In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.
Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.
In diesem Dokument wird beschrieben, wie die Protokollierung über den AnyConnect Network Access Manager (NAM) aktiviert und die Protokolle erfasst und interpretiert werden. In den im Dokument enthaltenen Beispielen werden verschiedene Authentifizierungsszenarien und die Protokolle beschrieben, die die vom Network Access Manager zur Authentifizierung des Clients unternommenen Schritte widerspiegeln.
Es gibt keine spezifischen Anforderungen für dieses Dokument.
Dieses Dokument ist nicht auf bestimmte Software- und Hardware-Versionen beschränkt.
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netz Live ist, überprüfen Sie, ob Sie die mögliche Auswirkung jedes möglichen Befehls verstehen.
Wenn ein Problem erkannt wird, das möglicherweise mit dem NAM-Modul zusammenhängt, besteht der erste Schritt darin, die Funktion für erweiterte Protokollierung zu aktivieren. Dies muss auf dem Client-Endpunkt erfolgen, während das NAM-Modul ausgeführt wird.
Schritt 1: Öffnen Sie das AnyConnect-Fenster, und stellen Sie sicher, dass es aktiviert ist.
Schritt 2: Drücken Sie diese Tastenkombination, Umschalt links + Alt links + L. Es gibt keine Antwort.
Schritt 3: Klicken Sie mit der rechten Maustaste auf das Symbol AnyConnect in der Windows-Taskleiste. Es erscheint ein Menü.
Schritt 4: Wählen Sie Extended Logging aus, damit ein Häkchen angezeigt wird. NAM protokolliert jetzt detaillierte Debugmeldungen.
Wenn die erweiterte Protokollierung aktiviert ist, sorgt NAM auch dafür, dass ein Paketerfassungspuffer aktiv bleibt. Der Puffer ist standardmäßig auf ca. 1MB begrenzt. Wenn eine Paketerfassung erforderlich ist, kann es von Vorteil sein, die Puffergröße zu erhöhen, damit mehr Aktivitäten erfasst werden können. Um den Puffer zu erweitern, muss eine XML-Einstellungsdatei manuell geändert werden.
Schritt 1: Navigieren Sie auf dem Windows-PC zu:
C:\ProgramData\Cisco\Cisco AnyConnect Secure Mobility Client\Network Access Manager\system\
Schritt 2: Öffnen Sie die Datei internalConfiguration.xml.
Schritt 3: Suchen Sie das XML-Tag <packetCaptureFileSize>1</packetCaptureFileSize>, und passen Sie den Wert auf 10 für eine Puffergröße von 10 MB an usw.
Schritt 4: Starten Sie den Client-PC neu, damit die Änderung wirksam wird.
Die NAM-Protokollerfassung erfolgt über das Diagnostic And Reporting Tool (DART), ein Modul der AnyConnect-Suite. Wählen Sie im Installationsprogramm ein Modul aus, und verwenden Sie AnyConnect ISO für die vollständige Installation. Sie finden das Installationsprogramm für Cisco Media Services Interface (MSI) auch innerhalb der ISO-Datei.
Nachdem Sie die erweiterte Protokollierung aktiviert und einen Test durchgeführt haben, führen Sie einfach DART aus, und gehen Sie durch den Dialog. Das Protokollpaket befindet sich standardmäßig auf dem Windows-Desktop.
Zusätzlich zum DART-Paket ist das NAM-Nachrichtenprotokoll hilfreich, um die relevanten Daten im NAM-Protokoll zu finden. Um nach dem NAM-Nachrichtenprotokoll zu suchen, navigieren Sie zu AnyConnect settings window > Network Access Manager > Message History. Das Nachrichtenprotokoll enthält einen Zeitstempel für jedes Netzwerkverbindungsereignis, anhand dessen die für das Ereignis relevanten Protokolle ermittelt werden können.
NAM-Protokolle enthalten, insbesondere nachdem Sie die erweiterte Protokollierung aktiviert haben, eine große Datenmenge, von der die meisten irrelevant sind und ignoriert werden können. In diesem Abschnitt werden die Debug-Zeilen aufgelistet, um die einzelnen Schritte von NAM zum Herstellen einer Netzwerkverbindung zu veranschaulichen. Wenn Sie ein Protokoll durcharbeiten, können diese Schlüsselbegriffe hilfreich sein, um einen Teil des Protokolls zu finden, der für das Problem relevant ist.
2016 17:20:37.974 +0600: %NAM-7-DEBUG_MSG: %[tid=1412]: Network test123: AccessStateMachine current state = ACCESS_STOPPED, received userEvent = START
Erklärung: Dies gibt an, dass der Benutzer ein Netzwerk aus dem NAM-Modul ausgewählt hat und dass NAM ein userEvent von START erhalten hat.
538: TESTPC: May 16 2016 17:20:37.974 +0600: %NAM-7-DEBUG_MSG: %[tid=1412]: Network test123: AccessStateMachine new state = ACCESS_STARTED 539: TESTPC: May 16 2016 17:20:37.974 +0600: %NAM-7-DEBUG_MSG: %[tid=1412]: Network test123: NetworkStateMachine current state USER_T_DISCONNECTED, received access event ACCESS_STARTED
Erläuterung: Sowohl der Access-State-Computer als auch der Network-State-Computer wurden gestartet.
545: TESTPC: May 16 2016 17:20:37.974 +0600: %NAM-7-DEBUG_MSG: %[tid=1412]: Ipv4 {EFDAF0F0-CF25-4D88-B125-E748CD539DFF}: received Cancel event [state: COMPLETE]
Erklärung: Die IPv4-Instanz wurde abgebrochen, um die Zustände zurückzusetzen.
547: TESTPC: May 16 2016 17:20:37.974 +0600: %NAM-7-DEBUG_MSG: %[tid=1412]: starting makeMatches... 549: TESTPC: May 16 2016 17:20:37.989 +0600: %NAM-6-INFO_MSG: %[tid=1412]: matching adapter {484E4FEF-392C-436F-97F0-CD7206CD7D48} and network test123 ...
Erläuterung: Der Adapter mit der ID 484E4FEF-392C-436F-97F0-CD7206CD7D48 wurde für die Verbindung mit dem Netzwerktest123 ausgewählt. Dies ist der Name der in NAM konfigurierten Netzwerkverbindung.
551: TESTPC: May 16 2016 17:20:37.989 +0600: %NAM-7-DEBUG_MSG: %[tid=1412]: Network test123: AccessStateMachine new state = ACCESS_ATTACHED 557: TESTPC: May 16 2016 17:20:37.989 +0600: %NAM-7-DEBUG_MSG: %[tid=1412]: Network test123: AccessStateMachine current state = ACCESS_ATTACHED, received userEvent = CONNECT
Erklärung: NAM hat den Adapter für dieses Netzwerk erfolgreich aktiviert. NAM versucht nun, eine Verbindung mit diesem Netzwerk (das zufällig ein Wireless-Netzwerk ist) herzustellen:
561: TESTPC: May 16 2016 17:20:37.989 +0600: %NAM-7-DEBUG_MSG: %[tid=1412]: ACE: adapter SM current: state(STATE_DISCONNECTED_LINK_DOWN), event(EVENT_CONNECT) 562: TESTPC: May 16 2016 17:20:37.989 +0600: %NAM-7-DEBUG_MSG: %[tid=1412]: ACE: adapter SM state change: STATE_DISCONNECTED_LINK_DOWN -> STATE_ASSOCIATING 567: TESTPC: May 16 2016 17:20:37.989 +0600: %NAM-6-INFO_MSG: %[tid=1412]: Starting wifi connection, trying ssid test123 ... 568: TESTPC: May 16 2016 17:20:37.989 +0600: %NAM-6-INFO_MSG: %[tid=1412]: Connection Association Started(openNoEncryption)
Erklärung: openNoEncryption gibt an, dass das Netzwerk als offen konfiguriert ist. Auf dem Wireless LAN Controller wird MAC Authentication Bypass (MAB) für die Authentifizierung verwendet.
234: TESTPC: May 16 2016 17:20:38.020 +0600: %NAMSSO-7-DEBUG_MSG: %[tid=1912]: waiting for cs...
Erklärung: cs ist in NAM-Protokollen häufig zu sehen. Diese Protokolle sind irrelevant und sollten ignoriert werden.
575: TESTPC: May 16 2016 17:20:38.020 +0600: %NAM-7-DEBUG_MSG: %[tid=1412]: Network test123: NetworkStateMachine new state USER_T_DISCONNECTED 236: TESTPC: May 16 2016 17:20:38.020 +0600: %NAMSSO-7-DEBUG_MSG: %[tid=1912]: Tx CP Msg: <?xml version="1.0" encoding="UTF-8"?><SOAP-ENV:Envelope xmlns:SOAP-ENV="http://schemas.xmlsoap.org/soap/envelope/" xmlns:ssc="http://www.cisco.com/ssc" encodingStyle="http://schemas.xmlsoap.org/soap/encoding/"> <SOAP-ENV:Body> <networkStateEvent> <sequenceNumber>16</sequenceNumber> <groupName>Local networks</groupName> <networkName>test123</networkName> <networkState>Associating</networkState> <adapterName>Intel(R) Centrino(R) Ultimate-N 6300 AGN</adapterName> <serverVerifiedName></serverVerifiedName> </networkStateEvent> </SOAP-ENV:Body></SOAP-ENV:Envelope>
Erläuterung: Dies sind SOAP-Nachrichten (Simple Object Access Protocol), die verwendet werden, um der AnyConnect-GUI mitzuteilen, dass sie die Verbindungsstatusmeldung anzeigen soll, wie in diesem Fall Associating (Zuordnung). Alle Fehlermeldungen, die im NAM-Fenster angezeigt werden, finden Sie in einer der SOAP-Meldungen im Protokoll, mit der das Problem leicht lokalisiert werden kann.
582: TESTPC: May 16 2016 17:20:38.020 +0600: %NAM-7-DEBUG_MSG: %[tid=1412]: {484E4FEF-392C-436F-97F0-CD7206CD7D48} - Received STATE_AUTHENTICATED 583: TESTPC: May 16 2016 17:20:38.020 +0600: %NAM-7-DEBUG_MSG: %[tid=1412]: ACE: adapter SM current: state(STATE_ASSOCIATING), event(EVENT_AUTH_SUCCESS)
Erklärung: NAM empfängt ein AUTH_SUCCESS-Ereignis, das irreführend ist, weil es derzeit keine Authentifizierung gibt. Sie erhalten dieses Ereignis einfach, weil Sie eine Verbindung mit einem offenen Netzwerk herstellen, sodass die Standardauthentifizierung erfolgreich ist.
595: TESTPC: May 16 2016 17:20:38.738 +0600: %NAM-7-DEBUG_MSG: %[tid=1412]: Network test123: AccessStateMachine current state = ACCESS_ASSOCIATING, received adapterState = associated
Erklärung: Zuordnung zum Service Set Identifier (SSID) erfolgreich; Zeit bis zur Authentifizierung.
603: TESTPC: May 16 2016 17:20:38.754 +0600: %NAM-6-INFO_MSG: %[tid=1412][mac=1,6,3c:a9:f4:33:ab:50]: Authentication not required. 604: TESTPC: May 16 2016 17:20:38.754 +0600: %NAM-7-DEBUG_MSG: %[tid=1412]: ACE: adapter SM current: state(STATE_ASSOCIATED), event(EVENT_AUTH_SUCCESS) 605: TESTPC: May 16 2016 17:20:38.754 +0600: %NAM-7-DEBUG_MSG: %[tid=1412]: ACE: adapter SM state change: STATE_ASSOCIATED -> STATE_AUTHENTICATED
Erklärung: Da es sich um ein offenes Netzwerk handelt, wird es standardmäßig authentifiziert. An diesem Punkt ist NAM mit dem Netzwerk verbunden und startet nun den DHCP-Prozess:
610: TESTPC: May 16 2016 17:20:38.754 +0600: %NAM-7-DEBUG_MSG: %[tid=1412]: {484E4FEF-392C-436F-97F0-CD7206CD7D48} creating a new DHCP work 612: TESTPC: May 16 2016 17:20:38.754 +0600: %NAM-6-INFO_MSG: %[tid=1412][mac=1,6,3c:a9:f4:33:ab:50]: {484E4FEF-392C-436F-97F0-CD7206CD7D48}: DHCP: Sending DHCP request 613: TESTPC: May 16 2016 17:20:38.754 +0600: %NAM-7-DEBUG_MSG: %[tid=1412]: queueing DHCP work 642: TESTPC: May 16 2016 17:20:40.830 +0600: %NAM-7-DEBUG_MSG: %[tid=1448]: Ipv4 {484E4FEF-392C-436F-97F0-CD7206CD7D48}: connectivity test[03]: IP:10.201.230.196(255.255.255.224) GW:10.201.230.193 [Success] 643: TESTPC: May 16 2016 17:20:40.830 +0600: %NAM-7-DEBUG_MSG: %[tid=1412]: Ipv4 {484E4FEF-392C-436F-97F0-CD7206CD7D48}: received Success event [state: WAIT_FOR_CONNECTIVITY] 645: TESTPC: May 16 2016 17:20:40.845 +0600: %NAM-6-INFO_MSG: %[tid=1412][mac=1,6,3c:a9:f4:33:ab:50]: {484E4FEF-392C-436F-97F0-CD7206CD7D48}: IP Address Received: 10.201.230.196 646: TESTPC: May 16 2016 17:20:40.845 +0600: %NAM-7-DEBUG_MSG: %[tid=1412]: Ipv4 Connectivity Result: SUCCESS
Erklärung: NAM hat erfolgreich eine IP-Adresse erhalten.
648: TESTPC: May 16 2016 17:20:40.845 +0600: %NAM-7-DEBUG_MSG: %[tid=1412]: ACE: adapter SM current: state(STATE_AUTHENTICATED), event(EVENT_IP_CONNECTIVITY) 649: TESTPC: May 16 2016 17:20:40.845 +0600: %NAM-7-DEBUG_MSG: %[tid=1412]: ACE: adapter SM state change: STATE_AUTHENTICATED -> STATE_CONNECTED
Erklärung: NAM sendet nach dem Empfang einer IP-Adresse eine ARP-Anfrage (Address Resolution Protocol) an das Gateway (Get-Connectivity). Sobald die ARP-Antwort empfangen wurde, wird der Client verbunden.
1286: TESTPC: May 16 2016 17:55:17.138 +0600: %NAM-7-DEBUG_MSG: %[tid=1412]: Network WiredPEAP: AccessStateMachine new state = ACCESS_STARTED
Erläuterung: NAM hat angefangen, sich mit dem Netzwerk WiredPEAP zu verbinden.
1300: TESTPC: May 16 2016 17:55:17.138 +0600: %NAM-7-DEBUG_MSG: %[tid=1412]: Binding adapter Intel(R) 82579LM Gigabit Network Connection and user auth for network WiredPEAP 1303: TESTPC: May 16 2016 17:55:17.138 +0600: %NAM-7-DEBUG_MSG: %[tid=1412]: Network WiredPEAP: AccessStateMachine new state = ACCESS_ATTACHED
Erklärung: NAM hat einen Adapter mit diesem Netzwerk abgeglichen.
1309: TESTPC: May 16 2016 17:55:17.138 +0600: %NAM-7-DEBUG_MSG: %[tid=1412]: Network WiredPEAP: AccessStateMachine current state = ACCESS_ATTACHED, received userEvent = CONNECT 1342: TESTPC: May 16 2016 17:55:17.154 +0600: %NAM-7-DEBUG_MSG: %[tid=1468][comp=SAE]: STATE (4) S_enterStateAux called with state = CONNECTING (dot1x_sm.c 142)
Erklärung: NAM hat angefangen, sich mit diesem kabelgebundenen Netzwerk zu verbinden.
1351: TESTPC: May 16 2016 17:55:17.154 +0600: %NAM-7-DEBUG_MSG: %[tid=1468][comp=SAE]: 8021X (4) Sent start frame (dot1x_sm.c 117)
Erläuterung: Client sendet EAPOL_START.
1388: TESTPC: May 16 2016 17:55:17.154 +0600: %NAM-7-DEBUG_MSG: %[tid=1468][comp=SAE]: PORT (3) net: RECV (status: UP, AUTO) (portMsg.c 658) 1389: TESTPC: May 16 2016 17:55:17.154 +0600: %NAM-7-DEBUG_MSG: %[tid=1468][comp=SAE]: 8021X (4) recvd EAP IDENTITY frame (dot1x_util.c 264) 1397: TESTPC: May 16 2016 17:55:17.154 +0600: %NAM-7-DEBUG_MSG: %[tid=1468][comp=SAE]: EAP (0) EAP State: EAP_STATE_IDENTITY (eap_auth_client.c 940)
Erklärung: Der Client erhält eine Identitätsanforderung vom Switch und sucht nun nach einer Anmeldeinformation, die er zurücksenden kann.
1406: TESTPC: May 16 2016 17:55:17.154 +0600: %NAM-7-DEBUG_MSG: %[tid=1464]: EAP-CB: credential requested: sync=8, session-id=1, handle=00AE1FFC, type=AC_CRED_SESSION_START 1426: TESTPC: May 16 2016 17:55:17.169 +0600: %NAM-7-DEBUG_MSG: %[tid=1412]: EAP: processing credential request: sync=8, session-id=1, eap-handle=00AE1FFC, eap-level=0, auth-level=0, protected=0, type=CRED_REQ_SESSION_START 1458: TESTPC: May 16 2016 17:55:17.169 +0600: %NAM-6-INFO_MSG: %[tid=1412]: Trying fast reauthentication for unprotected identity anonymous 1464: TESTPC: May 16 2016 17:55:17.169 +0600: %NAM-7-DEBUG_MSG: %[tid=1412]: EAP: credential request completed, response sent: sync=9
Erklärung: Standardmäßig sendet Anyconnect anonyme als ungeschützte Identität (äußere Identität), also versucht es hier anonyme und sieht, ob der Server damit einverstanden ist. Die Tatsache, dass die Identität anonym und nicht Host/anonym ist, deutet darauf hin, dass es sich um eine Benutzerauthentifizierung und nicht um eine Computerauthentifizierung handelt.
1492: TESTPC: May 16 2016 17:55:17.185 +0600: %NAM-7-DEBUG_MSG: %[tid=1468][comp=SAE]: 8021X (4) recvd EAP TLS frame (dot1x_util.c 293)
Erläuterung: Der RADIUS-Server sendet einen EAP-TLS-Frame (Extensible Authentication Protocol-Transport Layer Security) ohne Inhalt. Sie dient dazu, das EAP-TLS-Protokoll mit dem Client auszuhandeln.
1516: TESTPC: May 16 2016 17:55:17.185 +0600: %NAM-6-INFO_MSG: %[tid=1412]: EAP: EAP suggested by server: eapTls 1517: TESTPC: May 16 2016 17:55:17.185 +0600: %NAM-6-INFO_MSG: %[tid=1412]: EAP: EAP requested by client: eapPeap 1518: TESTPC: May 16 2016 17:55:17.185 +0600: %NAM-7-DEBUG_MSG: %[tid=1412]: EAP: EAP methods sent: sync=10 1519: TESTPC: May 16 2016 17:55:17.185 +0600: %NAM-7-DEBUG_MSG: %[tid=1412]: EAP: credential request 10: state transition: PENDING -> RESPONDED
Erläuterung: NAM erkennt die Anforderung des Servers, EAP-TLS zu verwenden, der Client ist jedoch für die Verwendung des Protected Extensible Authentication Protocol (PEAP) konfiguriert. Aus diesem Grund sendet NAM ein Gegenangebot für PEAP zurück.
1520: TESTPC: May 16 2016 17:55:17.185 +0600: %NAM-7-DEBUG_MSG: %[tid=1412]: Auth[WiredPEAP:user-auth]: Authentication state transition: AUTH_STATE_UNPROTECTED_IDENTITY_SENT_FOR_FAST_REAUTHENTICATION -> AUTH_STATE_UNPROTECTED_IDENTITY_ACCEPTED
Erklärung: Der RADIUS-Server akzeptiert die äußere/ungeschützte Identität.
1551: TESTPC: May 16 2016 17:55:17.200 +0600: %NAM-7-DEBUG_MSG: %[tid=1468][comp=SAE]: 8021X (4) recvd EAP PEAP frame (dot1x_util.c 305) 1563: TESTPC: May 16 2016 17:55:17.200 +0600: %NAM-7-DEBUG_MSG: %[tid=1468][comp=SAE]: EAP (0) EAP-PEAP: SSL handshake start (eap_auth_tls_p.c 409)
Erläuterung: Der geschützte Teil von PEAP (zur Einrichtung eines sicheren Tunnels für den Austausch von internen Anmeldedaten) wird gestartet, nachdem der Client vom RADIUS-Server die Bestätigung erhalten hat, PEAP weiterhin zu verwenden.
1565: TESTPC: May 16 2016 17:55:17.200 +0600: %NAM-7-DEBUG_MSG: %[tid=1468][comp=SAE]: EAP (0) SSL STATE: SSLv3 write client hello A (eap_auth_tls_p.c 394) 1566: TESTPC: May 16 2016 17:55:17.200 +0600: %NAM-7-DEBUG_MSG: %[tid=1468][comp=SAE]: EAP (0) SSL STATE: SSLv3 read server hello A (eap_auth_tls_p.c 394)
Erläuterung: NAM sendet einen Client-Hello, der in eine EAP-Nachricht eingekapselt ist, und wartet auf den Server-Hello. Das Hello des Servers enthält ein ISE-Zertifikat, sodass die Übertragung einige Zeit in Anspruch nimmt.
1622: TESTPC: May 16 2016 17:55:17.216 +0600: %NAM-7-DEBUG_MSG: %[tid=1468][comp=SAE]: 8021X (4) recvd EAP PEAP frame (dot1x_util.c 305) 1632: TESTPC: May 16 2016 17:55:17.216 +0600: %NAM-7-DEBUG_MSG: %[tid=1468][comp=SAE]: EAP (0) SSL STATE: SSLv3 read server hello A (eap_auth_tls_p.c 394) 1633: TESTPC: May 16 2016 17:55:17.216 +0600: %NAM-6-INFO_MSG: %[tid=1468][comp=SAE]: CERT (0) looking up: "/CN=ISE20-1.kurmai.com" (lookup.c 100) 1634: TESTPC: May 16 2016 17:55:17.232 +0600: %NAM-6-INFO_MSG: %[tid=1468][comp=SAE]: CERT (0) Certificate not found: "/CN=ISE20-1.kurmai.com" (lookup.c 133) 1646: TESTPC: May 16 2016 17:55:17.232 +0600: %NAM-7-DEBUG_MSG: %[tid=1468][comp=SAE]: EAP (0) SSL_ERROR_WANT_X509_LOOKUP (eap_auth_tls_p.c 193)
Erläuterung: NAM hat den Antragstellernamen des ISE-Servers aus dem Serverzertifikat extrahiert. Da das Serverzertifikat nicht im Vertrauenspeicher installiert ist, finden Sie es dort nicht.
1649: TESTPC: May 16 2016 17:55:17.232 +0600: %NAM-7-DEBUG_MSG: %[tid=1468][comp=SAE]: EAP (5) EAP_EVENT_CRED_REQUEST queued (eapCredProcess.c 496) 1650: TESTPC: May 16 2016 17:55:17.232 +0600: %NAM-7-DEBUG_MSG: %[tid=1464][comp=SAE]: EAP (5) EAP: CRED_REQUEST (eapMessage.c 355) 1662: TESTPC: May 16 2016 17:55:17.232 +0600: %NAM-6-INFO_MSG: %[tid=1412]: Getting credentials from logon. 1685: TESTPC: May 16 2016 17:55:17.232 +0600: %NAM-7-DEBUG_MSG: %[tid=1412]: Auth[WiredPEAP:user-auth]: ...resumed
Erklärung: NAM sucht nach der inneren/geschützten Identität, die an den RADIUS-Server gesendet wird, nachdem der Tunnel eingerichtet wurde. In diesem Fall wurde die Option "Windows-Anmeldename und -Kennwort automatisch verwenden" auf dem kabelgebundenen Adapter aktiviert. NAM verwendet daher Windows-Anmeldedaten, anstatt den Benutzer danach zu fragen.
1700: TESTPC: May 16 2016 17:55:17.247 +0600: %NAM-7-DEBUG_MSG: %[tid=1464][comp=SAE]: EAP (0) SSL STATE: SSLv3 write client key exchange A (eap_auth_tls_p.c 394) 1701: TESTPC: May 16 2016 17:55:17.247 +0600: %NAM-7-DEBUG_MSG: %[tid=1464][comp=SAE]: EAP (0) SSL STATE: SSLv3 write change cipher spec A (eap_auth_tls_p.c 394) 1750: TESTPC: May 16 2016 17:55:17.278 +0600: %NAM-7-DEBUG_MSG: %[tid=1468][comp=SAE]: EAP (0) SSL STATE: SSL negotiation finished successfully (eap_auth_tls_p.c 394) 1751: TESTPC: May 16 2016 17:55:17.278 +0600: %NAM-7-DEBUG_MSG: %[tid=1468][comp=SAE]: EAP (0) EAP-PEAP: SSL handshake done (eap_auth_tls_p.c 425) 1752: TESTPC: May 16 2016 17:55:17.278 +0600: %NAM-7-DEBUG_MSG: %[tid=1468][comp=SAE]: EAP (0) EAP-PEAP: New session. (eap_auth_tls_p.c 433) 1753: TESTPC: May 16 2016 17:55:17.278 +0600: %NAM-7-DEBUG_MSG: %[tid=1468][comp=SAE]: EAP (0) EAP-PEAP: session cipher AES256-SHA. (eap_auth_tls_p.c 441)
Erläuterung: NAM hat den Client-Schlüssel und die Chiffrierspezifikation an den Server gesendet und eine Bestätigung erhalten. Die SSL-Verhandlung ist erfolgreich, und es wurde ein Tunnel eingerichtet.
1810: TESTPC: May 16 2016 17:55:17.294 +0600: %NAM-6-INFO_MSG: %[tid=1412]: Protected identity/(Username) sent. 1814: TESTPC: May 16 2016 17:55:17.294 +0600: %NAM-7-DEBUG_MSG: %[tid=1412]: Auth[WiredPEAP:user-auth]: Authentication state transition: AUTH_STATE_UNPROTECTED_IDENTITY_ACCEPTED -> AUTH_STATE_PROTECTED_IDENTITY_SENT 1883: TESTPC: May 16 2016 17:55:17.310 +0600: %NAM-7-DEBUG_MSG: %[tid=1412]: Auth[WiredPEAP:user-auth]: Authentication state transition: AUTH_STATE_PROTECTED_IDENTITY_SENT -> AUTH_STATE_PROTECTED_IDENTITY_ACCEPTED
Erklärung: Die geschützte Identität wird an den Server gesendet, der die Identität akzeptiert. Jetzt fordert der Server das Passwort an.
1902: TESTPC: May 16 2016 17:55:17.310 +0600: %NAM-7-DEBUG_MSG: %[tid=1464][comp=SAE]: EAP (5) deferred password request (eapRequest.c 147) 1918: TESTPC: May 16 2016 17:55:17.310 +0600: %NAM-6-INFO_MSG: %[tid=1412]: Protected password sent. 1921: TESTPC: May 16 2016 17:55:17.325 +0600: %NAM-7-DEBUG_MSG: %[tid=1412]: Auth[WiredPEAP:user-auth]: Authentication state transition: AUTH_STATE_PROTECTED_IDENTITY_ACCEPTED -> AUTH_STATE_CREDENTIAL_SENT
Erklärung: NAM erhält eine Kennwortanforderung und sendet ein Kennwort an den Server.
2076: TESTPC: May 16 2016 17:55:17.856 +0600: %NAM-7-DEBUG_MSG: %[tid=1412]: Auth[WiredPEAP:user-auth]: Authentication state transition: AUTH_STATE_CREDENTIAL_SENT -> AUTH_STATE_SUCCESS 2077: TESTPC: May 16 2016 17:55:17.856 +0600: %NAM-7-DEBUG_MSG: %[tid=1468][comp=SAE]: STATE (4) S_enterStateAux called with state = AUTHENTICATED (dot1x_sm.c 142)
Erklärung: Server empfängt das Passwort, verifiziert es und sendet EAP-Success. Die Authentifizierung ist zu diesem Zeitpunkt erfolgreich, und der Client setzt den Vorgang fort, während er die IP-Adresse vom DHCP bezieht.
Überarbeitung | Veröffentlichungsdatum | Kommentare |
---|---|---|
1.0 |
05-Aug-2016 |
Erstveröffentlichung |