El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.
Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).
Este artículo explica los detalles con respecto a las implementaciones del EAP-FAST en el administrador del acceso a la red de Cisco AnyConnect (NAM) y el Identity Services Engine (ISE). Explica más lejos cómo las características específicas trabajan juntas y proporciona los casos típicos y los ejemplos del uso.
Cisco recomienda que tenga conocimiento sobre estos temas:
La información que contiene este documento se basa en estas versiones de software:
El EAP-FAST es un método EAP flexible que permite la autenticación recíproca de un supplicant y de un servidor. Es similar a EAP-PEAP, pero no requiere típicamente el uso del cliente o aún de los certificados de servidor. Una ventaja del EAP-FAST es la capacidad de encadenar las autenticaciones múltiples (usando los métodos internos múltiples) y de atarlas criptográficamente juntas (EAP que encadena). Las implementaciones de Cisco utilizan esto para las autenticaciones del usuario y de la máquina.
El EAP-FAST utiliza las credenciales protegidas del acceso (PAC) para establecer rápidamente el túnel de TLS (curriculum vitae de la sesión) o autorizar el usuario/la máquina (método de autenticación interno del salto).
Hay 3 fases para el EAP-FAST:
El EAP-FAST soporta el PAC-menos y la conversación PAC-basada. PAC-basado consiste en el aprovisionamiento PAC y la autenticación PAC-basada. El aprovisionamiento PAC se puede basar en la sesión anónima o autenticada de TLS.
El PAC es credenciales protegidas del acceso generadas por el servidor y con tal que al cliente. Consiste en:
El servidor que publica el PAC cifrará la clave y la identidad PAC usando la clave principal del servidor del EAP-FAST (que es PAC opaco) y envía el PAC entero al cliente. No hace guardar/almacén ninguna otra información (excepto la clave principal que es lo mismo para todos los PAC).
Una vez que el PAC opaco se recibe, se desencripta usando la clave principal del servidor del EAP-FAST y se valida. La clave PAC se utiliza para derivar al master de TLS y las claves de la sesión para TLS abreviado hacen un túnel.
Se generan las nuevas claves principales del servidor del EAP-FAST cuando expira la clave principal anterior. En algunos casos, una clave principal puede ser revocada.
Hay algunos tipos de PAC que son utilizados actualmente:
Todos esos PAC se entregan generalmente automáticamente en la fase 0. Algunos de los PAC (túnel, máquina, Trustsec) se pueden también entregar manualmente.
Nota:
Cada aprovisionamiento PAC requiere la autenticación satisfactoria a menos que del caso siguiente del uso: el usuario autorizado pide la máquina PAC para una máquina que no tenga una cuenta AD.
La tabla siguiente resume el aprovisionamiento y las funciones dinámicas de la actualización:
Tipo PAC |
Túnel v1/v1a/CTS |
Máquina |
Autorización |
Proporcione el PAC a petición en el aprovisionamiento |
sí |
solamente en el aprovisionamiento autenticado |
solamente en el aprovisionamiento autenticado y si el túnel PAC se pide también |
Proporcione el PAC a petición en la autenticación |
sí |
sí |
solamente si no fue utilizada en esta autenticación |
Actualización dinámica |
sí |
no |
no |
Al recurrir al aprovisionamiento PAC después de la autenticación PAC-basada fallada (e.g cuando se expira el PAC) |
el rechazo y no proporciona el nuevo |
el rechazo y no proporciona el nuevo |
el rechazo y no proporciona el nuevo |
Soporte ACS 4.x PAC |
para el túnel PAC v1/v1a |
sí |
no |
Hay una leve diferencia en la clave principal que dirige al comparar ACS 4.x y ISE
Es decir el ISE guardará todas las claves de maestro anterior y generará un nuevo por abandono una vez por la semana. Pues la clave principal no puede expirar, sólo el PAC TTL será validado.
El período de la generación de clave principal ISE se configura de la administración - > las configuraciones - > protocolo - > EAP-FAST - > las configuraciones del EAP-FAST.
Esto es un componente importante teniendo en cuenta el uso del túnel PAC. Permite la renegociación del túnel de TLS sin el uso de los Certificados.
Hay dos tipos del curriculum vitae de la sesión para el EAP-FAST: Estado del servidor basado y apátrida (PAC basado).
El método basado TLS estándar se basa en TLS SessionID ocultado en el servidor. El cliente que envía los saludos del cliente de TLS asocia el SessionID para reanudar la sesión. La sesión se utiliza solamente para el aprovisionamiento PAC al usar un túnel anónimo de TLS:
Se utiliza la autorización PAC del usuario/de la máquina de salvar los estados anteriores de la autenticación y autorización para el par.
El curriculum vitae del lado del cliente se basa en el RFC 4507. El servidor no necesita ocultar ningunos datos; en lugar el cliente asocia el PAC en la extensión de SessionTicket de los saludos del cliente de TLS. A su vez, el PAC es validado por el servidor. Ejemplo basado en el túnel PAC entregado al servidor:
Ha habilitado en el cliente que el lado (AnyConnect NAM) vía rápido vuelve a conectar - pero controlaba solamente el uso de la autorización PAC.
Con la configuración inhabilitada, el NAM todavía utilizará el túnel PAC para construir el túnel de TLS (ningunos Certificados necesarios). Sin embargo, esto no utilizará la autorización PAC para realizar la autorización inmediata del usuario y de la máquina. Como consecuencia, la fase 2 con el método interno será requerida siempre.
El ISE tiene una opción para habilitar el curriculum vitae apátrida de la sesión. Y como en el NAM está apenas para la autorización PAC. El uso del túnel PAC se controla con las opciones “uso PAC”.
El NAM intentará utilizar los PAC si se habilita la opción. Si “no utilice los PAC” se configura en el ISE y el ISE recibe un túnel PAC en la extensión de TLS que el error siguiente será señalado y vuelven a un error EAP:
inserte aquí
En el ISE, es también necesario habilitar el curriculum vitae de la sesión basado en TLS SessionID (de las configuraciones globales del EAP-FAST). Ha inhabilitado por abandono:
Tenga por favor presente que solamente un tipo de curriculum vitae de la sesión puede ser utilizado. SessionID basó se utiliza solamente para las implementaciones PAC-menos, RFC 4507 basado se utiliza solamente para las implementaciones PAC.
Los PAC pueden ser automáticamente aprovisionado en phase0. La fase 0 consiste en:
Los PAC se entregan después de una autenticación satisfactoria dentro del túnel de TLS vía el acuse de recibo PAC TLV (y PAC TLV)
Para las implementaciones sin una infraestructura PKI, es posible utilizar un túnel anónimo de TLS. El túnel anónimo de TLS será construido usando la habitación de la cifra del Diffie Hellman - sin la necesidad de un servidor o de un certificado del cliente. Este acercamiento es hombre propenso en los ataques medios (personificación).
Para utilizar esta opción, el NAM requiere la opción configurada siguiente:
“Si usa los PAC tenga en cuenta el aprovisionamiento del unauthenticated PAC” (que tiene sentido solamente para el método interno basado en la contraseña porque sin la infraestructura PKI no es posible utilizar el método interno basado en el certificado).
También, el ISE necesitará el siguiente configurado bajo autenticación no prohibida los protocolos:
“Permita el aprovisionamiento anónimo de la En-banda PAC”
El aprovisionamiento anónimo de la en-banda PAC se está utilizando en las implementaciones NDAC de TrustSec (sesión del EAP-FAST negociada entre los dispositivos de red).
Ésta es la opción más segura y recomendada. El túnel de TLS se construye sobre la base del certificado de servidor que es validado por el supplicant. Esto requiere una infraestructura PKI en el lado del servidor solamente, que se requiere para el ISE (en el NAM es posible inhabilitar la opción “valida la identidad del servidor”.
Para el ISE hay dos opciones adcionales:
Normalmente, después del aprovisionamiento PAC, un Access-Reject se debe enviar forzando el supplicant a reauthenticate usando los PAC. Pero puesto que los PAC fueron entregados en el túnel de TLS con la autenticación, es posible acortar el access-accept del proceso completo y de la vuelta inmediatamente después del aprovisionamiento PAC.
La segunda opción construye el túnel de TLS basado en el certificado del cliente (ésta requiere el despliegue PKI en los puntos finales). Esto permite que el túnel de TLS sea construido con la autenticación recíproca, que salta el método interno y va directamente a la fase del aprovisionamiento PAC. Es importante tener cuidado aquí - el supplicant presentará a veces un certificado que no sea confiado en por el ISE (previsto para otros fines) y la sesión fallará.
Permite la autenticación del usuario y de la máquina dentro de una sesión Radius/EAP. Los métodos EAP múltiples se pueden encadenar juntos. Después de que la primera autenticación (típicamente máquina) haya acabado con éxito, el servidor enviará un Intermedio-resultado TLV (túnel de TLS del interior) que indica el éxito. Ese TLV se debe acompañar por una petición Crypto-obligatoria TLV. Cryptobinding se utiliza para probar que el servidor y el par han participado en la secuencia específica de autenticaciones. El proceso de Cryptobinding utiliza el material de codificación a partir de la fase 1 y de la fase 2. Además, se asocia un más TLV: EAP-payload - esto está iniciando la nueva sesión (típicamente para el usuario). Una vez que el servidor de RADIUS (ISE) recibe la respuesta Crypto-obligatoria TLV y la valida, lo que sigue será mostrado en el registro y el método EAP siguiente será intentado (típicamente para la autenticación de usuario):
12126 EAP-FAST cryptobinding verification passed
Si la validación cryptobinding falla, la sesión entera EAP falla. Si una de las autenticaciones dentro de fallado entonces le es todavía fina - como consecuencia, el ISE permite que un administrador configure el múltiplo que encadena los resultados basados en la condición NetworkAccess de la autorización: EapChainingResult:
El EAP-encadenamiento se habilita en el NAM automáticamente cuando se habilita la autenticación del usuario y de la máquina del EAP-FAST.
El EAP-encadenamiento se debe configurar en el ISE.
Por abandono, el túnel y la máquina PAC se salvan en el cliente de la movilidad de C:\ProgramData\Cisco\Cisco AnyConnect \ el administrador del acceso a la red \ el sistema seguros \ internalConfiguration.xml en el <credential> de las secciones. Ésos se salvan en la forma encriptada.
La autorización PAC se salva solamente en la memoria y se quita después de que reinicialización o reinicio del servicio NAM.
Un reinicio del servicio se requiere para quitar el túnel o la máquina PAC.
El editor del perfil de AnyConnect 3.x NAM permitió que el administrador configurara los PAC manualmente. Esta característica se ha quitado del editor del perfil de AnyConnect 4.x NAM.
La decisión a quitar que las funciones están basadas en CSCuf31422 y CSCua13140.
Todos los ejemplos fueron probados usando la topología de red siguiente. Lo mismo se aplica también al usar la Tecnología inalámbrica.
Por abandono, EAP_chaining se inhabilita en el ISE. Sin embargo, todas las otras opciones se habilitan incluyendo la máquina y la autorización PAC. El supplicant tiene ya una máquina y un túnel válidos PAC. En este flujo, habrá dos autenticaciones separadas - una para la máquina y una para el usuario - con separado abre una sesión el ISE. Los pasos principales según lo registrado por el ISE. Primera autenticación (máquina):
12102 Extracted EAP-Response containing EAP-FAST challenge-response and accepting EAP-FAST as negotiated
12800 Extracted first TLS record; TLS handshake started
12174 Received Machine PAC
12805 Extracted TLS ClientHello message
12806 Prepared TLS ServerHello message
12801 Prepared TLS ChangeCipherSpec message
12816 TLS handshake succeeded
12132 EAP-FAST built PAC-based tunnel for purpose of authentication
24351 Account validation succeeded
24420 User's Attributes retrieval from Active Directory succeeded - example.com
22037 Authentication Passed
12124 EAP-FAST inner method skipped
11503 Prepared EAP-Success
11002 Returned RADIUS Access-Accept
La segunda autenticación (usuario):
12102 Extracted EAP-Response containing EAP-FAST challenge-response and accepting EAP-FAST as negotiated
12800 Extracted first TLS record; TLS handshake started
12175 Received Tunnel PAC
12805 Extracted TLS ClientHello message
12806 Prepared TLS ServerHello message
12801 Prepared TLS ChangeCipherSpec message
12816 TLS handshake succeeded
12132 EAP-FAST built PAC-based tunnel for purpose of authentication
12125 EAP-FAST inner method started
11806 Prepared EAP-Request for inner method proposing EAP-MSCHAP with challenge
24402 User authentication against Active Directory succeeded - example.com
22037 Authentication Passed
11503 Prepared EAP-Success
11002 Returned RADIUS Access-Accept
En la sección de “otros atributos” del informe detallado en el ISE, lo que sigue se observa para las autenticaciones del usuario y de la máquina:
EapChainingResult: No chaining
En este flujo, el supplicant tiene ya un túnel válido PAC junto con la autorización PAC del usuario y de la máquina:
12102 Extracted EAP-Response containing EAP-FAST challenge-response and accepting EAP-FAST as negotiated
12800 Extracted first TLS record; TLS handshake started
12175 Received Tunnel PAC
12805 Extracted TLS ClientHello message
12806 Prepared TLS ServerHello message
12801 Prepared TLS ChangeCipherSpec message
12816 TLS handshake succeeded
12132 EAP-FAST built PAC-based tunnel for purpose of authentication
12209 Starting EAP chaining
12210 Received User Authorization PAC
12211 Received Machine Authorization PAC
24420 User's Attributes retrieval from Active Directory succeeded - example.com
22037 Authentication Passed
24439 Machine Attributes retrieval from Active Directory succeeded - example.com
22037 Authentication Passed
11503 Prepared EAP-Success
11002 Returned RADIUS Access-Accept
En la sección de “otros atributos” del informe detallado en el ISE, se observa lo que sigue:
EapChainingResult: EAP Chaining
Además, las credenciales del usuario y de la máquina se incluyen en el mismo registro según lo visto abajo:
Username: cisco,host/mgarcarz-PC
En este flujo, el NAM se configura para no utilizar un PAC, el ISE también se configura para no utilizar el PAC (pero con el encadenamiento EAP)
12102 Extracted EAP-Response containing EAP-FAST challenge-response and accepting EAP-FAST as negotiated
12800 Extracted first TLS record; TLS handshake started
12805 Extracted TLS ClientHello message
12806 Prepared TLS ServerHello message
12807 Prepared TLS Certificate message
12809 Prepared TLS CertificateRequest message
12811 Extracted TLS Certificate message containing client certificate
12812 Extracted TLS ClientKeyExchange message
12816 TLS handshake succeeded
12207 Client certificate was requested but not received during tunnel establishment. Will renegotiate and request client certificate inside the tunnel.
12226 Started renegotiated TLS handshake
12104 Extracted EAP-Response containing EAP-FAST challenge-response
12811 Extracted TLS Certificate message containing client certificate
12812 Extracted TLS ClientKeyExchange message
12804 Extracted TLS Finished message
12801 Prepared TLS ChangeCipherSpec message
12802 Prepared TLS Finished message
12226 Started renegotiated TLS handshake
12205 Client certificate was requested but not received inside the tunnel. Will continue with inner method.
12176 EAP-FAST PAC-less full handshake finished successfully
12209 Starting EAP chaining
12218 Selected identity type 'User'
11806 Prepared EAP-Request for inner method proposing EAP-MSCHAP with challenge
24402 User authentication against Active Directory succeeded - example.com
22037 Authentication Passed
12219 Selected identity type 'Machine'
11806 Prepared EAP-Request for inner method proposing EAP-MSCHAP with challenge
24470 Machine authentication against Active Directory is successful - example.com
22037 Authentication Passed
11503 Prepared EAP-Success
11002 Returned RADIUS Access-Accept
En este flujo, el supplicant tiene un túnel válido PAC pero tiene autorización expirada PAC:
12102 Extracted EAP-Response containing EAP-FAST challenge-response and accepting EAP-FAST as negotiated
12800 Extracted first TLS record; TLS handshake started
12175 Received Tunnel PAC
12805 Extracted TLS ClientHello message
12806 Prepared TLS ServerHello message
12801 Prepared TLS ChangeCipherSpec message
12816 TLS handshake succeeded
12132 EAP-FAST built PAC-based tunnel for purpose of authentication
12209 Starting EAP chaining
12227 User Authorization PAC has expired - will run inner method
12228 Machine Authorization PAC has expired - will run inner method
12218 Selected identity type 'User'
11806 Prepared EAP-Request for inner method proposing EAP-MSCHAP with challenge
24402 User authentication against Active Directory succeeded - example.com
22037 Authentication Passed
12219 Selected identity type 'Machine'
24470 Machine authentication against Active Directory is successful - example.com
22037 Authentication Passed
12171 Successfully finished EAP-FAST user authorization PAC provisioning/update
12179 Successfully finished EAP-FAST machine authorization PAC provisioning/update
11503 Prepared EAP-Success
11002 Returned RADIUS Access-Accept
En este flujo cuando existe ningún túnel válido PAC, la negociación completa de TLS con la fase interna ocurre.
12102 Extracted EAP-Response containing EAP-FAST challenge-response and accepting EAP-FAST as negotiated
12800 Extracted first TLS record; TLS handshake started
12805 Extracted TLS ClientHello message
12806 Prepared TLS ServerHello message
12807 Prepared TLS Certificate message
12809 Prepared TLS CertificateRequest message
12105 Prepared EAP-Request with another EAP-FAST challenge
11006 Returned RADIUS Access-Challenge
11001 Received RADIUS Access-Request
12816 TLS handshake succeeded
12207 Client certificate was requested but not received during tunnel establishment. Will renegotiate and request client certificate inside the tunnel.
12226 Started renegotiated TLS handshake
12104 Extracted EAP-Response containing EAP-FAST challenge-response
12811 Extracted TLS Certificate message containing client certificate
12812 Extracted TLS ClientKeyExchange message
12804 Extracted TLS Finished message
12801 Prepared TLS ChangeCipherSpec message
12802 Prepared TLS Finished message
12226 Started renegotiated TLS handshake
12205 Client certificate was requested but not received inside the tunnel. Will continue with inner method.
12149 EAP-FAST built authenticated tunnel for purpose of PAC provisioning
12105 Prepared EAP-Request with another EAP-FAST challenge
11006 Returned RADIUS Access-Challenge
11001 Received RADIUS Access-Request
11018 RADIUS is re-using an existing session
12104 Extracted EAP-Response containing EAP-FAST challenge-response
12209 Starting EAP chaining
12218 Selected identity type 'User'
11806 Prepared EAP-Request for inner method proposing EAP-MSCHAP with challenge
24402 User authentication against Active Directory succeeded - example.com
22037 Authentication Passed
12126 EAP-FAST cryptobinding verification passed
12200 Approved EAP-FAST client Tunnel PAC request
12202 Approved EAP-FAST client Authorization PAC request
12219 Selected identity type 'Machine'
11806 Prepared EAP-Request for inner method proposing EAP-MSCHAP with challenge
24470 Machine authentication against Active Directory is successful - example.com
22037 Authentication Passed
12169 Successfully finished EAP-FAST tunnel PAC provisioning/update
12171 Successfully finished EAP-FAST user authorization PAC provisioning/update
12170 Successfully finished EAP-FAST machine PAC provisioning/update
12179 Successfully finished EAP-FAST machine authorization PAC provisioning/update
11503 Prepared EAP-Success
11002 Returned RADIUS Access-Accept
En este flujo, el túnel anónimo ISE y NAM TLS se configura para los parecer de la petición del aprovisionamiento del aprovisionamiento PAC (el túnel autenticado ISE para el aprovisionamiento PAC se inhabilita) PAC de TLS:
12102 Extracted EAP-Response containing EAP-FAST challenge-response and accepting EAP-FAST as negotiated
12800 Extracted first TLS record; TLS handshake started
12805 Extracted TLS ClientHello message
12806 Prepared TLS ServerHello message
12808 Prepared TLS ServerKeyExchange message
12810 Prepared TLS ServerDone message
12812 Extracted TLS ClientKeyExchange message
12804 Extracted TLS Finished message
12801 Prepared TLS ChangeCipherSpec message
12802 Prepared TLS Finished message
12816 TLS handshake succeeded
12131 EAP-FAST built anonymous tunnel for purpose of PAC provisioning
12209 Starting EAP chaining
12218 Selected identity type 'User'
11806 Prepared EAP-Request for inner method proposing EAP-MSCHAP with challenge
24402 User authentication against Active Directory succeeded - example.com
22037 Authentication Passed
12162 Cannot provision Authorization PAC on anonymous provisioning. Authorization PAC can be provisioned only on authenticated provisioning
12200 Approved EAP-FAST client Tunnel PAC request
12219 Selected identity type 'Machine'
24470 Machine authentication against Active Directory is successful - example.com
22037 Authentication Passed
12162 Cannot provision Authorization PAC on anonymous provisioning. Authorization PAC can be provisioned only on authenticated provisioning
12169 Successfully finished EAP-FAST tunnel PAC provisioning/update
12170 Successfully finished EAP-FAST machine PAC provisioning/update
11504 Prepared EAP-Failure
11003 Returned RADIUS Access-Reject
Capturas de paquetes de Wireshark para la negociación de túnel anónima de TLS:
En este flujo, AnyConnect NAM con la autenticación del EAP-FAST y del usuario (EAP-TLS) y de la máquina (EAP-TLS) se configura. Se inicia el PC de Windows pero los credenciales de usuario no se proporcionan. El Switch inicia la sesión del 802.1x, NAM debe responder sin embargo, los credenciales de usuario no se proporciona, (ningún acceso al almacén y al certificado del usuario con todo) por lo tanto. la autenticación de usuario fallará mientras que la máquina será acertada - acceso a la red de la condición del authz ISE “: El usuario de los IGUALES de EapChainingResult falló y la máquina tenida éxito” se satisface. Más adelante, el usuario abre una sesión y otra autenticación comenzará, usuario y la máquina tendrá éxito.
12102 Extracted EAP-Response containing EAP-FAST challenge-response and accepting EAP-FAST as negotiated
12800 Extracted first TLS record; TLS handshake started
12174 Received Machine PAC
12805 Extracted TLS ClientHello message
12806 Prepared TLS ServerHello message
12801 Prepared TLS ChangeCipherSpec message
12802 Prepared TLS Finished message
12816 TLS handshake succeeded
12132 EAP-FAST built PAC-based tunnel for purpose of authentication
12209 Starting EAP chaining
12218 Selected identity type 'User'
12213 Identity type provided by client is not equal to requested type
12215 Client suggested 'Machine' identity type instead
12104 Extracted EAP-Response containing EAP-FAST challenge-response
12523 Extracted EAP-Response/NAK for inner method requesting to use EAP-TLS instead
12805 Extracted TLS ClientHello message
12806 Prepared TLS ServerHello message
12807 Prepared TLS Certificate message
12809 Prepared TLS CertificateRequest message
12816 TLS handshake succeeded
12509 EAP-TLS full handshake finished successfully
22070 Identity name is taken from certificate attribute
15013 Selected Identity Source - Test-AD
24323 Identity resolution detected single matching account
22037 Authentication Passed
12202 Approved EAP-FAST client Authorization PAC request
12218 Selected identity type 'User'
12213 Identity type provided by client is not equal to requested type
12216 Identity type provided by client was already used for authentication
12967 Sent EAP Intermediate Result TLV indicating failure
12179 Successfully finished EAP-FAST machine authorization PAC provisioning/update
12106 EAP-FAST authentication phase finished successfully
11503 Prepared EAP-Success
11002 Returned RADIUS Access-Accept
En este flujo, el ISE se configura para el PAC provisioning solamente vía el túnel anónimo de TLS, pero el NAM está utilizando un túnel autenticado de TLS, el siguiente será registrado por el ISE:
12102 Extracted EAP-Response containing EAP-FAST challenge-response and accepting EAP-FAST as negotiated
12800 Extracted first TLS record; TLS handshake started
12805 Extracted TLS ClientHello message
12814 Prepared TLS Alert message
12817 TLS handshake failed
12121 Client didn't provide suitable ciphers for anonymous PAC-provisioning
11504 Prepared EAP-Failure
11003 Returned RADIUS Access-Reject
Esto ocurre cuando el NAM está intentando construir un túnel autenticado de TLS con él es cifras speciphic de TLS - y ésos no son validados por el ISE que se configura para el túnel anónimo de TLS (que valida las cifras DH solamente)
Para los registros detallados, los debugs Runtime-AAA se deben habilitar en el nodo correspondiente PSN. Abajo están algunos registros del ejemplo de prrt-server.log:
Generación de la máquina PAC:
DEBUG,0x7fd5332fe700,cntx=0001162745,sesn=mgarcarz-ise14/223983918/29245,CPMSessionID=0A3E946D00000FE5131F9D26,CallingStationID=00-50-B6-11-ED-31,FramedIPAddress=10.0.13.127,Using IID from PAC request for machine,EapFastTlv.cpp:1234
DEBUG,0x7fd5332fe700,cntx=0001162745,sesn=mgarcarz-ise14/223983918/29245,CPMSessionID=0A3E946D00000FE5131F9D26,CallingStationID=00-50-B6-11-ED-31,FramedIPAddress=10.0.13.127,Adding PAC of type=Machine Authorization,EapFastProtocol.cpp:3610
DEBUG,0x7fd5332fe700,cntx=0001162745,sesn=mgarcarz-ise14/223983918/29245,CPMSessionID=0A3E946D00000FE5131F9D26,CallingStationID=00-50-B6-11-ED-31,FramedIPAddress=10.0.13.127,Eap-Fast: Generating Pac, Issued PAC type=Machine Authorization with expiration time: Fri Jul 3 10:38:30 2015
Aprobación de la petición PAC:
INFO ,0x7fd5330fc700,cntx=0001162745,sesn=mgarcarz-ise14/223983918/29245,CPMSessionID=0A3E946D00000FE5131F9D26,user=host/mgarcarz-pc,CallingStationID=00-50-B6-11-ED-31,FramedIPAddress=10.0.13.127,Eap-Fast: client PAC request approved for PAC type - Requested PAC type=Machine,EapFastProtocol.cpp:955
INFO ,0x7fd5330fc700,cntx=0001162745,sesn=mgarcarz-ise14/223983918/29245,CPMSessionID=0A3E946D00000FE5131F9D26,user=host/mgarcarz-pc,CallingStationID=00-50-B6-11-ED-31,FramedIPAddress=10.0.13.127,Eap-Fast: client PAC request approved for PAC type - Requested PAC type=Machine Authorization,EapFastProtocol.cpp:955
Validación PAC:
DEBUG,0x7fd5330fc700,cntx=0001162499,sesn=mgarcarz-ise14/223983918/29243,CPMSessionID=0A3E946D00000FE5131F9D26,user=anonymous,CallingStationID=00-50-B6-11-ED-31,FramedIPAddress=10.0.13.127,Authorization PAC is valid,EapFastProtocol.cpp:3403
Eap,2015-07-03 09:34:39,208,DEBUG,0x7fd5330fc700,cntx=0001162499,sesn=mgarcarz-ise14/223983918/29243,CPMSessionID=0A3E946D00000FE5131F9D26,user=anonymous,CallingStationID=00-50-B6-11-ED-31,FramedIPAddress=10.0.13.127,Authorization PAC accepted,EapFastProtocol.cpp:3430
Ejemplo del resumen acertado para la generación PAC:
DEBUG,0x7fd5331fd700,cntx=0001162749,sesn=mgarcarz-ise14/223983918/29245,CPMSessionID=0A3E946D00000FE5131F9D26,user=cisco,CallingStationID=00-50-B6-11-ED-31,FramedIPAddress=10.0.13.127,Conversation summary: Provisioning. Authenticated. Inner method succeeded. Inner method succeeded. Generated PAC of type Tunnel V1A. Generated PAC of type User Authorization. Generated PAC of type Machine. Generated PAC of type Machine Authorization. Success
Ejemplo del resumen acertado para la validación PAC:
DEBUG,0x7fd5330fc700,cntx=0001162503,sesn=mgarcarz-ise14/223983918/29243,CPMSessionID=0A3E946D00000FE5131F9D26,user=host/mgarcarz-pc,CallingStationID=00-50-B6-11-ED-31,FramedIPAddress=10.0.13.127,Conversation summary: Authentication. PAC type Tunnel V1A. PAC is valid.Skip inner method. Skip inner method. Success
Los registros del DARDO del NAM proporcionan los detalles siguientes:
El ejemplo para no EAP-encadenar la sesión, autenticación de la máquina sin rápido vuelve a conectar:
EAP: Identity requested
Auth[eap-fast-pac:machine-auth]: Performing full authentication
Auth[eap-fast-pac:machine-auth]: Disabling fast reauthentication
Ejemplo de las operaciones de búsqueda de la autorización PAC (autenticación de la máquina para la sesión no de EAP-encadenamiento):
Looking for matching pac with iid: host/ADMIN-PC2
Requested machine pac was sen
Todos los estados del método interno (para el MSCHAP) se pueden verificar de los registros abajo:
EAP (0) EAP-MSCHAP-V2: State: 0 (eap_auth_mschapv2_c.c 731
EAP (0) EAP-MSCHAP-V2: State: 2 (eap_auth_mschapv2_c.c 731
EAP (0) EAP-MSCHAP-V2: State: 1 (eap_auth_mschapv2_c.c 731
EAP (0) EAP-MSCHAP-V2: State: 4 (eap_auth_mschapv2_c.c 73
El NAM permite la configuración de la característica de registro extendida que capturará todos los paquetes EAP y los salvará en el archivo del pcap. Esto es especialmente útil para el comienzo antes de las funciones del inicio (los paquetes EAP se capturan incluso para las autenticaciones que ocurren antes de que inicio del usuario). Para la activación de la característica pregunte a su ingeniero de TAC.