AnyConnect NAMおよびISEでのEAP-FASTとチェーンの実装について
内容
はじめに
このドキュメントでは、Cisco AnyConnect Network Access Manager(NAM)およびIdentity Services Engine(ISE)でのEAP-FAST実装に関する詳細について説明します。
前提条件
要件
次の項目に関する知識があることが推奨されます。
- EAP フレームワークおよび EAP-FAST 手法の基礎知識
- Identity Services Engine (ISE)の基本的な知識
- AnyConnect NAM およびプロファイル エディタの基礎知識
- 802.1x サービス向け Cisco Catalyst 設定の基礎知識
使用するコンポーネント
このドキュメントの情報は、次のソフトウェアのバージョンに基づいています。
- Cisco AnyConnect Secure Mobility Client リリース 3.1 および 4.0 がインストールされた Windows 7
- Cisco Catalyst 3750X スイッチ、ソフトウェア 15.2.1 以降
- Cisco ISE、リリース 1.4
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
理論
フェーズ
EAP-FAST とは、サプリカントとサーバの相互認証を可能にする柔軟な EAP 方式です。これは EAP-PEAP と似ていますが、通常はクライアントを使用する必要がなく、サーバ証明書さえも不要です。EAP-FAST の利点の 1 つは、複数の内部方式を使用して複数の認証を連鎖させ、暗号法によって 1 つにバインドできることです(EAP チェーン)。シスコの実装では、ユーザ認証とマシン認証にこれを使用します。
EAP-FAST は、Protected Access Credential(PAC)を利用することによって、迅速に TLS トンネルを確立したり(セッション再開)、短時間でユーザ/マシンを認証したり(認証で内部方式をスキップ)することができます。
EAP-FAST には以下の 3 つのフェーズがあります。
- フェーズ 0(PAC プロビジョニング)
- フェーズ 1(TLS トンネルの確立)
- フェーズ 2(認証)
EAP-FAST では、PAC なしメッセージ交換と PAC ベースのメッセージ交換の両方をサポートしています。PAC ベースのメッセージ交換では、PAC プロビジョニングと PAC ベースの認証が行われます。PAC プロビジョニングは、匿名 TLS セッションまたは認証済み TLS セッションに基づいて行うことができます。
PAC
PAC(Protected Access Credential)は、サーバによって生成されてクライアントに提供されます。この構成は次のとおりです。
- PAC キー(TLS マスター キーとセッション キーを派生させるために使用する、ランダム シークレット値)
- PAC opaque(PAC キー とユーザ ID の組み合わせ。すべて EAP-FAST サーバ マスター キーで暗号化されます)
- PAC 情報(サーバ ID、TTL タイマー)
PACを発行するサーバは、EAP-FASTサーバマスターキー(PAC opaque)を使用してPACキーとIDを暗号化し、PAC全体をクライアントに送信します。その他の情報(すべての PAC で同一のマスター キーを除く)は一切、保持/保管しません。
受信された PAC opaque は、EAP-FAST サーバ マスター キーを使用して復号化され、検証されます。簡易 TLS トンネルの TLS マスター キーとセッション キーを派生させるには、PAC キーが使用されます。
前の EAP-FAST サーバ マスター キーの有効期限が切れると、新しいマスター キーが生成されます。 場合によっては、マスター キーを失効させることもできます。
現在使用されているPACにはいくつかのタイプがあります。
- トンネルPAC:TLSトンネルの確立に使用されます(クライアント証明書またはサーバ証明書は不要)。TLS Client Hello に含めて送信されます。
- マシンPAC:TLSトンネルの確立と即時のマシン認証に使用されます。TLS Client Hello に含めて送信されます。
- ユーザ認証PAC:サーバで許可されている場合、即時ユーザ認証(内部方式をスキップ)に使用されます。TLV を使用して TLS トンネル内で送信されます。
- マシン認証PAC:サーバで許可されている場合、即時マシン認証(内部方式をスキップ)に使用されます。TLV を使用して TLS トンネル内で送信されます。
- Trustsec PAC:環境またはポリシーの更新を実行する際に認証に使用されます。
通常、これらのPACはすべてフェーズ0で自動的に配信されます。一部のPAC(トンネル、マシン、TrustSec)も手動で配信できます。
PAC の生成時の動作
- トンネルPAC:以前に使用されていない場合、認証(内部方式)の成功後にプロビジョニングされます。
- 認証PAC:以前に使用されていない場合、認証(内部方式)の成功後にプロビジョニングされます。
- マシンPAC:マシン認証(内部方式)に成功した後にプロビジョニングされます(以前に使用されていない場合、および認証PACが使用されていない場合)。これはトンネルPACの有効期限が切れたときにプロビジョニングされますが、認証PACの有効期限が切れたときではありません。EAPチェーンが有効または無効な場合、プロビジョニングされます。
注:
各PACプロビジョニングでは、ユースケース「承認済みユーザ」がADアカウントを持たないマシンのマシンPACを要求する場合を除き、正常な認証が必要です。
次の表に、プロビジョニングと予防的更新機能の概要を示します。
| PAC のタイプ |
トンネル v1/v1a/CTS |
マシン |
許可 |
| プロビジョニング時に要求に応じて PAC を提供 |
yes |
認証されたプロビジョニング時にのみ提供 |
認証されたプロビジョニング時に、トンネル PAC も要求されている場合にのみ提供 |
| 認証時に要求に応じて PAC を提供 |
yes |
yes |
この認証で使用されなかった場合にのみ提供 |
| 予防的更新 |
yes |
いいえ |
いいえ |
| PACベースの認証に失敗した後にPACプロビジョニングにフォールバックするとき(PACが期限切れになったときなど) |
拒否し、新しい要求を提供しない |
拒否し、新しい要求を提供しない |
拒否し、新しい要求を提供しない |
| ACS 4.x PAC のサポート |
トンネル PAC v1/v1a でサポート |
yes |
いいえ |
EAP-FAST サーバ マスター キー ACS 4.x と ACS 5x + ISE の相違点
ACS 4.x と ISE を比較すると、マスター キーの処理で若干の違いがあります。
つまり、ISEはすべての古いマスターキーを保持し、デフォルトでは週に1回、新しいマスターキーを生成します。マスターキーは期限切れになることができないため、PAC TTLのみが検証されます。
ISE のマスター キー生成期間は、[Administration] -> [Settings] -> [Protocol] -> [EAP-FAST] -> [EAP-FAST Settings] で設定されます。
セッション再開
これは、トンネル PAC を使用可能にする重要なコンポーネントです。セッション再開により、証明書を使用せずに TLS トンネルの再ネゴシエーションをすることが可能になります。
EAP-FASTのセッション再開タイプには、サーバ状態ベースとステートレス(PACベース)の2つがあります。
サーバの状態
標準的な TLS ベースの方式は、サーバ上でキャッシュされた TLS SessionID に基づきます。クライアントはセッションを再開するために、SessionID を追加した TLS Client Hello を送信します。匿名 TLS トンネルを使用する場合、セッションは PAC のプロビジョニングにのみ使用されます。
ステートレス(PAC ベース)
ユーザ/マシン認証 PAC を使用して、ピアの前の認証および許可の状態が保管されます。
クライアント側の再開は、RFC 4507 に基づいています。サーバはデータをキャッシュする必要はありません。代わりに、クライアントはTLS Client Hello SessionTicket拡張にPACを追加します。その PAC が、サーバによって検証されます。 サーバに配信されるトンネル PAC に基づく例を示します。
AnyConnect NAM の実装
これは、高速再接続を介してクライアント側(AnyConnect NAM)で有効になりますが、認証PACの使用のみを制御するために使用されます。
設定を無効にしても、NAMはトンネルPACを使用してTLSトンネルを構築します(証明書は必要ありません)。ただし、ユーザとマシンの即時の認証を実行するために認証PACを使用することはありません。その結果、内部方式のフェーズ2が常に必要になります。
ISE には、ステートレス セッション再開を有効にするオプションがあります。NAMと同様に、これは認証PAC専用です。トンネル PAC の使用は、[Use PACs] のオプションで制御されます。
オプションが有効な場合、NAMはPACを使用しようとします。ISEで「Don't Use PACs」が設定されており、ISEがTLS拡張でトンネルPACを受信する場合、「insert here」エラーが報告され、EAPエラーが返されます。
ここに挿入
ISEでは、(グローバルEAP-FAST設定の)TLS SessionIDに基づいてセッション再開を有効にする必要もあります。これはデフォルトで無効になっています。
使用できるセッション再開は 1 つのタイプに限られることに注意してください。SessionID ベースのセッション再開は、PAC を使用しない導入のみに使用され、RFC 4507 ベースのセッション再開は PAC 導入のみに使用されます。
PAC プロビジョニング(フェーズ 0)
PAC は、フェーズ 0 で自動的にプロビジョニングできます。フェーズ 0 では以下の処理が行われます。
- TLS トンネルの確立
- 認証(内部方式)
PAC は、TLS トンネル内での PAC TLV(および PAC TLV 確認応答)による認証成功後に配信されます。
匿名 TLS トンネル
PKIインフラストラクチャを使用しない導入では、匿名TLSトンネルを使用できます。匿名TLSトンネルは、Diffie Hellman(DH)暗号スイートを使用して構築されます。サーバまたはクライアント証明書は必要ありません。このアプローチは中間者攻撃(偽装)にさらされやすい傾向があります。
このオプションを使用するには、NAMに次の設定オプションが必要です。
「If using PACs allow for unauthenticated PAC provisioning」(PKIインフラストラクチャなしでは証明書ベースの内部方式を使用できないため、これはパスワードベースの内部方式にのみ意味があります)
また、ISEはAuthentication Allowed Protocolsの下で「Allow Anonymous In-band PAC Provisioning」設定を必要とします。
TrustSec NDAC 導入環境で匿名インバンド PAC プロビジョニングが使用されます(ネットワーク デバイス間で EAP-FAST セッションがネゴシエートされます)。
認証済み TLS トンネル
これは最もセキュアで推奨されるオプションです。TLS トンネルはサプリカントによって検証されたサーバ証明書に基づいて確立されます。これには、ISEに必要なサーバ側のPKIインフラストラクチャのみが必要です(NAMでは、「サーバIDの検証」オプションを無効にすることができます)。
ISE には、以下のようにさらに 2 つのオプションがあります。
通常、PACプロビジョニング後にAccess-Rejectが送信され、サプリカントはPACを使用して強制的に再認証されます。ただし、PACは認証を使用してTLSトンネルで配信されているため、プロセス全体を短縮し、PACプロビジョニングの直後にAccess-Acceptを返すことができます。
2 つ目のオプションは、クライアント証明書に基づいて TLS トンネルを確立します(この場合、エンドポイントに PKI を導入する必要があります)。これにより、内部方式を省略し、PACプロビジョニングフェーズに直接進む相互認証を使用したTLSトンネルの構築が可能になります。この場合は注意が必要です。サプリカントが(他の目的のために)ISEによって信頼されていない証明書を提示し、セッションが失敗する場合があります。
EAP チェーン
1 回の Radius/EAP セッションでユーザとマシンの認証が可能になります。複数の EAP 方式をつなげることができます。最初の認証(通常はマシン)が正常に終了すると、サーバは成功を示す中間結果TLV(TLSトンネル内)を送信します。この TLV には暗号バインディング TLS 要求が伴っている必要があります。暗号バインディングは、特定の認証シーケンスにサーバとピアの両方が参加していることを証明するために使用されます。暗号バインディング プロセスでは、フェーズ 1 とフェーズ 2 でキーを生成した要素が使用されます。さらに、もう1つのTLVが接続されます。EAP-Payload(ペイロード):これは新しいセッションを開始します(通常はユーザ用)。RADIUSサーバ(ISE)が暗号バインディングTLV応答を受信して検証すると、ログに次の情報が表示され、次のEAP方式(通常はユーザ認証)が試行されます。
12126 EAP-FAST cryptobinding verification passed
暗号バインディング検証が失敗すると、EAP セッション全体が失敗します。内部の認証の1つが失敗しても問題はない場合、ISEでは、認証条件NetworkAccess:EapChainingResultに基づいて複数のチェーン結果を設定できます。
EAP チェーンは、EAP-FAST ユーザおよびマシンの認証が有効になると、NAM で自動的に有効になります。
EAP チェーンは ISE で設定する必要があります。
PAC ファイルの格納場所
トンネルとマシンの PAC が格納されるデフォルトの場所は、C:\ProgramData\Cisco\Cisco AnyConnect Secure Mobility Client\Network Access Manager\system\internalConfiguration.xml の <credential> セクションです。これらは暗号化形式で保管されます。
認証 PAC はメモリにのみ保管され、リブートまたは NAM サービスの再起動が行われると削除されます。
トンネルまたはマシンの PAC を削除するには、サービスを再起動する必要があります。
AnyConnect NAM 3.1 と 4.0 の相違点
AnyConnect 3.x NAM プロファイル エディタでは、管理者が PAC を手動で設定できます。この機能は、AnyConnect 4.x NAM プロファイル エディタからは削除されています。
この機能を削除するかどうかの決定は、Cisco Bug ID CSCuf31422およびCisco Bug ID CSCua13140に基づいています。
例
ネットワーク図
すべての例は、このネットワークトポロジを使用してテストされました。これはワイヤレスを使用する場合にも適用されます。
ユーザおよびマシン PAC を使用した EAP チェーンなしの EAP-Fast
デフォルトでは、EAP チェーンは ISE で無効になっています。ただし、マシン PAC と認証 PAC を含め、他のすべてのオプションは有効になっています。サプリカントには、すでに有効なマシン PAC とトンネル PAC があります。このフローでは、ISE上で個別のログを使用する2つの個別の認証(マシン用とユーザ用)があります。ISE がログに記録する主なステップは以下のとおりです。最初の認証(マシン):
- サプリカントがマシン PAC を含めた TLS Client Hello を送信します。
- サーバがマシン PAC を検証し、TLS トンネルを確立します(証明書は使用されません)。
- サーバがマシン PAC を検証し、Active Directory でアカウント ルックアップを行い、内部方式をスキップします。
12102 Extracted EAP-Response containing EAP-FAST challenge-response and accepting EAP-FAST as negotiated
12800 Extracted first TLS record; TLS handshake started
12174 Received Machine PAC
12805 Extracted TLS ClientHello message
12806 Prepared TLS ServerHello message
12801 Prepared TLS ChangeCipherSpec message
12816 TLS handshake succeeded
12132 EAP-FAST built PAC-based tunnel for purpose of authentication
24351 Account validation succeeded
24420 User's Attributes retrieval from Active Directory succeeded - example . com
22037 Authentication Passed
12124 EAP-FAST inner method skipped
11503 Prepared EAP-Success
11002 Returned RADIUS Access-Accept
2 回目の認証(ユーザ):
- サプリカントがトンネル PAC を含めた TLS Client Hello を送信します。
- サーバが PAC を検証し、TLS トンネルを確立します(証明書は使用されません)。
- サプリカントには認証 PAC がないため、内部方式(EAP-MSCHAP)が認証に使用されます。
12102 Extracted EAP-Response containing EAP-FAST challenge-response and accepting EAP-FAST as negotiated
12800 Extracted first TLS record; TLS handshake started
12175 Received Tunnel PAC
12805 Extracted TLS ClientHello message
12806 Prepared TLS ServerHello message
12801 Prepared TLS ChangeCipherSpec message
12816 TLS handshake succeeded
12132 EAP-FAST built PAC-based tunnel for purpose of authentication
12125 EAP-FAST inner method started
11806 Prepared EAP-Request for inner method proposing EAP-MSCHAP with challenge
24402 User authentication against Active Directory succeeded - example . com
22037 Authentication Passed
11503 Prepared EAP-Success
11002 Returned RADIUS Access-Accept
ISEの詳細レポートの「その他の属性」セクションには、ユーザ認証とマシン認証の両方について次のように記載されています。
EapChainingResult: No chaining
PAC 高速再接続を使用した EAP チェーンによる EAP-Fast
このフローでは、サプリカントにはすでに有効なトンネル PAC に加え、ユーザとマシンの認証 PAC があります。
- サプリカントがトンネル PAC を含めた TLS Client Hello を送信します。
- サーバが PAC を検証し、TLS トンネルを確立します(証明書は使用されません)。
- ISE が EAP チェーンを開始し、サプリカントが TLS トンネル内で TLV を使用してユーザおよびマシンの認証 PAC を追加します。
- ISE が認証 PAC を検証し(内部方式は不要)、アカウントが Active Directory 内に存在することを確認して(追加の認証なし)、成功メッセージを返します。
12102 Extracted EAP-Response containing EAP-FAST challenge-response and accepting EAP-FAST as negotiated
12800 Extracted first TLS record; TLS handshake started
12175 Received Tunnel PAC
12805 Extracted TLS ClientHello message
12806 Prepared TLS ServerHello message
12801 Prepared TLS ChangeCipherSpec message
12816 TLS handshake succeeded
12132 EAP-FAST built PAC-based tunnel for purpose of authentication
12209 Starting EAP chaining
12210 Received User Authorization PAC
12211 Received Machine Authorization PAC
24420 User's Attributes retrieval from Active Directory succeeded - example .com
22037 Authentication Passed
24439 Machine Attributes retrieval from Active Directory succeeded - example .com
22037 Authentication Passed
11503 Prepared EAP-Success
11002 Returned RADIUS Access-Accept
ISEの詳細レポートの「その他の属性」セクションに、次の結果が示されます。
EapChainingResult: EAP Chaining
さらに、次に示すように、ユーザとマシンの両方のクレデンシャルが同じログに含まれます。
Username: cisco,host/mgarcarz-PC
PAC を使用しない EAP チェーンによる EAP-Fast
このフローでは、NAM が PAC を使用しないように設定され、ISE も PAC を使用しないように設定されます(ただし、EAP チェーンは使用します)。
- サプリカントがトンネル PAC なしで TLS Client Hello を送信します。
- サーバが TLS 証明書および証明書要求のペイロードで応答します。
- サプリカントはサーバ証明書を信頼する必要があり、クライアント証明書を送信しません(証明書ペイロードはゼロ)。TLSトンネルが構築されます。
- ISEはTLSトンネル内のクライアント証明書のTLV要求を送信しますが、サプリカントは送信しません(続行するためにこの要求を持つ必要はありません)。
- MSCHAPv2 認証で内部方式を使用して、ユーザに対して EAP チェーンを開始します。
- MSCHAPv2 認証で内部方式を使用してマシン認証を続行します。
- PAC はプロビジョニングされません。
12102 Extracted EAP-Response containing EAP-FAST challenge-response and accepting EAP-FAST as negotiated
12800 Extracted first TLS record; TLS handshake started
12805 Extracted TLS ClientHello message
12806 Prepared TLS ServerHello message
12807 Prepared TLS Certificate message
12809 Prepared TLS CertificateRequest message
12811 Extracted TLS Certificate message containing client certificate
12812 Extracted TLS ClientKeyExchange message
12816 TLS handshake succeeded
12207 Client certificate was requested but not received during tunnel establishment. Will renegotiate and request client certificate inside the tunnel.
12226 Started renegotiated TLS handshake
12104 Extracted EAP-Response containing EAP-FAST challenge-response
12811 Extracted TLS Certificate message containing client certificate
12812 Extracted TLS ClientKeyExchange message
12804 Extracted TLS Finished message
12801 Prepared TLS ChangeCipherSpec message
12802 Prepared TLS Finished message
12226 Started renegotiated TLS handshake
12205 Client certificate was requested but not received inside the tunnel. Will continue with inner method.
12176 EAP-FAST PAC-less full handshake finished successfully
12209 Starting EAP chaining
12218 Selected identity type 'User'
11806 Prepared EAP-Request for inner method proposing EAP-MSCHAP with challenge
24402 User authentication against Active Directory succeeded - example .com
22037 Authentication Passed
12219 Selected identity type 'Machine'
11806 Prepared EAP-Request for inner method proposing EAP-MSCHAP with challenge
24470 Machine authentication against Active Directory is successful - example .com
22037 Authentication Passed
11503 Prepared EAP-Success
11002 Returned RADIUS Access-Accept
認証 PAC が失効している場合の EAP チェーンによる EAP-Fast
このフローでは、サプリカントに有効なトンネル PAC がありますが、認証 PAC の有効期限は切れています。
- サプリカントがトンネル PAC を含めた TLS Client Hello を送信します。
- サーバが PAC を検証し、TLS トンネルを確立します(証明書は使用されません)。
- ISE が EAP チェーンを開始し、サプリカントが TLS トンネル内で TLV を使用してユーザおよびマシンの認証 PAC を追加します。
- PAC は失効しているため、ユーザとマシンの両方に対して内部方式(EAP-MSCHAP)が開始されます。
- 両方の認証が成功すると、ユーザとマシン両方の認証 PAC がプロビジョニングされます。
12102 Extracted EAP-Response containing EAP-FAST challenge-response and accepting EAP-FAST as negotiated
12800 Extracted first TLS record; TLS handshake started
12175 Received Tunnel PAC
12805 Extracted TLS ClientHello message
12806 Prepared TLS ServerHello message
12801 Prepared TLS ChangeCipherSpec message
12816 TLS handshake succeeded
12132 EAP-FAST built PAC-based tunnel for purpose of authentication
12209 Starting EAP chaining
12227 User Authorization PAC has expired - will run inner method
12228 Machine Authorization PAC has expired - will run inner method
12218 Selected identity type 'User'
11806 Prepared EAP-Request for inner method proposing EAP-MSCHAP with challenge
24402 User authentication against Active Directory succeeded - example .com
22037 Authentication Passed
12219 Selected identity type 'Machine'
24470 Machine authentication against Active Directory is successful - example .com
22037 Authentication Passed
12171 Successfully finished EAP-FAST user authorization PAC provisioning/update
12179 Successfully finished EAP-FAST machine authorization PAC provisioning/update
11503 Prepared EAP-Success
11002 Returned RADIUS Access-Accept
トンネル PAC が失効している場合の EAP チェーンによる EAP-Fast
このフローでは、有効なトンネル PAC がないため、内部方式を使用した完全な TLS ネゴシエーション フェーズが発生します。
- サプリカントがトンネル PAC なしで TLS Client Hello を送信します。
- サーバが TLS 証明書および証明書要求のペイロードで応答します。
- サプリカントはサーバ証明書を信頼する必要があり、クライアント証明書を送信しない(証明書ペイロードがゼロ)、TLSトンネルが構築されます。
- ISEはクライアント証明書のTLV要求をTLSトンネル内で送信しますが、サプリカントは送信しません(続行するためにこの要求を持つ必要はありません)。
- MSCHAPv2 認証で内部方式を使用して、ユーザに対して EAP チェーンを開始します。
- MSCHAPv2 認証で内部方式を使用してマシン認証を続行します。
- すべての PAC が正常にプロビジョニングされます(ISE 設定で有効になっています)。
12102 Extracted EAP-Response containing EAP-FAST challenge-response and accepting EAP-FAST as negotiated
12800 Extracted first TLS record; TLS handshake started
12805 Extracted TLS ClientHello message
12806 Prepared TLS ServerHello message
12807 Prepared TLS Certificate message
12809 Prepared TLS CertificateRequest message
12105 Prepared EAP-Request with another EAP-FAST challenge
11006 Returned RADIUS Access-Challenge
11001 Received RADIUS Access-Request
12816 TLS handshake succeeded
12207 Client certificate was requested but not received during tunnel establishment. Will renegotiate and request client certificate inside the tunnel.
12226 Started renegotiated TLS handshake
12104 Extracted EAP-Response containing EAP-FAST challenge-response
12811 Extracted TLS Certificate message containing client certificate
12812 Extracted TLS ClientKeyExchange message
12804 Extracted TLS Finished message
12801 Prepared TLS ChangeCipherSpec message
12802 Prepared TLS Finished message
12226 Started renegotiated TLS handshake
12205 Client certificate was requested but not received inside the tunnel. Will continue with inner method.
12149 EAP-FAST built authenticated tunnel for purpose of PAC provisioning
12105 Prepared EAP-Request with another EAP-FAST challenge
11006 Returned RADIUS Access-Challenge
11001 Received RADIUS Access-Request
11018 RADIUS is re-using an existing session
12104 Extracted EAP-Response containing EAP-FAST challenge-response
12209 Starting EAP chaining
12218 Selected identity type 'User'
11806 Prepared EAP-Request for inner method proposing EAP-MSCHAP with challenge
24402 User authentication against Active Directory succeeded - example .com
22037 Authentication Passed
12126 EAP-FAST cryptobinding verification passed
12200 Approved EAP-FAST client Tunnel PAC request
12202 Approved EAP-FAST client Authorization PAC request
12219 Selected identity type 'Machine'
11806 Prepared EAP-Request for inner method proposing EAP-MSCHAP with challenge
24470 Machine authentication against Active Directory is successful - example .com
22037 Authentication Passed
12169 Successfully finished EAP-FAST tunnel PAC provisioning/update
12171 Successfully finished EAP-FAST user authorization PAC provisioning/update
12170 Successfully finished EAP-FAST machine PAC provisioning/update
12179 Successfully finished EAP-FAST machine authorization PAC provisioning/update
11503 Prepared EAP-Success
11002 Returned RADIUS Access-Accept
EAP チェーンおよび匿名 TLS トンネル PAC プロビジョニングによる EAP-Fast
このフローでは、ISE と NAM の匿名 TLS トンネルが PAC プロビジョニング用に設定されます(PAC プロビジョニングに対して、ISE の認証済み TLS トンネルは無効になります)。PAC プロビジョニング要求は、次のようになります。
- サプリカントが複数の暗号スイートなしで TLS Client Hello を送信します。
- サーバが TLS Server Hello および TLS 匿名 Diffie Hellman 暗号スイート(たとえば、TLS_DH_anon_WITH_AES_128_CBC_SHA)で応答します。
- サプリカントがそれを受け入れ、匿名 TLS トンネルが確立されます(証明書は交換されません)。
- MSCHAPv2 認証で内部方式を使用して、ユーザに対して EAP チェーンを開始します。
- MSCHAPv2 認証で内部方式を使用してマシン認証を続行します。
- 匿名TLSトンネルが構築されているため、認証PACは許可されません。
- サプリカントに再認証(プロビジョニング済み PAC を使用)を強制するために、Radius Reject が返されます。
12102 Extracted EAP-Response containing EAP-FAST challenge-response and accepting EAP-FAST as negotiated
12800 Extracted first TLS record; TLS handshake started
12805 Extracted TLS ClientHello message
12806 Prepared TLS ServerHello message
12808 Prepared TLS ServerKeyExchange message
12810 Prepared TLS ServerDone message
12812 Extracted TLS ClientKeyExchange message
12804 Extracted TLS Finished message
12801 Prepared TLS ChangeCipherSpec message
12802 Prepared TLS Finished message
12816 TLS handshake succeeded
12131 EAP-FAST built anonymous tunnel for purpose of PAC provisioning
12209 Starting EAP chaining
12218 Selected identity type 'User'
11806 Prepared EAP-Request for inner method proposing EAP-MSCHAP with challenge
24402 User authentication against Active Directory succeeded - example .com
22037 Authentication Passed
12162 Cannot provision Authorization PAC on anonymous provisioning. Authorization PAC can be provisioned only on authenticated provisioning
12200 Approved EAP-FAST client Tunnel PAC request
12219 Selected identity type 'Machine'
24470 Machine authentication against Active Directory is successful - example .com
22037 Authentication Passed
12162 Cannot provision Authorization PAC on anonymous provisioning. Authorization PAC can be provisioned only on authenticated provisioning
12169 Successfully finished EAP-FAST tunnel PAC provisioning/update
12170 Successfully finished EAP-FAST machine PAC provisioning/update
11504 Prepared EAP-Failure
11003 Returned RADIUS Access-Reject
匿名 TLS トンネル ネゴシエーションの Wireshark パケット キャプチャは以下のとおりです。
ユーザ認証のみの EAP チェーンによる EAP-Fast
このフローでは、AnyConnect NAM に EAP-FAST とユーザ認証(EAP-TLS)およびマシン認証(EAP-TLS)が設定されています。Windows PC は起動されますが、ユーザ クレデンシャルは提供されません。スイッチが802.1xセッションを開始し、NAMは応答する必要がありますが、ユーザクレデンシャルが提供されていないため(ユーザストアと証明書にはまだアクセスできません)、マシンが成功するとユーザ認証が失敗します。ISE認証条件「」が満たされます。その後、ユーザがログインして別の認証が開始され、ユーザとマシンの両方が成功します。
- サプリカントがマシン PAC を含めた TLS Client Hello を送信します。
- サーバが TLS Change Cipher Spec で応答します。その PAC に基づいて、即時に TLS トンネルが確立されます。
- ISE が EAP チェーンを開始し、ユーザ ID を尋ねます。
- サプリカントは代わりにマシン ID を提供し(ユーザはまだ準備ができていないので)、EAP-TLS 内部方式を終了します。
- ISE がユーザ ID を再度尋ねますが、サプリカントはそれを提供できません。
- ISE が中間結果を失敗(ユーザ認証が失敗)とした TVL を送信します。
- ISEは、最後のEAP成功メッセージ「ISE condition 」を返します。
12102 Extracted EAP-Response containing EAP-FAST challenge-response and accepting EAP-FAST as negotiated
12800 Extracted first TLS record; TLS handshake started
12174 Received Machine PAC
12805 Extracted TLS ClientHello message
12806 Prepared TLS ServerHello message
12801 Prepared TLS ChangeCipherSpec message
12802 Prepared TLS Finished message
12816 TLS handshake succeeded
12132 EAP-FAST built PAC-based tunnel for purpose of authentication
12209 Starting EAP chaining
12218 Selected identity type 'User'
12213 Identity type provided by client is not equal to requested type
12215 Client suggested 'Machine' identity type instead
12104 Extracted EAP-Response containing EAP-FAST challenge-response
12523 Extracted EAP-Response/NAK for inner method requesting to use EAP-TLS instead
12805 Extracted TLS ClientHello message
12806 Prepared TLS ServerHello message
12807 Prepared TLS Certificate message
12809 Prepared TLS CertificateRequest message
12816 TLS handshake succeeded
12509 EAP-TLS full handshake finished successfully
22070 Identity name is taken from certificate attribute
15013 Selected Identity Source - Test-AD
24323 Identity resolution detected single matching account
22037 Authentication Passed
12202 Approved EAP-FAST client Authorization PAC request
12218 Selected identity type 'User'
12213 Identity type provided by client is not equal to requested type
12216 Identity type provided by client was already used for authentication
12967 Sent EAP Intermediate Result TLV indicating failure
12179 Successfully finished EAP-FAST machine authorization PAC provisioning/update
12106 EAP-FAST authentication phase finished successfully
11503 Prepared EAP-Success
11002 Returned RADIUS Access-Accept
EAP チェーンおよび一貫性のない匿名 TLS トンネル設定による EAP-Fast
このフローでは、ISEは匿名TLSトンネル経由でのみPACプロビジョニングを行うように設定されていますが、NAMは認証済みTLSトンネルを使用しています。これはISEによってログに記録されます。
12102 Extracted EAP-Response containing EAP-FAST challenge-response and accepting EAP-FAST as negotiated
12800 Extracted first TLS record; TLS handshake started
12805 Extracted TLS ClientHello message
12814 Prepared TLS Alert message
12817 TLS handshake failed
12121 Client didn't provide suitable ciphers for anonymous PAC-provisioning
11504 Prepared EAP-Failure
11003 Returned RADIUS Access-Reject
これは、NAMが特定のTLS暗号を使用して認証済みTLSトンネルを構築しようとしているときに発生します。匿名TLSトンネル用に設定されているISEでは、これらの暗号が受け入れられません(DH暗号のみを受け入れます)
トラブルシュート
ISE
詳細なログについては、対応するPSNノードでランタイムAAAデバッグを有効にする必要があります。prrt-server.logのログ例を次に示します。
マシン PAC の生成:
DEBUG,0x7fd5332fe700,cntx=0001162745,sesn=mgarcarz-ise14/223983918/29245,CPMSessionID=0A3E946D00000FE5131F9D26,CallingStationID=00-50-B6-11-ED-31,FramedIPAddress=10.0.13.127,Using IID from PAC request for machine,EapFastTlv.cpp:1234
DEBUG,0x7fd5332fe700,cntx=0001162745,sesn=mgarcarz-ise14/223983918/29245,CPMSessionID=0A3E946D00000FE5131F9D26,CallingStationID=00-50-B6-11-ED-31,FramedIPAddress=10.0.13.127,Adding PAC of type=Machine Authorization,EapFastProtocol.cpp:3610
DEBUG,0x7fd5332fe700,cntx=0001162745,sesn=mgarcarz-ise14/223983918/29245,CPMSessionID=0A3E946D00000FE5131F9D26,CallingStationID=00-50-B6-11-ED-31,FramedIPAddress=10.0.13.127,Eap-Fast: Generating Pac, Issued PAC type=Machine Authorization with expiration time: Fri Jul 3 10:38:30 2015
PAC 要求の承認:
INFO ,0x7fd5330fc700,cntx=0001162745,sesn=mgarcarz-ise14/223983918/29245,CPMSessionID=0A3E946D00000FE5131F9D26,user=host/mgarcarz-pc,CallingStationID=00-50-B6-11-ED-31,FramedIPAddress=10.0.13.127,Eap-Fast: client PAC request approved for PAC type - Requested PAC type=Machine,EapFastProtocol.cpp:955
INFO ,0x7fd5330fc700,cntx=0001162745,sesn=mgarcarz-ise14/223983918/29245,CPMSessionID=0A3E946D00000FE5131F9D26,user=host/mgarcarz-pc,CallingStationID=00-50-B6-11-ED-31,FramedIPAddress=10.0.13.127,Eap-Fast: client PAC request approved for PAC type - Requested PAC type=Machine Authorization,EapFastProtocol.cpp:955
PAC の検証:
DEBUG,0x7fd5330fc700,cntx=0001162499,sesn=mgarcarz-ise14/223983918/29243,CPMSessionID=0A3E946D00000FE5131F9D26,user=anonymous,CallingStationID=00-50-B6-11-ED-31,FramedIPAddress=10.0.13.127,Authorization PAC is valid,EapFastProtocol.cpp:3403
Eap,2015-07-03 09:34:39,208,DEBUG,0x7fd5330fc700,cntx=0001162499,sesn=mgarcarz-ise14/223983918/29243,CPMSessionID=0A3E946D00000FE5131F9D26,user=anonymous,CallingStationID=00-50-B6-11-ED-31,FramedIPAddress=10.0.13.127,Authorization PAC accepted,EapFastProtocol.cpp:3430
PAC 生成が成功した場合の要約情報の例:
DEBUG,0x7fd5331fd700,cntx=0001162749,sesn=mgarcarz-ise14/223983918/29245,CPMSessionID=0A3E946D00000FE5131F9D26,user=cisco,CallingStationID=00-50-B6-11-ED-31,FramedIPAddress=10.0.13.127,Conversation summary: Provisioning. Authenticated. Inner method succeeded. Inner method succeeded. Generated PAC of type Tunnel V1A. Generated PAC of type User Authorization. Generated PAC of type Machine. Generated PAC of type Machine Authorization. Success
PAC 検証が成功した場合の要約情報の例:
DEBUG,0x7fd5330fc700,cntx=0001162503,sesn=mgarcarz-ise14/223983918/29243,CPMSessionID=0A3E946D00000FE5131F9D26,user=host/mgarcarz-pc,CallingStationID=00-50-B6-11-ED-31,FramedIPAddress=10.0.13.127,Conversation summary: Authentication. PAC type Tunnel V1A. PAC is valid.Skip inner method. Skip inner method. Success
AnyConnect NAM
非 EAP チェーン セッションにおける、高速再接続を使用しないマシン認証の例:
EAP: Identity requested
Auth[eap-fast-pac:machine-auth]: Performing full authentication
Auth[eap-fast-pac:machine-auth]: Disabling fast reauthentication
承認 PAC ルックアップの例(非 EAP チェーン セッションでのマシン認証):
Looking for matching pac with iid: host/ADMIN-PC2
Requested machine pac was sen
内部方式(MSCHAP)のすべての状態は、次のログから確認できます。
EAP (0) EAP-MSCHAP-V2: State: 0 (eap_auth_mschapv2_c.c 731
EAP (0) EAP-MSCHAP-V2: State: 2 (eap_auth_mschapv2_c.c 731
EAP (0) EAP-MSCHAP-V2: State: 1 (eap_auth_mschapv2_c.c 731
EAP (0) EAP-MSCHAP-V2: State: 4 (eap_auth_mschapv2_c.c 73
NAMでは、すべてのEAPパケットをキャプチャしてpcapファイルに保存する拡張ロギング機能を設定できます。この機能は、特にログイン前の起動機能に役立ちます(ユーザ ログイン前に行われる認証でも、EAP パケットがキャプチャされます)。この機能をアクティブにするには、TAC エンジニアに連絡してください。
参考資料
更新履歴
| 改定 | 発行日 | コメント |
|---|---|---|
1.0 |
15-Mar-2016 |
初版 |
フィードバック