了解AnyConnect NAM和ISE上的EAP-FAST和链接实施

下载选项

  • PDF     (865.9 KB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (454.0 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (1.1 MB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2016 年 5 月 20 日
文档 ID:200322

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

    简介

    本文档介绍有关在Cisco AnyConnect网络访问管理器(NAM)和身份服务引擎(ISE)上实施EAP-FAST的详细信息。

    先决条件

    要求

    Cisco 建议您了解以下主题:

    • 有关EAP框架和EAP-FAST方法的基本知识
    • 身份服务引擎(ISE)基础知识
    • AnyConnect NAM和配置文件编辑器基础知识  
    • 802.1x服务的Cisco Catalyst配置基础知识

    使用的组件

    本文档中的信息基于以下软件版本:

    • 带有Cisco AnyConnect安全移动客户端的Windows 7,版本3.1和4.0
    • 装有软件15.2.1及更高版本的Cisco Catalyst 3750X交换机
    • 思科ISE版本1.4

    本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。

    理论

    阶段

    EAP-FAST是灵活的EAP方法,允许请求方和服务器的相互身份验证。它类似于EAP-PEAP,但通常不需要使用客户端或服务器证书。EAP-FAST的一个优势是能够链接多个身份验证(使用多个内部方法)并以密码方式将其绑定在一起(EAP链接)。Cisco实施将这一点用于用户和机器身份验证。

    EAP-FAST使用受保护访问凭证(PAC)来快速建立TLS隧道(会话恢复)或授权用户/计算机(跳过身份验证的内部方法)。

    EAP-FAST有3个阶段:

    • 第0阶段(PAC调配)
    • 第1阶段(TLS隧道建立)
    • 第2阶段(身份验证)

    EAP-FAST支持无PAC和基于PAC的会话。基于PAC的包括PAC调配和基于PAC的身份验证。PAC调配可以基于匿名或经过身份验证的TLS会话。

    PAC

    PAC是服务器生成并提供给客户端的受保护访问凭证。它包括:

    • PAC密钥(随机密钥值,用于生成TLS主密钥和会话密钥)
    • PAC不透明(PAC密钥+用户身份-全部由EAP-FAST服务器主密钥加密)
    • PAC信息(服务器身份、TTL计时器)

    发出PAC的服务器使用EAP-FAST服务器主密钥(不透明PAC)加密PAC密钥和身份,并将整个PAC发送到客户端。它不保存/存储任何其他信息(除主密钥外,主密钥对于所有PAC均相同)。

    收到PAC不透明后,将使用EAP-FAST服务器主密钥解密并验证。PAC密钥用于派生缩写TLS隧道的TLS主密钥和会话密钥。

    当以前的主密钥过期时,生成新的EAP-FAST服务器主密钥。  在某些情况下,可以撤销主密钥。

    目前使用几种类型的PAC:

    • 隧道PAC:用于TLS隧道建立(无需客户端或服务器证书)。在TLS客户端Hello中发送
    • 计算机PAC:用于TLS隧道建立和立即计算机授权。在TLS客户端Hello中发送
    • 用户授权PAC:用于即时用户身份验证(跳过内部方法)(如果服务器允许)。使用TLV在TLS隧道内发送。
    • 计算机授权PAC:如果服务器允许,用于立即计算机身份验证(跳过内部方法)。使用TLV在TLS隧道内发送。
    • Trustsec PAC:用于执行环境或策略刷新时的授权。

    所有这些PAC通常在第0阶段自动交付。某些PAC(隧道、计算机、Trustsec)也可以手动提供。

    生成建立时

    • 隧道PAC:在身份验证成功后调配(内部方法)(如果之前未使用)。
    • 授权PAC:在身份验证成功后调配(内部方法)(如果以前未使用)。
    • 计算机PAC:如果以前未使用过计算机身份验证(内部方法),并且未使用授权PAC,则在计算机身份验证成功后调配。当隧道PAC到期时调配;但是,当授权PAC到期时不调配。当启用或禁用EAP链接时,会调配它。

    注意:

    除以下使用案例外,每个PAC调配都需要成功进行身份验证:授权用户为没有AD帐户的计算机请求计算机PAC。

    此表汇总了调配和主动更新功能:

    PAC类型

    隧道v1/v1a/CTS

    机器

    授权

    在调配时根据请求提供PAC

    仅限经过身份验证的调配

    仅在经过身份验证的配置时,并且如果也请求隧道PAC

    根据身份验证请求提供PAC

    仅当此身份验证中未使用它时

    主动更新

    在基于PAC的身份验证失败后回退到PAC调配时(例如,当PAC过期时)

    拒绝,不提供新的

    拒绝,不提供新的

    拒绝,不提供新的

    支持ACS 4.x PAC

    对于隧道PAC v1/v1a

    EAP-FAST服务器主密钥ACS 4.x与ACS 5x和ISE

    比较ACS 4.x和ISE时,Master key handling略有不同

    功能

    ACS 4.1.2

    ACS 5.x / ISE

    主密钥

    主密钥具有TTL,可以是活动的、已停用或已过期的

    主密钥在每个配置的时间段从种子自动生成。特定主密钥始终可访问,且永不过期

    PAC刷新

    PAC更新在PAC过期时由服务器发送,除非用于PAC加密的主密钥已过期

    PAC更新由服务器在PAC到期之前的特定可配置时间段内执行的首次成功身份验证后发送。

    换句话说,ISE保留所有旧主密钥,并默认每周生成一个新主密钥。由于主密钥无法过期,因此仅验证PAC TTL。

    ISE主密钥生成期通过管理->设置->协议-> EAP-FAST -> EAP-FAST设置进行配置

    会话恢复

    这是允许使用隧道PAC的一个重要组件。它允许在不使用证书的情况下重新协商TLS隧道。

    EAP-FAST有两种会话恢复类型:基于服务器状态和无状态(基于PAC)。

    服务器状态

    基于标准TLS的方法基于服务器上缓存的TLS会话ID。发送TLS客户端Hello的客户端会附加会话ID以恢复会话。当使用匿名TLS隧道时,会话仅用于PAC调配:

    CLI输出

    无状态(基于PAC)

    用户/机器授权PAC用于存储对等体的先前身份验证和授权状态。

    客户端恢复基于RFC 4507。服务器不需要缓存任何数据;相反,客户端在TLS客户端Hello SessionTicket扩展中附加PAC。然后,服务器会验证PAC。  基于传送到服务器的隧道PAC的示例:

    CLI输出

    AnyConnect NAM实施

    它通过快速重新连接在客户端(AnyConnect NAM)上启用,但仅用于控制授权PAC的使用。

    GUI显示

    禁用设置后,NAM仍使用隧道PAC来构建TLS隧道(无需证书)。但是,这不会使用授权PAC执行即时用户和计算机授权。因此,始终需要使用具有内部方法的阶段2。

    ISE可以选择启用无状态会话恢复。和NAM一样,它仅用于授权PAC。隧道PAC使用通过“使用PAC”选项进行控制。

    GUI显示

    如果启用该选项,则NAM会尝试使用PAC。如果在ISE中配置了“不使用PAC”,并且ISE在TLS扩展中收到隧道PAC,则会报告“insert here”错误并返回EAP故障:

    在此处插入

    在ISE中,还需要启用基于TLS SessionID的会话恢复(从全局EAP-FAST设置)。默认情况下会禁用:

    GUI显示

    请记住,只能使用一种类型的会话恢复。基于会话ID的仅用于无PAC部署,基于RFC 4507的仅用于PAC部署。

    PAC调配(第0阶段)

    PAC可以在第0阶段自动调配。第0阶段包括:

    • TLS隧道建立
    • 身份验证(内部方法)

    PAC在通过PAC TLV(和PAC TLV确认)在TLS隧道内成功进行身份验证后交付

    匿名TLS隧道

    对于没有PKI基础设施的部署,可以使用匿名TLS隧道。匿名TLS隧道使用Diffie Hellman密码套件构建-不需要服务器或客户端证书。此方法容易遭受中间人攻击(假冒)。

    要使用此选项,NAM需要以下配置的选项:

    “如果使用PAC允许未经身份验证的PAC调配”(这仅适用于基于密码的内部方法,因为如果没有PKI基础设施,则无法使用基于证书的内部方法)。

    此外,ISE需要在Authentication Allowed Protocols下配置“Allow Anonymous In-band PAC Provisioning”。

    匿名带内PAC调配在TrustSec NDAC部署中使用(网络设备之间协商的EAP-FAST会话)。

    经过身份验证的TLS隧道

    这是最安全、最推荐的选项。TLS隧道基于请求方验证的服务器证书构建。这仅在服务器端需要PKI基础设施,ISE需要该基础设施(在NAM上,可以禁用“验证服务器身份”选项。

    对于ISE,有两个额外的选项:

    GUI显示

    通常,在PAC调配后,会发送Access-Reject,强制请求方使用PAC重新进行身份验证。但是,由于PAC是通过身份验证在TLS隧道中提供的,因此可以缩短整个过程,并在PAC调配后立即返回Access-Accept。 

    第二个选项基于客户端证书构建TLS隧道(这需要在终端上部署PKI)。这允许使用相互身份验证来构建TLS隧道,这将跳过内部方法并直接进入PAC设置阶段。此处必须小心-有时,请求方提供不受ISE信任(用于其他目的)的证书,并且会话失败。

    EAP链接

    允许在一个Radius/EAP会话内进行用户和计算机身份验证。多个EAP方法可以链接在一起。在成功完成第一次身份验证(通常是计算机)后,服务器会发送一个指示成功的中间结果TLV(在TLS隧道内)。该TLV必须伴有加密绑定TLV请求。加密绑定用于证明服务器和对等体都参与了特定的身份验证序列。Cryptobinding过程使用第1阶段和第2阶段的密钥材料。此外,还附加了一个或多个TLV:EAP-Payload -正在启动新会话(通常针对用户)。一旦RADIUS服务器(ISE)收到加密绑定TLV响应并对其进行验证,日志中会显示以下内容,并尝试下一个EAP方法(通常用于用户身份验证):

    12126   EAP-FAST cryptobinding verification passed

    如果加密绑定验证失败,则整个EAP会话将失败。如果其中一个身份验证失败,则它仍然正常-因此,ISE允许管理员根据授权条件NetworkAccess:EapChainingResult配置多个链接结果:

    GUI显示

    启用EAP-FAST用户和计算机身份验证后,NAM上会自动启用EAP-Chaining。

    必须在ISE中配置EAP链接。

    PAC文件的存储位置

    默认情况下,隧道和计算机PAC存储在<credential>部分的C:\ProgramData\Cisco\Cisco AnyConnect安全移动客户端\网络访问管理器\system\internalConfiguration.xml中。它们以加密形式存储。

    nam-pac-credentials

    授权PAC仅存储在内存中,并在重新启动或NAM服务重新启动后删除。

    需要重新启动服务才能删除隧道或计算机PAC。

    AnyConnect NAM 3.1与4.0

    AnyConnect 3.x NAM配置文件编辑器允许管理员手动配置PAC。此功能已从AnyConnect 4.x NAM配置文件编辑器中删除。

    GUI显示

    删除功能的决定基于思科漏洞ID CSCuf31422和思科漏洞ID CSCua13140

    Examples

    网络图

    所有示例都使用此网络拓扑进行了测试。使用无线时同样如此。

    eap-fast

    EAP-Fast,没有EAP链接,用户和计算机PAC

    默认情况下,在ISE上禁用EAP_chaining。但是,所有其他选项均已启用,包括计算机和授权PAC。请求方已具有有效的计算机和隧道PAC。在此流程中,ISE上存在两个单独的身份验证(一个用于计算机,一个用于用户)。ISE记录的主要步骤。第一次身份验证(计算机):

    • 请求方通过计算机PAC发送TLS客户端Hello。
    • 服务器验证计算机PAC并构建TLS隧道(未使用证书)。
    • 服务器验证计算机PAC并在Active Directory中执行帐户查找并跳过内部方法。
    12102 Extracted EAP-Response containing EAP-FAST challenge-response and accepting EAP-FAST as negotiated 
    12800 Extracted first TLS record; TLS handshake started 
    12174 Received Machine PAC 
    12805 Extracted TLS ClientHello message 
    12806 Prepared TLS ServerHello message 
    12801 Prepared TLS ChangeCipherSpec message 

    12816 TLS handshake succeeded 
    12132 EAP-FAST built PAC-based tunnel for purpose of authentication 

    24351 Account validation succeeded 
    24420 User's Attributes retrieval from Active Directory succeeded - example . com 
    22037 Authentication Passed 
    12124 EAP-FAST inner method skipped 

    11503 Prepared EAP-Success 
    11002 Returned RADIUS Access-Accept

    第二次身份验证(用户):

    • 请求方通过隧道PAC发送TLS客户端Hello。
    • 服务器验证PAC并构建TLS隧道(未使用证书)。
    • 由于请求方没有任何授权PAC,因此使用内部方法(EAP-MSCHAP)进行身份验证。
    12102 Extracted EAP-Response containing EAP-FAST challenge-response and accepting EAP-FAST as negotiated 
    12800 Extracted first TLS record; TLS handshake started 
    12175 Received Tunnel PAC 
    12805 Extracted TLS ClientHello message 
    12806 Prepared TLS ServerHello message 
    12801 Prepared TLS ChangeCipherSpec message 

    12816 TLS handshake succeeded     
    12132 EAP-FAST built PAC-based tunnel for purpose of authentication 
    12125 EAP-FAST inner method started 
    11806 Prepared EAP-Request for inner method proposing EAP-MSCHAP with challenge 

    24402 User authentication against Active Directory succeeded - example . com 
    22037 Authentication Passed 

    11503 Prepared EAP-Success 
    11002 Returned RADIUS Access-Accept

    在ISE中详细报告的“其他属性”(Other Attributes)部分中,对用户和计算机身份验证都进行了以下说明:

    EapChainingResult: No chaining

    EAP-Fast与PAC快速重新连接的EAP链接

    在此流程中,请求方已拥有有效的隧道PAC以及用户和计算机授权PAC:

    • 请求方通过隧道PAC发送TLS客户端Hello。
    • 服务器验证PAC并构建TLS隧道(未使用证书)。
    • ISE启动EAP链接,请求方使用TLS隧道中的TLV为用户和计算机附加授权PAC。
    • ISE验证授权PAC(无需内部方法),验证Active Directory中是否存在帐户(无其他身份验证),返回成功。
    12102   Extracted EAP-Response containing EAP-FAST challenge-response and accepting EAP-FAST as negotiated
    12800   Extracted first TLS record; TLS handshake started
    12175   Received Tunnel PAC
    12805   Extracted TLS ClientHello message
    12806   Prepared TLS ServerHello message
    12801   Prepared TLS ChangeCipherSpec message

    12816   TLS handshake succeeded
    12132   EAP-FAST built PAC-based tunnel for purpose of authentication
    12209   Starting EAP chaining
    12210   Received User Authorization PAC
    12211   Received Machine Authorization PAC

    24420   User's Attributes retrieval from Active Directory succeeded - example .com
    22037   Authentication Passed

    24439   Machine Attributes retrieval from Active Directory succeeded - example .com
    22037   Authentication Passed

    11503   Prepared EAP-Success        
    11002   Returned RADIUS Access-Accept

    在ISE中详细报告的“其他属性”(Other Attributes)部分中,将记录此结果:

    EapChainingResult: EAP Chaining

    此外,用户和计算机凭证都包含在相同的日志中,如下所示:

    Username: cisco,host/mgarcarz-PC

    EAP-Fast和EAP链接,无PAC

    在此流程中,NAM配置为不使用PAC,ISE也配置为不使用PAC(但使用EAP链接)

    • 请求方在不使用隧道PAC的情况下发送TLS客户端Hello。
    • 服务器使用TLS证书和证书请求负载做出响应。
    • 请求方必须信任服务器证书,不发送任何客户端证书(证书负载为零),构建TLS隧道。
    • ISE在TLS隧道内发送客户端证书的TLV请求,但请求方不发送(无需拥有该请求才能继续)。
    • 使用内部方法和MSCHAPv2身份验证为用户启动EAP链接。
    • 继续计算机身份验证,使用内部方法和MSCHAPv2身份验证。
    • 未调配任何PAC。
    12102     Extracted EAP-Response containing EAP-FAST challenge-response and accepting EAP-FAST as negotiated
    12800     Extracted first TLS record; TLS handshake started
    12805     Extracted TLS ClientHello message
    12806     Prepared TLS ServerHello message
    12807     Prepared TLS Certificate message
    12809     Prepared TLS CertificateRequest message
    12811     Extracted TLS Certificate message containing client certificate
    12812     Extracted TLS ClientKeyExchange message

    12816     TLS handshake succeeded
    12207     Client certificate was requested but not received during tunnel establishment. Will renegotiate and request client certificate inside the tunnel.
    12226     Started renegotiated TLS handshake

    12104     Extracted EAP-Response containing EAP-FAST challenge-response
    12811     Extracted TLS Certificate message containing client certificate
    12812     Extracted TLS ClientKeyExchange message
    12804     Extracted TLS Finished message
    12801     Prepared TLS ChangeCipherSpec message
    12802     Prepared TLS Finished message
    12226     Started renegotiated TLS handshake
    12205     Client certificate was requested but not received inside the tunnel. Will continue with inner method.
    12176     EAP-FAST PAC-less full handshake finished successfully

    12209     Starting EAP chaining
    12218     Selected identity type 'User'

    11806     Prepared EAP-Request for inner method proposing EAP-MSCHAP with challenge

    24402     User authentication against Active Directory succeeded - example .com
    22037     Authentication Passed

    12219     Selected identity type 'Machine'

    11806     Prepared EAP-Request for inner method proposing EAP-MSCHAP with challenge

    24470     Machine authentication against Active Directory is successful - example .com
    22037     Authentication Passed

    11503     Prepared EAP-Success
    11002     Returned RADIUS Access-Accept

    EAP-Fast与EAP链接授权PAC到期

    在此流程中,请求方具有有效的隧道PAC,但已过期授权PAC:

    • 请求方通过隧道PAC发送TLS客户端Hello。
    • 服务器验证PAC并构建TLS隧道(未使用证书)。
    • ISE启动EAP链接,请求方使用TLS隧道中的TLV为用户和计算机附加授权PAC。
    • 当PAC过期时,用户和计算机的内部方法均启动(EAP-MSCHAP)。
    • 一旦两个身份验证均成功,用户和计算机授权PAC均会调配。
    12102   Extracted EAP-Response containing EAP-FAST challenge-response and accepting EAP-FAST as negotiated
    12800   Extracted first TLS record; TLS handshake started
    12175   Received Tunnel PAC
    12805   Extracted TLS ClientHello message
    12806   Prepared TLS ServerHello message
    12801   Prepared TLS ChangeCipherSpec message

    12816   TLS handshake succeeded
    12132   EAP-FAST built PAC-based tunnel for purpose of authentication
    12209   Starting EAP chaining
    12227   User Authorization PAC has expired - will run inner method
    12228   Machine Authorization PAC has expired - will run inner method
    12218   Selected identity type 'User'

    11806   Prepared EAP-Request for inner method proposing EAP-MSCHAP with challenge

    24402   User authentication against Active Directory succeeded - example .com
    22037   Authentication Passed

    12219   Selected identity type 'Machine'

    24470   Machine authentication against Active Directory is successful - example .com
    22037   Authentication Passed

    12171   Successfully finished EAP-FAST user authorization PAC provisioning/update
    12179   Successfully finished EAP-FAST machine authorization PAC provisioning/update

    11503   Prepared EAP-Success
    11002   Returned RADIUS Access-Accept

    EAP-Fast和EAP链接隧道PAC已过期

    在此流程中,如果不存在有效的隧道PAC,则会与内部阶段进行完全TLS协商。

    • 请求方在不使用隧道PAC的情况下发送TLS客户端Hello。
    • 服务器使用TLS证书和证书请求负载做出响应。
    • 请求方必须信任服务器证书,不发送客户端证书(证书负载为零),已建立TLS隧道。
    • ISE在TLS隧道内发送客户端证书的TLV请求,但请求方不发送(无需拥有该请求才能继续)。
    • 使用内部方法和MSCHAPv2身份验证为用户启动EAP链接。
    • 继续计算机身份验证,使用内部方法和MSCHAPv2身份验证。
    • 已成功调配所有PAC(在ISE配置中启用)。
    12102   Extracted EAP-Response containing EAP-FAST challenge-response and accepting EAP-FAST as negotiated
    12800   Extracted first TLS record; TLS handshake started
    12805   Extracted TLS ClientHello message
    12806   Prepared TLS ServerHello message
    12807   Prepared TLS Certificate message
    12809   Prepared TLS CertificateRequest message
    12105   Prepared EAP-Request with another EAP-FAST challenge
    11006   Returned RADIUS Access-Challenge
    11001   Received RADIUS Access-Request

    12816   TLS handshake succeeded
    12207   Client certificate was requested but not received during tunnel establishment. Will renegotiate and request client certificate inside the tunnel.
    12226   Started renegotiated TLS handshake

    12104   Extracted EAP-Response containing EAP-FAST challenge-response
    12811   Extracted TLS Certificate message containing client certificate
    12812   Extracted TLS ClientKeyExchange message
    12804   Extracted TLS Finished message
    12801   Prepared TLS ChangeCipherSpec message
    12802   Prepared TLS Finished message
    12226   Started renegotiated TLS handshake
    12205   Client certificate was requested but not received inside the tunnel. Will continue with inner method.
    12149   EAP-FAST built authenticated tunnel for purpose of PAC provisioning
    12105   Prepared EAP-Request with another EAP-FAST challenge
    11006   Returned RADIUS Access-Challenge
    11001   Received RADIUS Access-Request
    11018   RADIUS is re-using an existing session
    12104   Extracted EAP-Response containing EAP-FAST challenge-response
    12209   Starting EAP chaining
    12218   Selected identity type 'User'
    11806   Prepared EAP-Request for inner method proposing EAP-MSCHAP with challenge    

    24402   User authentication against Active Directory succeeded - example .com
    22037   Authentication Passed

    12126   EAP-FAST cryptobinding verification passed
    12200   Approved EAP-FAST client Tunnel PAC request
    12202   Approved EAP-FAST client Authorization PAC request
    12219   Selected identity type 'Machine'

    11806   Prepared EAP-Request for inner method proposing EAP-MSCHAP with challenge

    24470   Machine authentication against Active Directory is successful - example .com
    22037   Authentication Passed

    12169   Successfully finished EAP-FAST tunnel PAC provisioning/update
    12171   Successfully finished EAP-FAST user authorization PAC provisioning/update
    12170   Successfully finished EAP-FAST machine PAC provisioning/update
    12179   Successfully finished EAP-FAST machine authorization PAC provisioning/update

    11503   Prepared EAP-Success
    11002   Returned RADIUS Access-Accept

    采用EAP链接和匿名TLS隧道PAC调配的EAP-Fast

    在此流程中,为PAC调配配置了ISE和NAM匿名TLS隧道(已禁用PAC调配的ISE身份验证TLS隧道),PAC调配请求如下所示:

    • 请求方发送TLS客户端Hello,而不发送多个密码套件。
    • 服务器使用TLS服务器Hello和TLS匿名Diffie Hellman密码进行响应(例如TLS_DH_anon_WITH_AES_128_CBC_SHA)。
    • 请求方接受此请求,并构建匿名TLS隧道(不交换证书)。
    • 使用内部方法和MSCHAPv2身份验证为用户启动EAP链接。
    • 继续计算机身份验证,使用内部方法和MSCHAPv2身份验证。
    • 由于正在构建匿名TLS隧道,因此不允许使用授权PAC。
    • 返回Radius Reject以强制请求方重新进行身份验证(使用调配的PAC)。
    12102     Extracted EAP-Response containing EAP-FAST challenge-response and accepting EAP-FAST as negotiated      
    12800     Extracted first TLS record; TLS handshake started
    12805     Extracted TLS ClientHello message
    12806     Prepared TLS ServerHello message
    12808     Prepared TLS ServerKeyExchange message
    12810     Prepared TLS ServerDone message

    12812     Extracted TLS ClientKeyExchange message
    12804     Extracted TLS Finished message
    12801     Prepared TLS ChangeCipherSpec message
    12802     Prepared TLS Finished message
    12816     TLS handshake succeeded
    12131     EAP-FAST built anonymous tunnel for purpose of PAC provisioning

    12209     Starting EAP chaining
    12218     Selected identity type 'User'

    11806     Prepared EAP-Request for inner method proposing EAP-MSCHAP with challenge

    24402     User authentication against Active Directory succeeded - example .com
    22037     Authentication Passed

    12162     Cannot provision Authorization PAC on anonymous provisioning. Authorization PAC can be provisioned only on authenticated provisioning
    12200     Approved EAP-FAST client Tunnel PAC request
    12219     Selected identity type 'Machine'

    24470     Machine authentication against Active Directory is successful - example .com
    22037     Authentication Passed

    12162     Cannot provision Authorization PAC on anonymous provisioning. Authorization PAC can be provisioned only on authenticated provisioning      
    12169     Successfully finished EAP-FAST tunnel PAC provisioning/update
    12170     Successfully finished EAP-FAST machine PAC provisioning/update

    11504     Prepared EAP-Failure
    11003     Returned RADIUS Access-Reject

    匿名TLS隧道协商的Wireshark数据包捕获:

    CLI输出

    EAP-Fast,仅EAP链接用户身份验证

    在此流程中,配置了采用EAP-FAST和用户(EAP-TLS)的AnyConnect NAM以及计算机身份验证(EAP-TLS)。Windows PC已启动,但未提供用户凭据。交换机启动802.1x会话,NAM必须响应,但是未提供用户凭据(尚未提供对用户存储和证书的访问权限)。因此,用户身份验证在计算机成功时失败-满足ISE身份验证条件“Network Access:EapChainingResult EQUALS User failed and machine succeeded”。稍后,用户登录,另一身份验证开始,用户和计算机均成功。

    • 请求方通过计算机PAC发送TLS客户端Hello。
    • 服务器使用TLS更改密码规范进行响应- TLS隧道将立即基于该PAC构建。
    • ISE启动EAP链并请求用户身份。
    • 请求方改为提供计算机身份(用户尚未就绪),完成EAP-TLS内部方法。
    • ISE再次请求用户身份,请求方无法提供。
    • ISE发送TLV,其中间结果=失败(用于用户身份验证)。
    • ISE返回最终的EAP成功消息,ISE条件Network Access:EapChainingResult EQUALS User failed and machine successful已满足。
    12102   Extracted EAP-Response containing EAP-FAST challenge-response and accepting EAP-FAST as negotiated
    12800   Extracted first TLS record; TLS handshake started
    12174   Received Machine PAC

    12805   Extracted TLS ClientHello message
    12806   Prepared TLS ServerHello message
    12801   Prepared TLS ChangeCipherSpec message
    12802   Prepared TLS Finished message

    12816   TLS handshake succeeded
    12132   EAP-FAST built PAC-based tunnel for purpose of authentication

    12209   Starting EAP chaining
    12218   Selected identity type 'User'

    12213   Identity type provided by client is not equal to requested type
    12215   Client suggested 'Machine' identity type instead

    12104   Extracted EAP-Response containing EAP-FAST challenge-response
    12523   Extracted EAP-Response/NAK for inner method requesting to use EAP-TLS instead

    12805   Extracted TLS ClientHello message
    12806   Prepared TLS ServerHello message
    12807   Prepared TLS Certificate message
    12809   Prepared TLS CertificateRequest message

    12816   TLS handshake succeeded
    12509   EAP-TLS full handshake finished successfully

    22070   Identity name is taken from certificate attribute
    15013   Selected Identity Source - Test-AD
    24323   Identity resolution detected single matching account
    22037   Authentication Passed

    12202   Approved EAP-FAST client Authorization PAC request
    12218   Selected identity type 'User'
    12213   Identity type provided by client is not equal to requested type
    12216   Identity type provided by client was already used for authentication
    12967   Sent EAP Intermediate Result TLV indicating failure

    12179   Successfully finished EAP-FAST machine authorization PAC provisioning/update
    12106   EAP-FAST authentication phase finished successfully
    11503   Prepared EAP-Success
    11002   Returned RADIUS Access-Accept

    EAP-Fast(具有EAP链接和一致的匿名TLS隧道设置)

    在此流程中,ISE仅通过匿名TLS隧道配置进行PAC调配,但NAM使用经过身份验证的TLS隧道,ISE会记录以下信息:

    12102   Extracted EAP-Response containing EAP-FAST challenge-response and accepting EAP-FAST as negotiated
    12800   Extracted first TLS record; TLS handshake started
    12805   Extracted TLS ClientHello message
    12814   Prepared TLS Alert message
    12817   TLS handshake failed
    12121   Client didn't provide suitable ciphers for anonymous PAC-provisioning

    11504   Prepared EAP-Failure
    11003   Returned RADIUS Access-Reject

    当NAM尝试使用其特定TLS密码构建经过身份验证的TLS隧道,并且配置为匿名TLS隧道的ISE不接受这些密码(仅接受DH密码)时,会发生这种情况

    故障排除

    ISE

    对于详细日志,必须在相应的PSN节点上启用运行时AAA调试。下面是来自prrt-server.log的几条日志示例:

    计算机PAC生成:

    DEBUG,0x7fd5332fe700,cntx=0001162745,sesn=mgarcarz-ise14/223983918/29245,CPMSessionID=0A3E946D00000FE5131F9D26,CallingStationID=00-50-B6-11-ED-31,FramedIPAddress=10.0.13.127,Using IID from PAC request for machine,EapFastTlv.cpp:1234

    DEBUG,0x7fd5332fe700,cntx=0001162745,sesn=mgarcarz-ise14/223983918/29245,CPMSessionID=0A3E946D00000FE5131F9D26,CallingStationID=00-50-B6-11-ED-31,FramedIPAddress=10.0.13.127,Adding PAC of type=Machine Authorization,EapFastProtocol.cpp:3610

    DEBUG,0x7fd5332fe700,cntx=0001162745,sesn=mgarcarz-ise14/223983918/29245,CPMSessionID=0A3E946D00000FE5131F9D26,CallingStationID=00-50-B6-11-ED-31,FramedIPAddress=10.0.13.127,Eap-Fast: Generating Pac, Issued PAC type=Machine Authorization with expiration time: Fri Jul  3 10:38:30 2015

    PAC请求审批:

    INFO ,0x7fd5330fc700,cntx=0001162745,sesn=mgarcarz-ise14/223983918/29245,CPMSessionID=0A3E946D00000FE5131F9D26,user=host/mgarcarz-pc,CallingStationID=00-50-B6-11-ED-31,FramedIPAddress=10.0.13.127,Eap-Fast: client PAC request approved for PAC type - Requested PAC type=Machine,EapFastProtocol.cpp:955

    INFO ,0x7fd5330fc700,cntx=0001162745,sesn=mgarcarz-ise14/223983918/29245,CPMSessionID=0A3E946D00000FE5131F9D26,user=host/mgarcarz-pc,CallingStationID=00-50-B6-11-ED-31,FramedIPAddress=10.0.13.127,Eap-Fast: client PAC request approved for PAC type - Requested PAC type=Machine Authorization,EapFastProtocol.cpp:955

    PAC验证:

    DEBUG,0x7fd5330fc700,cntx=0001162499,sesn=mgarcarz-ise14/223983918/29243,CPMSessionID=0A3E946D00000FE5131F9D26,user=anonymous,CallingStationID=00-50-B6-11-ED-31,FramedIPAddress=10.0.13.127,Authorization PAC is valid,EapFastProtocol.cpp:3403

    Eap,2015-07-03 09:34:39,208,DEBUG,0x7fd5330fc700,cntx=0001162499,sesn=mgarcarz-ise14/223983918/29243,CPMSessionID=0A3E946D00000FE5131F9D26,user=anonymous,CallingStationID=00-50-B6-11-ED-31,FramedIPAddress=10.0.13.127,Authorization PAC accepted,EapFastProtocol.cpp:3430

    PAC生成的成功摘要示例:

    DEBUG,0x7fd5331fd700,cntx=0001162749,sesn=mgarcarz-ise14/223983918/29245,CPMSessionID=0A3E946D00000FE5131F9D26,user=cisco,CallingStationID=00-50-B6-11-ED-31,FramedIPAddress=10.0.13.127,Conversation summary: Provisioning. Authenticated. Inner method succeeded. Inner method succeeded. Generated PAC of type Tunnel V1A. Generated PAC of type User Authorization. Generated PAC of type Machine. Generated PAC of type Machine Authorization.  Success

    PAC验证成功摘要示例:

    DEBUG,0x7fd5330fc700,cntx=0001162503,sesn=mgarcarz-ise14/223983918/29243,CPMSessionID=0A3E946D00000FE5131F9D26,user=host/mgarcarz-pc,CallingStationID=00-50-B6-11-ED-31,FramedIPAddress=10.0.13.127,Conversation summary: Authentication. PAC type Tunnel V1A. PAC is valid.Skip inner method. Skip inner method.  Success

    AnyConnect NAM

    例如,非EAP-Chaining会话,没有快速重新连接的计算机身份验证:

    EAP: Identity requested
    Auth[eap-fast-pac:machine-auth]: Performing full authentication
    Auth[eap-fast-pac:machine-auth]: Disabling fast reauthentication

    授权PAC查找示例(非EAP-Chaining会话的计算机身份验证):

    Looking for matching pac with iid: host/ADMIN-PC2
    Requested machine pac was sen

    内部方法(对于MSCHAP)的所有状态都可从以下日志进行验证:

     EAP (0) EAP-MSCHAP-V2: State: 0 (eap_auth_mschapv2_c.c 731
     EAP (0) EAP-MSCHAP-V2: State: 2 (eap_auth_mschapv2_c.c 731
     EAP (0) EAP-MSCHAP-V2: State: 1 (eap_auth_mschapv2_c.c 731
     EAP (0) EAP-MSCHAP-V2: State: 4 (eap_auth_mschapv2_c.c 73

    NAM允许配置扩展日志记录功能,该功能可捕获所有EAP数据包并将其保存在pcap文件中。这对于登录前启动功能特别有用(即使是在用户登录前进行的身份验证,也会捕获EAP数据包)。要激活功能,请咨询您的TAC工程师。

    参考

    修订历史记录

    版本 发布日期 备注
    1.0
    15-Mar-2016
    初始版本
    TAC Authored

    由思科工程师提供

    • 米哈尔·加尔卡斯
    • 托马斯·沃尔

    此文档是否有帮助?

    Feedback反馈

    联系我们

    本文档适用于以下产品