Configurar encadeamento EAP com TEAP
Contents
Introdução
Este documento descreve como configurar o ISE e o solicitante do Windows para o Encadeamento do Protocolo de Autenticação Extensível (EAP) com o TEAP.
Pré-requisitos
Requisitos
A Cisco recomenda que você tenha conhecimento destes tópicos:
-
ISE
-
Configuração do solicitante do Windows
Componentes Utilizados
As informações neste documento são baseadas nestas versões de software e hardware:
- Cisco ISE versão 3.0
- Windows 10 versão 2004
- Conhecimento do protocolo TEAP baseado em túnel
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.
Informações de Apoio
O TEAP é um método de protocolo de autenticação extensível baseado em túnel que estabelece um túnel seguro e executa outros métodos EAP sob a proteção desse túnel seguro.
A autenticação TEAP ocorre em duas fases após a troca inicial de solicitação/resposta de identidade EAP. Na primeira fase, o TEAP usa o handshake TLS para fornecer uma troca de chave autenticada e para estabelecer um túnel protegido. Uma vez que o túnel é estabelecido, a segunda fase começa com o peer e o servidor se engajando em mais conversas para estabelecer as autenticações e políticas de autorização necessárias.
O Cisco ISE 2.7 e posterior suporta o protocolo TEAP. Os objetos type-length-value (TLV) são usados dentro do túnel para transportar dados relacionados à autenticação entre o peer EAP e o servidor EAP.
A Microsoft introduziu o suporte para TEAP na versão 10 2004 do Windows lançada em maio de 2020.
O encadeamento EAP permite a autenticação do usuário e da máquina em uma sessão EAP/Radius em vez de duas sessões separadas. Anteriormente, para conseguir isso, você precisava do módulo Cisco AnyConnect NAM e usar EAP-FAST no solicitante do Windows, pois o solicitante nativo do Windows não oferecia suporte a isso. Agora, você pode usar o Windows Native Supplicant para executar o encadeamento EAP com ISE 2.7 com o uso de TEAP.
Configurar
Configuração do Cisco ISE
Etapa 1. Você precisa editar os protocolos permitidos para habilitar o TEAP e o encadeamento EAP.
Navegue para ISE > Policy > Policy Elements > Results > Authentication > Allowed Protocols > Add New. Marcar as caixas de seleção de encadeamento TEAP e EAP.
Etapa 2. Crie um perfil de certificado e adicione-o à Sequência de Origem da Identidade.
Navegue até ISE > Administration > Identities > identity Source Sequence e escolha o Perfil do certificado.
Etapa 3. Você precisa chamar esta sequência na Política de autenticação.
Navegue até ISE > Policy > Policy Sets. Choose the Policy Set forDot1x > Authentication Policy e escolha a sequência de origem de identidade criada na Etapa 2.
Etapa 4. Agora você precisa modificar a Política de Autorização no Conjunto de Políticas Dot1x.
Navegue até ISE > Policy > Policy Sets. Choose the Policy Set for Dot1x > Authentication Policy.
Você precisa criar duas regras. A primeira regra verifica se a máquina está autenticada, mas o usuário não. A segunda regra verifica se o usuário e a máquina estão autenticados.
Isso conclui a configuração no lado do servidor do ISE.
Configuração do Solicitante Nativo do Windows
Configuração do Solicitante Nativo do WindowsDefina a configuração da autenticação com fio neste documento.
Navegue até Control Panel > Network and Sharing Center > Change Adapter Settings e clique com o botão direito do mouse LAN Connection > Properties. Clique na Authentication guia .
Etapa 1. Clique na lista Authenticationsuspensa e escolha Microsoft EAP-TEAP.
Etapa 2. Clique noSettings botão ao lado de TEAP.
- Mantenha
Enable Identity Privacy habilitado comanonymous como a identidade. - Coloque uma marca de seleção ao lado do(s) servidor(es) de CA raiz em Autoridades de certificação raiz confiáveis que são usadas para assinar o certificado para autenticação EAP no PSN do ISE.
Etapa 3. Em Autenticação de cliente, escolha o método EAP para autenticação na Microsoft: Cartão inteligente de outro certificado.
Etapa 4. Para cada menu suspenso de método EAP, clique no Configurebotão e modifique conforme o requisito e clique em OK.
Etapa 5. Clique no Additional Settings botão na parte inferior.
- Enable Especifique o modo de autenticação.
- Defina a lista suspensa para a configuração apropriada.
- Escolha
User or computer authentication para que ambos sejam autenticados e clique emOK.
Verificar
VerificarVocê pode reinicializar a máquina com o Windows 10 ou sair e entrar. Sempre que a tela de login do Windows é exibida, a autenticação da máquina é acionada.
Nos logs dinâmicos, você verá anônimo, host/administrador (este é o nome da máquina) no campo de identidade. Você vê anônimo porque você configurou suplicante para privacidade de identidade acima.
Ao fazer login no PC com credenciais, você pode ver nos logs ao vivo Administrator@example.local, host/Administrator. Este é o encadeamento EAP onde a autenticação do usuário e da máquina ocorreu em uma sessão EAP.
Relatório de Autenticação Detalhado
Relatório de Autenticação Detalhado Nos Detalhes do Log ao Vivo, as autenticações da Máquina mostram apenas uma única NACRadiusUsername entrada, mas a autenticação de usuário e máquina encadeada mostra duas entradas (uma para o usuário e outra para a máquina). Além disso, veja na Authentication Details seção, que TEAP (EAP-TLS) foi usada para o Authentication Protocol. Se você usarMSCHAPv2 o para autenticação de máquina e usuário, o protocolo de autenticação mostrará TEAP (Microsoft: Secured password (EAP-MSCHAP v2)).
Autenticação da máquina
Autenticação da máquina
Autenticação de Usuário e Máquina
Autenticação de Usuário e Máquina
Troubleshooting
TroubleshootingVocê precisa habilitar estas depurações no ISE:
runtime-AAAnsfnsf-sessionAtive Diretory (para solucionar problemas entre o ISE e o AD)
No Windows, você pode verificar os logs do Visualizador de Eventos.
Análise de log ao vivo
Análise de log ao vivoAutenticação da máquina
Autenticação da máquina
11001 Received RADIUS Access-Request 11017 RADIUS created a new session ... ... 11507 Extracted EAP-Response/Identity 12756 Prepared EAP-Request proposing TEAP with challenge ... ... 12758 Extracted EAP-Response containing TEAP challenge-response and accepting TEAP as negotiated 12800 Extracted first TLS record; TLS handshake started 12805 Extracted TLS ClientHello message 12806 Prepared TLS ServerHello message 12807 Prepared TLS Certificate message 12808 Prepared TLS ServerKeyExchange message 12809 Prepared TLS CertificateRequest message ... ... 12811 Extracted TLS Certificate message containing client certificate 12812 Extracted TLS ClientKeyExchange message 12813 Extracted TLS CertificateVerify message 12804 Extracted TLS Finished message 12801 Prepared TLS ChangeCipherSpec message 12802 Prepared TLS Finished message 12816 TLS handshake succeeded ... ... 11559 Client certificate was requested but not received inside the tunnel. Will continue with inner method. 11620 TEAP full handshake finished successfully ... ... 11627 Starting EAP chaining 11573 Selected identity type 'User' 11564 TEAP inner method started 11521 Prepared EAP-Request/Identity for inner EAP method ... ... 11567 Identity type provided by client is equal to requested 11522 Extracted EAP-Response/Identity for inner EAP method 11806 Prepared EAP-Request for inner method proposing EAP-MSCHAP with challenge 11596 Prepared EAP-Request with another TEAP challenge 11006 Returned RADIUS Access-Challenge 11001 Received RADIUS Access-Request ... ... 11515 Supplicant declined inner EAP method selected by Authentication Policy but did not proposed another one; inner EAP negotiation failed 11520 Prepared EAP-Failure for inner EAP method 11566 TEAP inner method finished with failure 22028 Authentication failed and the advanced options are ignored 33517 Sent TEAP Intermediate Result TLV indicating failure 11596 Prepared EAP-Request with another TEAP challenge ... ... 11574 Selected identity type 'Machine' 11564 TEAP inner method started 11521 Prepared EAP-Request/Identity for inner EAP method ... ... 11567 Identity type provided by client is equal to requested 11522 Extracted EAP-Response/Identity for inner EAP method 11806 Prepared EAP-Request for inner method proposing EAP-MSCHAP with challenge 11596 Prepared EAP-Request with another TEAP challenge ... ... 12523 Extracted EAP-Response/NAK for inner method requesting to use EAP-TLS instead 12522 Prepared EAP-Request for inner method proposing EAP-TLS with challenge 12625 Valid EAP-Key-Name attribute received 11596 Prepared EAP-Request with another TEAP challenge ... ... 12524 Extracted EAP-Response containing EAP-TLS challenge-response for inner method and accepting EAP-TLS as negotiated 12800 Extracted first TLS record; TLS handshake started 12545 Client requested EAP-TLS session ticket 12546 The EAP-TLS session ticket received from supplicant. Inner EAP-TLS does not support stateless session resume. Performing full authentication 12805 Extracted TLS ClientHello message 12806 Prepared TLS ServerHello message 12807 Prepared TLS Certificate message 12808 Prepared TLS ServerKeyExchange message 12809 Prepared TLS CertificateRequest message 12527 Prepared EAP-Request for inner method with another EAP-TLS challenge ... ... 12571 ISE will continue to CRL verification if it is configured for specific CA - certificate for Users 12811 Extracted TLS Certificate message containing client certificate 12812 Extracted TLS ClientKeyExchange message 12813 Extracted TLS CertificateVerify message 12804 Extracted TLS Finished message 12801 Prepared TLS ChangeCipherSpec message 12802 Prepared TLS Finished message 12816 TLS handshake succeeded 12509 EAP-TLS full handshake finished successfully ... ... 12527 Prepared EAP-Request for inner method with another EAP-TLS challenge 11596 Prepared EAP-Request with another TEAP challenge ... ... 61025 Open secure connection with TLS peer 15041 Evaluating Identity Policy 22072 Selected identity source sequence - forAD1 22070 Identity name is taken from certificate attribute 22037 Authentication Passed 12528 Inner EAP-TLS authentication succeeded 11519 Prepared EAP-Success for inner EAP method 11565 TEAP inner method finished successfully ... ... 33516 Sent TEAP Intermediate Result TLV indicating success 11596 Prepared EAP-Request with another TEAP challenge 11006 Returned RADIUS Access-Challenge 11001 Received RADIUS Access-Request 11018 RADIUS is re-using an existing session 11595 Extracted EAP-Response containing TEAP challenge-response 11637 Inner method supports EMSK but the client provided only MSK. Allow downgrade as per configuration 11576 TEAP cryptobinding verification passed ... ... 15036 Evaluating Authorization Policy 24209 Looking up Endpoint in Internal Endpoints IDStore - anonymous,host/Administrator 24211 Found Endpoint in Internal Endpoints IDStore 11055 User name change detected for the session. Attributes for the session will be removed from the cache 15048 Queried PIP - Network Access.EapChainingResult 15016 Selected Authorization Profile - PermitAccess 33514 Sent TEAP Result TLV indicating success ... ... 11597 TEAP authentication phase finished successfully 11503 Prepared EAP-Success 11002 Returned RADIUS Access-Accept
Autenticação de Usuário e Máquina
Autenticação de Usuário e Máquina
11001 Received RADIUS Access-Request 11017 RADIUS created a new session ... ... 12756 Prepared EAP-Request proposing TEAP with challenge ... ... 12758 Extracted EAP-Response containing TEAP challenge-response and accepting TEAP as negotiated 12800 Extracted first TLS record; TLS handshake started 12805 Extracted TLS ClientHello message 12806 Prepared TLS ServerHello message 12807 Prepared TLS Certificate message 12808 Prepared TLS ServerKeyExchange message 12809 Prepared TLS CertificateRequest message 11596 Prepared EAP-Request with another TEAP challenge ... ... 12811 Extracted TLS Certificate message containing client certificate 12812 Extracted TLS ClientKeyExchange message 12813 Extracted TLS CertificateVerify message 12804 Extracted TLS Finished message 12801 Prepared TLS ChangeCipherSpec message 12802 Prepared TLS Finished message 12816 TLS handshake succeeded 11559 Client certificate was requested but not received inside the tunnel. Will continue with inner method. 11620 TEAP full handshake finished successfully 11596 Prepared EAP-Request with another TEAP challenge ... ... 11595 Extracted EAP-Response containing TEAP challenge-response 11627 Starting EAP chaining 11573 Selected identity type 'User' 11564 TEAP inner method started 11521 Prepared EAP-Request/Identity for inner EAP method 11596 Prepared EAP-Request with another TEAP challenge ... ... 11567 Identity type provided by client is equal to requested 11522 Extracted EAP-Response/Identity for inner EAP method 11806 Prepared EAP-Request for inner method proposing EAP-MSCHAP with challenge 11596 Prepared EAP-Request with another TEAP challenge ... ... 12523 Extracted EAP-Response/NAK for inner method requesting to use EAP-TLS instead 12522 Prepared EAP-Request for inner method proposing EAP-TLS with challenge ... ... 11595 Extracted EAP-Response containing TEAP challenge-response 12524 Extracted EAP-Response containing EAP-TLS challenge-response for inner method and accepting EAP-TLS as negotiated 12800 Extracted first TLS record; TLS handshake started 12545 Client requested EAP-TLS session ticket 12546 The EAP-TLS session ticket received from supplicant. Inner EAP-TLS does not support stateless session resume. Performing full authentication 12805 Extracted TLS ClientHello message 12806 Prepared TLS ServerHello message 12807 Prepared TLS Certificate message 12808 Prepared TLS ServerKeyExchange message 12809 Prepared TLS CertificateRequest message 12527 Prepared EAP-Request for inner method with another EAP-TLS challenge ... ... 12526 Extracted EAP-Response for inner method containing TLS challenge-response 12571 ISE will continue to CRL verification if it is configured for specific CA - certificate for Users 12811 Extracted TLS Certificate message containing client certificate 12812 Extracted TLS ClientKeyExchange message 12813 Extracted TLS CertificateVerify message 12804 Extracted TLS Finished message 12801 Prepared TLS ChangeCipherSpec message 12802 Prepared TLS Finished message 12816 TLS handshake succeeded 12509 EAP-TLS full handshake finished successfully 12527 Prepared EAP-Request for inner method with another EAP-TLS challenge ... ... 12526 Extracted EAP-Response for inner method containing TLS challenge-response 61025 Open secure connection with TLS peer 15041 Evaluating Identity Policy 22072 Selected identity source sequence - forAD1 22070 Identity name is taken from certificate attribute 22037 Authentication Passed 12528 Inner EAP-TLS authentication succeeded 11519 Prepared EAP-Success for inner EAP method 11565 TEAP inner method finished successfully 33516 Sent TEAP Intermediate Result TLV indicating success 11596 Prepared EAP-Request with another TEAP challenge ... ... 11595 Extracted EAP-Response containing TEAP challenge-response 11637 Inner method supports EMSK but the client provided only MSK. Allow downgrade as per configuration 11576 TEAP cryptobinding verification passed 11574 Selected identity type 'Machine' 11564 TEAP inner method started ... ... 11806 Prepared EAP-Request for inner method proposing EAP-MSCHAP with challenge 11596 Prepared EAP-Request with another TEAP challenge ... ... 12523 Extracted EAP-Response/NAK for inner method requesting to use EAP-TLS instead 12522 Prepared EAP-Request for inner method proposing EAP-TLS with challenge ... ... 12524 Extracted EAP-Response containing EAP-TLS challenge-response for inner method and accepting EAP-TLS as negotiated 12800 Extracted first TLS record; TLS handshake started 12545 Client requested EAP-TLS session ticket 12546 The EAP-TLS session ticket received from supplicant. Inner EAP-TLS does not support stateless session resume. Performing full authentication 12805 Extracted TLS ClientHello message 12806 Prepared TLS ServerHello message 12807 Prepared TLS Certificate message 12808 Prepared TLS ServerKeyExchange message 12809 Prepared TLS CertificateRequest message 12527 Prepared EAP-Request for inner method with another EAP-TLS challenge ... ... 12526 Extracted EAP-Response for inner method containing TLS challenge-response 12571 ISE will continue to CRL verification if it is configured for specific CA - certificate for Users 12811 Extracted TLS Certificate message containing client certificate 12812 Extracted TLS ClientKeyExchange message 12813 Extracted TLS CertificateVerify message 12804 Extracted TLS Finished message 12801 Prepared TLS ChangeCipherSpec message 12802 Prepared TLS Finished message 12816 TLS handshake succeeded 12509 EAP-TLS full handshake finished successfully 12527 Prepared EAP-Request for inner method with another EAP-TLS challenge 11596 Prepared EAP-Request with another TEAP challenge 11006 Returned RADIUS Access-Challenge 11001 Received RADIUS Access-Request 11018 RADIUS is re-using an existing session 11595 Extracted EAP-Response containing TEAP challenge-response 12526 Extracted EAP-Response for inner method containing TLS challenge-response 61025 Open secure connection with TLS peer 15041 Evaluating Identity Policy 22072 Selected identity source sequence - forAD1 22070 Identity name is taken from certificate attribute 22037 Authentication Passed 12528 Inner EAP-TLS authentication succeeded 11519 Prepared EAP-Success for inner EAP method 11565 TEAP inner method finished successfully 33516 Sent TEAP Intermediate Result TLV indicating success 11596 Prepared EAP-Request with another TEAP challenge 11006 Returned RADIUS Access-Challenge 11001 Received RADIUS Access-Request 11018 RADIUS is re-using an existing session 11595 Extracted EAP-Response containing TEAP challenge-response 11637 Inner method supports EMSK but the client provided only MSK. Allow downgrade as per configuration 11576 TEAP cryptobinding verification passed 15036 Evaluating Authorization Policy 24209 Looking up Endpoint in Internal Endpoints IDStore - Administrator@example.local,host/Administrator 24211 Found Endpoint in Internal Endpoints IDStore 11055 User name change detected for the session. Attributes for the session will be removed from the cache 15048 Queried PIP - Network Access.EapChainingResult 15016 Selected Authorization Profile - PermitAccess 33514 Sent TEAP Result TLV indicating success 11596 Prepared EAP-Request with another TEAP challenge 11006 Returned RADIUS Access-Challenge 11001 Received RADIUS Access-Request 11018 RADIUS is re-using an existing session 11595 Extracted EAP-Response containing TEAP challenge-response 11597 TEAP authentication phase finished successfully 11503 Prepared EAP-Success 11002 Returned RADIUS Access-Accept
Informações Relacionadas
Informações Relacionadas
Histórico de revisões
| Revisão | Data de publicação | Comentários |
|---|---|---|
3.0 |
18-Jun-2024 |
Título, Introdução, Texto Alt, Tradução Automática e Formatação Atualizados. |
1.0 |
10-Dec-2020 |
Versão inicial |
FeedbackContate a Cisco
- Abrir um caso de suporte
- (É necessário um Contrato de Serviço da Cisco)