In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.
Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.
In diesem Dokument wird die Kommunikation zwischen Identity Service Engine (ISE) und Active Directory (AD), verwendeten Protokollen, AD-Filtern und Datenflüssen beschrieben.
Cisco empfiehlt grundlegende Kenntnisse in folgenden Bereichen:
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.
Die drei Kerberos-Chefs umfassen das Key Distribution Center (KDC), den Client-Benutzer und den Server für den Zugriff.
Der KDC wird als Teil des Domänencontrollers (DC) installiert und führt zwei Dienstfunktionen aus: den Authentifizierungsdienst (AS) und den Ticket-Granting-Dienst (TGS).
Beim ersten Zugriff des Clients auf eine Serverressource sind drei Austauschvorgänge erforderlich:
Bei der erstmaligen Anmeldung an einem Netzwerk müssen die Benutzer den Zugriff aushandeln und einen Anmeldenamen und ein Kennwort angeben, um von der AS-Komponente eines KDC in ihrer Domäne überprüft zu werden.
Der KDC hat Zugriff auf die Active Directory-Benutzerkontoinformationen. Nach der Authentifizierung erhält der Benutzer ein Ticket Granting Ticket (TGT), das für die lokale Domäne gültig ist.
Das TGT hat eine standardmäßige Lebensdauer von 10 Stunden und wird während der Benutzeranmeldesitzung verlängert, ohne dass der Benutzer sein Kennwort erneut eingeben muss.
Das TGT wird auf dem lokalen System im flüchtigen Speicherplatz zwischengespeichert und zum Anfordern von Sitzungen mit Diensten im gesamten Netzwerk verwendet.
Der Benutzer zeigt das TGT dem TGS-Teil des KDC an, wenn der Zugriff auf einen Serverdienst erforderlich ist.
Das TGS auf dem KDC authentifiziert den Benutzer-TGT und erstellt ein Ticket und einen Sitzungsschlüssel für den Client und den Remote-Server. Diese Informationen (das Service-Ticket) werden dann lokal auf dem Client-Rechner zwischengespeichert.
Der TGS empfängt den Client TGT und liest ihn mit seinem eigenen Schlüssel. Wenn das TGS die Client-Anforderung genehmigt, wird sowohl für den Client als auch für den Zielserver ein Service-Ticket generiert.
Der Client liest seinen Teil mit dem TGS-Sitzungsschlüssel, der zuvor aus der AS-Antwort abgerufen wurde.
Der Client zeigt den Serverteil der TGS-Antwort an den Zielserver im nächsten Client/Server-Austausch an.
Beispiel:
Paketerfassung von der ISE für einen authentifizierten Benutzer:
Die AS-REQ enthält den Benutzernamen. Wenn das Kennwort richtig ist, stellt der AS-Dienst ein TGT bereit, das mit dem Benutzerkennwort verschlüsselt wird. Das TGT wird dann an den TGT-Dienst weitergeleitet, um ein Sitzungsticket zu erhalten.
Die Authentifizierung ist erfolgreich, wenn ein Sitzungsticket empfangen wird.
Dies ist ein Beispiel, bei dem das vom Client angegebene Kennwort falsch ist:
Wenn das Kennwort falsch ist, schlägt die AS-Anforderung fehl, und es wird kein TGT empfangen:
Meldet sich bei falschem Kennwort in der Datei ad_agent.log an:
2020-01-14 13:36:05,442 DEBUG ,140574072981248,krb5: Gesendete Anfrage (276 Bytes) an RALMAAIT.COM,LwKrb5TraceCallback(),lwadvapi/threaded/lwkrb5.c:1325
2020-01-14 13:36:05,444 DEBUG ,140574072981248,krb5: Empfangener Fehler von KDC: -1765328360/Vorauthentifizierung fehlgeschlagen,LwKrb5TraceCallback(),lwadvapi/threaded/lwkrb5.c:1325
2020-01-14 13:36:05,444 DEBUG ,140574072981248,krb5: Preauth versuchen Sie es erneut, Eingabe-Typen: 16, 14, 19, 2,LwKrb5TraceCallback(),lwadvapi/threaded/lwkrb5.c:1325
2020-01-14 13:36:05,444 WARNUNG,140574072981248,[LwKrb5GetTgtImpl ../../lwadvapi/threaded/krbtgt.c:329] KRB5 Fehlercode: -1765328360 (Nachricht: Vorauthentifizierung fehlgeschlagen),LwTranslateKrb5Error(),lwadvapi/threaded/lwkrb5.c:892
2020-01-14 13:36:05,444 DEBUG ,140574072981248,[LwKrb5InitializeUserLoginCredentials()] Fehlercode: 40022 (Symbol: LW_ERROR_PASSWORD_MISMATCH),LwKrb5InitializeUserLoginCredentials() ), lwadvapi/threaded/lwkrb5.c:1453
Die ISE verwendet MS-RPC over SMB. SMB stellt die Authentifizierung bereit und benötigt keine separate Sitzung, um den Standort eines bestimmten RPC-Services zu ermitteln. Es verwendet einen Mechanismus namens "Named Pipe" für die Kommunikation zwischen dem Client und dem Server.
Transaktion des RPC-Austauschs über SMB.
Die Fehlermeldung negotiate protocol request/response
Zeile handelt den Dialekt von SMB aus. Die Fehlermeldung session setup request/response
führt die Authentifizierung durch.
Strukturverbindungsanforderung und -antwort stellen eine Verbindung mit der angeforderten Ressource her. Sie sind mit einer speziellen Freigabe IPC$ verbunden.
Diese prozessübergreifende Kommunikationsfreigabe stellt die Kommunikationsmittel zwischen Hosts und auch als Transport für MSRPC-Funktionen bereit.
Bei Paket 77 ist Create Request File
und der Dateiname ist der Name des verbundenen Dienstes (in diesem Beispiel der Netzwerkanmeldedienst).
Bei den Paketen 83 und 86 ist die NetLogonSamLogonEX-Anforderung der Ort, an dem Sie den Benutzernamen für die Client-Authentifizierung auf der ISE an das AD im Feld Network_INFO senden.
Das NetLogonSamLogonEX-Antwortpaket antwortet mit den Ergebnissen.
Einige Flags-Werte für die NetlogonSamLogonEX-Antwort:
0xc000006a ist STATUS_WRONG_PASSWORD
0x00000000 ist STATUS_SUCCESS.
0x00000103 ist STATUS_PENDING
Die ISE verwendet LDAP, KRB und MSRBC für die Kommunikation mit AD während des Join/Leave- und Authentifizierungsprozesses.
In den nächsten Abschnitten werden die Protokolle, das Suchformat und die Mechanismen beschrieben, die für die Verbindung mit einem bestimmten AD-Rechenzentrum und die Benutzerauthentifizierung für diesen Rechenzentrum verwendet werden.
Falls das Rechenzentrum aus irgendeinem Grund offline geht, wird ein Failover von der ISE auf das nächste verfügbare Rechenzentrum durchgeführt, und der Authentifizierungsprozess wird nicht beeinträchtigt.
Ein Global Catalog-Server (GC) ist ein Domänencontroller, auf dem Kopien aller Active Directory-Objekte in der Gesamtstruktur gespeichert werden.
Es speichert eine vollständige Kopie aller Objekte im Verzeichnis Ihrer Domäne und eine Teilkopie aller Objekte aller anderen Gesamtstrukturdomänen.
Der globale Katalog ermöglicht es Benutzern und Anwendungen, Objekte in einer beliebigen Domäne der aktuellen Gesamtstruktur zu finden, wobei nach Attributen gesucht wird, die in GC enthalten sind.
Der globale Katalog enthält einen grundlegenden (aber unvollständigen) Attributsatz für jedes Gesamtstrukturobjekt in jeder Domäne (Partial Attribute Set, PAT).
Der GC empfängt Daten von allen Domänenverzeichnispartitionen in der Gesamtstruktur. Sie werden mit dem standardmäßigen AD-Replikationsdienst kopiert.
Voraussetzungen für die Integration von Active Directory und ISE
Die ISE wendet die Domänenerkennung an, um Informationen über die verbundene Domäne in drei Phasen zu erhalten:
Darüber hinaus erkennt die Cisco ISE DNS-Domänennamen (UPN-Suffixe), alternative UPN-Suffixe und NTLM-Domänennamen.
Die ISE wendet eine DC-Erkennung an, um alle Informationen über die verfügbaren DCs und GCs abzurufen.
Ein Faktor, der zur Berechnung der DC-Priorität verwendet wird, ist die Zeit, die das DC benötigt, um auf CLDAP-Pings zu reagieren. Eine schnellere Antwort erhält eine höhere Priorität.
Hinweis: CLDAP ist der Mechanismus, den die ISE verwendet, um Verbindungen zu den Rechenzentren herzustellen und aufrechtzuerhalten. Es misst die Reaktionszeit bis zur ersten Gleichstromantwort. Es schlägt fehl, wenn Sie keine Antwort von DC sehen. Warnen, wenn die Antwortzeit länger als 2,5 Sekunden ist. CLDAP pingt alle Rechenzentren am Standort (falls kein Standort vorhanden ist, werden alle Rechenzentren in der Domäne angepingt). Die CLDAP-Antwort enthält den DC-Standort und den Client-Standort (den Standort, dem der ISE-Computer zugewiesen ist).
Wenn die ISE ausscheidet, muss die AD Folgendes berücksichtigen:
Wenn das mit der ISE verbundene Rechenzentrum offline ist oder aus irgendeinem Grund nicht erreichbar ist, wird auf der ISE automatisch ein Failover ausgelöst. Der RZ-Failover kann durch folgende Umstände ausgelöst werden:
In solchen Fällen initiiert der AD-Connector die DC-Auswahl mit einer gesperrten Liste ("böser" DC wird in der gesperrten Liste platziert) und versucht, mit dem ausgewählten DC zu kommunizieren. Der in der Liste gesperrter DCs ausgewählte DC wird nicht zwischengespeichert.
Der AD-Connector muss das Failover innerhalb eines angemessenen Zeitraums abschließen (oder ausfallen, wenn dies nicht möglich ist). Aus diesem Grund versucht der AD-Connector, während des Failovers eine begrenzte Anzahl von Rechenzentren zu verwenden.
Die ISE blockiert AD-Domänencontroller, wenn ein nicht behebbarer Netzwerk- oder Serverfehler vorliegt, um zu verhindern, dass die ISE einen beschädigten Rechenzentrum verwendet. Der Domänencontroller wird der Liste der gesperrten Geräte nicht hinzugefügt, wenn er nicht auf CLDAP-Pings antwortet. Die ISE verringert nur die Priorität des Rechenzentrums, das nicht reagiert.
Die ISE sucht mit einem der folgenden Suchformate nach einem Computer oder Benutzer in AD. Wenn die Suche nach einem Computer durchgeführt wurde, fügt die ISE "$" am Ende des Computernamens hinzu. Dies ist eine Liste von Identitätstypen, die zum Identifizieren eines Benutzers in AD verwendet wird:
Jedes AD kann mehrere UPN-Suffix (@alt1.com,@alt2.com,... usw.) haben. Beispiel: Haupt-UPN (sajeda@cisco.com), Alternative UPN :sajeda@domain1 , sajeda@domain2
Filter werden verwendet, um eine Entität zu identifizieren, die mit AD kommunizieren soll. ISE sucht immer nach dieser Entität in den Benutzer- und Computergruppen.
Beispiele für Suchfilter:
Wenn der SAM-Name nicht eindeutig ist, verwendet die ISE das Kennwort zur Unterscheidung zwischen Benutzern, und die ISE ist für die Verwendung eines kennwortlosen Protokolls wie EAP-TLS konfiguriert.
Es gibt keine anderen Kriterien für die Suche nach dem richtigen Benutzer, daher schlägt die ISE bei der Authentifizierung mit einem Fehler "Uneindeutige Identität" fehl.
Wenn das Benutzerzertifikat jedoch in Active Directory vorhanden ist, verwendet die Cisco ISE einen Binärvergleich, um die Identität aufzulösen.
Wenn eine eindeutige Übereinstimmung besteht, fährt die Cisco ISE mit dem AAA-Fluss fort.
Wenn mehrere Verbindungspunkte mit demselben UPN und einem Kennwort oder demselben UPN und derselben Mail vorhanden sind, schlägt die Authentifizierung der Cisco ISE mit dem Fehler "Ambiguous Identity" (Uneindeutige Identität) fehl.
Wenn in der Identität ein vollqualifiziertes Domänensuffix angegeben wurde, z. B. host/machine.domain.com, durchsucht die Cisco ISE die Gesamtstruktur, in der die Domäne vorhanden ist.
Wenn die Identität die Form eines Hosts oder Computers hat, durchsucht die Cisco ISE alle Gesamtstrukturen nach dem Namen des Dienstprinzips.
Bei mehreren Übereinstimmungen schlägt die Cisco ISE bei der Authentifizierung mit dem Fehler "Ambiguous Identity" (Uneindeutige Identität) fehl.
Hinweis: In den Dateien "ad-agent.log" der ISE werden dieselben Filter angezeigt.
Hinweis: ISE 2.2 Patch 4 und älter und 2.3 Patch 1 und zuvor identifizierte Benutzer mit den Attributen SAM, CN oder beiden. Für die Cisco ISE, Version 2.2, Patch 5 und höher, und Version 2.3, Patch 2 und höher, wird nur das Attribut "sAMAccountName" als Standardattribut verwendet.
Überarbeitung | Veröffentlichungsdatum | Kommentare |
---|---|---|
2.0 |
03-Aug-2022 |
Grammatik, Struktur, maschinelle Übersetzung, Stil, Format |
1.0 |
06-Feb-2020 |
Erstveröffentlichung |