A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.
Este original descreve como o serviço Enginer(ISE) e Directory(AD) ativo de Identitity se comunica, e todos os protocolos que estão sendo usados. Igualmente cobre filtros AD e flui.
Reccomends de Cisco que você tem o conhecimento básico de:
O nome de protocolo do Kerberos é baseado na figura três-dirigida do cão da mitologia grega conhecida como o Kerberos. As três cabeças do Kerberos compreendem o Key Distribution Center (KDC), o usuário cliente e o server com o serviço desejado para alcançar. O KDC é instalado como parte do domínio Controller(DC) e executa duas funções de serviço: O serviço de autenticação (COMO) e o serviço de consessão de licensa (TG). Como exemplificado em figura 1, três trocas são involvidas quando o cliente alcança inicialmente uns recursos de servidor:
Ao inicialmente entrar a uma rede, os usuários devem negociar o acesso fornecendo um nome do início de uma sessão e uma senha a fim ser verificado pelo COMO a parcela de um KDC dentro de seu domínio. O KDC tem o acesso à informação de conta de usuário do diretório ativo. Uma vez que autenticado com sucesso, o usuário é concedido um bilhete para obter os bilhetes (TGT) que seja válido para o domínio local. O TGT tem uma duração padrão das horas 10 e pode ser renovado durante todo a sessão do fazer logon do usuário sem exigir o usuário reenter sua senha. O TGT é posto em esconderijo na máquina local no espaço de memória volátil e usado para pedir sessões com serviços durante todo a rede. O seguinte é um exame do processo da recuperação TGT.
O usuário apresenta o TGT à parcela TG do KDC ao desejar o acesso a um serviço do servidor. Os TG no KDC autenticam o TGT do usuário e criam um bilhete e uma chave de sessão para o cliente e o servidor remoto. Esta informação, conhecida como o bilhete do serviço, é posta em esconderijo então localmente na máquina cliente.
Os TG recebem o TGT do cliente e leem-no que usa sua própria chave. Se os TG aprovam o pedido do cliente, um bilhete do serviço está gerado para o cliente e o servidor de destino. O cliente lê sua parcela usando a chave de sessão TG recuperada mais cedo do COMO a resposta. O cliente apresenta a parcela do server da resposta TG ao servidor de destino na troca do cliente/server que vem em seguida.
está abaixo um exemplo ao aplicar o usuário de teste no ISE usando o Kerberos:
Capturas de pacote de informação do ISE para um usuário que autenticasse com sucesso:
O AS-REQ contém o username, se a senha é correto PORQUE o serviço nos fornece um TGT cifrados com senha do usuário, e em seguida que o TGT está fornecido ao serviço TGT para obter um bilhete da sessão, uma vez que você obtém um bilhete da sessão então a autenticação é feita com sucesso.
Abaixo das captações é para a encenação era a senha dada pelo cliente é errada:
Como visto se a senha é lese COMO o pedido falhará daqui, você não obterá um TGT:
entra o arquivo de ad_agent.log quando a senha é errada:
2020-01-14 13:36:05,442 DEBUGAM, 140574072981248,krb5: Enviando o pedido (276 bytes) a RALMAAIT.COM para user1@RALMAAIT.COM,LwKrb5TraceCallback(),lwadvapi/threaded/lwkrb5.c:1325
2020-01-14 13:36:05,444 DEBUGAM, 140574072981248,krb5: Erro recebido do KDC: -1765328360/Preauthentication failed,LwKrb5TraceCallback(),lwadvapi/threaded/lwkrb5.c:1325
2020-01-14 13:36:05,444 DEBUGAM, 140574072981248,krb5: Tipos da entrada do tryagain de Preauth: 16, 14, 19, 2,LwKrb5TraceCallback(),lwadvapi/threaded/lwkrb5.c:1325
2020-01-14 13:36:05,444 WARNING,140574072981248,[LwKrb5GetTgtImpl ../../lwadvapi/threaded/krbtgt.c: Código de erro 329] KRB5: -1765328360 (mensagem: Failed),LwTranslateKrb5Error(),lwadvapi/threaded/lwkrb5.c:892 Pré-autenticação
2020-01-14 13:36:05,444 DEBUGAM, o código de erro 140574072981248,[LwKrb5InitializeUserLoginCredentials()]: 40022 (símbolo: LW_ERROR_PASSWORD_MISMATCH),LwKrb5InitializeUserLoginCredentials(),lwadvapi/threaded/lwkrb5.c:1453
O ISE usa MSRPC sobre o SMB, SMB fornece a autenticação e não exige uma sessão separada encontrar onde um serviço dado RPC é encontrado, ele usa um mecanismo chamado “tubulação nomeada” para comunicar-se entre o cliente e servidor.
o fluxo é como abaixo:
Transacione a troca RPC sobre o SMB.
O pedido/resposta do protocolo do negócio negocia o dialeto do SMB, a requisição de instalação da sessão/resposta executa a autenticação. A requisição de conexão e a resposta da árvore conectam ao recurso pedido. Você está conectando a uma parte especial IPC$, esta parte do Inter-Process Communication fornece os meios da comunicação entre anfitriões e igualmente como um transporte para funções MSRPC.
Então você está no pacote #77 onde está cria o arquivo do pedido e o nome de arquivo é o nome do serviço que você está conectando a, neste caso ele é o serviço do netlogon.
Agora você está em pacotes número 83 e 86, o NetrlogonSamLogonEX que o pedido é onde você envia o username para o cliente que autentica no ISE ao AD no campo Network_INFO, a resposta do pacote de resposta de NetrlogonSamLogonEX com o resultado, valores de algumas bandeiras para
Significado da resposta de NetrlogonSamLogonEX:
0xc000006a é STATUS_WRONG_PASSWORD
0x00000000 é STATUS_SUCCESS
0x00000103 é STATUS_PENDING
O ISE usará o LDAP, o KRB, e o MSRBC para comunicar-se com o AD durante a junta/licença e o processo de autenticação. Você encontrará nas próximas seções os protocolos, procurando o formato e o mecanismo usado para conectar a um DC específico no AD e autenticando os usuários contra esse DC. Caso que o DC se torna off line por qualquer razão o ISE Failover ao DC disponível seguinte e o processo de autenticação não será afetado.
Condições prévias para o diretório ativo de integração e o ISE
Nota: Um servidor global catalog (GC) é um controlador de domínio que armazene cópias de todos os objetos do diretório ativo na floresta. Armazena uma cópia completa de todos os objetos no diretório de seu domínio e uma cópia parcial de todos os objetos de todos domínios restantes da floresta. Assim, o catálogo global permite usuários e aplicativos encontrar objetos em todo o domínio da floresta atual procurando pelos atributos incluídos ao GC. O catálogo global contém um básico (mas incompleto) ajustou-se dos atributos para cada objeto da floresta em cada domínio (grupo, PANCADINHA parciais do atributo). O GC recebe dados de todas as separações do diretório do domínio na floresta, eles é copiado usando o serviço da replicação do padrão AD. para mais informação você pode verificar https://theitbros.com/global-catalog-active-directory/
O primeiro ISE aplicará a descoberta de domínio para obter a informação sobre o domínio da junta em três fases:
Então o ISE aplicará uma descoberta DC para obter toda a informação sobre os DC e o GCs disponíveis, e continua como abaixo:
Nota: CLDAP é o mecanismo que o ISE se usa para estabelecer e manter a Conectividade com os DC. Mede o tempo de resposta até a primeira resposta DC. Falha se você não vê nenhuma resposta do DC. Advirta se o tempo de resposta é mais grande de 2.5 segundos. Sibilo CLDAP todos os DC no local (se nenhum local então todos os DC no domínio). A resposta CLDAP contém o local DC e a site de cliente (por exemplo o local a que a máquina ISE é atribuída).
Quando licença que ISE o AD abaixo deve tomar em considerações:
Quando o DC conectado ao ISE se torna autônomo ou inacessível por qualquer razão o Failover DC provocado automaticamente no ISE. O Failover DC pode ser provocado pelas circunstâncias abaixo:
O conector AD deve terminar o Failover dentro do tempo razoável (ou para falhar se não é possível). Por este motivo, o conector AD tenta o número limitado de DC durante o Failover (as “tentativas” significam obtêm o DC da seleção DC e o tentam se comunicar com ela). O ISE põr controladores de domínio AD se há uma rede ou um erro do servidor unrecoverable para impedir que o ISE use um DC ruim daqui, reduzindo o tempo e a dor de cabeça proccing. Mantenha por favor na mente que o DC não estará adicionado para enegrecer a lista se não faz respostas aos sibilos CLDAP, ISE abaixará somente a prioridade do DC que não faz resposta.
O ISE procurará pela máquina ou o usuário no AD usando um dos formatos de pesquisa abaixo, se a busca era para a máquina então ISE adicionará “$” no fim do nome de máquina, é abaixo uma lista de tipos da identidade que serão usados a identfy um usuário no AD:
Exemplo: sajeda ou sajeda$
Exemplo: sajeda Ahmed.
Exemplo: sajeda@cisco.com ou sajeda$@cisco.com
Exemplo: UPN principal (sajeda@ciso.com), alternativa UPN: sajeda@aaa.com, sajeda@ise.com
Exemplo: CISCO \ sajeda ou CISCO \ machine$
Exemplo: host/máquina
Exemplo: host/machine.cisco.com
Os filtros serão usados para identificar uma entidade que querem se comunicar com o AD, ISE sempre procurarão por essa entidade nos usuários e fazem à máquina grupos,
alguns exemplos de filtros da busca:
Nota: Os mesmos filtros serão vistos em arquivos ISE ad-agent.log
Nota: A correção de programa 4 e prévio e 2.3 ISE 2.2 remenda 1 e prévio identificava os usuários que usam os atributos SAM, NC, ou ambos. Cisco ISE, libera 2.2 a correção de programa 5 e acima, e 2.3 remendam 2 e acima, use somente o atributo do sAMAccountName como o atributo de padrão.