Avez-vous un compte?

  •   Contenu personnalisé
  •   Vos produits et votre soutien technique

Vous voulez un compte?

Créer un compte

Configurez l'authentification d'EAP-TLS avec ISE

Options de téléchargement

  • PDF     (1.4 MB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (1.3 MB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (1.0 MB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:17 octobre 2019
ID du document:214975
À propos des traductions

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

    Introduction

    Ce document décrit la configuration initiale comme exemple pour introduire l'authentification d'EAP-TLS avec le Cisco Identity Services Engine (ISE).  Le foyer principal est sur la configuration ISE qui peut être appliquée à de plusieurs scénarios, tels que (mais ne pas être limitée à) l'authentification avec un téléphone IP/point final connecté par l'intermédiaire de câble ou radio.

    Pour la portée de ce guide, importante pour comprendre les phases suivantes de l'authentification ISE (Radius) circulent :

    • Authentification - Identifiez et validez la fin-identité (ordinateur, utilisateur, etc.) qui demande l'accès au réseau.

    • Autorisation - Déterminez quelles autorisations/accès on accordera la fin-identité sur le réseau.

    • Comptabilité - Signaler et dépister de l'activité réseau des fin-identités après accès au réseau est réalisé.

    Conditions préalables

    Exigences

    Recommandez d'avoir la connaissance sur ces thèmes :

    • La compréhension de base de l'EAP et les transmissions de Radius circulent.
    • La connaissance de base d'authentification de Radius avec des méthodes d'authentification basées sur certificat en termes d'écoulement de transmission.
    • Compréhension des différences entre le dot1x et le MAB.
    • Compréhension de base d'Infrastructure à clés publiques (PKI).
    • La connaissance d'obtenir les Certificats signés d'un Autorité de certification (CA) et gèrent des Certificats sur les points finaux.
    • La configuration de l'AAA (Radius) a associé des configurations sur un périphérique de réseau (de câble ou la radio)
    • Configuration de suppliant (sur le point final) pour l'usage avec Radius/802.1x.

    Composants utilisés

    Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

    • Release 2.x du Cisco Identity Services Engine (ISE)
    • Autorité de certification (CA) -- pour délivrer des Certificats (peuvent être l'entreprise CA, le tiers/public CA, ou l'utilisation)
    • Répertoire actif (source extérieure d'identité) des Windows Server ; là où compatible avec ISE.
    • Périphérique d'accès au réseau (NAD) -- peut être le commutateur (de câble) ou (radio) configuré pour le 802.1x/AAA
    • Point final : les Certificats ont fourni à l'identité (d'utilisateur) et à la configuration de suppliant qui seront authentifiées pour l'accès au réseau par l'intermédiaire de Radius/802.1x : Authentification de l'utilisateur.  Il est possible d'obtenir un certificat d'ordinateur mais non utilisé dans cet exemple.

    Remarque: Puisque ce guide utilise ISE 2.3 puis toutes les références de documentation seront basées sur cette version.  Cependant, les mêmes/informations semblables peuvent être trouvés par référencé en substituant une version différente ISE sur le même type de documents et peuvent être accédés à du Logiciel Cisco Identity Services Engine (ISE) > installent et améliorent des guides

    Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

    Configurer

    Obtenez le serveur et les certificats client

    Étape 1. Générez la demande de signature de certificat (CSR) d'ISE.

    La première étape est de générer un CSR d'ISE et de le soumettre à l'autorité de certification [serveur] afin d'obtenir le certificat signé fourni à ISE, comme certificat de système.  Ce certificat sera présenté comme certificat de serveur par ISE pendant l'authentification d'EAP-TLS.   Ceci est exécuté dans le GUI ISE, naviguent vers la gestion > le système : Les Certificats > la Gestion de certificat, et alors sous des demandes de signature de certificat cliquent sur en fonction les demandes de signature de certificat Generate (CSR), suivant les indications de l'image.

    Les types de certificat exigent différentes utilisations principales étendues. Cette liste trace les grandes lignes que des utilisations principales étendues sont exigé pour chaque type de certificat :

    Certificats d'identité ISE

    • Multi-utilisation (admin, EAP, portail, pxGrid) - authentification de client et serveur
    • Admin - Authentification de serveur
    • Authentification EAP - Authentification de serveur
    • Portail - Authentification de serveur
    • pxGrid - Authentification de client et serveur
    • SAML - Certificat de signature SAML

    Plus d'informations concernant des Certificats pour l'usage avec ISE peuvent être trouvées dans :  

    Étape 2. Importez les Certificats CA dans ISE.

    Après que l'autorité de certification retourne le certificat signé inclura également la pleine chaîne CA consistée en un certificat racine et celui/plusieurs Certificats intermédiaires. Les étapes suivantes sont la meilleure manière d'importer les Certificats CA et le certificat de système dans ISE :

    1. Afin d'importer le certificat racine dans le GUI ISE, naviguez vers la gestion > le système : Les Certificats > la Gestion de certificat, sous les Certificats de confiance cliquent sur en fonction l'importation, et sélectionnent les utilisations de certificat font confiance pour l'authentification dans ISE (infrastructure) et font confiance pour l'authentification client et le Syslog (les points finaux)

    2. Répétez l'étape précédente pour chaque certificat intermédiaire en tant qu'élément de la chaîne de certificat de CA.

    3. Une fois tous les Certificats en tant qu'élément de la pleine chaîne CA sont importés dans la mémoire de Certificats de confiance dans ISE puis le retour au GUI ISE et naviguent vers la gestion > le système : Certificats > Gestion de certificat : Les demandes de signature de certificat, localisent le CSR sous le nom amical qui correspond au certificat signé et sélectionnent le certificat puis cliquent sur en fonction le certificat de grippage.

    4. Sur la page suivante, cliquez sur en fonction Browse et sélectionnez le fichier du certificat signé, définissez un nom amical désiré, et sélectionnez les utilisations de certificat. Soumettez pour sauvegarder des modifications.

    5. À ce moment, le certificat signé devrait maintenant être déplacé au GUI ISE et naviguer vers la gestion > le système : Certificats > Gestion de certificat : Certificats de système et assigné au même noeud dans pour lequel on a créé le CSR. Répétez le même processus pour d'autres Noeuds et/ou autre des utilisations de certificat.

    Étape 3. Obtenez le certificat client pour le point final.

    On l'exige pour naviguer par un processus semblable sur le point final pour la création d'un certificat client pour l'usage avec l'EAP-TLS. Pour cet exemple, vous avez besoin d'un certificat client signé et fourni au compte utilisateur pour exécuter l'authentification de l'utilisateur avec ISE. Un exemple d'obtenir un certificat client pour le point final d'un environnement de Répertoire actif peut être trouvé dans : Comprenez et configurez l'EAP-TLS utilisant WLC et ISE > configurent > client pour l'EAP-TLS

    Dus aux plusieurs types des points finaux et de systèmes d'exploitation, comme processus peuvent être les exemples quelque peu différents et supplémentaires ne sont pas fournis. Cependant, le processus global est conceptuellement identique. Générez une demande de signature de certificat qui a toutes les informations pertinentes qui devraient être incluses dans le certificat et le faire signer par l'autorité de certification, si c'est un serveur interne à l'environnement ou à un public/à société tiers qui fournit ce type de service.

    En outre, le nom commun (NC) et les champs alternatifs soumis de certificat du nom (SAN) devraient inclure l'identité dans laquelle pour utiliser pendant l'écoulement d'authentification. Ceci dicte également comment le suppliant devrait être configuré pour l'EAP-TLS en termes d'identité : Ordinateur et/ou authentification de l'utilisateur, authentification de machine, ou authentification de l'utilisateur. Cet exemple utilise seulement l'authentification de l'utilisateur dans le reste de ce document.

    Périphériques de réseau

    Étape 4. Ajoutez le périphérique d'accès au réseau (NAD) dans ISE

    Le périphérique d'accès au réseau (NAD) au lequel un point final est connecté est également configuré dans ISE de sorte que la transmission Radius/TACACS+ (admin de périphérique) puisse avoir lieu. Entre le NAD et l'ISE, un secret partagé/mot de passe est utilisé pour la confiance.  

    Afin d'ajouter un NAD par l'intermédiaire du GUI ISE, naviguez vers la gestion > les ressources de réseau > les périphériques de réseau > les périphériques de réseau et cliquez sur en fonction Add, qui est affiché ici dans l'image.

    Plus d'informations peuvent être trouvées dans le guide de l'administrateur de Logiciel Cisco Identity Services Engine, version 2.3 > chapitre : Gérez les périphériques de réseau > créent une définition de périphérique de réseau à Cisco ISE

    À ce moment, si vous n'avez pas tellement déjà fait, vous devez configurer tout l'AAA les configurations associées sur le périphérique de réseau pour authentifier et autoriser avec Cisco ISE.

    Éléments de stratégie

    Ces configurations sont des éléments qui finissent par l'attache à la stratégie d'authentification ou à la stratégie d'autorisation.  De ce guide, principalement chaque élément de stratégie est établi alors est collé dans la stratégie. Il est important de comprendre que la configuration n'est pas en vigueur jusqu'à ce que l'attache à la stratégie d'authentification/autorisation soit terminée.

    Plus d'informations concernant les éléments de stratégie peuvent être trouvées dans le guide de l'administrateur de Logiciel Cisco Identity Services Engine, version 2.3 > chapitre : Configurez et gérez les stratégies

    Étape 5. Utilisant la source extérieure d'identité.

    Une source extérieure d'identité est simplement une source où le compte de fin-identité (ordinateur ou utilisateur) réside qui est utilisé pendant la phase d'authentification ISE.  Le Répertoire actif est typiquement utilisé pour prendre en charge l'authentification de machine contre le compte d'ordinateur et/ou l'authentification de l'utilisateur contre le compte d'utilisateur dans le Répertoire actif (AD). La source (interne) interne de points finaux n'enregistre pas le compte/adresse Internet d'ordinateur, donc, elle ne peut pas être utilisée avec l'authentification de machine.

    Affichées ici sont les sources prises en charge d'identité avec ISE et protocoles (type d'authentification) qui peuvent être utilisés avec chaque source d'identité :

    Plus d'informations peuvent être trouvées dans le guide de l'administrateur de Logiciel Cisco Identity Services Engine, version 2.3 > chapitre : Gérez les utilisateurs et les sources extérieures d'identité > des sources internes et extérieures d'identité

    Ajoutez les groupes de sécurité de Répertoire actif à ISE

    Afin d'utiliser des groupes de sécurité de Répertoire actif (AD) dans des stratégies ISE, vous devez d'abord ajouter le groupe dans le Répertoire actif joignez le point.

    -- du GUI ISE : Gestion > Gestion de l'identité : Répertoire actif > {le nom choisi d'exemple d'AD/joignent le point} > onglet : Les groupes > ajoutent > les groupes choisis à partir du répertoire

    Le pour en savoir plus et les conditions requises d'intégrer le Cisco Identity Services Engine (ISE) avec le Répertoire actif (AD), examinent s'il vous plaît ce document entièrement : Intégration de Répertoire actif avec Cisco ISE 2.x

    Remarque: La même action s'applique pour ajouter des groupes de sécurité à un exemple de LDAP. Du GUI ISE : Gestion > Gestion de l'identité : Sources extérieures > LDAP d'identité > {nom choisi d'exemple de LDAP} > onglet : Les groupes > ajoutent > les groupes choisis à partir du répertoire

    Étape 6. Créez le profil d'authentification de certificat.

    Le but du profil d'authentification de certificat est d'informer ISE quel champ de certificat l'identité (ordinateur ou utilisateur) peut être trouvé sur le certificat client (certificat de fin-identité) présenté à ISE pendant l'EAP-TLS (également pendant d'autres méthodes d'authentification basées par certificat). Ces configurations seront liées à la stratégie d'authentification pour authentifier l'identité ; configuré du GUI ISE, naviguez vers la gestion > la Gestion de l'identité : Les sources extérieures d'identité > le profil d'authentification de certificat et cliquent sur en fonction Add.

    L'identité d'utilisation d'utilisé pour sélectionner l'attribut de certificat d'un champ spécifique que l'identité est peut être trouvée, les choix affichés dans l'image sont disponible :

    Si la mémoire d'identité va être indiquée le Répertoire actif ou le LDAP (source extérieure d'identité) puis on peut utiliser une caractéristique appelée la comparaison de Binary qui exécute une consultation de l'identité dans le Répertoire actif obtenu du certificat client de l'identité d'utilisation de la sélection (comme ci-dessus), qui se produit pendant la phase d'authentification ISE.  Sans comparaison binaire l'identité est simplement obtenue du certificat client et n'est pas recherchée dans le Répertoire actif jusqu'à la phase d'autorisation ISE quand un groupe externe d'AD est utilisé comme condition, ou à aucune autre condition qui devrait être exécutée extérieurement à ISE. Afin d'utiliser la comparaison binaire, dans la mémoire d'identité sélectionnent la source extérieure d'identité (Répertoire actif ou LDAP) où le compte de fin-identité peut être trouvé.

    Les configurations ici est un exemple de configuration quand l'identité se trouve dans le domaine commun du nom (NC) du certificat client, avec la comparaison binaire activée (facultatif) :

    Plus d'informations peuvent être trouvées dans le guide de l'administrateur de Logiciel Cisco Identity Services Engine, version 2.3 > chapitre : Gérez les utilisateurs et les sources extérieures d'identité > les profils d'authentification de certificat

    Étape 7. Ajoutez à un ordre de source d'identité.

    L'ordre de source d'identité peut être créé du GUI ISE, naviguer vers la gestion > la Gestion de l'identité, sous des ordres de source d'identité et cliquer sur en fonction Add.

    L'étape suivante est d'ajouter le profil d'authentification de certificat à un ordre de source d'identité qui accorde la capacité d'inclure le plusieurs Répertoire actif (AD) joint des points ou groupe une combinaison des sources internes et externes d'identité ensemble, comme désirée, qui lie alors à la stratégie d'authentification sous la colonne d'utilisation.  

    L'exemple comme affiché ici permet la consultation à exécuter contre le Répertoire actif (AD) d'abord, puis si l'utilisateur n'est pas consultation trouvée sur un serveur LDAP. 

    Autrement, vous pouvez également lier juste le profil d'authentification de certificat à la stratégie d'authentification.

    Étape 8. Définissez le service permis de protocoles.

    Les protocoles permis entretiennent des enables seulement des méthodes de cette authentification/protocoles qu'ISE prend en charge pendant l'authentification de Radius. Afin de configurer du GUI ISE, naviguez vers la stratégie > les éléments de stratégie : Les résultats > l'authentification > ont permis des protocoles et alors elle lie comme élément à la stratégie d'authentification. 

    Remarque: La consultation d'hôte de contournement > de procédé d'authentification associe au MAB étant activé sur ISE.

    Ces configurations doivent être identiques que ce qui est pris en charge et configuré sur le suppliant (sur le point final), autrement, le protocole d'authentification n'est pas négocié comme prévu et la transmission de Radius peut échouer. Dans une configuration du monde réel ISE, il est recommandé pour activer n'importe quel protocole d'authentification qui est utilisé dans l'environnement ainsi ISE et suppliant peuvent négocier et authentifier comme prévu.

    C'est les valeurs par défaut (réduites) quand un nouvel exemple des services du protocole permis est créé.

    Remarque: Au minimum, vous devez activer l'EAP-TLS puisqu'ISE et notre suppliant authentifie par l'intermédiaire de l'EAP-TLS sous cet exemple de configuration.  

    Étape 9. Créez le profil d'autorisation.

    Le dernier élément de stratégie requis pour construire est le profil d'autorisation que les grippages à la stratégie d'autorisation et donne au niveau d'accès désiré.  Le profil d'autorisation est lié à la stratégie d'autorisation et afin de la configurer du GUI ISE, naviguez vers la stratégie > les éléments de stratégie : Les résultats > l'autorisation > les profils d'autorisation et cliquent sur en fonction Add.

    Le profil d'autorisation contient la configuration qui résulte en attributs étant passés d'ISE au périphérique d'accès au réseau (NAD) pour une session donnée de Radius, dans laquelle ces attributs sont utilisés pour réaliser le niveau désiré de l'accès au réseau.  

    Comme affiché ici, il passe simplement Radius Access-reçoivent pendant que le type d'Access, cependant, les éléments supplémentaires peut être utilisé sur l'authentification initiale.  Les détails d'attribut d'avis très à l'inférieur qui contient le résumé des attributs ISE envoie au NAD lors d'apparier un profil donné d'autorisation.

    Plus d'informations concernant le profil et la stratégie d'authentification ISE peuvent être trouvées dans le guide de l'administrateur de Logiciel Cisco Identity Services Engine, version 2.3 > chapitre : Configurez et gérez les stratégies > les stratégies d'autorisation > les profils d'autorisation de Cisco ISE

    Stratégies de sécurité

    Des stratégies d'authentification et d'autorisation sont créées du GUI ISE : La stratégie > la stratégie place, qui est la vue par défaut sur ISE 2.3.  Les versions antérieures d'ISE ont utilisé un positionnement (par défaut) simple de stratégie et des positionnements supplémentaires de stratégie pourraient être activés dans les paramètres généraux mais avoir été depuis retirés puisqu'ISE 2.3 (et plus nouveau) et ne peuvent pas être désactivés.

    La section suivante couvre combiner les éléments de configuration et de stratégie pour lier à l'authentification ISE et aux stratégies d'autorisation pour authentifier un point final par l'intermédiaire de l'EAP-TLS.

    Étape 10. Créez le positionnement de stratégie.

    Un positionnement de stratégie est un conteneur hiérarchique se composant d'une règle définie par l'utilisateur simple qui indique le protocole ou l'ordre permis de serveur pour l'accès au réseau, aussi bien que des stratégies d'authentification et d'autorisation et des exceptions de stratégie, tous également configurés avec des règles basées sur état définies par l'utilisateur.

    Afin de créer une stratégie réglée du GUI ISE, naviguez vers la stratégie > le positionnement de stratégie et puis cliquez sur en fonction plus (+) l'icône sur le coin supérieur gauche, suivant les indications de l'image.

    Le positionnement de stratégie lier/cartel cet élément de stratégie précédemment configuré et est utilisé pour déterminer quel positionnement de stratégie devrait être apparié dans une demande d'authentification indiquée de Radius (Access-demande) :

    • Grippage : Services permis de protocoles

    Plus d'informations concernant des positionnements de stratégie sur ISE peuvent être trouvées dans le guide de l'administrateur de Logiciel Cisco Identity Services Engine, version 2.3 > chapitre : Configurez et gérez les stratégies > la stratégie place > terminologie de stratégie d'accès au réseau.

    Étape 11. Créez une stratégie d'authentification.

    À l'intérieur du positionnement de stratégie, la stratégie d'authentification lier/cartel ces éléments de stratégie précédemment configurés pour être utilisé dans des conditions pour déterminer quand une règle d'authentification qui devrait être appariée.

    • Grippage : Profil d'authentification de certificat ou ordre de source d'identité.

    Étape 12. Créez la stratégie d'autorisation.

    À l'intérieur du positionnement de stratégie, les grippages de stratégie d'autorisation/combine ces éléments de stratégie précédemment configurés pour être utilisé dans des conditions pour déterminer quand une règle d'autorisation qui devrait être appariée.  L'exemple ici est pour l'authentification de l'utilisateur puisque les conditions indiquent le groupe de sécurité d'utilisateurs de domaine dans le Répertoire actif (AD).

    • Grippage : Profil d'autorisation

    Vérifiez

    Une fois que tout le grippage d'éléments de configuration globale et de stratégie que la configuration réglée de stratégie devrait semble semblable à l'image ici pour l'authentification de l'utilisateur par l'intermédiaire de l'EAP-TLS :

    Dépanner

    Après que la configuration soit terminée, connectez le point final au test d'authentification. Des résultats peuvent être trouvés du GUI ISE : Les exécutions > le Radius > vivent des logs, suivant les indications de l'image.   

    Pour la connaissance, les logs vivants pour Radius et TACACS+ (admin de périphérique) sont disponibles pour les tentatives d'authentification/activité pour les dernières 24 heures et pour les 100 enregistrements passés. Si vous souhaitez voir ce type de données alors devoir utiliser les états, spécifiquement ISE UI : Exécutions > états > états : Points finaux et utilisateurs > authentifications de RADIUS

    Dans les logins vivants ISE de Radius vous comptez trouver des informations sur la session de Radius, pour inclure des attributs de session, et d'autres informations utiles pour diagnostiquer le comportement observé pendant un écoulement d'authentification ; par cliquez sur en fonction l'icône de détails pour ouvrir la vue détaillée de la session pour visualiser des attributs de session et des informations relatives qui sont spécifiques à cette tentative d'authentification.

    Pour dépannage des buts, il est important de s'assurer que les stratégies correctes sont appariées. Pour cet exemple de configuration les stratégies désirées d'authentification et d'autorisation sont appariées comme prévues, suivant les indications de l'image :

    Dans la vue détaillée, ces attributs sont vérifiés afin de vérifier que l'authentification se comporte comme prévu par conception en tant qu'élément de cet exemple de configuration :

    • Événement

      • Ceci contient si l'authentification était réussie. 
      • Dans un scénario fonctionnant devrait évaluer devrait être : Authentification 5200 succeded
    • Username (nom d’utilisateur)

      • Ceci inclut la fin-identité qui a été tirée du certificat client qui a été présenté à ISE.
      • Dans un scénario fonctionnant, c'est le nom d'utilisateur de l'utilisateur connecté dans le point final. (c.-à-d. employee1 de l'image ci-dessus) 
    • ID de point final

      • Pour de câble/radio, cette valeur devrait être le MAC address du network interface card (NIC) du point final.
      • Dans un scénario fonctionnant, ceci devient le MAC address du point final à moins que la connexion soit au-dessus de VPN, dans ce cas peut-être l'adresse IP du point final.
    • Stratégie d'authentification

      • Affiche la stratégie d'authentification appariée pour la session donnée basée sur les attributs de session qui apparient les conditions de stratégie.
      • Dans un scénario fonctionnant, c'est la stratégie d'authentification prévue comme configurée. 
      • Si vous voyez une autre stratégie, elle signifie la stratégie prévue une fois comparée aux conditions dans la stratégie n'a pas été évaluée comme vrai. Dans ce cas, les attributs de session d'examen et s'assurent que chacun la stratégie contient différentes pourtant seules conditions pour chaque stratégie.  
    • Stratégie d'autorisation 

      • Affiche la stratégie appariée d'autorisation pour la session donnée basée sur les attributs de session qui apparient les conditions de stratégie.
      • Dans un scénario fonctionnant, c'est la stratégie prévue d'autorisation comme configurée. 
      • Si vous voyez une autre stratégie, elle signifie la stratégie prévue une fois comparée aux conditions dans la stratégie n'a pas été évaluée comme vrai. Dans ce cas, les attributs de session d'examen et s'assurent que chacun la stratégie contient différentes pourtant seules conditions pour chaque stratégie.  
    • Résultat d'autorisation

      • Basé sur la stratégie appariée d'autorisation, ceci affiche le profil d'autorisation qui a été utilisé en session donnée.
      • Dans un scénario fonctionnant, ceci devrait toujours être la même valeur que configurée dans la stratégie. Il est bon de passer en revue pour l'audit et pour assurer le profil correct d'autorisation a été configuré.   
    • Policy server

      • Ceci inclut l'adresse Internet du noeud de service de stratégie ISE (le RPC) qui a été impliqué dans la tentative d'authentification.
      • Dans un scénario fonctionnant devrait seulement voir des authentifications aller au premier noeud RPC comme configuré sur le périphérique d'accès au réseau (NAD) [aka. affilez le périphérique] à moins que ce RPC n'ait pas été opérationnel ou si le Basculement se produisait, comme en raison d'une latence plus élevée que prévue ou si un délai d'attente d'authentification se produit.
    • Méthode d'authentification

      • Affiche la méthode d'authentification qui a été utilisée en session donnée.  Pour cet exemple devrait voir la valeur comme dot1x.
      • Dans un scénario fonctionnant, basé sur cet exemple de configuration, vous devriez toujours voir la valeur comme dot1x, si vous voyez qu'une autre valeur alors il pourrait signifier que le dot1x a manqué ou n'a pas été tenté.
    • Authentification Protocol

      • Affiche la méthode d'authentification qui a été utilisée en session donnée.  Pour cet exemple devrait voir la valeur en tant que « EAP-TLS »
      • Dans un scénario fonctionnant, basé sur cet exemple de configuration, nous devrions toujours voir la valeur en tant que « EAP-TLS », si nous voyons qu'un suppliant de valeur puis et un ISE différents n'a pas avec succès négocié l'EAP-TLS.
    • Périphérique de réseau

      • Affiche le nom du périphérique de réseau, comme configuré dans ISE, pour le périphérique d'accès au réseau (NAD) [aka. périphérique de périphérie] impliqué dans la tentative d'authentification entre le point final et l'ISE.
      • Dans un scénario fonctionnant, ce nom est toujours donné dans ISE UI : Gestion > système : Périphériques de réseau ; basé sur cette configuration l'adresse IP du périphérique d'accès au réseau (NAD) [aka. le périphérique de périphérie] est utilisé pour déterminer quel périphérique de réseau l'authentification est provenu qui est incluse dans l'attribut de session d'ipv4 addres de NAS.

    Est nullement c'une liste complète de tous les attributs de session possibles à passer en revue pour visibilité de dépannage ou autre car il y a d'autres attributs utiles à vérifier.  Recommandez de passer en revue tous les attributs de session pour commencer familiarisé avec toutes les informations que vous pouvez voir pour inclure le côté droit sous des étapes de section qui affiche les exécutions ou le comportement pris par ISE.

    Problèmes courants et techniques à dépanner

    Cette liste est du conseil de problèmes courants et de dépannage et nullement est censée être une liste complète. Au lieu de cela, utilisez ceci comme guide et développez vos propres questions de pour le dépannage de techniques quand ISE est impliqué.

    Question :  Rencontre d'un échec d'authentification (échec de l'authentification 5400) ou de toute autre tentative non-réussie d'authentification.

    • Si l'échec d'authentification est produit alors de sélectionner l'icône de détails qui fournit les informations à pourquoi échec de l'authentification et mesures pris, pour inclure la raison de panne et la cause principale possible. 

    • Puisqu'ISE prend la décision sur le résultat d'authentification, ISE aura les informations à comprendre que la raison la tentative d'authentification n'était pas réussie.

    Question : L'authentification ne se termine pas avec succès et session d'EAP abandonnée par point final des expositions "5440 de raison de panne et nouveau commencé » ou répondre "5411 arrêté par suppliant à ISE ».

    • Cette raison de panne indique que la transmission de rayon ne s'est pas terminée avant de chronométrer. Puisque l'EAP est entre le point final et le périphérique d'accès au réseau (NAD) puis voulez vérifier le délai d'attente qui est utilisé sur le NAD et l'assurer est placé pendant au moins 5 secondes.   

    • Si 5 secondes n'est pas suffisantes pour résoudre ce problème alors recommande de l'augmenter de 5 secondes plusieurs fois et retester pour vérifier si cette technique résoudra ce problème.

    • Si la question n'est pas résolue des étapes ci-dessus, alors recommandez de s'assurer que l'authentification est manipulée par la même chose et le noeud correct RPC ISE et le comportement global n'est pas indicatif du comportement anormal, tel que la latence normale de supérieur à entre le NAD et les noeuds RPC ISE.     

    • En outre, une bonne idée de vérifier si le point final envoie le certificat client par la capture de paquet s'ISE ne reçoit pas le point final de certificat client puis (certificats utilisateurs) peut ne pas faire confiance au certificat d'authentification EAP ISE.   Si trouvé pour être vrai, importez alors la chaîne CA dans les mémoires correctes de certificat (la racine CA = a fait confiance à la racine CA | Intermédiaire CA = intermédiaire de confiance CA).


    Question : L'authentification est réussie mais n'appariant pas la stratégie correcte d'authentification et/ou d'autorisation.

    • Si rencontrant une demande d'authentification qui est réussie mais en n'appariant pas les règles correctes d'authentification et/ou d'autorisation, recommandez de passer en revue des attributs de session pour s'assurer que les conditions étant utilisées sont précises et présentes en session de Radius.

    • ISE évalue ces stratégies d'une approche descendante (excepté des stratégies de posture), le besoin de déterminer d'abord si la stratégie qui a été appariée était au-dessus ou au-dessous de la stratégie désirée à apparier.  La stratégie d'authentification a évalué d'abord et indépendamment des stratégies d'autorisation. Si la stratégie d'authentification est appariée correctement puis elle devrait avoir « l'authentification 22037 passée » dans les détails d'authentification sous la droit-section nommée Steps.

    • Si la stratégie désirée est au-dessus de la stratégie appariée, alors signifie que la somme des conditions sur la stratégie désirée n'a pas évalué pour être vraie, elle devrait passer en revue tous les attributs et les valeurs en condition et sur la session à assurer existe et aucune erreur d'orthographe n'est présente.

    • Si la stratégie désirée est au-dessous de la stratégie appariée, alors il signifie qu'une autre stratégie [ci-dessus] a été apparié au lieu de la stratégie désirée.  Ceci pourrait signifier que des valeurs de condition ne sont pas assez spécifique, les conditions sont reproduites dans une autre stratégie, ou la commande de la stratégie n'est pas correcte. Tandis qu'il devient plus difficile de dépanner, recommandez de commencer à passer en revue des stratégies pour déterminer la raison pour laquelle la stratégie désirée n'a pas été appariée, ceci devrait aider à identifier quelles actions de prendre ensuite.


    Question : L'identité ou le nom d'utilisateur utilisé pendant l'authentification n'était pas la valeur prévue.

    • Quand ceci se produit, si le point final envoie le certificat client, alors très probablement ISE n'utilise pas le champ correct de certificat dans le modèle d'authentification de certificat ; ce qui est évalué pendant la phase d'authentification. 

    • Examinez le certificat client pour localiser le champ précis l'identité/nom d'utilisateur désirés existe et s'assure que le même champ est sélectionné d'ISE UI : Gestion > Gestion de l'identité : Sources extérieures d'identité > profil d'authentification de certificat > {sélectionnez le profil d'authentification de certificat étant utilisé dans la stratégie d'authentification}


    Question : L'authentification n'est pas réussie avec la raison « 12514 de panne que l'EAP-TLS a manqués prise de contact SSL/TLS en raison d'un CA inconnu dans la chaîne de certificats client ».

    • Ceci peut se produire si le certificat client a un certificat dans la chaîne CA qui n'est pas faite confiance sur ISE UI : Gestion > système : Certificats > Certificats de confiance.

    • Typiquement peut se produire quand le certificat client (sur le point final) a une chaîne CA qui est différente que la chaîne du certificat CA qui est signée à ISE pour l'authentification EAP d'utilisation.

    • Pour la résolution, assurez s'il vous plaît que la chaîne du certificat client CA est de confiance sur ISE et la chaîne du certificat de serveur d'authentification EAP ISE CA est de confiance sur le point final.
      - Pour le système d'exploitation windows et le Chrome, naviguez vers le Start > Run MMC > ajout/suppression SNAP-dans > délivre un certificat > des certificats utilisateurs.
      - Pour Firefox : La chaîne de l'importation CA (pas le certificat de fin-identité) à sont de confiance pour le serveur Web.

    Informations connexes

    TAC Authored

    Contribution d’experts de Cisco

    • Nick DiNofrio
      Ingénieur TAC Cisco

    Ce document vous est-il utile?

    FeedbackCommentaires

    Contacter Cisco

    Discussions connexes de communautés de Cisco

    Ce document s’applique à ces produits

    Suivez-nous
    Salle de presseÉvénementsBloguesCommunauté
    À propos de nous
    Communiquer Avec Nous
    Travailler Avec Nous