具有SAML身份驗證和Bencode字典錯誤的Cisco安全客戶端VPN連線故障
目錄
問題
使用思科安全客戶端的VPN連線無法在使用Google IdP的SAML身份驗證時建立。雖然SAML身份驗證在IdP端成功,但客戶端在身份驗證後處理過程中失敗,並轉換為斷開狀態,從而阻止建立VPN隧道。
環境
思科安全客戶端版本5.1.13.177
使用Google IdP配置的SAML身份驗證
安全訪問 — 安全客戶端遠端訪問(VPN、安全狀態、專用資源)
Google IdP身份驗證日誌顯示成功的SAML身份驗證
解析
通過重新安裝Cisco Secure Client解決了此問題。已記錄以下故障排除方法:
初始診斷步驟
步驟 1:從受影響的終端收集DART日誌 — https://www.cisco.com/c/en/us/support/docs/security/secure-client/221919-collect-dart-bundle-for-secure-client.html
提取Dart捆綁包> Cisco Secure client > Anyconnect VPN > Logs > Under VPN Folder > AnyConnectVPN.txt — 讀取內部設定時顯示以下錯誤,並且持續顯示以下錯誤:
Bencode字典內部化失敗
未能建立Bencode字典
PHONEHOMEVPN_ERROR_UNEXPECTED
GLOBAL_ERROR_UNEXPECTED
步驟 2:驗證IdP端的SAML身份驗證狀態
確認Google IdP日誌顯示成功的SAML身份驗證,以將問題隔離到客戶端身份驗證後處理。
解決方案實施
步驟 1:重新安裝思科安全客戶端
解除安裝現有的Cisco Secure Client安裝,並對客戶端軟體執行全新重新安裝。
步驟 2:驗證VPN連線恢復
重新安裝後,使用SAML身份驗證測試VPN連線,以確認連線成功建立且隧道建立正確。
重新安裝Cisco安全客戶端恢復了VPN功能,允許成功建立SAML身份驗證和隧道。
原因
根本原因似乎與Cisco安全客戶端安裝中的內部配置資料損壞有關,特別是影響了CPhoneHomeVpn/PhoneHomeAgent元件在身份驗證後處理期間處理Bencode字典資料的能力。重複的「Bencode dictionary internalize failed」和「Failed to create Bencode dictionary」錯誤表明客戶端無法正確分析或處理在成功進行SAML身份驗證之後建立VPN隧道所需的內部配置資料。
該問題已通過客戶端重新安裝得到解決,這表明該問題與客戶端資料損壞相關,而不是與伺服器端配置或IdP整合問題相關。
相關內容
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
1.0 |
04-Jun-2026
|
初始版本 |
意見