使用EAP-TTLS配置计算机和用户身份验证

简介

本文档介绍如何在安全客户端NAM和Cisco ISE上使用EAP-TTLS(EAP-MSCHAPv2)配置计算机和用户身份验证。

先决条件

要求

思科建议您在继续此部署之前了解以下主题：

• 思科身份服务引擎(ISE)
• 安全客户端网络分析模块(NAM)
• EAP协议

使用的组件

本文档中的信息基于以下软件和硬件版本：

• 身份服务引擎(ISE)版本3.4
• 使用Cisco IOS® XE软件版本16.12.01的C9300交换机
• Windows 10 Pro版本22H2,19045.3930

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。

网络拓扑

网络拓扑

配置

配置

第一部分：  下载并安装安全客户端NAM（网络访问管理器）

步骤1.转到Cisco Software Download。在产品搜索栏中，输入Secure Client 5。

此配置示例使用版本5.1.11.388。安装是使用预部署方法执行的。

在下载页面上，找到并下载Cisco Secure Client Pre-Deployment Package(Windows)。

预部署压缩文件

注意：Cisco AnyConnect已被弃用，思科软件下载站点上不再提供。

步骤2.下载并解压后，单击Setup。

预部署压缩文件

步骤3.安装Core & AnyConnect VPN、Network Access Manager和Diagnostics and Reporting工具模块。

安全客户端安装程序

点击安装选定模块。

步骤4.安装后需要重新启动。单击OK并重新启动设备。

需要重新启动的弹出窗口

第 2 部分：  下载并安装安全客户端NAM配置文件编辑器

步骤1.可以在与安全客户端相同的下载页上找到配置文件编辑器。此配置示例使用版本5.1.11.388。 

配置文件编辑器

下载并安装配置文件编辑器。

步骤2.运行MSI文件。

配置文件编辑器安装开始

步骤3.使用Typical setup选项并安装NAM Profile Editor。

配置文件编辑器设置

第 3 部分：允许NAM访问Windows缓存凭据 

默认情况下，在Windows 10、Windows 11和Windows Server 2012上，操作系统会阻止网络访问管理器(NAM)检索计算机身份验证所需的计算机密码。因此，除非应用注册表修复，否则使用计算机密码的计算机身份验证不起作用。

要启用NAM以访问计算机凭证，请在客户端桌面上应用Microsoft KB 2743127修补程序。

警告：错误地编辑Windows注册表可能导致严重的问题。请确保在进行更改之前备份注册表。

步骤1.在Windows搜索栏中，输入regedit，然后单击Registry Editor。

搜索栏中的注册表编辑器

步骤2.在注册表编辑器中，导航到HKEY_LOCAL_MACHINE > System > CurrentControlSet > Control > Lsa。 

步骤3.右键单击Lsa，选择New > DWORD（32位）Value，然后将其命名为LsaAllowReturningUnencryptedSecrets。

Lsa注册表DWORD

步骤4.双击LsaAllowReturningUnencryptedSecrets，将该值设置为1，然后单击OK。

编辑DWORD窗口

第 4 部分：使用NAM配置文件编辑器配置NAM配置文件 

步骤1.打开NAM配置文件编辑器。

步骤2.在Client Policy:

• 确保Manage Wired(802.3)Media已启用。 

• 如果您使用的是WiFi，请确保已启用管理Wi-Fi（无线）媒体，并验证WPA/WPA2/WPA3握手。
• 将所有其他选项保留为默认设置。

NAM配置文件编辑器客户端策略

步骤3.在身份验证策略中： 

• 确保已选择所需的方法。

• 在本示例中，请将EAP-TTLS与EAP-MSCHAPv2配合使用。因此，请确保选择这些方法。

NAM配置文件编辑器身份验证策略

第 5 部分：为EAP-TTLS配置有线网络

步骤1.在Networks下，存在默认有线网络。在本示例中，请为EAP-TTLS创建新网络。 

单击Add创建新网络。

NAM配置文件编辑器默认网络

将网络配置文件命名为。在本示例中，该网络命名为EAP-TTLS。

选择GlobalforGroup Membership。在Network Media下选择Wired(802.3)Network，然后单击Next。

NAM配置文件编辑器新网络

步骤2.在安全级别中，选择Authenticating Network（适用于802.1X身份验证）。

NAM配置文件编辑器网络配置

步骤3.对于连接类型，选择计算机和用户连接。单击下一步。

NAM配置文件编辑器用户和计算机身份验证

步骤4.选择EAP-TTLS作为常规EAP方法。

从EAP-TTLS存在的多个内部方法，选择使用EAP方法，然后选择EAP-MSCHAPv2。

单击Next继续到Certificate部分。

NAM配置文件编辑器计算机身份验证

步骤5.配置证书验证规则

• 在Certificate Trusted Server Rules下，基于服务器证书公用名配置规则。
  在本示例中，PSN节点证书由varshaah.varshaah.local颁发。因此，使用规则Common Name以.local结尾。此规则验证服务器在EAP-TTLS流期间提供的证书。

  您还可以指定策略服务节点(PSN)EAP身份验证证书的公用名称。

• 在Certificate Trusted Authority下，有两个选项可用。
  在此方案中，使用操作系统上安装的Trust any Root Certificate Authority(CA)选项，而不是添加特定CA证书。

  使用此选项，Windows设备信任由Certificates - Current User > Trusted Root Certification Authorities > Certificates（由操作系统管理）中包含的证书签名的任何EAP证书。
• 点击下一步继续。

NAM配置文件编辑器证书

步骤6.在Machine Credentials部分中，选择Use Machine Credentials，然后单击Next。

NAM配置文件编辑器凭证

步骤7.配置用户身份验证部分。

• 在EAP Methods下选择EAP-TTLS。

• 在内部方法下，选择使用EAP方法，然后选择EAP-MSCHAPv2。

• 单击 Next。

NAM配置文件编辑器用户身份验证

步骤8.在证书中，配置与步骤5中所述的相同证书验证规则。

第9步：在用户凭证中，选择使用单点登录凭证，然后单击完成。

NAM配置文件编辑器用户凭证

第6部分：保存网络配置文件

步骤1.单击文件>保存。

NAM配置文件编辑器保存网络配置

步骤2.将文件另存为newConfigFiles文件夹中的configuration.xml。

保存网络配置

第7部分：在交换机上配置AAA

C9300-1#sh run aaa
!
aaa authentication dot1x default group labgroup
aaa authorization network default group labgroup 
aaa accounting dot1x default start-stop group labgroup
aaa accounting update newinfo periodic 2880
!
!
!
!
aaa server radius dynamic-author
 client 10.76.112.135 server-key cisco
!
!
radius server labserver
 address ipv4 10.76.112.135 auth-port 1812 acct-port 1813
 key cisco
!
!
aaa group server radius labgroup
 server name labserver
!
!
!
!
aaa new-model
aaa session-id common
!
!

C9300-1(config)#dot1x system-auth-control

注意：dot1x system-auth-control命令不会出现在show running-config输出中，但全局启用802.1X需要此命令。

为802.1X配置交换机接口：

C9300-1(config)#do sh run int gig1/0/44
Building configuration...

Current configuration : 242 bytes
!
interface GigabitEthernet1/0/44
 switchport access vlan 96
 switchport mode access
 device-tracking    
 authentication order dot1x mab
 authentication priority dot1x mab
 authentication port-control auto
 authentication host-mode multi-auth
 authentication periodic

 mab
 dot1x pae authenticator
end

第8部分：ISE配置

步骤1.在ISE上配置交换机。

导航到Administration > Network Resources > Network Devices，然后单击Add。

在此处输入交换机名称和IP地址。

添加网络设备ISE

输入RADIUS共享密钥，与之前在交换机上配置的密钥相同。

RADIUS共享密钥ISE

步骤2.配置身份源序列。

• 导航到管理>身份管理>身份源序列。

• 单击Add创建新的身份源序列。

• 在Authentication Search List下配置身份源。

ISE身份源序列

步骤3.配置策略集。

导航到Policy > Policy Sets并创建新的策略集。将条件配置为Wired_802.1x或Wireless_802.1x。对于Allowed Protocols，选择Default Network Access:

EAP-TTLS策略集

为dot1x创建身份验证策略并选择在步骤4中创建的身份源序列。

EAP-TTLS身份验证策略

对于授权策略，创建具有三个条件的规则。第一个条件检查使用EAP-TTLS隧道的条件。第二个条件检查EAP-MSCHAPv2是否用作内部EAP方法。第三个条件检查各个AD组。

Dot1x授权策略

验证

您可以重新启动Windows 10计算机，也可以先注销，然后再登录。每当显示Windows登录屏幕时，都会触发计算机身份验证。 

实时日志计算机身份验证

当您使用凭证登录到PC时，会触发用户身份验证。

用户身份验证凭证

注意：此示例使用Active Directory用户凭据进行身份验证。或者，您可以在Cisco ISE中创建内部用户并使用这些凭证登录。

输入凭证并成功验证后，终端通过用户身份验证连接到网络。

已连接EAP-TTLS

实时日志用户身份验证

分析ISE RADIUS实时日志

本部分说明成功进行计算机身份验证和用户身份验证的RADIUS实时日志条目。

计算机身份验证

11001 Received RADIUS Access-Request 11017 RADIUS created a new session ... ... 11507 Extracted EAP-Response/Identity 12983 Prepared EAP-Request proposing EAP-TTLS with challenge ... ... 12978 Extracted EAP-Response containing EAP-TTLS challenge-response and accepting EAP-TTLS as negotiated 12800 Extracted first TLS record; TLS handshake started 12805 Extracted TLS ClientHello message 12806 Prepared TLS ServerHello message 12807 Prepared TLS Certificate message 12808 Prepared TLS ServerKeyExchange message 12810 Prepared TLS ServerDone message ... ... 12803 Extracted TLS ChangeCipherSpec message 12804 Extracted TLS Finished message 12801 Prepared TLS ChangeCipherSpec message 12802 Prepared TLS Finished message 12816 TLS handshake succeeded ... ... 11806 Prepared EAP-Request for inner method proposing EAP-MSCHAP with challenge 12985 Prepared EAP-Request with another EAP-TTLS challenge 11006 Returned RADIUS Access-Challenge 11001 Received RADIUS Access-Request ... ... 12971 Extracted EAP-Response containing EAP-TTLS challenge-response 11808 Extracted EAP-Response containing EAP-MSCHAP challenge-response for inner method and accepting EAP-MSCHAP as negotiated ... ... 24431 Authenticating machine against Active Directory - varshaah-ad 24325 Resolving identity - host/DESKTOP-QSCE4P3 ... ... 24343 RPC Logon request succeeded - DESKTOP-QSCE4P3$@varshaah.local 24470 Machine authentication against Active Directory is successful - varshaah-ad 22037 Authentication Passed ... ... 12971 Extracted EAP-Response containing EAP-TTLS challenge-response 11810 Extracted EAP-Response for inner method containing MSCHAP challenge-response 11814 Inner EAP-MSCHAP authentication succeeded 11519 Prepared EAP-Success for inner EAP method 12975 EAP-TTLS authentication succeeded ... ... 15036 Evaluating Authorization Policy 24209 Looking up Endpoint in Internal Endpoints IDStore - host/DESKTOP-QSCE4P3 24211 Found Endpoint in Internal Endpoints IDStore 15048 Queried PIP - Network Access.Device IP Address 15048 Queried PIP - Network Access.EapTunnel 15016 Selected Authorization Profile - PermitAccess ... ... 11002 Returned RADIUS Access-Accept

用户身份验证

11001 Received RADIUS Access-Request 11017 RADIUS created a new session ... ... 11507 Extracted EAP-Response/Identity 12983 Prepared EAP-Request proposing EAP-TTLS with challenge ... ... 12978 Extracted EAP-Response containing EAP-TTLS challenge-response and accepting EAP-TTLS as negotiated 12800 Extracted first TLS record; TLS handshake started 12805 Extracted TLS ClientHello message 12806 Prepared TLS ServerHello message 12807 Prepared TLS Certificate message 12808 Prepared TLS ServerKeyExchange message 12810 Prepared TLS ServerDone message ... ... 12812 Extracted TLS ClientKeyExchange message 12803 Extracted TLS ChangeCipherSpec message 12804 Extracted TLS Finished message 12801 Prepared TLS ChangeCipherSpec message 12802 Prepared TLS Finished message 12816 TLS handshake succeeded ... ... 11806 Prepared EAP-Request for inner method proposing EAP-MSCHAP with challenge 12985 Prepared EAP-Request with another EAP-TTLS challenge 11006 Returned RADIUS Access-Challenge 11001 Received RADIUS Access-Request ... ... 12971 Extracted EAP-Response containing EAP-TTLS challenge-response 11808 Extracted EAP-Response containing EAP-MSCHAP challenge-response for inner method and accepting EAP-MSCHAP as negotiated ... ... 24430 Authenticating user against Active Directory - varshaah-ad 24325 Resolving identity - labuser@varshaah.local ... ... 24343 RPC Logon request succeeded - labuser@varshaah.local 24402 User authentication against Active Directory succeeded - varshaah-ad 22037 Authentication Passed ... ... 12971 Extracted EAP-Response containing EAP-TTLS challenge-response 11810 Extracted EAP-Response for inner method containing MSCHAP challenge-response 11814 Inner EAP-MSCHAP authentication succeeded 11519 Prepared EAP-Success for inner EAP method 12975 EAP-TTLS authentication succeeded ... ... 15036 Evaluating Authorization Policy 24209 Looking up Endpoint in Internal Endpoints IDStore - labuser 24211 Found Endpoint in Internal Endpoints IDStore 15048 Queried PIP - Network Access.Device IP Address 15048 Queried PIP - Network Access.EapTunnel 15016 Selected Authorization Profile - PermitAccess ... ... 11002 Returned RADIUS Access-Accept

分析NAM日志

NAM日志（特别是在启用扩展日志记录之后）包含大量数据，其中大部分数据无关并且可以忽略。本部分列出调试行，以演示NAM建立网络连接的每个步骤。当您处理日志时，这些关键短语有助于查找与问题相关的日志部分。

计算机身份验证

2160: DESKTOP-QSCE4P3: Sep 25 2025 13:01:44.696 +0900: %csc_nam-7-DEBUG_MSG: %[tid=11812][comp=SAE]: 8021X (3) recvd EAP TTLS frame (dot1x_util.c 303)

客户端从网络交换机接收EAP-TTLS数据包，并启动EAP-TTLS会话。这是机器身份验证隧道的起点。

2171: DESKTOP-QSCE4P3: Sep 25 2025 13:01:44.696 +0900: %csc_nam-7-DEBUG_MSG: %[tid=11812][comp=SAE]: EAP (0) SSL STATE: SSLv3/TLS read server hello (eap_auth_tls_p.c 395)
2172: DESKTOP-QSCE4P3: Sep 25 2025 13:01:44.696 +0900: %csc_nam-6-INFO_MSG: %[tid=11812][comp=SAE]: CERT (0) looking up: "/CN=varshaah.varshaah.local" (lookup.c 97)
2173: DESKTOP-QSCE4P3: Sep 25 2025 13:01:44.696 +0900: %csc_nam-6-INFO_MSG: %[tid=11812][comp=SAE]: CERT (0) certificate with serial number 022d90152393a07cd58919379f added to list (lookup_win32.c 230)

客户端从ISE接收Server Hello并开始验证服务器证书(CN=varshaah.varshaah.local)。 在客户端的信任存储中找到证书并添加该证书以进行验证。 

2222: DESKTOP-QSCE4P3: Sep 25 2025 13:01:44.696 +0900: %csc_nam-6-INFO_MSG: %[tid=11768]: Validating the server: varshaah.varshaah.local
2223: DESKTOP-QSCE4P3: Sep 25 2025 13:01:44.696 +0900: %csc_nam-6-INFO_MSG: %[tid=11768]: Server certificate validated: varshaah.varshaah.local

服务器证书已成功验证，正在完成TLS隧道建立。

2563: DESKTOP-QSCE4P3: Sep 25 2025 13:01:44.789 +0900: %csc_nam-7-DEBUG_MSG: %[tid=11768]: Network EAP-TTLS: NetworkStateMachine current state USER_T_NOT_DISCONNECTED, received auth request AUTHENTICATION_PASSED
2564: DESKTOP-QSCE4P3: Sep 25 2025 13:01:44.789 +0900: %csc_nam-7-DEBUG_MSG: %[tid=11812][comp=SAE]: NET (0) SscfApiClass::EnablePortBlocking( {B4467C9A-0EBD-4181-B8CD-6D64F3831F30}, False ): Unblocking interface (cimdIo.cpp 291)
2565: DESKTOP-QSCE4P3: Sep 25 2025 13:01:44.789 +0900: %csc_nam-7-DEBUG_MSG: %[tid=11768]: Network EAP-TTLS: NetworkStateMachine new state USER_T_NOT_DISCONNECTED

客户端发出已通过身份验证的信号。接口被解除阻塞，并且内部状态机转换到USER_T_NOT_DISCONNECTED，表示机器现在可以传递流量。

2609: DESKTOP-QSCE4P3: Sep 25 2025 13:01:44.821 +0900: %csc_nam-7-DEBUG_MSG: %[tid=11768]: Network EAP-TTLS: AccessStateMachine current state = ACCESS_CONNECTING, received adapterState = authenticated
2610: DESKTOP-QSCE4P3: Sep 25 2025 13:01:44.821 +0900: %csc_nam-7-DEBUG_MSG: %[tid=11824][comp=SAE]: NET (0) 0020  00 00 00 00  00 00 0A 7F  C4 01                                                                         ..........                       (cimdIo.cpp 6080)
2611: DESKTOP-QSCE4P3: Sep 25 2025 13:01:44.821 +0900: %csc_nam-7-DEBUG_MSG: %[tid=11768]: Network EAP-TTLS: Clearing the connection duration timer
2612: DESKTOP-QSCE4P3: Sep 25 2025 13:01:44.821 +0900: %csc_nam-7-DEBUG_MSG: %[tid=11824][comp=SAE]: NET (0) CIMD Event: evtSeq#=0 msg=4 ifIndex=1 len=76 (cimdEvt.c 622)
2613: DESKTOP-QSCE4P3: Sep 25 2025 13:01:44.821 +0900: %csc_nam-7-DEBUG_MSG: %[tid=11768]: Network EAP-TTLS: port authentication succeeded
2614: DESKTOP-QSCE4P3: Sep 25 2025 13:01:44.821 +0900: %csc_nam-7-DEBUG_MSG: %[tid=11824][comp=SAE]: NET (2) cdiEvt:(3,1) dataLen=42 (cimdEvt.c 358)
2615: DESKTOP-QSCE4P3: Sep 25 2025 13:01:44.821 +0900: %csc_nam-7-DEBUG_MSG: %[tid=11768]: Network EAP-TTLS: AccessStateMachine new state = ACCESS_AUTHENTICATED

适配器报告authenticated，并且NAM AccessStateMachine转换为ACCESS_AUTHENTICATED。这确认计算机已成功完成身份验证并具有完全网络访问权限。

用户身份验证

100: DESKTOP-QSCE4P3: Sep 25 2025 14:01:26.669 +0900: %csc_nam-7-DEBUG_MSG: %[tid=9664]: Network EAP-TTLS: AccessStateMachine new state = ACCESS_STARTED

NAM客户端开始EAP-TTLS连接过程。

195: DESKTOP-QSCE4P3: Sep 25 2025 15:09:11.780 +0900: %csc_nam-7-DEBUG_MSG: %[tid=3252]: Binding adapter Intel(R) I350 Gigabit Network Connection and machine auth for network EAP-TTLS
198: DESKTOP-QSCE4P3: Sep 25 2025 15:09:11.780 +0900: %csc_nam-7-DEBUG_MSG: %[tid=3252]: Network EAP-TTLS: AccessStateMachine new state = ACCESS_ATTACHED

NAM将物理适配器绑定到EAP-TTLS网络并进入ACCESS_ATTACHED状态，确认适配器已准备好进行身份验证。

204: DESKTOP-QSCE4P3: Sep 25 2025 15:09:11.780 +0900: %csc_nam-7-DEBUG_MSG: %[tid=3252]: Network EAP-TTLS: AccessStateMachine current state = ACCESS_ATTACHED, received userEvent = CONNECT
247: DESKTOP-QSCE4P3: Sep 25 2025 15:09:11.780 +0900: %csc_nam-7-DEBUG_MSG: %[tid=3680][comp=SAE]: STATE (3) S_enterStateAux called with state = CONNECTING (dot1x_sm.c 142)

从802.1X交换开始，客户端从ATTACHED转换到CONNECTING。

291: DESKTOP-QSCE4P3: Sep 25 2025 13:15:36.388 +0900: %csc_nam-7-DEBUG_MSG: %[tid=6644][comp=SAE]: 8021X (4) Sent start frame (dot1x_sm.c 117)

客户端发送EAPOL-Start以触发身份验证过程。

331: DESKTOP-QSCE4P3: Sep 25 2025 13:15:36.435 +0900: %csc_nam-7-DEBUG_MSG: %[tid=6644][comp=SAE]: PORT (3) net: RECV (status: UP, AUTO) (portMsg.c 686)
332: DESKTOP-QSCE4P3: Sep 25 2025 13:15:36.435 +0900: %csc_nam-7-DEBUG_MSG: %[tid=6644][comp=SAE]: 8021X (4) recvd EAP IDENTITY frame (dot1x_util.c 266)
340: DESKTOP-QSCE4P3: Sep 25 2025 13:15:36.435 +0900: %csc_nam-7-DEBUG_MSG: %[tid=6644][comp=SAE]: EAP (0) EAP State: EAP_STATE_IDENTITY (eap_auth_client.c 940)

交换机请求身份，客户端准备使用外部身份进行响应。

402: DESKTOP-QSCE4P3: Sep 25 2025 13:15:36.685 +0900: %csc_nam-7-DEBUG_MSG: %[tid=9580]: EAP-CB: credential requested: sync=80, session-id=1, handle=04C96A74, type=AC_CRED_SESSION_START
422: DESKTOP-QSCE4P3: Sep 25 2025 13:15:36.685 +0900: %csc_nam-7-DEBUG_MSG: %[tid=6088]: EAP: processing credential request: sync=80, session-id=1, eap-handle=04C96A74, eap-level=0, auth-level=0, protected=0, type=CRED_REQ_SESSION_START
460: DESKTOP-QSCE4P3: Sep 25 2025 13:15:36.685 +0900: %csc_nam-7-DEBUG_MSG: %[tid=6088]: EAP: credential request completed, response sent: sync=80

NAM发送外部身份。默认情况下，这是anonymous，表示交换用于用户身份验证（而不是计算机）。

488: DESKTOP-QSCE4P3: Sep 25 2025 13:15:36.497 +0900: %csc_nam-6-INFO_MSG: %[tid=6088]: EAP: EAP suggested by server: eapTtls
489: DESKTOP-QSCE4P3: Sep 25 2025 13:15:36.497 +0900: %csc_nam-6-INFO_MSG: %[tid=6088]: EAP: EAP requested by client:  eapTtls
490: DESKTOP-QSCE4P3: Sep 25 2025 13:15:36.497 +0900: %csc_nam-7-DEBUG_MSG: %[tid=6088]: EAP: EAP methods sent: sync=3
491: DESKTOP-QSCE4P3: Sep 25 2025 13:15:36.497 +0900: %csc_nam-7-DEBUG_MSG: %[tid=6088]: EAP: credential request 3: state transition: PENDING -> RESPONDED

客户端和服务器都同意使用EAP-TTLS作为外部方法。

660: DESKTOP-QSCE4P3: Sep 25 2025 14:01:27.185 +0900: %csc_nam-7-DEBUG_MSG: %[tid=8296][comp=SAE]: EAP (0) SSL STATE: SSLv3/TLS write client hello (eap_auth_tls_p.c 395)
661: DESKTOP-QSCE4P3: Sep 25 2025 14:01:27.185 +0900: %csc_nam-7-DEBUG_MSG: %[tid=8296][comp=SAE]: EAP (0) SSL STATE: SSLv3/TLS read server hello (eap_auth_tls_p.c 395)

客户端发送Client Hello并接收Server Hello，其中包括ISE证书。

706: DESKTOP-QSCE4P3: Sep 25 2025 13:04:31.967 +0900: %csc_nam-7-DEBUG_MSG: %[tid=11932][comp=SAE]: 8021X (4) recvd EAP TTLS frame (dot1x_util.c 303)
717: DESKTOP-QSCE4P3: Sep 25 2025 13:04:31.967 +0900: %csc_nam-7-DEBUG_MSG: %[tid=11932][comp=SAE]: EAP (0) SSL STATE: SSLv3/TLS read server hello (eap_auth_tls_p.c 395)
718: DESKTOP-QSCE4P3: Sep 25 2025 13:04:31.967 +0900: %csc_nam-6-INFO_MSG: %[tid=11932][comp=SAE]: CERT (0) looking up: "/CN=varshaah.varshaah.local" (lookup.c 97)
719: DESKTOP-QSCE4P3: Sep 25 2025 13:04:31.983 +0900: %csc_nam-6-INFO_MSG: %[tid=11932][comp=SAE]: CERT (0) certificate with serial number 022d90152393a07cd58919379f added to list (lookup_win32.c 230)
726: DESKTOP-QSCE4P3: Sep 25 2025 13:04:31.983 +0900: %csc_nam-7-DEBUG_MSG: %[tid=11932][comp=SAE]: EAP (0) SSL_ERROR_WANT_X509_LOOKUP (eap_auth_tls_p.c 194)

系统将显示服务器证书。客户端查找CN varshaah.varshaah.local，找到匹配项并验证证书。在检查X.509证书时，握手将暂停。

729: DESKTOP-QSCE4P3: Sep 25 2025 13:04:31.983 +0900: %csc_nam-7-DEBUG_MSG: %[tid=11932][comp=SAE]: EAP (2) EAP_EVENT_CRED_REQUEST queued (eapCredProcess.c 496)
730: DESKTOP-QSCE4P3: Sep 25 2025 13:04:31.983 +0900: %csc_nam-7-DEBUG_MSG: %[tid=11916][comp=SAE]: EAP (2) EAP: CRED_REQUEST (eapMessage.c 355)
1110: DESKTOP-QSCE4P3: Sep 25 2025 13:04:42.044 +0900: %csc_nam-7-DEBUG_MSG: %[tid=9644]: Auth[EAP-TTLS:user-auth]: Received username/password response
1111: DESKTOP-QSCE4P3: Sep 25 2025 13:04:42.044 +0900: %csc_nam-7-DEBUG_MSG: %[tid=9644]: Auth[EAP-TTLS:user-auth]: ...resumed

隧道已建立。NAM现在请求并准备受保护的身份和凭证以进行内部身份验证。

1527: DESKTOP-QSCE4P3: Sep 25 2025 13:04:42.169 +0900: %csc_nam-7-DEBUG_MSG: %[tid=11916][comp=SAE]: EAP (0) SSL STATE: SSLv3/TLS write client key exchange (eap_auth_tls_p.c 395)
1528: DESKTOP-QSCE4P3: Sep 25 2025 13:04:42.169 +0900: %csc_nam-7-DEBUG_MSG: %[tid=11916][comp=SAE]: EAP (0) SSL STATE: SSLv3/TLS write change cipher spec (eap_auth_tls_p.c 395)
1573: DESKTOP-QSCE4P3: Sep 25 2025 13:04:42.184 +0900: %csc_nam-7-DEBUG_MSG: %[tid=11932][comp=SAE]: EAP (0) SSL STATE: SSL negotiation finished successfully (eap_auth_tls_p.c 395)
1574: DESKTOP-QSCE4P3: Sep 25 2025 13:04:42.184 +0900: %csc_nam-7-DEBUG_MSG: %[tid=11932][comp=SAE]: EAP (0) EAP-TTLS: SSL handshake done (eap_auth_tls_p.c 426)
1575: DESKTOP-QSCE4P3: Sep 25 2025 13:04:42.184 +0900: %csc_nam-7-DEBUG_MSG: %[tid=11932][comp=SAE]: EAP (0) EAP-TTLS: New session. (eap_auth_tls_p.c 434)

TLS握手完成。现在已建立用于内部身份验证的安全隧道。

1616: DESKTOP-QSCE4P3: Sep 25 2025 14:01:46.262 +0900: %csc_nam-6-INFO_MSG: %[tid=9664]: Protected identity/(Username) sent.
1620: DESKTOP-QSCE4P3: Sep 25 2025 14:01:46.262 +0900: %csc_nam-7-DEBUG_MSG: %[tid=9664]: Auth[EAP-TTLS:user-auth]: Authentication state transition: AUTH_STATE_UNPROTECTED_IDENTITY_ACCEPTED -> AUTH_STATE_PROTECTED_IDENTITY_SENT
1689: DESKTOP-QSCE4P3: Sep 25 2025 14:01:46.277 +0900: %csc_nam-7-DEBUG_MSG: %[tid=9664]: Auth[EAP-TTLS:user-auth]: Authentication state transition: AUTH_STATE_PROTECTED_IDENTITY_SENT -> AUTH_STATE_PROTECTED_IDENTITY_ACCEPTED

受保护的身份（用户名）由ISE发送和接受。

1708: DESKTOP-QSCE4P3: Sep 25 2025 14:01:46.277 +0900: %csc_nam-7-DEBUG_MSG: %[tid=9456][comp=SAE]: EAP (1) deferred password request (eapRequest.c 148)
1738: DESKTOP-QSCE4P3: Sep 25 2025 13:01:44.758 +0900: %csc_nam-6-INFO_MSG: %[tid=11768]: Protected password sent.
1741: DESKTOP-QSCE4P3: Sep 25 2025 13:04:42.200 +0900: %csc_nam-7-DEBUG_MSG: %[tid=9644]: Auth[EAP-TTLS:user-auth]: Authentication state transition: AUTH_STATE_PROTECTED_IDENTITY_ACCEPTED -> AUTH_STATE_CREDENTIAL_SENT

ISE请求密码。NAM在TLS隧道内发送受保护的密码。

1851: DESKTOP-QSCE4P3: Sep 25 2025 13:04:42.262 +0900: %csc_nam-7-DEBUG_MSG: %[tid=9644]: Auth[EAP-TTLS:user-auth]: Authentication state transition: AUTH_STATE_CREDENTIAL_SENT -> AUTH_STATE_SUCCESS
1852: DESKTOP-QSCE4P3: Sep 25 2025 13:04:42.262 +0900: %csc_nam-7-DEBUG_MSG: %[tid=11932][comp=SAE]: STATE (4) dot1x->eapSuccess is True (dot1x_sm.c 352)
1853: DESKTOP-QSCE4P3: Sep 25 2025 13:04:42.262 +0900: %csc_nam-7-DEBUG_MSG: %[tid=9644]: Auth[EAP-TTLS:user-auth]: Sending NOTIFICATION__SUCCESS to subscribers
1854: DESKTOP-QSCE4P3: Sep 25 2025 13:04:42.262 +0900: %csc_nam-7-DEBUG_MSG: %[tid=11932][comp=SAE]: STATE (4) SUCCESS (dot1x_sm.c 358)
1855: DESKTOP-QSCE4P3: Sep 25 2025 13:04:42.262 +0900: %csc_nam-7-DEBUG_MSG: %[tid=11932][comp=SAE]: STATE (4) S_enterStateAux called with state = AUTHENTICATED (dot1x_sm.c 142)

ISE验证密码，发送EAP-Success，并且NAM转换为AUTHENTICATED。此时，用户身份验证已完成，客户端可以访问网络。

故障排除

当排除与思科ISE和交换机集成的网络访问管理器(NAM)故障时，必须从所有三个组件收集日志：安全客户端(NAM)、思科ISE和交换机。

安全客户端(NAM)日志

1. 按照以下步骤启用NAM扩展日志记录。

2. 重现问题.如果网络配置文件不适用，请在安全客户端中运行Network Repair。

3. 使用诊断和报告工具(DART)收集DART捆绑包。

思科ISE日志

在ISE上启用这些调试以捕获身份验证和目录交互：

• 运行时AAA

• nsf
• NSF会话

交换机日志

基本调试

request platform software trace rotate all
set platform software trace smd switch active R0 radius debug
set platform software trace smd switch active R0 aaa debug
set platform software trace smd switch active R0 dot1x-all debug
set platform software trace smd switch active R0 eap-all debug
debug radius all

高级调试（如果需要）

set platform software trace smd switch active R0 epm-all debug
set platform software trace smd switch active R0 pre-all debug

显示命令

show version
show debugging
show running-config aaa
show authentication session interface gix/x details
show dot1x interface gix/x
show aaa servers
show platform software trace message smd switch active R0

由于凭证无效，用户身份验证失败

当用户输入不正确的凭证时，安全客户端会显示网络的通用密码不正确：EAP-TTLS消息。屏幕上的错误没有指定问题是由无效的用户名还是密码造成的。

密码错误

如果身份验证连续两次失败，安全客户端将显示以下消息：网络“EAP-TTLS”出现身份验证错误。 请重试。如果问题仍然存在，请与管理员联系。

用户身份验证问题

要确定原因，请查看NAM日志。

1.密码不正确：

当用户输入不正确的密码时，NAM日志会显示与以下输出类似的条目：

3775: DESKTOP-QSCE4P3: Oct 02 2025 15:29:39.921 +0900: %csc_nam-7-DEBUG_MSG: %[tid=11300][comp=SAE]: EAP (0) EAP-MSCHAP-V2: MSCHAP_FAILURE received (eap_auth_mschapv2_c.c 776)
3776: DESKTOP-QSCE4P3: Oct 02 2025 15:29:39.921 +0900: %csc_nam-7-DEBUG_MSG: %[tid=11300][comp=SAE]: EAP (0) EAP-MSCHAP-V2: State: MSCHAP_STATE_R_RESULT (eap_auth_mschapv2_c.c 783)
3777: DESKTOP-QSCE4P3: Oct 02 2025 15:29:39.922 +0900: %csc_nam-7-DEBUG_MSG: %[tid=11300][comp=SAE]: EAP (0) EAP-MSCHAP-V2: Error: MSCHAP_ERROR_AUTHENTICATION_FAILURE (eap_auth_mschapv2_c.c 616)

在Cisco ISE实时日志中，对应事件显示为：

密码不正确

11001 Received RADIUS Access-Request 11017 RADIUS created a new session ... ... 11507 Extracted EAP-Response/Identity 10 12983 Prepared EAP-Request proposing EAP-TTLS with challenge ... ... 12978 Extracted EAP-Response containing EAP-TTLS challenge-response and accepting EAP-TTLS as negotiated 12800 Extracted first TLS record; TLS handshake started ... ... 12810 Prepared TLS ServerDone message ... ... 12812 Extracted TLS ClientKeyExchange message 12803 Extracted TLS ChangeCipherSpec message ... ... 12816 TLS handshake succeeded ... ... 11806 Prepared EAP-Request for inner method proposing EAP-MSCHAP with challenge 0 12985 Prepared EAP-Request with another EAP-TTLS challenge 11006 Returned RADIUS Access-Challenge 0 11001 Received RADIUS Access-Request ... ... 12971 Extracted EAP-Response containing EAP-TTLS challenge-response 0 11808 Extracted EAP-Response containing EAP-MSCHAP challenge-response for inner method and accepting EAP-MSCHAP as negotiated ... ... 15013 Selected Identity Source - varshaah-ad 0 24430 Authenticating user against Active Directory - varshaah-ad 0 24325 Resolving identity - labuser@varshaah.local 4 24313 Search for matching accounts at join point - varshaah.local 0 24319 Single matching account found in forest - varshaah.local 0 24323 Identity resolution detected single matching account 0 24344 RPC Logon request failed - STATUS_WRONG_PASSWORD, ERROR_INVALID_PASSWORD, labuser@varshaah.local 20 24408 User authentication against Active Directory failed since user has entered the wrong password - varshaah-ad 1 ... ... 11823 EAP-MSCHAP authentication attempt failed ... ... 11815 Inner EAP-MSCHAP authentication failed 0 ... ... 12976 EAP-TTLS authentication failed 0 ... ... 11003 Returned RADIUS Access-Reject

2.用户名不正确：

当用户输入不正确的用户名时，NAM日志会显示类似于以下输出的条目：

3788: DESKTOP-QSCE4P3: Oct 02 2025 15:29:39.923 +0900: %csc_nam-7-DEBUG_MSG: %[tid=11300][comp=SAE]: EAP (4) EAP status: AC_EAP_STATUS_ERR_CLIENT_IDENTITY_REJECTED (eapMessage.c 79)
3789: DESKTOP-QSCE4P3: Oct 02 2025 15:29:39.923 +0900: %csc_nam-7-DEBUG_MSG: %[tid=11300]: EAP-CB: EAP status notification: session-id=1, handle=051558CC, status=AC_EAP_STATUS_ERR_CLIENT_IDENTITY_REJECTED

在Cisco ISE实时日志中，对应事件显示为：

用户名不正确

11001 Received RADIUS Access-Request 11017 RADIUS created a new session ... ... 11507 Extracted EAP-Response/Identity 12983 Prepared EAP-Request proposing EAP-TTLS with challenge ... ... 12978 Extracted EAP-Response containing EAP-TTLS challenge-response and accepting EAP-TTLS as negotiated 12800 Extracted first TLS record; TLS handshake started ... ... 12810 Prepared TLS ServerDone message ... ... 12812 Extracted TLS ClientKeyExchange message 12803 Extracted TLS ChangeCipherSpec message ... ... 12816 TLS handshake succeeded ... ... 11806 Prepared EAP-Request for inner method proposing EAP-MSCHAP with challenge 12985 Prepared EAP-Request with another EAP-TTLS challenge 11006 Returned RADIUS Access-Challenge 11001 Received RADIUS Access-Request ... ... 12971 Extracted EAP-Response containing EAP-TTLS challenge-response 11808 Extracted EAP-Response containing EAP-MSCHAP challenge-response for inner method and accepting EAP-MSCHAP as negotiated ... ... 15013 Selected Identity Source - All_AD_Join_Points 24430 Authenticating user against Active Directory - varshaah-ad 24325 Resolving identity - user@varshaah.local 24313 Search for matching accounts at join point - varshaah.local ... ... 24352 Identity resolution failed - ERROR_NO_SUCH_USER 24412 User not found in Active Directory - varshaah-ad ... ... 15013 Selected Identity Source - Internal Users 24210 Looking up User in Internal Users IDStore - user 24216 The user is not found in the internal users identity store ... ... 22056 Subject not found in the applicable identity store(s) 22058 The advanced option that is configured for an unknown user is used 22061 The 'Reject' advanced option is configured in case of a failed authentication request 11823 EAP-MSCHAP authentication attempt failed ... ... 11815 Inner EAP-MSCHAP authentication failed ... ... 12976 EAP-TTLS authentication failed 0 ... ... 11504 Prepared EAP-Failure 1 11003 Returned RADIUS Access-Reject

已知缺陷