AnyConnect Network Access Manager-Protokollierung verstehen
Download-Optionen
-
ePub (87.1 KB)
In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
Inklusive Sprache
In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.
Informationen zu dieser Übersetzung
Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.
Inhalt
Einleitung
In diesem Dokument wird beschrieben, wie die Protokollierung über den AnyConnect Network Access Manager (NAM) aktiviert und die Protokolle erfasst und interpretiert werden. In den im Dokument enthaltenen Beispielen werden verschiedene Authentifizierungsszenarien und die Protokolle beschrieben, die die vom Network Access Manager zur Authentifizierung des Clients unternommenen Schritte widerspiegeln.
Voraussetzungen
Anforderungen
Es gibt keine spezifischen Anforderungen für dieses Dokument.
Verwendete Komponenten
Dieses Dokument ist nicht auf bestimmte Software- und Hardware-Versionen beschränkt.
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netz Live ist, überprüfen Sie, ob Sie die mögliche Auswirkung jedes möglichen Befehls verstehen.
NAM-Protokollierung aktivieren
Wenn ein Problem erkannt wird, das möglicherweise mit dem NAM-Modul zusammenhängt, besteht der erste Schritt darin, die Funktion für erweiterte Protokollierung zu aktivieren. Dies muss auf dem Client-Endpunkt erfolgen, während das NAM-Modul ausgeführt wird.
Schritt 1: Öffnen Sie das AnyConnect-Fenster, und stellen Sie sicher, dass es sich im Fokus befindet.
Schritt 2. Drücken Sie diese Tastenkombination, Umschalt+Alt+L links. Es gibt keine Antwort.
Schritt 3: Klicken Sie mit der rechten Maustaste auf das Symbol AnyConnect in der Windows-Taskleiste. Es erscheint ein Menü.
Schritt 4: Wählen Sie Erweiterte Protokollierung aus, damit ein Häkchen angezeigt wird. NAM protokolliert jetzt detaillierte Debugmeldungen.
Konfigurieren der NAM-Paketerfassung
Wenn die erweiterte Protokollierung aktiviert ist, sorgt NAM auch dafür, dass ein Paketerfassungspuffer aktiv bleibt. Der Puffer ist standardmäßig auf ca. 1MB begrenzt. Wenn eine Paketerfassung erforderlich ist, kann es von Vorteil sein, die Puffergröße zu erhöhen, damit mehr Aktivitäten erfasst werden können. Um den Puffer zu erweitern, muss eine XML-Einstellungsdatei manuell geändert werden.
Schritt 1: Navigieren Sie auf dem Windows-PC zu:
C:\ProgramData\Cisco\Cisco AnyConnect Secure Mobility Client\Network Access Manager\system\
Schritt 2: Öffnen Sie die Datei internalConfiguration.xml.
Schritt 3: Suchen Sie nach dem XML-Tag <packetCaptureFileSize>1</packetCaptureFileSize>, und passen Sie den Wert für eine Puffergröße von 10 MB auf 10 an usw.
Schritt 4: Starten Sie den Client-PC neu, damit die Änderung wirksam wird.
Protokollsammlung
Die NAM-Protokollerfassung erfolgt über das Diagnostic And Reporting Tool (DART), ein Modul der AnyConnect-Suite. Wählen Sie im Installationsprogramm ein Modul aus, und verwenden Sie AnyConnect ISO für die vollständige Installation. Sie finden das Installationsprogramm für Cisco Media Services Interface (MSI) auch innerhalb der ISO-Datei.
Nachdem Sie die erweiterte Protokollierung aktiviert und einen Test durchgeführt haben, führen Sie einfach DART aus, und gehen Sie durch den Dialog. Das Protokollpaket befindet sich standardmäßig auf dem Windows-Desktop.
Zusätzlich zum DART-Paket ist das NAM-Nachrichtenprotokoll hilfreich, um die relevanten Daten im NAM-Protokoll zu finden. Um nach dem NAM-Nachrichtenprotokoll zu suchen, navigieren Sie zu AnyConnect settings window > Network Access Manager > Message History. Das Nachrichtenprotokoll enthält einen Zeitstempel für jedes Netzwerkverbindungsereignis, anhand dessen die für das Ereignis relevanten Protokolle ermittelt werden können.
Lesen von NAM-Protokollen
NAM-Protokolle enthalten, insbesondere nachdem Sie die erweiterte Protokollierung aktiviert haben, eine große Datenmenge, von der die meisten irrelevant sind und ignoriert werden können. In diesem Abschnitt werden die Debug-Zeilen aufgelistet, um die einzelnen Schritte von NAM zum Herstellen einer Netzwerkverbindung zu veranschaulichen. Wenn Sie ein Protokoll durcharbeiten, können diese Schlüsselbegriffe hilfreich sein, um einen Teil des Protokolls zu finden, der für das Problem relevant ist.
Protokollzusammenfassung einer Netzwerkverbindung ohne aktivierte 802.1x-Authentifizierung
2016 17:20:37.974 +0600: %NAM-7-DEBUG_MSG: %[tid=1412]: Network test123: AccessStateMachine current state = ACCESS_STOPPED, received userEvent = START
Erläuterung: Dies zeigt an, dass der Benutzer ein Netzwerk aus dem NAM-Modul ausgewählt hat und dass NAM ein userEvent von START erhalten hat.
538: TESTPC: May 16 2016 17:20:37.974 +0600: %NAM-7-DEBUG_MSG: %[tid=1412]: Network test123: AccessStateMachine new state = ACCESS_STARTED 539: TESTPC: May 16 2016 17:20:37.974 +0600: %NAM-7-DEBUG_MSG: %[tid=1412]: Network test123: NetworkStateMachine current state USER_T_DISCONNECTED, received access event ACCESS_STARTED
Erläuterung: Sowohl der Access-State-Computer als auch der Network-State-Computer wurden gestartet.
545: TESTPC: May 16 2016 17:20:37.974 +0600: %NAM-7-DEBUG_MSG: %[tid=1412]: Ipv4 {EFDAF0F0-CF25-4D88-B125-E748CD539DFF}: received Cancel event [state: COMPLETE]
Erläuterung: Die IPv4-Instanz wurde abgebrochen, um die Zustände zurückzusetzen.
547: TESTPC: May 16 2016 17:20:37.974 +0600: %NAM-7-DEBUG_MSG: %[tid=1412]: starting makeMatches...
549: TESTPC: May 16 2016 17:20:37.989 +0600: %NAM-6-INFO_MSG: %[tid=1412]: matching adapter {484E4FEF-392C-436F-97F0-CD7206CD7D48} and network test123 ...
Erläuterung: Der Adapter mit der ID 484E4FEF-392C-436F-97F0-CD7206CD7D48 wurde für die Verbindung mit dem Netzwerktest123 ausgewählt. Dies ist der Name der in NAM konfigurierten Netzwerkverbindung.
551: TESTPC: May 16 2016 17:20:37.989 +0600: %NAM-7-DEBUG_MSG: %[tid=1412]: Network test123: AccessStateMachine new state = ACCESS_ATTACHED 557: TESTPC: May 16 2016 17:20:37.989 +0600: %NAM-7-DEBUG_MSG: %[tid=1412]: Network test123: AccessStateMachine current state = ACCESS_ATTACHED, received userEvent = CONNECT
Erläuterung: NAM hat den Adapter für dieses Netzwerk erfolgreich aktiviert. NAM versucht nun, eine Verbindung mit diesem Netzwerk (das zufällig ein Wireless-Netzwerk ist) herzustellen:
561: TESTPC: May 16 2016 17:20:37.989 +0600: %NAM-7-DEBUG_MSG: %[tid=1412]: ACE: adapter SM current: state(STATE_DISCONNECTED_LINK_DOWN), event(EVENT_CONNECT) 562: TESTPC: May 16 2016 17:20:37.989 +0600: %NAM-7-DEBUG_MSG: %[tid=1412]: ACE: adapter SM state change: STATE_DISCONNECTED_LINK_DOWN -> STATE_ASSOCIATING 567: TESTPC: May 16 2016 17:20:37.989 +0600: %NAM-6-INFO_MSG: %[tid=1412]: Starting wifi connection, trying ssid test123 ... 568: TESTPC: May 16 2016 17:20:37.989 +0600: %NAM-6-INFO_MSG: %[tid=1412]: Connection Association Started(openNoEncryption)
Erläuterung: openNoEncryption gibt an, dass das Netzwerk als offen konfiguriert ist. Auf dem Wireless LAN Controller wird MAC Authentication Bypass (MAB) für die Authentifizierung verwendet.
234: TESTPC: May 16 2016 17:20:38.020 +0600: %NAMSSO-7-DEBUG_MSG: %[tid=1912]: waiting for cs...
Erläuterung: cs ist in NAM-Protokollen häufig zu finden. Diese Protokolle sind irrelevant und sollten ignoriert werden.
575: TESTPC: May 16 2016 17:20:38.020 +0600: %NAM-7-DEBUG_MSG: %[tid=1412]: Network test123: NetworkStateMachine new state USER_T_DISCONNECTED 236: TESTPC: May 16 2016 17:20:38.020 +0600: %NAMSSO-7-DEBUG_MSG: %[tid=1912]: Tx CP Msg: <?xml version="1.0" encoding="UTF-8"?><SOAP-ENV:Envelope xmlns:SOAP-ENV="http://schemas.xmlsoap.org/soap/envelope/" xmlns:ssc="http://www.cisco.com/ssc" encodingStyle="http://schemas.xmlsoap.org/soap/encoding/"> <SOAP-ENV:Body> <networkStateEvent> <sequenceNumber>16</sequenceNumber> <groupName>Local networks</groupName> <networkName>test123</networkName> <networkState>Associating</networkState> <adapterName>Intel(R) Centrino(R) Ultimate-N 6300 AGN</adapterName> <serverVerifiedName></serverVerifiedName> </networkStateEvent> </SOAP-ENV:Body></SOAP-ENV:Envelope>
Erläuterung: Dies sind SOAP-Nachrichten (Simple Object Access Protocol), die verwendet werden, um der AnyConnect-GUI mitzuteilen, dass sie die Verbindungsstatusmeldung anzeigen soll, wie in diesem Fall Associating. Alle Fehlermeldungen, die im NAM-Fenster angezeigt werden, finden Sie in einer der SOAP-Meldungen im Protokoll, mit der das Problem leicht lokalisiert werden kann.
582: TESTPC: May 16 2016 17:20:38.020 +0600: %NAM-7-DEBUG_MSG: %[tid=1412]: {484E4FEF-392C-436F-97F0-CD7206CD7D48} - Received STATE_AUTHENTICATED
583: TESTPC: May 16 2016 17:20:38.020 +0600: %NAM-7-DEBUG_MSG: %[tid=1412]: ACE: adapter SM current: state(STATE_ASSOCIATING), event(EVENT_AUTH_SUCCESS)
Erläuterung: NAM empfängt ein AUTH_SUCCESS-Ereignis, das irreführend ist, da derzeit keine Authentifizierung erfolgt ist. Sie erhalten dieses Ereignis einfach, weil Sie eine Verbindung mit einem offenen Netzwerk herstellen, sodass die Standardauthentifizierung erfolgreich ist.
595: TESTPC: May 16 2016 17:20:38.738 +0600: %NAM-7-DEBUG_MSG: %[tid=1412]: Network test123: AccessStateMachine current state = ACCESS_ASSOCIATING, received adapterState = associated
Erläuterung: Die Zuordnung zum Service Set Identifier (SSID) ist erfolgreich. Die Zeit für die Authentifizierungshandhabung ist abgelaufen.
603: TESTPC: May 16 2016 17:20:38.754 +0600: %NAM-6-INFO_MSG: %[tid=1412][mac=1,6,3c:a9:f4:33:ab:50]: Authentication not required. 604: TESTPC: May 16 2016 17:20:38.754 +0600: %NAM-7-DEBUG_MSG: %[tid=1412]: ACE: adapter SM current: state(STATE_ASSOCIATED), event(EVENT_AUTH_SUCCESS) 605: TESTPC: May 16 2016 17:20:38.754 +0600: %NAM-7-DEBUG_MSG: %[tid=1412]: ACE: adapter SM state change: STATE_ASSOCIATED -> STATE_AUTHENTICATED
Erläuterung: Da es sich um ein offenes Netzwerk handelt, wird es standardmäßig authentifiziert. An diesem Punkt ist NAM mit dem Netzwerk verbunden und startet nun den DHCP-Prozess:
610: TESTPC: May 16 2016 17:20:38.754 +0600: %NAM-7-DEBUG_MSG: %[tid=1412]: {484E4FEF-392C-436F-97F0-CD7206CD7D48} creating a new DHCP work
612: TESTPC: May 16 2016 17:20:38.754 +0600: %NAM-6-INFO_MSG: %[tid=1412][mac=1,6,3c:a9:f4:33:ab:50]: {484E4FEF-392C-436F-97F0-CD7206CD7D48}: DHCP: Sending DHCP request
613: TESTPC: May 16 2016 17:20:38.754 +0600: %NAM-7-DEBUG_MSG: %[tid=1412]: queueing DHCP work
642: TESTPC: May 16 2016 17:20:40.830 +0600: %NAM-7-DEBUG_MSG: %[tid=1448]: Ipv4 {484E4FEF-392C-436F-97F0-CD7206CD7D48}: connectivity test[03]: IP:10.201.230.196(255.255.255.224) GW:10.201.230.193 [Success]
643: TESTPC: May 16 2016 17:20:40.830 +0600: %NAM-7-DEBUG_MSG: %[tid=1412]: Ipv4 {484E4FEF-392C-436F-97F0-CD7206CD7D48}: received Success event [state: WAIT_FOR_CONNECTIVITY]
645: TESTPC: May 16 2016 17:20:40.845 +0600: %NAM-6-INFO_MSG: %[tid=1412][mac=1,6,3c:a9:f4:33:ab:50]: {484E4FEF-392C-436F-97F0-CD7206CD7D48}: IP Address Received: 10.201.230.196
646: TESTPC: May 16 2016 17:20:40.845 +0600: %NAM-7-DEBUG_MSG: %[tid=1412]: Ipv4 Connectivity Result: SUCCESS
Erläuterung: NAM hat erfolgreich eine IP-Adresse erhalten.
648: TESTPC: May 16 2016 17:20:40.845 +0600: %NAM-7-DEBUG_MSG: %[tid=1412]: ACE: adapter SM current: state(STATE_AUTHENTICATED), event(EVENT_IP_CONNECTIVITY) 649: TESTPC: May 16 2016 17:20:40.845 +0600: %NAM-7-DEBUG_MSG: %[tid=1412]: ACE: adapter SM state change: STATE_AUTHENTICATED -> STATE_CONNECTED
Erläuterung: Sobald eine IP-Adresse empfangen wurde, sendet NAM eine ARP-Anforderung (Address Resolution Protocol) an das Gateway (Get-Connectivity). Sobald die ARP-Antwort empfangen wurde, wird der Client verbunden.
Zusammenfassung einer Netzwerkverbindung mit 802.1x und PEAP über ein kabelgebundenes Netzwerk protokollieren
1286: TESTPC: May 16 2016 17:55:17.138 +0600: %NAM-7-DEBUG_MSG: %[tid=1412]: Network WiredPEAP: AccessStateMachine new state = ACCESS_STARTED
Erläuterung: NAM hat mit dem WiredPEAP-Netzwerk eine Verbindung hergestellt.
1300: TESTPC: May 16 2016 17:55:17.138 +0600: %NAM-7-DEBUG_MSG: %[tid=1412]: Binding adapter Intel(R) 82579LM Gigabit Network Connection and user auth for network WiredPEAP 1303: TESTPC: May 16 2016 17:55:17.138 +0600: %NAM-7-DEBUG_MSG: %[tid=1412]: Network WiredPEAP: AccessStateMachine new state = ACCESS_ATTACHED
Erklärung: NAM hat einen Adapter mit diesem Netzwerk abgeglichen.
1309: TESTPC: May 16 2016 17:55:17.138 +0600: %NAM-7-DEBUG_MSG: %[tid=1412]: Network WiredPEAP: AccessStateMachine current state = ACCESS_ATTACHED, received userEvent = CONNECT 1342: TESTPC: May 16 2016 17:55:17.154 +0600: %NAM-7-DEBUG_MSG: %[tid=1468][comp=SAE]: STATE (4) S_enterStateAux called with state = CONNECTING (dot1x_sm.c 142)
Erläuterung: NAM hat mit dem Herstellen einer Verbindung zu diesem kabelgebundenen Netzwerk begonnen.
1351: TESTPC: May 16 2016 17:55:17.154 +0600: %NAM-7-DEBUG_MSG: %[tid=1468][comp=SAE]: 8021X (4) Sent start frame (dot1x_sm.c 117)
Erläuterung: Der Client sendet EAPOL_START.
1388: TESTPC: May 16 2016 17:55:17.154 +0600: %NAM-7-DEBUG_MSG: %[tid=1468][comp=SAE]: PORT (3) net: RECV (status: UP, AUTO) (portMsg.c 658) 1389: TESTPC: May 16 2016 17:55:17.154 +0600: %NAM-7-DEBUG_MSG: %[tid=1468][comp=SAE]: 8021X (4) recvd EAP IDENTITY frame (dot1x_util.c 264) 1397: TESTPC: May 16 2016 17:55:17.154 +0600: %NAM-7-DEBUG_MSG: %[tid=1468][comp=SAE]: EAP (0) EAP State: EAP_STATE_IDENTITY (eap_auth_client.c 940)
Erläuterung: Der Client empfängt eine Identitätsanforderung vom Switch und sucht nun nach einer Anmeldeinformation, die er zurücksenden kann.
1406: TESTPC: May 16 2016 17:55:17.154 +0600: %NAM-7-DEBUG_MSG: %[tid=1464]: EAP-CB: credential requested: sync=8, session-id=1, handle=00AE1FFC, type=AC_CRED_SESSION_START 1426: TESTPC: May 16 2016 17:55:17.169 +0600: %NAM-7-DEBUG_MSG: %[tid=1412]: EAP: processing credential request: sync=8, session-id=1, eap-handle=00AE1FFC, eap-level=0, auth-level=0, protected=0, type=CRED_REQ_SESSION_START 1458: TESTPC: May 16 2016 17:55:17.169 +0600: %NAM-6-INFO_MSG: %[tid=1412]: Trying fast reauthentication for unprotected identity anonymous 1464: TESTPC: May 16 2016 17:55:17.169 +0600: %NAM-7-DEBUG_MSG: %[tid=1412]: EAP: credential request completed, response sent: sync=9
Erläuterung: Standardmäßig sendet AnyConnect anonyme als ungeschützte Identität (äußere Identität), also versucht es anonyme und sieht, ob der Server damit einverstanden ist. Die Tatsache, dass die Identität anonym und nicht Host/anonym ist, deutet darauf hin, dass es sich um eine Benutzerauthentifizierung und nicht um eine Computerauthentifizierung handelt.
1492: TESTPC: May 16 2016 17:55:17.185 +0600: %NAM-7-DEBUG_MSG: %[tid=1468][comp=SAE]: 8021X (4) recvd EAP TLS frame (dot1x_util.c 293)
Erläuterung: Der RADIUS-Server sendet einen EAP-TLS-Frame (Extensible Authentication Protocol-Transport Layer Security) ohne Inhalt. Sie dient dazu, das EAP-TLS-Protokoll mit dem Client auszuhandeln.
1516: TESTPC: May 16 2016 17:55:17.185 +0600: %NAM-6-INFO_MSG: %[tid=1412]: EAP: EAP suggested by server: eapTls 1517: TESTPC: May 16 2016 17:55:17.185 +0600: %NAM-6-INFO_MSG: %[tid=1412]: EAP: EAP requested by client: eapPeap 1518: TESTPC: May 16 2016 17:55:17.185 +0600: %NAM-7-DEBUG_MSG: %[tid=1412]: EAP: EAP methods sent: sync=10 1519: TESTPC: May 16 2016 17:55:17.185 +0600: %NAM-7-DEBUG_MSG: %[tid=1412]: EAP: credential request 10: state transition: PENDING -> RESPONDED
Erläuterung: NAM erkennt die Anforderung des Servers, EAP-TLS zu verwenden, der Client ist jedoch für die Verwendung des Protected Extensible Authentication Protocol (PEAP) konfiguriert. Aus diesem Grund sendet NAM ein Gegenangebot für PEAP zurück.
1520: TESTPC: May 16 2016 17:55:17.185 +0600: %NAM-7-DEBUG_MSG: %[tid=1412]: Auth[WiredPEAP:user-auth]: Authentication state transition: AUTH_STATE_UNPROTECTED_IDENTITY_SENT_FOR_FAST_REAUTHENTICATION -> AUTH_STATE_UNPROTECTED_IDENTITY_ACCEPTED
Erläuterung: Der RADIUS-Server akzeptiert die äußere/ungeschützte Identität.
1551: TESTPC: May 16 2016 17:55:17.200 +0600: %NAM-7-DEBUG_MSG: %[tid=1468][comp=SAE]: 8021X (4) recvd EAP PEAP frame (dot1x_util.c 305) 1563: TESTPC: May 16 2016 17:55:17.200 +0600: %NAM-7-DEBUG_MSG: %[tid=1468][comp=SAE]: EAP (0) EAP-PEAP: SSL handshake start (eap_auth_tls_p.c 409)
Erläuterung: Der geschützte Teil von PEAP (um einen sicheren Tunnel für den Austausch von internen Anmeldedaten einzurichten) wird gestartet, nachdem der Client eine Bestätigung vom RADIUS-Server erhalten hat, PEAP weiter zu verwenden.
1565: TESTPC: May 16 2016 17:55:17.200 +0600: %NAM-7-DEBUG_MSG: %[tid=1468][comp=SAE]: EAP (0) SSL STATE: SSLv3 write client hello A (eap_auth_tls_p.c 394) 1566: TESTPC: May 16 2016 17:55:17.200 +0600: %NAM-7-DEBUG_MSG: %[tid=1468][comp=SAE]: EAP (0) SSL STATE: SSLv3 read server hello A (eap_auth_tls_p.c 394)
Erläuterung: NAM sendet ein Client-Hello, das in eine EAP-Nachricht eingebettet ist, und wartet auf das Eintreffen des Server-Hello. Das Hello des Servers enthält ein ISE-Zertifikat, sodass die Übertragung einige Zeit in Anspruch nimmt.
1622: TESTPC: May 16 2016 17:55:17.216 +0600: %NAM-7-DEBUG_MSG: %[tid=1468][comp=SAE]: 8021X (4) recvd EAP PEAP frame (dot1x_util.c 305) 1632: TESTPC: May 16 2016 17:55:17.216 +0600: %NAM-7-DEBUG_MSG: %[tid=1468][comp=SAE]: EAP (0) SSL STATE: SSLv3 read server hello A (eap_auth_tls_p.c 394) 1633: TESTPC: May 16 2016 17:55:17.216 +0600: %NAM-6-INFO_MSG: %[tid=1468][comp=SAE]: CERT (0) looking up: "/CN=ISE20-1.kurmai.com" (lookup.c 100) 1634: TESTPC: May 16 2016 17:55:17.232 +0600: %NAM-6-INFO_MSG: %[tid=1468][comp=SAE]: CERT (0) Certificate not found: "/CN=ISE20-1.kurmai.com" (lookup.c 133) 1646: TESTPC: May 16 2016 17:55:17.232 +0600: %NAM-7-DEBUG_MSG: %[tid=1468][comp=SAE]: EAP (0) SSL_ERROR_WANT_X509_LOOKUP (eap_auth_tls_p.c 193)
Erläuterung: NAM extrahierte den Antragstellernamen des ISE-Servers aus dem Serverzertifikat. Da das Serverzertifikat nicht im Vertrauenspeicher installiert ist, finden Sie es dort nicht.
1649: TESTPC: May 16 2016 17:55:17.232 +0600: %NAM-7-DEBUG_MSG: %[tid=1468][comp=SAE]: EAP (5) EAP_EVENT_CRED_REQUEST queued (eapCredProcess.c 496) 1650: TESTPC: May 16 2016 17:55:17.232 +0600: %NAM-7-DEBUG_MSG: %[tid=1464][comp=SAE]: EAP (5) EAP: CRED_REQUEST (eapMessage.c 355) 1662: TESTPC: May 16 2016 17:55:17.232 +0600: %NAM-6-INFO_MSG: %[tid=1412]: Getting credentials from logon. 1685: TESTPC: May 16 2016 17:55:17.232 +0600: %NAM-7-DEBUG_MSG: %[tid=1412]: Auth[WiredPEAP:user-auth]: ...resumed
Erläuterung: NAM sucht nach der inneren/geschützten Identität, die an den RADIUS-Server gesendet wird, nachdem der Tunnel eingerichtet wurde. In diesem Fall wurde die Option "Windows-Anmeldename und -Kennwort automatisch verwenden" auf dem kabelgebundenen Adapter aktiviert. NAM verwendet daher Windows-Anmeldedaten, anstatt den Benutzer danach zu fragen.
1700: TESTPC: May 16 2016 17:55:17.247 +0600: %NAM-7-DEBUG_MSG: %[tid=1464][comp=SAE]: EAP (0) SSL STATE: SSLv3 write client key exchange A (eap_auth_tls_p.c 394) 1701: TESTPC: May 16 2016 17:55:17.247 +0600: %NAM-7-DEBUG_MSG: %[tid=1464][comp=SAE]: EAP (0) SSL STATE: SSLv3 write change cipher spec A (eap_auth_tls_p.c 394) 1750: TESTPC: May 16 2016 17:55:17.278 +0600: %NAM-7-DEBUG_MSG: %[tid=1468][comp=SAE]: EAP (0) SSL STATE: SSL negotiation finished successfully (eap_auth_tls_p.c 394) 1751: TESTPC: May 16 2016 17:55:17.278 +0600: %NAM-7-DEBUG_MSG: %[tid=1468][comp=SAE]: EAP (0) EAP-PEAP: SSL handshake done (eap_auth_tls_p.c 425) 1752: TESTPC: May 16 2016 17:55:17.278 +0600: %NAM-7-DEBUG_MSG: %[tid=1468][comp=SAE]: EAP (0) EAP-PEAP: New session. (eap_auth_tls_p.c 433) 1753: TESTPC: May 16 2016 17:55:17.278 +0600: %NAM-7-DEBUG_MSG: %[tid=1468][comp=SAE]: EAP (0) EAP-PEAP: session cipher AES256-SHA. (eap_auth_tls_p.c 441)
Erläuterung: NAM hat den Clientschlüssel und die Chiffrierspezifikation an den Server gesendet und eine Bestätigung erhalten. Die SSL-Verhandlung ist erfolgreich, und es wurde ein Tunnel eingerichtet.
1810: TESTPC: May 16 2016 17:55:17.294 +0600: %NAM-6-INFO_MSG: %[tid=1412]: Protected identity/(Username) sent. 1814: TESTPC: May 16 2016 17:55:17.294 +0600: %NAM-7-DEBUG_MSG: %[tid=1412]: Auth[WiredPEAP:user-auth]: Authentication state transition: AUTH_STATE_UNPROTECTED_IDENTITY_ACCEPTED -> AUTH_STATE_PROTECTED_IDENTITY_SENT 1883: TESTPC: May 16 2016 17:55:17.310 +0600: %NAM-7-DEBUG_MSG: %[tid=1412]: Auth[WiredPEAP:user-auth]: Authentication state transition: AUTH_STATE_PROTECTED_IDENTITY_SENT -> AUTH_STATE_PROTECTED_IDENTITY_ACCEPTED
Erläuterung: Die geschützte Identität wird an den Server gesendet, der die Identität akzeptiert. Jetzt fordert der Server das Passwort an.
1902: TESTPC: May 16 2016 17:55:17.310 +0600: %NAM-7-DEBUG_MSG: %[tid=1464][comp=SAE]: EAP (5) deferred password request (eapRequest.c 147) 1918: TESTPC: May 16 2016 17:55:17.310 +0600: %NAM-6-INFO_MSG: %[tid=1412]: Protected password sent. 1921: TESTPC: May 16 2016 17:55:17.325 +0600: %NAM-7-DEBUG_MSG: %[tid=1412]: Auth[WiredPEAP:user-auth]: Authentication state transition: AUTH_STATE_PROTECTED_IDENTITY_ACCEPTED -> AUTH_STATE_CREDENTIAL_SENT
Erläuterung: NAM empfängt eine Kennwortanforderung und sendet ein Kennwort an den Server.
2076: TESTPC: May 16 2016 17:55:17.856 +0600: %NAM-7-DEBUG_MSG: %[tid=1412]: Auth[WiredPEAP:user-auth]: Authentication state transition: AUTH_STATE_CREDENTIAL_SENT -> AUTH_STATE_SUCCESS 2077: TESTPC: May 16 2016 17:55:17.856 +0600: %NAM-7-DEBUG_MSG: %[tid=1468][comp=SAE]: STATE (4) S_enterStateAux called with state = AUTHENTICATED (dot1x_sm.c 142)
Erläuterung: Server empfängt das Kennwort, verifiziert es und sendet EAP-Success. Die Authentifizierung ist zu diesem Zeitpunkt erfolgreich, und der Client setzt den Vorgang fort, während er die IP-Adresse vom DHCP bezieht.
Revisionsverlauf
| Überarbeitung | Veröffentlichungsdatum | Kommentare |
|---|---|---|
1.0 |
05-Aug-2016 |
Erstveröffentlichung |
Beiträge von Cisco Ingenieuren
- Kurt MaiCisco TAC-Techniker
FeedbackCisco kontaktieren
- Eine Supportanfrage öffnen
- (Erfordert einen Cisco Servicevertrag)