Pour les partenaires
Vous êtes déjà partenaire?
ConnexionAvez-vous un compte?
Dans la documentation de ce produit, les auteurs s‘efforcent d‘utiliser un langage exempt de préjugés. Aux fins de cet ensemble de documents, l’expression « sans préjugés » est définie comme un langage sans discrimination fondée sur l’âge, le handicap, le sexe, l’identité raciale, l’identité ethnique, l’orientation sexuelle, la situation socio-économique et l’intersectionnalité. Des exceptions peuvent être présentes dans la documentation en raison de la langue codée en dur dans les interfaces utilisateur du logiciel du produit, de la langue utilisée en fonction de la documentation de l’appel d’offres ou de la langue utilisée par un produit tiers référencé. En savoir plus sur la façon dont Cisco utilise le langage inclusif.
Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.
Ce document décrit la configuration initiale comme un exemple d'introduction de l'authentification EAP-TLS (Extensible Authentication Protocol-Transport Layer Security) avec Cisco Identity Services Engine (ISE). L'accent est mis sur la configuration ISE qui peut être appliquée à plusieurs scénarios, tels que (mais sans s'y limiter) l'authentification avec un téléphone IP/terminal connecté via un câble ou un réseau sans fil.
Pour la portée de ce guide, il est important de comprendre ces phases du flux d'authentification ISE (RADIUS) :
Authentification : identifiez et validez l'identité finale (machine, utilisateur, etc.) qui demande l'accès au réseau.
Autorisation : déterminez les autorisations/accès à l'identité finale qui seront accordés sur le réseau.
Comptabilité - Signalez et suivez l'activité réseau de l'identité finale après l'accès au réseau.
Cisco vous recommande de prendre connaissance des rubriques suivantes :
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
Note: Puisque ce guide utilise ISE version 3.1, toutes les références de documentation sont basées sur cette version. Cependant, la configuration identique ou similaire est possible et entièrement prise en charge sur les versions antérieures de Cisco ISE.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.
La première étape consiste à générer une demande de signature de certificat (CSR) à partir d'ISE et à la soumettre à l'autorité de certification (serveur) afin d'obtenir le certificat signé délivré à ISE, en tant que certificat système. Ce certificat sera présenté en tant que certificat de serveur par ISE lors de l'authentification EAP-TLS. Ceci est effectué dans l'interface ISE. Accéder à Administration > System: Certificates > Certificate Management > Certificate Signing Requests
. Sous Certificate Signing Requests
, cliquez sur Generate Certificate Signing Requests (CSR)
comme illustré dans cette image.
Les types de certificat nécessitent différentes utilisations de clé étendue. Cette liste indique les utilisations de clé étendues requises pour chaque type de certificat :
Certificats d'identité ISE
Par défaut, le certificat système « Service de messagerie ISE » est destiné à la réplication des données sur chaque noeud ISE dans le déploiement, l'enregistrement de noeud et d'autres communications entre noeuds. Il sera présent et émis par le serveur de l'autorité de certification interne (AC) ISE (interne à ISE). Aucune action n'est requise avec ce certificat.
Le certificat système « Admin » est utilisé pour identifier chaque noeud ISE, par exemple lorsque l'API associée à l'interface utilisateur Admin (Management) est utilisée, et pour certaines communications entre noeuds. Pour configurer ISE pour la première fois, mettez en place le certificat système « Admin ». Cette action n'est pas directement liée à ce guide de configuration.
Afin d'exécuter IEEE 802.1x via EAP-TLS (authentification basée sur les certificats), prenez des mesures pour le certificat système « EAP Authentication », car il sera utilisé comme certificat de serveur présenté au point d'extrémité/client pendant le flux EAP-TLS ; comme résultat sera sécurisé à l'intérieur du tunnel TLS. Pour commencer, créez un CSR pour créer le certificat système d'« authentification EAP » et donnez-le au personnel qui gère le ou les serveurs d'autorité de certification de votre organisation (ou le fournisseur d'autorité de certification publique) pour signature. Le résultat final sera le certificat signé par l'autorité de certification qui se liera au CSR et s'associera à ISE avec ces étapes.
Dans le formulaire de demande de signature de certificat (CSR), sélectionnez ces options afin de remplir le CSR et d'obtenir son contenu :
EAP Authentication
.*.example.com
, vous devez également vérifier Allow Wildcard Certificate
de la boîte de dialogue. Le meilleur emplacement est le champ de certificat de nom alternatif de sujet (SAN) pour la compatibilité pour toute utilisation et sur plusieurs types différents de systèmes d'exploitation de points d'extrémité qui pourraient être présents dans l'environnement.Note: Lorsque vous liez le certificat signé par l'autorité de certification qui contient l'instruction générique à plusieurs noeuds dans le CSR, le certificat est distribué à chaque noeud ISE (ou aux noeuds sélectionnés) dans le déploiement ISE, et les services peuvent redémarrer. Cependant, le redémarrage des services sera automatiquement limité à un noeud à la fois. Surveillez le redémarrage des services via le show application status ise
Commande CLI ISE.
Ensuite, vous devrez remplir le formulaire afin de définir le sujet. Cela inclut les champs de certificat Nom commun (CN), Unité d'organisation (OU), Organisation (O), Ville (L), État (ST) et Pays (C). La variable $FQDN$ est la valeur qui représente le nom de domaine complet de gestion (nom d'hôte + nom de domaine) associé à chaque noeud ISE.
Subject Alternative Name (SAN)
les champs doivent également être remplis afin d'inclure toute information requise et désirée à utiliser pour établir la confiance. En tant que condition requise, vous devez définir l'entrée DNS qui pointe vers le nom de domaine complet du ou des noeuds ISE qui seront associés à ce certificat, une fois le certificat signé.Il s'agit d'un exemple de formulaire CSR rempli sans utiliser d'instruction générique. Assurez-vous d'utiliser des valeurs réelles spécifiques à l'environnement :
Exemple CSR
Pour enregistrer le CSR, cliquez sur Generate
. Cliquez sur Export
, situé en bas à droite, afin d'exporter les fichiers CSR à partir de cette invite :
Exemple d'exportation CSR
Pour plus d'informations sur les certificats à utiliser avec ISE, reportez-vous au Guide d'administration de Cisco Identity Services Engine, version 3.1 > Chapitre : Configuration de base > Gestion des certificats dans Cisco ISE et installation d'un certificat signé par une autorité de certification tierce dans ISE.
Une fois que l'autorité de certification a renvoyé le certificat signé, elle inclut également la chaîne complète de l'autorité de certification comprenant un certificat racine et un ou plusieurs certificats intermédiaires. L'interface d'administration ISE vous oblige à importer d'abord tous les certificats de la chaîne CA, avant d'associer ou de télécharger des certificats système. Cela permet de s'assurer que chaque certificat système est correctement associé à la chaîne CA (également appelée certificat de confiance) dans le logiciel ISE.
Ces étapes constituent le meilleur moyen d'importer les certificats d'autorité de certification et le certificat système dans ISE :
Administration > System: Certificates > Certificate Management
. Sous Trusted Certificates
, cliquez sur Import
et cochez les cases Trust for authentication dans ISE (Infrastructure) et Trust for client authentication et Syslog (Endpoints). Utilisation des certificats pour la chaîne CA
Administration > System: Certificates > Certificate Management: Certificate Signing Requests
. Recherchez l'entrée CSR sous Nom convivial correspondant au certificat signé, cochez la case du certificat, puis cliquez sur Bind Certificate
. Lier un certificat à CSR
Note: Vous devez lier un certificat signé par une autorité de certification à chaque CSR un par un. Répétez l' pour les CSR restants créés pour d'autres noeuds ISE dans le déploiement.
Sur la page suivante, cliquez sur Browse
et choisissez le fichier de certificat signé, définissez un nom convivial souhaité et choisissez Utilisation(s) du certificat. Envoyer pour enregistrer les modifications.
Sélectionner le certificat à lier à CSR
Administration > System: Certificates > Certificate Management: System Certificates
et attribuer au même noeud pour lequel le CSR a été créé. Répétez le même processus pour d'autres noeuds et/ou d'autres utilisations de certificat.Il est nécessaire de naviguer dans un processus similaire sur le point de terminaison pour la création d'un certificat client à utiliser avec EAP-TLS. Dans cet exemple, vous devez avoir un certificat client signé et délivré au compte utilisateur pour effectuer l'authentification utilisateur avec ISE. Vous trouverez un exemple d'obtention d'un certificat client pour le point de terminaison à partir d'un environnement Active Directory dans : Comprendre et configurer EAP-TLS en utilisant WLC et ISE > Configurer > Client pour EAP-TLS.
En raison des nombreux types de terminaux et de systèmes d'exploitation, le processus pouvant être quelque peu différent, des exemples supplémentaires ne sont pas fournis. Toutefois, le processus global est conceptuellement le même. Générez un CSR qui contient toutes les informations pertinentes à inclure dans le certificat et le fait signer par l’AC, qu’il s’agisse d’un serveur interne dans l’environnement ou d’une société publique/tierce qui fournit ce type de service.
En outre, les champs de certificat Nom commun (CN) et Nom alternatif de sujet (SAN) incluent l'identité dans laquelle utiliser pendant le flux d'authentification. Cela dicte également comment le demandeur doit être configuré pour EAP-TLS en termes d'identité : Authentification de l'ordinateur et/ou de l'utilisateur, Authentification de l'ordinateur ou Authentification de l'utilisateur. Cet exemple utilise uniquement l'authentification utilisateur dans le reste de ce document.
Le périphérique d'accès au réseau (NAD) auquel un point d'extrémité est connecté est également configuré dans ISE afin que la communication RADIUS/TACACS+ (Admin du périphérique) puisse avoir lieu. Entre NAD et ISE, un mot de passe/secret partagé est utilisé à des fins de confiance.
Afin d'ajouter un NAD via l'interface utilisateur graphique ISE, accédez à Administration > Network Resources: Network Devices > Network Devices
et cliquez sur Add
, qui s'affiche dans cette image.
Exemple de configuration de périphérique réseau
Pour une utilisation avec le profilage ISE, vous devez également configurer SNMPv2c ou SNMPv3 (plus sécurisé) pour permettre au noeud de service de stratégie ISE (PSN) de contacter la NAD via des requêtes SNMP qui sont impliquées dans l'authentification du point de terminaison vers ISE afin de collecter des attributs pour prendre des décisions précises sur le type de point de terminaison utilisé. L'exemple suivant montre comment configurer SNMP (v2c), à partir de la même page que dans l'exemple précédent :
Exemple de configuration SNMPv2c
Pour plus d'informations, reportez-vous au Guide de l'administrateur de Cisco Identity Services Engine, version 3.1 > Chapitre : Accès sécurisé > Définition des périphériques réseau dans Cisco ISE.
Pour le moment, si vous ne l'avez pas encore fait, vous devez configurer tous les paramètres AAA associés sur la NAD pour l'authentification et l'autorisation avec Cisco ISE.
Ces paramètres sont des éléments qui finissent par être liés à la stratégie d'authentification ou à la stratégie d'autorisation. Dans ce guide, principalement chaque élément de stratégie est généré et est ensuite mappé dans la stratégie d'authentification ou la stratégie d'autorisation. Il est important de comprendre que la stratégie n'est pas en vigueur tant que la liaison à la stratégie d'authentification/autorisation n'est pas terminée avec succès.
Une source d'identité externe est simplement une source où réside le compte d'identité finale (machine ou utilisateur) utilisé pendant la phase d'authentification ISE. Active Directory est généralement utilisé pour prendre en charge l'authentification automatique sur le compte d'ordinateur et/ou l'authentification utilisateur sur le compte d'utilisateur final dans Active Directory. La source interne des terminaux ne stocke pas le compte d'ordinateur/nom d'hôte. Par conséquent, elle ne peut pas être utilisée avec l'authentification de l'ordinateur.
Voici les sources d'identité prises en charge avec ISE et les protocoles (type d'authentification) qui peuvent être utilisés avec chaque source d'identité :
Fonctionnalités du magasin d'identités
Pour plus d'informations sur les éléments de stratégie, reportez-vous au Guide d'administration de Cisco Identity Services Engine, version 3.1 > Chapitre : Segmentation > Jeux de stratégies.
Ajouter des groupes de sécurité Active Directory à ISE
Afin d'utiliser les groupes de sécurité Active Directory dans les stratégies ISE, vous devez d'abord ajouter le groupe au point de jointure Active Directory. Dans l'interface utilisateur graphique ISE, sélectionnez Administration > Identity Management: Active Directory > {select AD instance name / join point} > tab: Groups > Add > Select Groups From Directory
.
Pour plus d'informations et de conditions pour intégrer ISE 3.x à Active Directory, consultez ce document dans son intégralité : Intégration d'Active Directory avec Cisco ISE 2.x.
Note: La même action s'applique à l'ajout de groupes de sécurité à une instance LDAP. À partir de l'interface utilisateur ISE, sélectionnez Administration > Identity Management: External Identity Sources > LDAP > LDAP instance name > tab: Groups > Add > Select Groups From Directory
.
L'objectif du profil d'authentification de certificat est d'informer ISE du champ de certificat que l'identité (machine ou utilisateur) peut être trouvée sur le certificat client (certificat d'identité de fin) présenté à ISE pendant EAP-TLS (également lors d'autres méthodes d'authentification basées sur certificat). Ces paramètres seront liés à la stratégie d'authentification pour authentifier l'identité. À partir de l'interface utilisateur graphique ISE, accédez à Administration > Identity Management: External Identity Sources > Certificate Authentication Profile
et cliquez sur Add
.
Utiliser l'identité de permet de choisir l'attribut de certificat à partir duquel un champ spécifique de l'identité peut être trouvé. Les choix sont les suivants :
Si le magasin d'identité doit être pointé vers Active Directory ou LDAP (source d'identité externe), une fonction appelée Comparaison binaire peut être utilisée. La comparaison binaire effectue une recherche de l'identité dans Active Directory obtenue à partir du certificat client à partir de la sélection Utiliser l'identité de, qui se produit pendant la phase d'authentification ISE. Sans comparaison binaire, l'identité est simplement obtenue à partir du certificat client et n'est pas recherchée dans Active Directory avant la phase d'autorisation ISE lorsqu'un groupe externe Active Directory est utilisé comme condition, ou toute autre condition qui devrait être exécutée en externe à ISE. Afin d'utiliser la comparaison binaire, dans la banque d'identités, choisissez la source d'identité externe (Active Directory ou LDAP) où le compte d'identité finale est trouvé.
Voici un exemple de configuration lorsque l'identité se trouve dans le champ Nom commun (CN) du certificat client, avec comparaison binaire activée (facultatif) :
Profil d'authentification de certificat
Pour plus d'informations, reportez-vous au Guide d'administration de Cisco Identity Services Engine, version 3.1 > Chapitre : Basic Setup > Cisco ISE CA Service > Configure Cisco ISE to Use Certificates for Authenticating Personal Devices > Create a Certificate Authentication Profile for TLS-Based Authentication.
La séquence de source d'identité peut être créée à partir de l'interface utilisateur graphique ISE. Accéder à Administration > Identity Management
. Sous Identity Source Sequences
, cliquez sur Add
.
L'étape suivante consiste à ajouter le profil d'authentification de certificat à une séquence de source d'identité qui autorise l'inclusion de plusieurs points de jointure Active Directory ou le regroupement d'une combinaison de sources d'identité internes/externes, selon les besoins, qui se lie ensuite à la stratégie d'authentification sous le Use
colonne.
L'exemple présenté ici permet d'effectuer d'abord la recherche sur Active Directory, puis si l'utilisateur est introuvable, il recherche ensuite sur un serveur LDAP. Pour plusieurs sources d'identité. toujours s'assurer que Treat as if the user was not found and proceed to the next store in the sequence
est cochée. Ainsi, chaque source/serveur d'identité est vérifiée lors de la demande d'authentification.
Séquence de source d'identité
Sinon, vous pouvez également lier uniquement le profil d'authentification de certificat à la stratégie d'authentification.
Le service Allowed Protocols n'active que les méthodes/protocoles d'authentification pris en charge par ISE lors de l'authentification RADIUS. Afin de configurer à partir de l'interface utilisateur graphique ISE, accédez à Policy > Policy Elements : Results > Authentication > Allowed Protocols, puis il se lie en tant qu'élément à la stratégie d'authentification.
Note: Authentication Bypass > Process Host Lookup se rapporte à MAB activé sur ISE.
Ces paramètres doivent être identiques à ceux pris en charge et configurés sur le demandeur (sur le terminal). Sinon, le protocole d'authentification n'est pas négocié comme prévu et la communication RADIUS peut échouer. Dans une configuration ISE réelle, il est recommandé d'activer tout protocole d'authentification utilisé dans l'environnement afin que ISE et le demandeur puissent négocier et s'authentifier comme prévu.
Il s'agit des valeurs par défaut (réduites) lorsqu'une nouvelle instance des services du protocole autorisé est créée.
Note: Au minimum, vous devez activer EAP-TLS puisque ISE et notre demandeur s'authentifient via EAP-TLS dans cet exemple de configuration.
Protocoles permettant à ISE d'utiliser lors de la demande d'authentification au demandeur de point d'extrémité
Note: L'utilisation du « Preferred EAP Protocol » défini sur la valeur de « EAP-TLS » amènera ISE à demander le protocole EAP-TLS en tant que premier protocole offert au demandeur IEEE 802.1x de point de terminaison. Ce paramètre est utile si vous avez l'intention de vous authentifier via EAP-TLS souvent sur la plupart des terminaux qui seront authentifiés avec ISE.
Le dernier élément de stratégie à créer est le profil d'autorisation, qui se lie à la stratégie d'autorisation et donne le niveau d'accès souhaité. Le profil d'autorisation est lié à la stratégie d'autorisation. Afin de le configurer à partir de l'interface utilisateur graphique ISE, accédez à Policy > Policy Elements: Results > Authorization > Authorization Profiles
et cliquez sur Add
.
Le profil d'autorisation contient une configuration qui génère des attributs transmis d'ISE à NAD pour une session RADIUS donnée, dans laquelle ces attributs sont utilisés pour atteindre le niveau d'accès réseau souhaité.
Comme indiqué ici, il passe simplement l'ACCEPTATION RADIUS comme Type d'accès, mais des éléments supplémentaires peuvent être utilisés lors de l'authentification initiale. Notez les détails de l'attribut en bas, qui contient le résumé des attributs que ISE envoie à la NAD lorsqu'il correspond à un profil d'autorisation donné.
Profil d'autorisation - Élément de stratégie
Pour plus d'informations sur le profil et la stratégie d'autorisation ISE, reportez-vous au Guide d'administration de Cisco Identity Services Engine, version 3.1 > Chapitre : Segmentation > Stratégies d'autorisation.
Les stratégies d'authentification et d'autorisation sont créées à partir de l'interface utilisateur graphique ISE, sélectionnez Policy > Policy Sets
. Ils sont activés par défaut sur ISE 3.x. Lorsque vous installez ISE, il y a toujours un ensemble de stratégies défini, qui est le jeu de stratégies par défaut. Le jeu de stratégies par défaut contient des règles d'authentification, d'autorisation et de stratégie d'exception prédéfinies et par défaut.
Les ensembles de stratégies sont configurés de manière hiérarchique, ce qui permet à l'administrateur ISE de regrouper des stratégies similaires, en termes d'intention, en différents ensembles à utiliser dans une demande d'authentification. Les politiques de personnalisation et de regroupement sont pratiquement illimitées. En tant que tel, un ensemble de stratégies peut être utilisé pour l'authentification des points d'extrémité sans fil pour l'accès au réseau, tandis qu'un autre ensemble de stratégies peut être utilisé pour l'authentification des points d'extrémité filaires pour l'accès au réseau ; ou pour toute autre manière unique et différenciée de gérer les politiques.
Cisco ISE évaluera les ensembles de politiques et les politiques dans l'approche descendante, pour correspondre d'abord à un ensemble de politiques donné lorsque toutes les conditions de ce jeu sont considérées comme vraies ; sur laquelle ISE évalue plus en détail les stratégies d'authentification et d'autorisation au sein de l'ensemble de stratégies correspondant, comme suit :
Des exceptions de stratégie existent globalement pour tous les jeux de stratégies ou localement dans un ensemble de stratégies spécifique. Ces exceptions de stratégie sont traitées dans le cadre des stratégies d'autorisation, car elles traitent des autorisations ou des résultats accordés pour l'accès au réseau pour un scénario temporaire donné.
La section suivante décrit comment combiner les éléments de configuration et de stratégie à lier aux stratégies d'authentification et d'autorisation ISE pour authentifier un point de terminaison via EAP-TLS.
Un ensemble de stratégies est un conteneur hiérarchique qui se compose d'une règle définie par l'utilisateur unique qui indique le protocole ou la séquence de serveurs autorisés pour l'accès au réseau, ainsi que des stratégies d'authentification et d'autorisation et des exceptions de stratégie, toutes configurées avec des règles basées sur des conditions définies par l'utilisateur.
Pour créer un ensemble de stratégies à partir de l'interface utilisateur graphique ISE, accédez à Policy > Policy Set
puis cliquez sur l'icône plus (+) dans le coin supérieur gauche, comme illustré dans cette image.
Ajout d'un nouveau jeu de stratégies
L'ensemble de stratégies lie/combine cet élément de stratégie précédemment configuré et est utilisé pour déterminer quel ensemble de stratégies doit correspondre dans une demande d'authentification RADIUS donnée (demande d'accès) :
Définition des conditions de l'ensemble de stratégies et de la liste des protocoles autorisés
Cet exemple utilise des attributs et des valeurs spécifiques qui apparaîtraient dans la session RADIUS pour appliquer IEEE 802.1x (attribut encadré), même s'il est possible qu'il soit redondant pour réappliquer le protocole RADIUS. Afin d'obtenir les meilleurs résultats, utilisez uniquement des attributs de session RADIUS uniques qui s'appliquent à l'intention souhaitée, tels que les groupes de périphériques réseau ou spécifiques pour les réseaux câblés 802.1x, 802.1x ou 802.1x et 802.1x.
Pour plus d'informations sur les ensembles de stratégies sur ISE, reportez-vous au Guide d'administration de Cisco Identity Services Engine, Version 3.1 > Chapitre : sections Segmentation > Jeux de stratégies, Stratégies d'authentification et Stratégies d'autorisation.
Dans le jeu de stratégies, la stratégie d'authentification lie/combine ces éléments de stratégie précédemment configurés pour être utilisés avec des conditions afin de déterminer quand une règle d'authentification doit être mise en correspondance.
Exemple de règle de stratégie d'authentification
Dans le jeu de stratégies, la stratégie d'autorisation lie/combine ces éléments de stratégie précédemment configurés pour être utilisés avec des conditions afin de déterminer quand une règle d'autorisation doit être mise en correspondance. L'exemple ci-dessous concerne l'authentification des utilisateurs puisque les conditions pointent vers le groupe de sécurité Utilisateurs du domaine dans Active Directory.
Exemple de règle de stratégie d'autorisation
Pour ajouter un groupe externe (par exemple depuis Active Directory ou LDAP), vous devez ajouter le groupe à partir de l'instance de serveur externe. Dans cet exemple, il proviendra de l'interface ISE : Administration > Identity Management: External Identity Sources > Active Directory {AD Join Point Name} > Groups
. Dans l'onglet Groupe, sélectionnez Add > Select Groups from Directory
et utilisez le filtre de noms pour rechercher tous les groupes (*) ou des groupes spécifiques, tels que les utilisateurs de domaine (*utilisateurs de domaine*) pour récupérer des groupes.
Pour utiliser des groupes externes dans les stratégies ISE, vous devez ajouter un groupe à partir du répertoire
Exemple de recherche dans l'annuaire externe - Active Directory
Après avoir coché la case en regard de chaque groupe que vous souhaitez utiliser dans Stratégies dans ISE, n'oubliez pas de cliquer sur OK et/ou Enregistrer afin d'enregistrer les modifications.
Utilisez cette section pour confirmer que votre configuration fonctionne correctement.
Une fois que tous les éléments de configuration globale et de stratégie lient l'ensemble de stratégies, la configuration ressemble à cette image pour l'authentification utilisateur via EAP-TLS :
Cette section fournit des informations que vous pouvez utiliser pour dépanner votre configuration.
Une fois la configuration terminée, connectez le point de terminaison pour tester l'authentification. Les résultats se trouvent dans l'interface utilisateur de l'ISE. Choisir Operations > Radius > Live Logs
, comme le montre cette image.
Pour plus d'informations, les journaux en direct pour RADIUS et TACACS+ (Device Admin) sont disponibles pour les tentatives/activités d'authentification jusqu'aux 24 dernières heures et pour les 100 derniers enregistrements. Si vous souhaitez voir ce type de données de rapport au-delà de ce délai, vous devez utiliser les rapports, en particulier : ISE UI: Operations > Reports > Reports: Endpoints and Users > RADIUS Authentications
.
Journaux en direct » />Exemple de sortie de Radius > Journaux en direct
Dans les journaux RADIUS Live dans ISE, vous vous attendez à trouver des informations sur la session RADIUS, qui incluent les attributs de session, et d'autres informations utiles pour diagnostiquer le comportement observé lors d'un flux d'authentification. Cliquez sur le bouton details
pour ouvrir l'affichage détaillé de la session pour afficher les attributs de session et les informations associées spécifiques à cette tentative d'authentification.
Afin de résoudre les problèmes, il est important de s'assurer que les politiques correctes sont mises en correspondance. Pour cet exemple de configuration, les stratégies d'authentification et d'autorisation souhaitées sont mises en correspondance comme prévu, comme illustré dans l'image :
Dans la vue détaillée, ces attributs sont vérifiés afin de vérifier que l'authentification se comporte comme prévu par la conception dans le cadre de cet exemple de configuration :
Administration > System: Network Devices.
En fonction de cette configuration, l'adresse IP de la NAD (également appelée périphérique de périphérie) est utilisée pour déterminer le périphérique réseau d'où provient l'authentification qui est inclus dans l'attribut session d'adresse IPv4 du NAS.Il ne s'agit en aucun cas d'une liste complète de tous les attributs de session possibles à examiner à des fins de dépannage ou de visibilité, car il existe d'autres attributs utiles à vérifier. Il est recommandé de revoir tous les attributs de session pour commencer à se familiariser avec toutes les informations. Vous pouvez voir inclure le côté droit sous la section Étapes, qui montre les opérations ou le comportement pris par l'ISE.
Cette liste inclut des problèmes courants et des conseils de dépannage et n'est en aucun cas une liste complète. Utilisez plutôt ce guide et développez vos propres techniques pour résoudre les problèmes liés à ISE.
Problème : Échec de l'authentification (échec de l'authentification 5400) ou de toute autre tentative d'authentification non réussie.
Problème : L'authentification ne se termine pas correctement et la raison de l'échec indique « 5440 Endpoint a abandonné la session EAP et a démarré une nouvelle » ou « 5411 Supplicant a cessé de répondre à ISE ».
Problème : L'authentification a réussi, mais ne correspond pas à la politique d'authentification et/ou d'autorisation correcte.
Problème : L'identité ou le nom d'utilisateur utilisé pendant l'authentification n'était pas la valeur attendue.
ISE UI: Administration > Identity Management: External Identity Sources > Certificate Authentication Profile > (certificate authentication profile used in the Authentication Policy)
.
Problème : L'authentification n'a pas réussi avec la raison d'échec "EAP-TLS EAP 12514 a échoué lors de la connexion SSL/TLS en raison d'une autorité de certification inconnue dans la chaîne de certificats client« .
Administration > System: Certificates > Trusted Certificates
.Start > Run MMC > Add/Remove Snap-In > Certificates > User Certificates
.Révision | Date de publication | Commentaires |
---|---|---|
2.0 |
17-May-2022 |
Mise à jour vers ISE version 3.x. |
1.0 |
17-Oct-2019 |
Première publication |