De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.
Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.
In dit document wordt beschreven hoe Identity Service Engine (ISE) en Active Directory (AD) communiceren, welke protocollen worden gebruikt, welke AD-filters worden gebruikt en hoe stromen worden gegenereerd.
Cisco adviseert een basiskennis van:
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
De drie hoofden van Kerberos omvatten het Key Distribution Center (KDC), de clientgebruiker en de server die toegang heeft.
De KDC wordt geïnstalleerd als onderdeel van de Domain Controller (DC) en voert twee servicefuncties uit: de Authentication Service (AS) en de Ticket Granting Service (TGS).
Er zijn drie uitwisselingen betrokken wanneer de client in eerste instantie toegang krijgt tot een serverbron:
Wanneer gebruikers zich in eerste instantie bij een netwerk hebben aangemeld, moeten ze onderhandelen over toegang en een inlognaam en wachtwoord opgeven om te worden geverifieerd door het AS-gedeelte van een KDC binnen hun domein.
De KDC heeft toegang tot Active Directory-gebruikersaccountgegevens. Eenmaal geverifieerd, krijgt de gebruiker een Ticket Granting Ticket (TGT) dat geldig is voor het lokale domein.
De TGT heeft een standaardlevensduur van 10 uur en wordt tijdens de aanmeldingssessie van de gebruiker verlengd zonder dat de gebruiker zijn wachtwoord opnieuw hoeft in te voeren.
De TGT wordt in de cache van de lokale machine opgeslagen in een vluchtige geheugenruimte en wordt gebruikt om sessies met services in het hele netwerk aan te vragen.
De gebruiker presenteert de TGT aan het TGS-gedeelte van de KDC wanneer toegang tot een serverservice nodig is.
De TGS op de KDC verifieert de TGT van de gebruiker en maakt een ticket en sessiesleutel voor zowel de client als de externe server. Deze informatie (het serviceticket) wordt vervolgens lokaal opgeslagen op het clientsysteem.
De TGS ontvangt de client TGT en leest deze met zijn eigen sleutel. Als de TGS het verzoek van de client goedkeurt, wordt een serviceticket gegenereerd voor zowel de client als de doelserver.
De client leest zijn gedeelte met de TGS-sessiesleutel die eerder is opgehaald uit het AS-antwoord.
De client presenteert het servergedeelte van het TGS-antwoord aan de doelserver in de volgende client/server-uitwisseling.
Voorbeeld:
Pakketopnames van ISE voor een geverifieerde gebruiker:
De AS-REQ bevat de gebruikersnaam. Als het wachtwoord juist is, biedt de AS-service een TGT die is gecodeerd met het gebruikerswachtwoord. De TGT wordt vervolgens verstrekt aan de TGT-service om een sessieticket te krijgen.
Verificatie is succesvol wanneer een sessieticket is ontvangen.
Dit is een voorbeeld waarbij het wachtwoord dat door de client is opgegeven, onjuist is:
Als het wachtwoord verkeerd is, mislukt het AS-verzoek en wordt er geen TGT ontvangen:
Meld u aan bij het bestand ad_agent.log wanneer het wachtwoord onjuist is:
2020-01-14 13:36:05,442 DEBUG ,140574072981248,krb5: Verzonden verzoek (276 bytes) naar RALMAAIT.COM, LwKrb5TraceCallback(), lwadvapi/threaded/lwkrb5.c:1325
2020-01-14 13:36:05,444 DEBUG ,140574072981248,krb5: Fout ontvangen van KDC: -1765328360/Preauthenticatie mislukt, LwKrb5TraceCallback(), lwadvapi/threaded/lwkrb5.c:1325
2020-01-14 13:36:05,444 DEBUG ,140574072981248,krb5: Preauth tryAgain invoertypen: 16, 14, 19, 2,LwKrb5TraceCallback(), lwadvapi/threaded/lwkrb5.c:1325
2020-01-14 13:36:05,444 WAARSCHUWING, 140574072981248,[LwKRB5GetTgtImpl ../../lwadvapi/threaded/krbtgt.c:329] KRB5 Foutcode: -1765328360 (Bericht: Preauthenticatie mislukt), LwTranslateKRB5Error(), lwadvapi/threaded/lwkrb5.c:892
2020-01-14 13:36:05,444 DEBUG ,140574072981248,[LwKrb5InitializeUserLoginCredentials()] Foutcode: 40022 (symbool: LW_ERROR_PASSWORD_MISMATCH), LwKrb5InitializeUserLoginCredentials(), lwadvapi/threaded/lwkrb5.c:1453
ISE gebruikt MS-RPC over SMB, SMB biedt de verificatie en vereist geen afzonderlijke sessie om te vinden waar een bepaalde RPC-service zich bevindt. Het maakt gebruik van een mechanisme genaamd "named pipe" om te communiceren tussen de client en de server.
Transacteer de RPC-uitwisseling via SMB.
De lijn negotiate protocol request/response
onderhandelt over het dialect van het MKB. Het session setup request/response
systeem voert de authenticatie uit.
Verbindingsverzoek en -reactie met de aangevraagde bron verbinden. U bent verbonden met een speciaal aandeel IPC$.
Dit interprocescommunicatie-aandeel biedt de communicatiemiddelen tussen hosts en ook als transport voor MSRPC-functies.
Bij pakket 77 is Create Request File
en de bestandsnaam is de naam van de verbonden service (de netlogon-service in dit voorbeeld).
Bij pakketten 83 en 86 is het verzoek van NetrlogonSamLogonEX de plaats waar u de gebruikersnaam voor de clientverificatie op ISE naar de AD in het veld Network_INFO verzendt.
Het NetrlogonSamLogonEX-antwoordpakket reageert met de resultaten.
Enkele vlagwaarden voor de reactie van NetrlogonSamLogonEX:
0xc000006a is STATUS_WRONG_PASSWORD
0x00000000 is STATUS_SUCCES
0x00000103 is STATUS_IN BEHANDELING
ISE gebruikt LDAP, KRB en MSRBC om met AD te communiceren tijdens het join / leave- en authenticatieproces.
De volgende secties bevatten de protocollen, het zoekformaat en de mechanismen die worden gebruikt om verbinding te maken met een specifieke DC op AD en gebruikersverificatie tegen die DC.
In het geval dat de DC om welke reden dan ook offline raakt, mislukt ISE naar de volgende beschikbare DC en wordt het verificatieproces niet beïnvloed.
Een Global Catalog Server (GC) is een domeincontroller die kopieën van alle Active Directory-objecten in het forest opslaat.
Het slaat een volledige kopie van alle objecten op in de directory van uw domein en een gedeeltelijke kopie van alle objecten van alle andere bosdomeinen.
De Global Catalog stelt gebruikers en toepassingen in staat om objecten te vinden in elk domein van het huidige forest met een zoekopdracht naar attributen die zijn opgenomen in GC.
De globale catalogus bevat een basisset (maar onvolledige) kenmerken voor elk bosobject in elk domein (partiële kenmerkset, PAT).
De GC ontvangt gegevens van alle domeinmappartities in het forest. Ze worden gekopieerd met de standaard AD-replicatieservice.
Voorwaarden voor Active Directory- en ISE-integratie
ISE past Domain Discovery toe om informatie over het join-domein in drie fasen te verkrijgen:
Daarnaast ontdekt Cisco ISE DNS-domeinnamen (UPN-achtervoegsels), alternatieve UPN-achtervoegsels en NTLM-domeinnamen.
ISE past een DC-discovery toe om alle informatie over de beschikbare DC's en GC's te krijgen.
Een factor die wordt gebruikt om de DC-prioriteit te berekenen, is de tijd die de DC nodig heeft om te reageren op CLDAP-pings; een snellere respons krijgt een hogere prioriteit.
Opmerking: CLDAP is het mechanisme dat ISE gebruikt om connectiviteit met de DC's tot stand te brengen en te onderhouden. Het meet de responstijd tot het eerste DC-antwoord. Het faalt als je geen antwoord van DC ziet. Waarschuw als de responstijd groter is dan 2,5 seconden. CLDAP ping van alle DC's in de site (als er geen site is, dan alle DC's in het domein). De CLDAP-respons bevat de DC-site en de Client-site (de site waaraan de ISE-machine is toegewezen).
Wanneer ISE vertrekt, moet de AD rekening houden met:
Wanneer de DC die is aangesloten op ISE om welke reden dan ook offline of onbereikbaar wordt, wordt DC-failover automatisch geactiveerd op ISE. DC-failover kan worden veroorzaakt door de volgende omstandigheden:
In dergelijke gevallen initieert de AD-connector DC-selectie met een geblokkeerde lijst ("slechte" DC wordt in de geblokkeerde lijst geplaatst) en probeert te communiceren met de geselecteerde DC. De DC die is geselecteerd in de lijst met geblokkeerde bestanden, wordt niet in de cache opgeslagen.
AD-connector moet failover binnen een redelijke termijn voltooien (of uitvallen als dit niet mogelijk is). Om deze reden probeert de AD-connector een beperkt aantal DC's tijdens failover.
ISE blokkeert AD Domain Controllers als er een niet-herstelbare netwerk- of serverfout is om te voorkomen dat ISE een slechte DC gebruikt. DC wordt niet toegevoegd aan de geblokkeerde lijst als deze niet reageert op CLDAP-pings. ISE verlaagt alleen de prioriteit van de DC die niet reageert.
ISE zoekt naar machine of gebruiker in AD met een van deze zoekformaten. Als de zoekopdracht naar een machine was, voegt ISE "$" toe aan het einde van de systeemnaam. Dit is een lijst met identiteitstypen die wordt gebruikt om een gebruiker in AD te identificeren:
Elke advertentie kan meerdere UPN-suffix (@alt1.com,@alt2.com,…, etc) hebben. Voorbeeld: hoofd-UPN (sajeda@cisco.com), alternatief-UPN :sajeda@domain1 , sajeda@domain2
Filters worden gebruikt om een entiteit te identificeren die met AD wil communiceren. ISE zoekt altijd naar die entiteit in de groepen gebruikers en machines.
Voorbeelden van zoekfilters:
Als de SAM-naam niet uniek is, gebruikt ISE het wachtwoord om onderscheid te maken tussen gebruikers en is ISE geconfigureerd om een wachtwoordloos protocol zoals EAP-TLS te gebruiken.
Er zijn geen andere criteria om de juiste gebruiker te vinden, dus ISE faalt de authenticatie met een "dubbelzinnige identiteit" -fout.
Als het gebruikerscertificaat echter aanwezig is in Active Directory, gebruikt Cisco ISE binaire vergelijking om de identiteit op te lossen.
Als er een unieke match is, gaat Cisco ISE verder met de AAA-stroom.
Als er meerdere join-punten zijn met hetzelfde UPN en een wachtwoord of hetzelfde UPN en Mail, mislukt Cisco ISE de verificatie met een fout "ambigue identiteit".
Als in de identiteit een volledig gekwalificeerd domeinsuffix is opgegeven, bijvoorbeeld host/machine.domain.com, zoekt Cisco ISE in het forest waar dat domein bestaat.
Als de identiteit zich in de vorm van een host/machine bevindt, zoekt Cisco ISE in alle bossen naar de hoofdnaam van de service.
Als er meer dan één overeenkomst is, mislukt Cisco ISE de verificatie met een foutmelding "Dubbelzinnige identiteit".
Opmerking: Dezelfde filters worden gezien in ISE ad-agent.log-bestanden
Opmerking: ISE 2.2 patch 4 en eerdere en 2.3 patch 1 en eerdere geïdentificeerde gebruikers met de attributen SAM, CN of beide. Cisco ISE, versie 2.2 Patch 5 en hoger, en 2.3 Patch 2 en hoger, gebruiken alleen het kenmerk sAMAaccountName als standaardkenmerk.
Revisie | Publicatiedatum | Opmerkingen |
---|---|---|
2.0 |
03-Aug-2022
|
Grammatica, structuur, machinevertaling, stijl, formaat |
1.0 |
06-Feb-2020
|
Eerste vrijgave |