Konfigurieren der EAP-TLS-Authentifizierung mit der ISE

Download-Optionen

  • PDF     (1.3 MB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (1.1 MB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (1.1 MB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:13. Juli 2023
Dokument-ID:214975

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    In diesem Dokument wird die Erstkonfiguration zur Einführung der erweiterten Authentifizierung, des Transportschichtsicherheitsprotokolls und der Authentifizierung mit der Cisco ISE beschrieben.

    Voraussetzungen

    Anforderungen

    Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:

    • Grundlegendes Verständnis des EAP- und RADIUS-Kommunikationsflusses
    • Grundlegendes RADIUS-Authentifizierungswissen mit zertifikatbasierten Authentifizierungsmethoden hinsichtlich des Kommunikationsflusses.
    • Verständnis der Unterschiede zwischen Dot1x und MAC Authentication Bypass (MAB).
    • Grundlegendes Verständnis der Public Key Infrastructure (PKI)
    • Vertrautheit mit dem Abrufen signierter Zertifikate von einer Zertifizierungsstelle (Certificate Authority, CA) und dem Verwalten von Zertifikaten auf den Endpunkten
    • Konfiguration von Einstellungen im Zusammenhang mit Authentifizierung, Autorisierung und Abrechnung (AAA) (RADIUS) auf einem Netzwerkgerät (kabelgebunden oder Wireless).
    • Konfiguration der Komponente (am Endpunkt) zur Verwendung mit RADIUS/802.1x.

    Verwendete Komponenten

    Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:

    • Identity Services Engine (ISE) Version 3.x
    • CA: Ausstellung von Zertifikaten (kann eine Enterprise-CA, eine Drittanbieter- oder öffentliche CA sein oder das Zertifikatbereitstellungsportal verwenden).
    • Active Directory (externe Identitätsquelle) - von Windows Server; mit ISE kompatibel.
    • Netzwerkzugriffsgerät (Network Access Device, NAD) - kann als Switch (kabelgebunden) oder Wireless LAN Controller (WLC) (Wireless) für 802.1x/AAA konfiguriert werden.
    • Endpunkt: Zertifikate, die für die (Benutzer-)Identität und die Supplikant-Konfiguration ausgestellt werden und für den Netzwerkzugriff über RADIUS/802.1x: User Authentication authentifiziert werden können. Es ist möglich, ein Computerzertifikat abzurufen, es wird in diesem Beispiel jedoch nicht verwendet.

    Hinweis: Da in diesem Leitfaden ISE Version 3.1 verwendet wird, basieren alle Dokumentationsverweise auf dieser Version. Dieselbe/eine ähnliche Konfiguration ist jedoch bei früheren Versionen der Cisco ISE möglich und wird vollständig unterstützt.

    Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

    Hintergrundinformationen

    Der Schwerpunkt liegt auf der ISE-Konfiguration, die auf mehrere Szenarien angewendet werden kann, wie z. B. (aber nicht beschränkt auf) die Authentifizierung mit einem IP-Telefon/Endpunkt, der über Wired oder Wireless verbunden ist.

    Im Rahmen dieses Leitfadens müssen Sie sich mit den folgenden Phasen des ISE (RADIUS)-Authentifizierungsflusses vertraut machen:

    • Authentifizierung - Identifiziert und validiert die Endidentität (Computer, Benutzer usw.), die den Netzwerkzugriff anfordert.

    • Autorisierung - Bestimmen Sie, welche Berechtigungen/Zugriffe die End-Identität im Netzwerk gewährt werden kann.

    • Accounting - Dient zum Melden und Verfolgen der Netzwerkaktivität der End-Identität nach dem Netzwerkzugriff.

    Konfigurieren

    Abrufen von Server- und Clientzertifikaten

    Schritt 1: Erstellen einer Zertifikatsanforderung von der ISE

    Der erste Schritt besteht darin, eine CSR-Anforderung (Certificate Signing Request) von der ISE zu generieren und an die Zertifizierungsstelle (CA) (Server) zu senden, um das signierte, an die ISE ausgestellte Zertifikat als Systemzertifikat zu erhalten. Dieses Zertifikat kann von der ISE während der EAP-TLS-Authentifizierung (Extensible Authentication Protocol-Transport Layer Security Authentication) als Serverzertifikat dargestellt werden. Dies erfolgt über die ISE-Benutzeroberfläche. Navigieren Sie zu Administration > System: Certificates > Certificate Management > Certificate Signing Requests. Unter Certificate Signing Requests,Klicken Sie auf Generate Certificate Signing Requests (CSR) wie in diesem Bild dargestellt.

    Configure EAP-TLS Authentication with ISE - CSR Button

    Für Zertifikatstypen sind unterschiedliche erweiterte Schlüsselverwendungen erforderlich. In dieser Liste wird festgelegt, welche erweiterten Schlüsselverwendungen für jeden Zertifikatstyp erforderlich sind:

    ISE-Identitätszertifikate

    • Mehrfachverwendung (Admin, EAP, Portal, pxGrid) - Client- und Serverauthentifizierung
    • Admin - Serverauthentifizierung
    • EAP-Authentifizierung - Serverauthentifizierung
    • Datagram Transport Layer Security (DTLS)-Authentifizierung - Serverauthentifizierung
    • Portal - Serverauthentifizierung
    • pxGrid - Client- und Serverauthentifizierung
    • Security Assertion Markup Language (SAML) - SAML-Signaturzertifikat
    • ISE Messaging Service - Generieren eines Signaturzertifikats oder Generieren eines brandneuen Messaging-Zertifikats

    Standardmäßig ist das ISE Messaging Service-Systemzertifikat für die Datenreplikation über alle ISE-Knoten in der Bereitstellung, in der Knotenregistrierung und in anderen Knotenverbindungen vorgesehen und wird vom ISE Internal Certificate Authority (CA)-Server (intern für ISE) bereitgestellt. Es ist keine Aktion erforderlich, um mit diesem Zertifikat abgeschlossen zu werden.

    Das Admin-Systemzertifikat wird verwendet, um jeden ISE-Knoten zu identifizieren, z. B. wann die der Admin-Benutzeroberfläche (Verwaltung) zugeordnete API verwendet wird, und für einige Kommunikation zwischen Knoten. Um die ISE zum ersten Mal einzurichten, legen Sie das Administratorsystemzertifikat fest. Diese Aktion steht nicht in direktem Zusammenhang mit diesem Konfigurationsleitfaden.

    Um IEEE 802.1x über EAP-TLS (Certificate-Based Authentication) auszuführen, müssen Sie Maßnahmen für das EAP Authentication System Certificate ergreifen, da dieses als Serverzertifikat verwendet wird, das dem Endpunkt/Client während des EAP-TLS-Flusses vorgelegt wird; da das Ergebnis innerhalb des TLS-Tunnels gesichert ist. Erstellen Sie zunächst einen CSR, um das EAP Authentication System Certificate (EAP-Authentifizierungssystem) zu erstellen, und geben Sie es an die Mitarbeiter weiter, die den bzw. die CA-Server in Ihrer Organisation (oder den öffentlichen CA-Anbieter) für die Signatur verwalten. Das Endergebnis ist das CA-signierte Zertifikat, das an den CSR gebunden wird und mit diesen Schritten der ISE zugeordnet wird.

    Wählen Sie im CSR-Formular (Certificate Signing Request) die folgenden Optionen aus, um die CSR-Anfrage auszufüllen und den Inhalt abzurufen:

    • Zertifikatverwendung auswählen EAP Authentication.

    • Wenn Sie eine Platzhalteranweisung im Zertifikat verwenden möchten, *.example.com, dann müssen Sie auch die Allow Wildcard Certificate Kontrollkästchen. Der beste Ort ist das Feld für das SAN-Zertifikat (Subject Alternative Name), das Kompatibilität für alle Verwendungen und für verschiedene Endpunkt-Betriebssysteme bietet, die in der Umgebung vorhanden sein können.

    • Wenn Sie keine Platzhalteranweisung im Zertifikat platzieren möchten, wählen Sie die ISE-Knoten aus, denen Sie das CA-signierte Zertifikat (nach dem Signieren) zuordnen möchten.

      Hinweis: Wenn Sie das CA-signierte Zertifikat, das die Platzhalteranweisung enthält, an mehrere Knoten im CSR binden, wird das Zertifikat an jeden ISE-Knoten (oder an die ausgewählten Knoten) in der ISE-Bereitstellung verteilt, und die Dienste können neu starten. Der Neustart der Services ist jedoch automatisch auf jeweils einen Knoten beschränkt. Überwachen Sie den Neustart der Services über das show application status ise ISE CLI-Befehl.

      Als Nächstes müssen Sie das Formular ausfüllen, um den Betreff zu definieren. Dazu gehören die Zertifikatfelder Common Name (CN), Organizational Unit (OU), Organization (O), City (L), State (ST) und Country (C). Die $FQDN$-Variable ist der Wert, der den vollständig qualifizierten Verwaltungsdomänennamen (Hostname + Domänenname) darstellt, der jedem ISE-Knoten zugeordnet ist.

    • Die Fehlermeldung Subject Alternative Name (SAN) Felder sind ebenfalls auszufüllen, um alle erforderlichen und gewünschten Informationen einzuschließen, die für die Vertrauensbildung verwendet werden sollen. Als Anforderung müssen Sie den DNS-Eintrag definieren, der auf den FQDN des/der ISE-Knoten verweist, der/die diesem Zertifikat zugeordnet ist/sind, nachdem das Zertifikat signiert wurde.

    • Stellen Sie abschließend sicher, dass Sie den entsprechenden Schlüsseltyp, die Schlüssellänge und die Digest-to-Sign-With definieren, der bzw. die den Funktionen des bzw. der CA-Server(s) und unter Berücksichtigung bewährter Sicherheitsverfahren entspricht. Die Standardwerte sind RSA, 4096 Bit und SHA-384. Verfügbare Optionen und Kompatibilität werden auf dieser Seite in der ISE-Administrations-Benutzeroberfläche angezeigt.

    Dies ist ein Beispiel für ein ausgefülltes CSR-Formular ohne Verwendung einer Platzhalteranweisung. Stellen Sie sicher, dass Sie die tatsächlichen Werte für die Umgebung verwenden:

    Configure EAP-TLS Authentication with ISE - Completed CSR Form Without a Wildcard Statement

    Configure EAP-TLS Authentication with ISE - CSR ExampleCSR - Beispiel

    Um den CSR zu speichern, klicken Sie auf Generate. Klicken Sie auf Export, um die CSR-Datei(en) von dieser Eingabeaufforderung aus zu exportieren:

    Configure EAP-TLS Authentication with ISE - Export CSR ExampleCSR exportieren - Beispiel

    Weitere Informationen zu Zertifikaten für die Verwendung mit der ISE finden Sie im Cisco Identity Services Engine-Administratorhandbuch, Version 3.1 > Kapitel: Grundlegende Einrichtung > Zertifikatsverwaltung in der Cisco ISE und Installieren eines von einer Zertifizierungsstelle signierten Zertifikats eines Drittanbieters in der ISE.

    Schritt 2: Zertifizierungsstellenzertifikate in ISE importieren

    Nachdem die Zertifizierungsstelle das signierte Zertifikat zurückgegeben hat, enthält sie auch die vollständige Zertifizierungsstellenkette, die aus einem Stammzertifikat und einem/mehreren Zwischenzertifikaten besteht. Die ISE-Admin-Benutzeroberfläche erzwingt den Import aller Zertifikate in der Zertifizierungsstellenkette vor der Zuordnung oder dem Hochladen von Systemzertifikaten. Auf diese Weise wird sichergestellt, dass jedes Systemzertifikat der Zertifizierungsstellenkette (auch als vertrauenswürdiges Zertifikat bezeichnet) innerhalb der ISE-Software richtig zugeordnet ist.

    Diese Schritte sind die beste Möglichkeit, die Zertifizierungsstellenzertifikate und das Systemzertifikat in die ISE zu importieren:

    1. Um das Root-Zertifikat in die ISE-GUI zu importieren, navigieren Sie zu Administration > System: Certificates > Certificate Management. Unter Trusted Certificates,Klicken Sie auf Import und aktivieren Sie die Kontrollkästchen Trust für die Authentifizierung innerhalb der ISE (Infrastruktur) und Trust für die Client-Authentifizierung und Syslog (Endpunkte).

      Configure EAP-TLS Authentication with ISE - Certificate Usage for CA ChainZertifikatverwendung für die Zertifizierungsstellenkette

    2. Wiederholen Sie den vorherigen Schritt für alle Zwischenzertifikate, die Teil der Zertifizierungsstellen-Zertifikatskette sind.

    3. Wenn alle Zertifikate als Teil der vollständigen Zertifizierungsstellenkette in den ISE-Speicher für vertrauenswürdige Zertifikate importiert wurden, kehren Sie zur ISE-GUI zurück, und navigieren Sie zu Administration > System: Certificates > Certificate Management: Certificate Signing Requests. Suchen Sie den CSR-Eintrag unter Anzeigename, der dem signierten Zertifikat entspricht, klicken Sie auf das Kontrollkästchen des Zertifikats, und klicken Sie dann auf Bind Certificate.

      Configure EAP-TLS Authentication with ISE - Bind Certificate to CSRZertifikat an CSR binden

      Hinweis: Sie müssen an jeden CSR jeweils ein CA-signiertes Zertifikat binden. Wiederholen Sie den Vorgang für alle verbleibenden CSRs, die für andere ISE-Knoten in der Bereitstellung erstellt wurden.

      Klicken Sie auf der nächsten Seite auf Browse und wählen Sie die signierte Zertifikatsdatei, definieren Sie einen gewünschten Anzeigenamen, und wählen Sie die Zertifikatsverwendung(en) aus. Senden, um die Änderungen zu speichern.

      Configure EAP-TLS Authentication with ISE - Choose Certificate to Bind to CSRZertifikat für Bindung an CSR auswählen

    4. Zu diesem Zeitpunkt wird das signierte Zertifikat in die ISE-GUI verschoben. Navigieren Sie zu Administration > System: Certificates > Certificate Management: System Certificates und weisen Sie ihn demselben Knoten zu, für den der CSR erstellt wurde. Wiederholen Sie den gleichen Vorgang für andere Knoten und/oder andere Zertifikatverwendungen.

    Schritt 3: Clientzertifikat für Endpunkt abrufen

    Für die Erstellung eines Client-Zertifikats zur Verwendung mit EAP-TLS ist es erforderlich, durch einen ähnlichen Prozess auf dem Endpunkt zu navigieren. Für dieses Beispiel benötigen Sie ein Clientzertifikat, das signiert und für das Benutzerkonto ausgestellt ist, um die Benutzerauthentifizierung mit ISE durchzuführen. Ein Beispiel, wie Sie ein Client-Zertifikat für den Endpunkt von einer Active Directory-Umgebung erhalten, finden Sie in: EAP-TLS mithilfe von WLC und ISE verstehen und konfigurieren > Konfigurieren > Client für EAP-TLS.

    Aufgrund der verschiedenen Endpunkt- und Betriebssystemtypen werden keine weiteren Beispiele angeführt, da der Prozess unterschiedlich sein kann. Der gesamte Prozess ist jedoch konzeptionell derselbe. Generieren Sie einen CSR, der alle relevanten Informationen enthält, die in das Zertifikat aufgenommen werden sollen, und lassen Sie ihn von der Zertifizierungsstelle signieren, unabhängig davon, ob es sich um einen internen Server in der Umgebung oder ein öffentliches oder Drittanbieter handelt, das diese Art von Service bereitstellt.

    Darüber hinaus enthalten die Zertifikatfelder Common Name (CN) und Subject Alternative Name (SAN) die Identität, die während des Authentifizierungsflusses verwendet werden soll. Dies bestimmt auch, wie die Komponente für EAP-TLS im Hinblick auf die Identität konfiguriert werden soll: Computer- und/oder Benutzerauthentifizierung, Computerauthentifizierung oder Benutzerauthentifizierung. In diesem Beispiel wird nur die Benutzerauthentifizierung im Rest dieses Dokuments verwendet.

    Netzwerkgeräte

    Schritt 4: Hinzufügen eines Netzwerkzugriffsgeräts zur ISE

    Das Netzwerkzugriffsgerät (Network Access Device, NAD), mit dem ein Endpunkt verbunden ist, wird ebenfalls in der ISE konfiguriert, sodass eine RADIUS/TACACS+-Kommunikation (Device Admin) stattfinden kann. Zwischen NAD und ISE wird ein gemeinsamer geheimer Schlüssel bzw. ein gemeinsames Passwort zu Vertrauenszwecken verwendet.

    Um ein NAD über die ISE-GUI hinzuzufügen, navigieren Sie zu Administration > Network Resources: Network Devices > Network Devices und klicke auf Add, die in diesem Bild angezeigt wird.

    Configure EAP-TLS Authentication with ISE - Network Device 1Configure EAP-TLS Authentication with ISE - Network Device 2Configure EAP-TLS Authentication with ISE - Network Device Example ConfigurationBeispielkonfiguration für Netzwerkgeräte

    Für die Verwendung mit der ISE-Profilerstellung sollten Sie außerdem SNMPv2c oder SNMPv3 (sicherer) konfigurieren, damit der ISE Policy Service Node (PSN) den NAD über SNMP-Abfragen kontaktieren kann, die mit der Authentifizierung des Endpunkts bei der ISE verbunden sind, um Attribute zu sammeln und genaue Entscheidungen über den verwendeten Endpunkttyp zu treffen. Das nächste Beispiel zeigt, wie Sie SNMP (v2c) über dieselbe Seite wie im vorherigen Beispiel einrichten:

    Configure EAP-TLS Authentication with ISE - Example SNMPv2c ConfigBeispiel einer SNMPv2c-Konfiguration

    Weitere Informationen finden Sie im Cisco Identity Services Engine-Administratorhandbuch, Version 3.1 > Kapitel: Sicherer Zugriff > Definieren von Netzwerkgeräten in der Cisco ISE.

    Wenn dies noch nicht geschehen ist, müssen Sie alle AAA-bezogenen Einstellungen auf dem NAD konfigurieren, um sich über die Cisco ISE zu authentifizieren und zu autorisieren.

    Richtlinienelemente

    Diese Einstellungen sind Elemente, die entweder an die Authentifizierungsrichtlinie oder die Autorisierungsrichtlinie gebunden werden. In diesem Leitfaden wird in erster Linie jedes Richtlinienelement erstellt und dann der Authentifizierungsrichtlinie oder Autorisierungsrichtlinie zugeordnet. Es ist wichtig zu wissen, dass die Richtlinie erst gültig ist, wenn die Bindung an die Authentifizierungs-/Autorisierungsrichtlinie erfolgreich abgeschlossen wurde.

    Schritt 5: Externe Identitätsquelle verwenden

    Eine externe Identitätsquelle ist einfach eine Quelle, in der sich das Endidentitätskonto (Computer oder Benutzer) befindet, das während der ISE-Authentifizierungsphase verwendet wird. Active Directory wird normalerweise verwendet, um die Computerauthentifizierung für das Computerkonto und/oder die Benutzerauthentifizierung für das Endbenutzerkonto in Active Directory zu unterstützen. Die interne Quelle für interne Endpunkte speichert das Computerkonto bzw. den Hostnamen nicht und kann daher nicht mit der Computerauthentifizierung verwendet werden.

    Hier sehen Sie die unterstützten Identitätsquellen mit ISE und Protokollen (Authentifizierungstyp), die mit jeder Identitätsquelle verwendet werden können:

    Configure EAP-TLS Authentication with ISE - Identity Store CapabilitiesIdentitätsdaten speichern

    Weitere Informationen zu den Richtlinienelementen finden Sie im Cisco Identity Services Engine-Administratorhandbuch, Version 3.1 > Kapitel: Segmentierung > Richtliniensätze.

    Hinzufügen von Active Directory-Sicherheitsgruppen zur ISE

    Um Active Directory-Sicherheitsgruppen in ISE-Richtlinien zu verwenden, müssen Sie die Gruppe zuerst dem Active Directory-Verknüpfungspunkt hinzufügen. Wählen Sie in der ISE-GUI Administration > Identity Management: Active Directory > {select AD instance name / join point} > tab: Groups > Add > Select Groups From Directory.

    Weitere Informationen und Voraussetzungen für die Integration von ISE 3.x in Active Directory finden Sie in diesem Dokument: Active Directory Integration in Cisco ISE 2.x.

    Hinweis: Die gleiche Aktion gilt für das Hinzufügen von Sicherheitsgruppen zu einer LDAP-Instanz. Wählen Sie in der ISE-GUI Administration > Identity Management: External Identity Sources > LDAP > LDAP instance name > tab: Groups > Add > Select Groups From Directory.

    Schritt 6: Erstellen des Zertifikatauthentifizierungsprofils

    Der Zweck des Zertifikatauthentifizierungsprofils besteht darin, der ISE mitzuteilen, in welchem Zertifikatfeld sich die Identität (Computer oder Benutzer) auf dem Clientzertifikat (Endidentitätszertifikat) befindet, das der ISE während des EAP-TLS (auch bei anderen zertifikatbasierten Authentifizierungsmethoden) vorgelegt wird. Diese Einstellungen sind an die Authentifizierungsrichtlinie gebunden, um die Identität zu authentifizieren. Navigieren Sie über die ISE-GUI zu Administration > Identity Management: External Identity Sources > Certificate Authentication Profile und klicke auf Add.

    Mit Identität verwenden aus wird das Zertifikatattribut ausgewählt, aus dem ein bestimmtes Feld für die Identität gefunden werden kann. Sie können aus den folgenden Werten wählen:

    Configure EAP-TLS Authentication with ISE - Certificate Profile Choices

    Wenn der Identitätsspeicher auf Active Directory oder LDAP (externe Identitätsquelle) verweisen soll, kann eine Funktion namens Binärvergleich verwendet werden. Der Binärvergleich führt eine Suche nach der Identität in Active Directory durch, die vom Clientzertifikat aus der Auswahl Identität verwenden aus abgerufen wird. Dies geschieht während der ISE-Authentifizierungsphase. Ohne Binärvergleich wird die Identität einfach aus dem Clientzertifikat abgerufen und erst in der ISE-Autorisierungsphase in Active Directory nachgeschlagen, wenn eine externe Active Directory-Gruppe als Bedingung verwendet wird, oder bei anderen Bedingungen, die extern für ISE ausgeführt werden müssen. Um den Binärvergleich zu verwenden, wählen Sie im Identitätsspeicher die externe Identitätsquelle (Active Directory oder LDAP) aus, in der das Endidentitätskonto gefunden werden kann.

    Dies ist ein Konfigurationsbeispiel, wenn sich die Identität im CN-Feld (Common Name) des Clientzertifikats befindet, wobei Binary Comparison aktiviert ist (optional):

    Configure EAP-TLS Authentication with ISE - Certificate Authentication ProfileAuthentifizierungsprofil für Zertifikate

    Weitere Informationen finden Sie im Administratorleitfaden für die Cisco Identity Services Engine, Version 3.1 > Kapitel: Basic Setup > Cisco ISE CA Service > Configure Cisco ISE to Use Certificates for Authenticating Personal Devices > Create a Certificate Authentication Profile for TLS-Based Authentication.

    Schritt 7. Zu einer Identitätsquellensequenz hinzufügen

    Die Identity Source Sequence kann über die ISE-GUI erstellt werden. Navigieren Sie zu Administration > Identity Management. Unter Identity Source Sequences ,Klicken Sie auf Add.

    Der nächste Schritt besteht darin, das Zertifikatauthentifizierungsprofil zu einer Identitätsquellensequenz hinzuzufügen, die die Möglichkeit bietet, mehrere Active Directory-Verknüpfungspunkte einzuschließen oder eine Kombination aus internen und externen Identitätsquellen nach Bedarf zusammenzufassen, die dann an die Authentifizierungsrichtlinie unter Use Spalte.

    Das hier gezeigte Beispiel erlaubt es, zuerst die Suche in Active Directory durchzuführen. Wenn der Benutzer dann nicht gefunden wird, sucht er als Nächstes auf einem LDAP-Server. Für mehrere Identitätsquellen stellen Sie immer die Treat as if the user was not found and proceed to the next store in the sequence ist aktiviert. Dies bedeutet, dass jede Identitätsquelle/jeder Identitätsserver während der Authentifizierungsanforderung überprüft wird.

    Configure EAP-TLS Authentication with ISE - Identity Source SequenceIdentitätsquellensequenz

    Andernfalls können Sie auch nur das Zertifikatauthentifizierungsprofil an die Authentifizierungsrichtlinie binden.

    Schritt 8: Zulässige Protokolldienste definieren

    Der Dienst für zulässige Protokolle aktiviert nur die Authentifizierungsmethoden/Protokolle, die von der ISE während der RADIUS-Authentifizierung unterstützt werden. Um die Konfiguration über die ISE-GUI vorzunehmen, navigieren Sie zu Policy > Policy Elements: Results > Authentication > Allowed Protocols und binden Sie als Element an die Authentication Policy.

    Hinweis: Authentication Bypass > Process Host Lookup bezieht sich auf die auf der ISE aktivierte MAB.

    Diese Einstellungen müssen mit den Einstellungen übereinstimmen, die für die Komponente (auf dem Endgerät) unterstützt und konfiguriert werden. Andernfalls wird das Authentifizierungsprotokoll nicht wie erwartet ausgehandelt, und die RADIUS-Kommunikation kann fehlschlagen. In einer ISE-Konfiguration in der Praxis wird empfohlen, jedes Authentifizierungsprotokoll zu aktivieren, das in der Umgebung verwendet wird, damit ISE und Supplicant wie erwartet verhandeln und authentifizieren können.

    Dies sind die Standardwerte (zusammengefasst), wenn eine neue Instanz der Dienste des zulässigen Protokolls erstellt wird.

    Hinweis: In diesem Konfigurationsbeispiel müssen Sie mindestens EAP-TLS aktivieren, da sich die ISE und unsere Komponente über EAP-TLS authentifiziert.

    Configure EAP-TLS Authentication with ISE - Protocols to Allow ISE to Use During Authentication RequestProtokolle, die die Verwendung von ISE während der Authentifizierungsanforderung an die Endpunktkomponente ermöglichen

    Hinweis: Wenn das Preferred EAP Protocol auf den Wert von EAP-TLS gesetzt wird, fordert ISE das EAP-TLS-Protokoll als erstes Protokoll an, das der Endpunkt-IEEE 802.1x-Komponente angeboten wird. Diese Einstellung ist nützlich, wenn Sie sich auf den meisten Endgeräten, die über die ISE authentifiziert werden, häufig über EAP-TLS authentifizieren möchten.

    Schritt 9. Autorisierungsprofil erstellen

    Das letzte für die Erstellung erforderliche Richtlinienelement ist das Autorisierungsprofil, das an die Autorisierungsrichtlinie gebunden ist und die gewünschte Zugriffsebene bereitstellt. Das Autorisierungsprofil ist an die Autorisierungsrichtlinie gebunden. Um sie über die ISE-GUI zu konfigurieren, navigieren Sie zu Policy > Policy Elements: Results > Authorization > Authorization Profiles und klicke auf Add.

    Das Autorisierungsprofil enthält eine Konfiguration, die zu Attributen führt, die für eine bestimmte RADIUS-Sitzung von der ISE an die NAD übergeben werden. Diese Attribute werden verwendet, um die gewünschte Netzwerkzugriffsstufe zu erreichen.

    Wie hier gezeigt, wird RADIUS Access-Accept lediglich als Zugriffstyp übergeben. Bei der Erstauthentifizierung können jedoch zusätzliche Elemente verwendet werden. Unten im Fenster werden Attributdetails angezeigt, die die Zusammenfassung der Attribute enthalten, die ISE an den NAD sendet, wenn er mit einem bestimmten Autorisierungsprofil übereinstimmt.

    Configure EAP-TLS Authentication with ISE - Authorization Profile for Policy ElementAutorisierungsprofil - Richtlinienelement

    Weitere Informationen zum ISE-Autorisierungsprofil und den ISE-Richtlinien finden Sie im Cisco Identity Services Engine-Administratorleitfaden, Version 3.1 > Kapitel: Segmentierung > Autorisierungsrichtlinien.

    Sicherheitsrichtlinien

    Die Authentifizierungs- und Autorisierungsrichtlinien werden über die ISE-GUI erstellt. Wählen Sie Policy > Policy Sets. Diese sind standardmäßig auf ISE 3.x aktiviert. Bei der Installation von ISE wird immer ein Policy Set definiert, der Standard-Policy Set. Der Standard-Richtliniensatz enthält vordefinierte und standardmäßige Authentifizierungs-, Autorisierungs- und Ausnahmerichtlinienregeln.

    Die Policy Sets werden hierarchisch konfiguriert, sodass der ISE-Administrator ähnliche Policies nach Zielsetzung in verschiedenen Sets gruppieren kann, die in einer Authentifizierungsanfrage verwendet werden können. Die Anpassung und Gruppierung von Richtlinien ist praktisch grenzenlos. Daher kann ein Richtliniensatz für die Authentifizierung von Wireless-Endpunkten für den Netzwerkzugriff verwendet werden, während ein anderer Richtliniensatz für die Authentifizierung von kabelgebundenen Endpunkten für den Netzwerkzugriff oder für jede andere eindeutige und differenzierte Methode zur Verwaltung von Richtlinien verwendet werden kann.

    Die Cisco ISE kann Richtliniensätze und die darin enthaltenen Richtlinien anhand des Top-Down-Ansatzes bewerten, um zunächst einen bestimmten Richtliniensatz abzugleichen, wenn alle Bedingungen dieses Satzes als wahr bewertet werden. Auf dieser Grundlage bewertet die ISE die Authentifizierungsrichtlinien und Autorisierungsrichtlinien innerhalb des mit dem Richtliniensatz abgeglichenen Richtliniensatzes wie folgt:

    1. Evaluierung des Policy Sets und der Policy Set Conditions
    2. Authentifizierungsrichtlinien innerhalb des zugeordneten Richtliniensatzes
    3. Autorisierungsrichtlinie - Lokale Ausnahmen
    4. Autorisierungsrichtlinie - Globale Ausnahmen
    5. Autorisierungsrichtlinien

    Richtlinienausnahmen sind global für alle oder lokal in einem bestimmten Richtliniensatz vorhanden. Diese Richtlinienausnahmen werden als Teil der Autorisierungsrichtlinien behandelt, da sie die Berechtigungen oder Ergebnisse für den Netzwerkzugriff für ein bestimmtes temporäres Szenario behandeln.

    Im nächsten Abschnitt wird beschrieben, wie die Konfigurations- und Richtlinienelemente so kombiniert werden, dass sie an die ISE-Authentifizierungs- und Autorisierungsrichtlinien gebunden werden, um Endpunkte über EAP-TLS zu authentifizieren.

    Schritt 10. Richtliniensatz erstellen

    Ein Richtliniensatz ist ein hierarchischer Container, der aus einer einzelnen benutzerdefinierten Regel besteht, die das zulässige Protokoll oder die zulässige Serversequenz für den Netzwerkzugriff angibt, sowie Authentifizierungs- und Autorisierungsrichtlinien und Richtlinienausnahmen, die alle ebenfalls mit benutzerdefinierten zustandsbasierten Regeln konfiguriert sind.

    Um einen Richtliniensatz über die ISE-GUI zu erstellen, navigieren Sie zu Policy > Policy Set und dann auf das Plus-Symbol (+) in der linken oberen Ecke klicken, wie in diesem Bild dargestellt.

    Configure EAP-TLS Authentication with ISE - Add a New Policy SetHinzufügen eines neuen Policy Sets

    Der Richtliniensatz kann dieses zuvor konfigurierte Richtlinienelement binden/kombinieren und wird verwendet, um zu bestimmen, welcher Richtliniensatz in einer bestimmten RADIUS-Authentifizierungsanforderung (Access-Request) zugeordnet werden soll:

    • Bindung: Zulässige Protokolldienste

    Configure EAP-TLS Authentication with ISE - Define Policy Set Conditions and Allowed Protocols ListDefinieren der Bedingungen für den Richtliniensatz und der Liste der zulässigen Protokolle

    In diesem Beispiel werden bestimmte Attribute und Werte verwendet, die in der RADIUS-Sitzung angezeigt werden, um IEEE 802.1x (Framed-Attribut) durchzusetzen, obwohl es möglicherweise redundant ist, das RADIUS-Protokoll erneut durchzusetzen. Verwenden Sie nur eindeutige RADIUS-Sitzungsattribute, die für den gewünschten Zweck gelten, z. B. Netzwerk-Gerätegruppen oder spezielle Attribute für kabelgebundene 802.1x-, Wireless 802.1x- oder kabelgebundene 802.1x- und Wireless 802.1x-Netzwerke.

    Weitere Informationen zu Richtliniensätzen auf der ISE finden Sie im Cisco Identity Services Engine-Administratorhandbuch, Version 3.1 > Kapitel: Segmentierung > Richtliniensätze, Authentifizierungsrichtlinien und Autorisierungsrichtlinien.

    Schritt 11. Erstellen einer Authentifizierungsrichtlinie

    Innerhalb des Richtliniensatzes bindet/kombiniert die Authentifizierungsrichtlinie diese Richtlinienelemente, die zuvor für die Verwendung mit Bedingungen konfiguriert wurden, um zu bestimmen, wann eine Authentifizierungsregel zugeordnet werden soll.

    • Bind: Certificate Authentication Profile oder Identity Source Sequence.

    Configure EAP-TLS Authentication with ISE - Authentication Policy Rule ExampleBeispiel für eine Authentifizierungsrichtlinienregel

    Schritt 12: Erstellen der Autorisierungsrichtlinie

    Innerhalb des Richtliniensatzes bindet/kombiniert die Autorisierungsrichtlinie diese Richtlinienelemente, die zuvor für die Verwendung mit Bedingungen konfiguriert wurden, um zu bestimmen, wann eine Autorisierungsregel zugeordnet werden soll. Das folgende Beispiel bezieht sich auf die Benutzerauthentifizierung, da die Bedingungen auf die Sicherheitsgruppe Domänenbenutzer in Active Directory verweisen.

    • Bindung: Autorisierungsprofil

    Configure EAP-TLS Authentication with ISE - Authorization Policy Rule ExampleBeispiel für eine Autorisierungsrichtlinienregel

    Um eine externe Gruppe (z. B. von Active Directory oder LDAP) hinzuzufügen, müssen Sie die Gruppe von der externen Serverinstanz hinzufügen. In diesem Beispiel stammt sie von der ISE-Benutzeroberfläche: Administration > Identity Management: External Identity Sources > Active Directory {AD Join Point Name} > Groups. Wählen Sie auf der Registerkarte Gruppe die Option Add > Select Groups from Directory und verwenden Sie den Namensfilter, um nach allen Gruppen (*) oder bestimmten Gruppen zu suchen, z. B. Domänenbenutzer (*Domänenbenutzer*), um Gruppen abzurufen.

    Configure EAP-TLS Authentication with ISE - Add Group From DirectoryUm externe Gruppen in ISE-Richtlinien zu verwenden, muss die Gruppe aus dem Verzeichnis hinzufügen.

    Configure EAP-TLS Authentication with ISE - Search Within the External Directory - Active Directory ExampleSuchen im externen Verzeichnis - Beispiel für Active Directory

    Wenn Sie das Kontrollkästchen neben jeder Gruppe aktiviert haben, verwenden Sie es in den Richtlinien innerhalb der ISE. Vergessen Sie nicht, auf OK und/oder Speichern zu klicken, um die Änderungen zu speichern.

    Überprüfung

    Verwenden Sie diesen Abschnitt, um zu überprüfen, ob Ihre Konfiguration ordnungsgemäß funktioniert.

    Wenn alle globalen Konfigurations- und Richtlinienelemente an den Richtliniensatz gebunden sind, sieht die Konfiguration für die Benutzerauthentifizierung über EAP-TLS ähnlich aus wie im folgenden Bild:

    Configure EAP-TLS Authentication with ISE - Verify

    Fehlerbehebung

    Dieser Abschnitt enthält Informationen, die Sie zur Fehlerbehebung bei Ihrer Konfiguration verwenden können.

    Wenn die Konfiguration abgeschlossen ist, verbinden Sie den Endpunkt mit der Testauthentifizierung. Die Ergebnisse finden Sie in der ISE-GUI. Auswählen Operations > Radius > Live Logs, wie in diesem Bild dargestellt.

    Zur Erkennung stehen die Live-Protokolle für RADIUS und TACACS+ (Device Admin) für Authentifizierungsversuche/Aktivitäten bis zu den letzten 24 Stunden und für die letzten 100 Datensätze zur Verfügung. Wenn diese Art von Berichtsdaten über diesen Zeitraum hinaus angezeigt werden soll, müssen Sie die Berichte verwenden. Dies gilt insbesondere für: ISE UI: Operations > Reports > Reports: Endpoints and Users > RADIUS Authentications.

    Configure EAP-TLS Authentication with ISE - Example Output from RADIUS/Live LogsBeispielausgabe von Radius > Live-Protokollen

    In RADIUS Live Logs in ISE erwarten Sie Informationen über die RADIUS-Sitzung, einschließlich Sitzungsattribute, sowie weitere hilfreiche Informationen zur Diagnose des Verhaltens, das während eines Authentifizierungsflusses beobachtet wurde. Klicken Sie auf details um die Detailansicht der Sitzung anzuzeigen, in der Sitzungsattribute und zugehörige Informationen zu diesem Authentifizierungsversuch angezeigt werden.

    Für die Fehlerbehebung ist es wichtig, sicherzustellen, dass die richtigen Richtlinien zugeordnet werden. Für dieses Konfigurationsbeispiel werden die gewünschten Authentifizierungs- und Autorisierungsrichtlinien wie erwartet zugeordnet, wie im Bild gezeigt:

    Configure EAP-TLS Authentication with ISE - ISE Details Policy

    In der Detailansicht werden diese Attribute überprüft, um zu überprüfen, ob sich die Authentifizierung im Rahmen dieses Konfigurationsbeispiels wie erwartet verhält:

    • Veranstaltung
      • Enthält, ob die Authentifizierung erfolgreich war.
      • In einem Arbeitsszenario lautet der Wert: 5200 Authentifizierung erfolgreich.

    • Benutzername
      • Dazu gehört auch die End-Identität, die aus dem Client-Zertifikat abgerufen wurde, das der ISE vorgelegt wurde.
      • In einem Arbeitsszenario ist dies der Benutzername des Benutzers, der am Endpunkt angemeldet ist (d. h. employee1 aus dem vorherigen Bild).

    • Endpunkt-ID
      • Bei kabelgebundenen/Wireless-Netzwerken ist dieser Wert die MAC-Adresse der Netzwerkkarte (NIC) des Endpunkts.
      • In einem Arbeitsszenario wird dies zur MAC-Adresse des Endpunkts, es sei denn, die Verbindung erfolgt über VPN. In diesem Fall kann es sich um die IP-Adresse des Endpunkts handeln.

    • Authentifizierungsrichtlinie
      • Zeigt die zugeordnete Authentifizierungsrichtlinie für die angegebene Sitzung basierend auf Sitzungsattributen an, die den Richtlinienbedingungen entsprechen.
      • In einem funktionierenden Szenario ist dies die erwartete Authentifizierungsrichtlinie, wie konfiguriert.
      • Wenn Sie eine andere Richtlinie sehen, bedeutet dies, dass die erwartete Richtlinie im Vergleich zu den Bedingungen in der Richtlinie nicht als wahr bewertet wurde. Überprüfen Sie in diesem Fall die Sitzungsattribute, und stellen Sie sicher, dass jede Richtlinie unterschiedliche, aber eindeutige Bedingungen für jede Richtlinie enthält.

    • Autorisierungsrichtlinie
      • Zeigt die zugeordnete Autorisierungsrichtlinie für die angegebene Sitzung basierend auf Sitzungsattributen an, die den Richtlinienbedingungen entsprechen.
      • In einem funktionierenden Szenario ist dies die erwartete Autorisierungsrichtlinie, wie konfiguriert.
      • Wenn Sie eine andere Richtlinie sehen, bedeutet dies, dass die erwartete Richtlinie im Vergleich zu den Bedingungen in der Richtlinie nicht als wahr bewertet wurde. Überprüfen Sie in diesem Fall die Sitzungsattribute, und stellen Sie sicher, dass jede Richtlinie unterschiedliche, aber eindeutige Bedingungen für jede Richtlinie enthält.

    • Autorisierungsergebnis
      • Basierend auf der entsprechenden Autorisierungsrichtlinie wird das Autorisierungsprofil angezeigt, das in der angegebenen Sitzung verwendet wurde.
      • In einem Arbeitsszenario entspricht dieser Wert der Konfiguration in der Richtlinie. Es empfiehlt sich, die Konfiguration zu Prüfzwecken und zur Sicherstellung des korrekten Autorisierungsprofils zu überprüfen.

    • Richtlinienserver
      • Dies schließt den Hostnamen des ISE Policy Service Node (PSN) ein, der an dem Authentifizierungsversuch beteiligt war.
      • In einem funktionierenden Szenario werden nur Authentifizierungen angezeigt, die an den ersten PSN-Knoten gehen, wie er für das NAD konfiguriert wurde (auch als Edge-Gerät bezeichnet), es sei denn, dieser PSN war nicht betriebsbereit oder es ist ein Failover aufgetreten, z. B. aufgrund einer höheren Latenz als erwartet oder wenn ein Timeout für die Authentifizierung auftritt.

    • Authentifizierungsmethode
      • Zeigt die Authentifizierungsmethode an, die in der angegebenen Sitzung verwendet wurde. In diesem Beispiel sehen Sie den Wert als dot1x.
      • In einem Arbeitsszenario wird der Wert basierend auf diesem Konfigurationsbeispiel als dot1x angezeigt. Wenn Sie einen anderen Wert sehen, kann dies bedeuten, dass entweder dot1x fehlgeschlagen ist oder nicht versucht wurde.

    • Authentifizierungsprotokoll
      • Zeigt die Authentifizierungsmethode an, die in der angegebenen Sitzung verwendet wurde. In diesem Beispiel wird der Wert als EAP-TLS angezeigt.
      • In einem Arbeitsszenario wird der Wert basierend auf diesem Konfigurationsbeispiel immer als EAP-TLS angezeigt. Wenn ein anderer Wert angezeigt wird, konnten der Supplicant und die ISE EAP-TLS nicht erfolgreich aushandeln.

    • Netzwerkgerät
      • Zeigt den Netzwerkgerätenamen, wie in ISE konfiguriert, für die NAD (auch als Edge-Gerät bezeichnet) an, die an dem Authentifizierungsversuch zwischen dem Endpunkt und der ISE beteiligt ist.
      • In einem Arbeitsszenario wird dieser Name immer in der ISE-Benutzeroberfläche angegeben: Administration > System: Network Devices. Basierend auf dieser Konfiguration wird die IP-Adresse des NAD (auch als Edge-Gerät bezeichnet) verwendet, um zu bestimmen, von welchem Netzwerkgerät die Authentifizierung stammt, das im NAS-IPv4-Adresssitzungsattribut enthalten ist.

    Dies ist keinesfalls eine vollständige Liste aller möglichen Sitzungsattribute, die zur Fehlerbehebung oder für andere Transparenzzwecke überprüft werden können, da es andere nützliche Attribute gibt, die überprüft werden müssen. Es wird empfohlen, alle Sitzungsattribute zu überprüfen, um sich mit allen Informationen vertraut zu machen. Sie können sehen, schließen Sie die rechte Seite unter dem Abschnitt Schritte, die die Operationen oder das Verhalten von der ISE übernommen zeigt.

    Häufige Probleme und Verfahren zur Fehlerbehebung

    Diese Liste enthält einige häufig auftretende Probleme und Tipps zur Fehlerbehebung und ist keinesfalls als vollständige Liste gedacht. Nutzen Sie diese Informationen stattdessen als Leitfaden, und entwickeln Sie eigene Verfahren zur Fehlerbehebung bei ISE-Problemen.

    Problem: Authentifizierungsfehler (5400-Authentifizierung fehlgeschlagen) oder ein anderer nicht erfolgreicher Authentifizierungsversuch.

    • Wenn bei der Authentifizierung ein Fehler auftritt, klicken Sie auf das Symbol Details, das Informationen darüber enthält, warum die Authentifizierung fehlgeschlagen ist, und welche Schritte unternommen wurden. Dazu gehören der Fehlergrund und die mögliche Ursache.

    • Da die ISE die Entscheidung über das Authentifizierungsergebnis trifft, verfügt die ISE über die Informationen, um den Grund für den fehlgeschlagenen Authentifizierungsversuch zu verstehen.

    Problem: Die Authentifizierung wurde nicht erfolgreich abgeschlossen, und der Fehlergrund lautet "5440 Endpoint brach die EAP-Sitzung ab und startete neu" oder "5411 Supplicant hörte auf ISE zu antworten".

    • Dieser Fehlergrund zeigt an, dass die RADIUS-Kommunikation vor dem Timeout nicht abgeschlossen wurde. Da sich EAP zwischen dem Endpunkt und NAD befindet, müssen Sie das Timeout überprüfen, das für das NAD verwendet wird, und sicherstellen, dass es für mindestens fünf Sekunden festgelegt ist.

    • Wenn fünf Sekunden nicht ausreichen, um dieses Problem zu beheben, wird empfohlen, es einige Male um fünf Sekunden zu erhöhen und erneut zu testen, um zu überprüfen, ob dieses Problem durch dieses Verfahren behoben wird.

    • Wenn das Problem mit den vorherigen Schritten nicht behoben wurde, wird empfohlen, sicherzustellen, dass die Authentifizierung vom gleichen und richtigen ISE-PSN-Knoten durchgeführt wird und dass das Gesamtverhalten kein Anzeichen für abnormales Verhalten ist, z. B. eine Latenz, die höher ist als die normale Latenz zwischen NAD- und ISE-PSN-Knoten.

    • Außerdem sollte überprüft werden, ob der Endpunkt das Client-Zertifikat über die Paketerfassung sendet, wenn ISE das Client-Zertifikat nicht empfängt. Der Endpunkt (Benutzerzertifikate) kann dem ISE-EAP-Authentifizierungszertifikat nicht vertrauen. Wenn der Wert true lautet, importieren Sie die Zertifizierungsstellenkette in die richtigen Zertifikatspeicher (Stammzertifizierungsstelle = vertrauenswürdige Stammzertifizierungsstelle). | Intermediäre CA = vertrauenswürdige Intermediäre CA).


    Problem: Die Authentifizierung ist erfolgreich, stimmt aber nicht mit der richtigen Authentifizierungs- und/oder Autorisierungsrichtlinie überein.

    • Wenn eine Authentifizierungsanforderung erfolgreich ist, aber nicht den richtigen Authentifizierungs- und/oder Autorisierungsregeln entspricht, wird empfohlen, die Sitzungsattribute zu überprüfen, um sicherzustellen, dass die verwendeten Bedingungen korrekt sind und in der RADIUS-Sitzung vorhanden sind.

    • Die ISE bewertet diese Richtlinien anhand eines Top-Down-Ansatzes (mit Ausnahme von Statusrichtlinien). Sie müssen zunächst ermitteln, ob die gefundene Richtlinie über oder unter der gewünschten abzugleichenden Richtlinie lag. Die Authentifizierungsrichtlinie wird zuerst und unabhängig von den Autorisierungsrichtlinien ausgewertet. Wenn die Authentifizierungsrichtlinie richtig zugeordnet ist, wurde 22037 Authentifizierung in den Authentifizierungsdetails im rechten Abschnitt Steps übergeben.

    • Liegt die gewünschte Policy über der entsprechenden Policy, bedeutet dies, dass die Summe der Bedingungen auf der gewünschten Policy nicht als wahr bewertet wurde. Es überprüft alle Attribute und Werte in der Bedingung und in der Sitzung, um sicherzustellen, dass es existiert und kein Rechtschreibfehler vorliegt.

    • Liegt die gewünschte Policy unter der entsprechenden Policy, bedeutet dies, dass eine andere Policy (oben) anstatt der gewünschten Policy zugeordnet wurde. Dies kann bedeuten, dass Bedingungswerte nicht spezifisch genug sind, dass die Bedingungen in einer anderen Richtlinie dupliziert werden oder dass die Reihenfolge der Richtlinie nicht korrekt ist. Die Fehlerbehebung wird zunehmend erschwert, es wird jedoch empfohlen, Richtlinien zu überprüfen, um den Grund für die Nichtübereinstimmung der gewünschten Richtlinie zu ermitteln. So können Sie leichter erkennen, welche Maßnahmen als Nächstes zu ergreifen sind.

    Problem: Die bei der Authentifizierung verwendete Identität oder der Benutzername entsprach nicht dem erwarteten Wert.

    • Wenn dieser Fall eintritt und der Endpunkt das Clientzertifikat sendet, verwendet die ISE höchstwahrscheinlich nicht das richtige Zertifikatfeld in der Zertifikatauthentifizierungsvorlage, die während der Authentifizierungsphase ausgewertet wird.

    • Überprüfen Sie das Client-Zertifikat, um das genaue Feld zu finden, in dem die gewünschte Identität/der Benutzername vorhanden ist, und stellen Sie sicher, dass das gleiche Feld ausgewählt ist aus: ISE UI: Administration > Identity Management: External Identity Sources > Certificate Authentication Profile > (certificate authentication profile used in the Authentication Policy).


    Problem: Die Authentifizierung ist nicht erfolgreich. Fehlerursache: 12514 EAP-TLS-Fehler beim SSL/TLS-Handshake aufgrund einer unbekannten Zertifizierungsstelle in der Client-Zertifikatskette.

    • Dies kann auftreten, wenn das Clientzertifikat ein Zertifikat in der Zertifizierungsstellenkette hat, das auf der ISE-Benutzeroberfläche nicht vertrauenswürdig ist: Administration > System: Certificates > Trusted Certificates.

    • Dies kann in der Regel dann der Fall sein, wenn das Clientzertifikat (auf dem Endpunkt) eine Zertifizierungsstellenkette aufweist, die sich von der Zertifizierungsstellenkette des Zertifikats unterscheidet, das zur EAP-Authentifizierung bei der ISE signiert ist.

    • Stellen Sie zur Problembehebung sicher, dass die Zertifikatskette des Clientzertifikats auf der ISE vertrauenswürdig und die Zertifikatskette des ISE EAP-Authentifizierungsservers auf dem Endpunkt vertrauenswürdig ist.
      - Navigieren Sie für Windows OS und Chrome zu Start > Run MMC > Add/Remove Snap-In > Certificates > User Certificates.
      - Für Firefox: Importieren Sie die Zertifizierungsstellenkette (nicht das End-Identitätszertifikat), die für den Webserver als vertrauenswürdig gelten soll.

    Zugehörige Informationen

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    3.0
    13-Jul-2023
    Hintergrundinformationen hinzugefügt. Aktualisierter Titel, Einführung, PII, Branding Anforderungen, maschinelle Übersetzung, Stilanforderungen, Rechtschreibung, Formatierung.
    2.0
    17-May-2022
    Aktualisiert auf ISE Version 3.x
    1.0
    17-Oct-2019
    Erstveröffentlichung
    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Nick DiNofrio
      Cisco TAC Engineer

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.