=mgarcarz-ise14/223983918/29245,CPMSessionID=0A3E946D00000FE5131F9D26,CallingStationID=00-50-B6-11-ED-31,FramedIPAddress=10.0.13.127,Using IID from PAC request for machine,EapFastTlv.cpp:1234
DEBUG,0x7fd5332fe700,cntx=0001162745,sesn=mgarcarz-ise14/223983918/29245,CPMSessionID=0A3E946D00000FE5131F9D26,CallingStationID=00-50-B6-11-ED-31,FramedIPAddress=10.0.13.127,Adding PAC of type=Machine Authorization,EapFastProtocol.cpp:3610
DEBUG,0x7fd5332fe700,cntx=0001162745,sesn=mgarcarz-ise14/223983918/29245,CPMSessionID=0A3E946D00000FE5131F9D26,CallingStationID=00-50-B6-11-ED-31,FramedIPAddress=10.0.13.127,Eap-Fast: Generating Pac, Issued PAC type=Machine Authorization with expiration time: Fri Jul 3 10:38:30 2015
PAC-Anforderungsgenehmigung:
INFO ,0x7fd5330fc700,cntx=0001162745,sesn=mgarcarz-ise14/223983918/29245,CPMSessionID=0A3E946D00000FE5131F9D26,user=host/mgarcarz-pc,CallingStationID=00-50-B6-11-ED-31,FramedIPAddress=10.0.13.127,Eap-Fast: client PAC request approved for PAC type - Requested PAC type=Machine,EapFastProtocol.cpp:955
INFO ,0x7fd5330fc700,cntx=0001162745,sesn=mgarcarz-ise14/223983918/29245,CPMSessionID=0A3E946D00000FE5131F9D26,user=host/mgarcarz-pc,CallingStationID=00-50-B6-11-ED-31,FramedIPAddress=10.0.13.127,Eap-Fast: client PAC request approved for PAC type - Requested PAC type=Machine Authorization,EapFastProtocol.cpp:955
PAC-Validierung:
DEBUG,0x7fd5330fc700,cntx=0001162499,sesn=mgarcarz-ise14/223983918/29243,CPMSessionID=0A3E946D00000FE5131F9D26,user=anonymous,CallingStationID=00-50-B6-11-ED-31,FramedIPAddress=10.0.13.127,Authorization PAC is valid,EapFastProtocol.cpp:3403
Eap,2015-07-03 09:34:39,208,DEBUG,0x7fd5330fc700,cntx=0001162499,sesn=mgarcarz-ise14/223983918/29243,CPMSessionID=0A3E946D00000FE5131F9D26,user=anonymous,CallingStationID=00-50-B6-11-ED-31,FramedIPAddress=10.0.13.127,Authorization PAC accepted,EapFastProtocol.cpp:3430
Beispiel für eine erfolgreiche Zusammenfassung für die PAC-Erstellung:
DEBUG,0x7fd5331fd700,cntx=0001162749,sesn=mgarcarz-ise14/223983918/29245,CPMSessionID=0A3E946D00000FE5131F9D26,user=cisco,CallingStationID=00-50-B6-11-ED-31,FramedIPAddress=10.0.13.127,Conversation summary: Provisioning. Authenticated. Inner method succeeded. Inner method succeeded. Generated PAC of type Tunnel V1A. Generated PAC of type User Authorization. Generated PAC of type Machine. Generated PAC of type Machine Authorization. Success
Beispiel für eine erfolgreiche Zusammenfassung für die PAC-Validierung:
DEBUG,0x7fd5330fc700,cntx=0001162503,sesn=mgarcarz-ise14/223983918/29243,CPMSessionID=0A3E946D00000FE5131F9D26,user=host/mgarcarz-pc,CallingStationID=00-50-B6-11-ED-31,FramedIPAddress=10.0.13.127,Conversation summary: Authentication. PAC type Tunnel V1A. PAC is valid.Skip inner method. Skip inner method. Success
Die DART-Protokolle von NAM enthalten folgende Details:
Beispiel für Nicht-EAP-Verkettung, Machine Authentication ohne schnelle Wiederherstellung der Verbindung:
EAP: Identity requested
Auth[eap-fast-pac:machine-auth]: Performing full authentication
Auth[eap-fast-pac:machine-auth]: Disabling fast reauthentication
Beispiel für die PAC-Suche für die Autorisierung (maschinelle Authentifizierung für Sitzungen ohne EAP-Verkettung):
Looking for matching pac with iid: host/ADMIN-PC2
Requested machine pac was sen
Alle Zustände der inneren Methode (für MSCHAP) können aus den folgenden Protokollen überprüft werden:
EAP (0) EAP-MSCHAP-V2: State: 0 (eap_auth_mschapv2_c.c 731
EAP (0) EAP-MSCHAP-V2: State: 2 (eap_auth_mschapv2_c.c 731
EAP (0) EAP-MSCHAP-V2: State: 1 (eap_auth_mschapv2_c.c 731
EAP (0) EAP-MSCHAP-V2: State: 4 (eap_auth_mschapv2_c.c 73
NAM ermöglicht die Konfiguration der erweiterten Protokollierungsfunktion, mit der alle EAP-Pakete erfasst und in der pcap-Datei gespeichert werden. Dies ist besonders bei der Funktion "Start Before Logon" (Vor Anmeldung anmelden) hilfreich (EAP-Pakete werden auch für Authentifizierungen erfasst, die vor der Anmeldung beim Benutzer auftreten). Fragen Sie Ihren TAC-Techniker zur Funktionsaktivierung.