Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.
Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.
Ce document décrit les étapes requises pour configurer l'authentification à deux facteurs avec l'authentification machine et dot1x.
Cisco vous recommande de prendre connaissance des rubriques suivantes :
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.
Cette image présente la topologie utilisée pour l'exemple de ce document.
Le nom de domaine configuré sur Windows Server 2019 est ad.rem-xxx.com, qui est utilisé comme exemple dans ce document.
L'authentification de machine est un processus de sécurité qui vérifie l'identité d'un périphérique cherchant à accéder à un réseau ou à un système. Contrairement à l'authentification des utilisateurs, qui vérifie l'identité d'une personne en se basant sur des informations d'identification telles qu'un nom d'utilisateur et un mot de passe, l'authentification des ordinateurs se concentre sur la validation du périphérique lui-même. Cette opération est souvent effectuée à l'aide de certificats numériques ou de clés de sécurité uniques au périphérique.
En utilisant conjointement l'authentification des machines et des utilisateurs, une entreprise peut s'assurer que seuls les périphériques et les utilisateurs autorisés peuvent accéder à son réseau, offrant ainsi un environnement plus sécurisé. Cette méthode d'authentification à deux facteurs est particulièrement utile pour protéger les informations sensibles et respecter des normes réglementaires strictes.
Il s’agit de la configuration minimale de l’interface de ligne de commande C1000.
aaa new-model
radius server ISE33
address ipv4 1.x.x.191
key cisco123
aaa group server radius AAASERVER
server name ISE33
aaa authentication dot1x default group AAASERVER
aaa authorization network default group AAASERVER
aaa accounting dot1x default start-stop group AAASERVER
dot1x system-auth-control
interface Vlan14
ip address 1.x.x.101 255.0.0.0
interface GigabitEthernet1/0/1
switchport access vlan 14
switchport mode access
interface GigabitEthernet1/0/2
switchport access vlan 14
switchport mode access
authentication host-mode multi-auth
authentication port-control auto
dot1x pae authenticator
spanning-tree portfast edge
Accédez à Panneau de configuration > Système et sécurité, cliquez sur Système, puis cliquez sur Paramètres système avancés. Dans la fenêtre Propriétés système, cliquez sur Modifier, sélectionnez Domaine et entrez le nom de domaine.
Dans la fenêtre Sécurité Windows, entrez le nom d'utilisateur et le mot de passe du serveur de domaine.
Accédez à Authentication, cochez Enable IEEE 802.1X authentication. Cliquez sur Settings dans la fenêtre Protected EAP Properties, décochez Verify the server's identity by validating the certificate, puis cliquez sur Configure. Dans la fenêtre Propriétés de EAP MSCHAPv2, cochez Utiliser automatiquement mon nom d'ouverture de session Windows et mon mot de passe (et le domaine s'il y a lieu) pour utiliser le nom d'utilisateur saisi lors de la connexion de l'ordinateur Windows pour l'authentification de l'utilisateur.
Accédez à Authentication, cochez Additional Settings. Sélectionnez Authentification utilisateur ou ordinateur dans la liste déroulante.
Accédez à Utilisateurs et ordinateurs Active Directory, cliquez sur Ordinateurs. Vérifiez que Win10 PC1 est répertorié dans le domaine.
Accédez à Utilisateurs et ordinateurs Active Directory, cliquez sur Utilisateurs. Ajoutez testuser en tant qu'utilisateur de domaine.
Ajoutez l'utilisateur du domaine aux membres Admins du domaine et Utilisateurs du domaine.
Accédez à Administration > Network Devices, cliquez sur Add button to add C1000 device.
Accédez à Administration > External Identity Sources > Active Directory, cliquez sur l'onglet Connection, ajoutez Active Directory à ISE.
Accédez à l'onglet Groups, sélectionnez Select Groups From Directory dans la liste déroulante.
Cliquez sur Récupérer des groupes dans la liste déroulante. Cochez ad.rem-xxx.com/Users/Domain Computers et ad.rem-xxx.com/Users/Domain Users et cliquez sur OK.
Accédez à l'onglet Advanced Settings, confirmez le paramètre de l'authentification de l'ordinateur.
Remarque : la plage de temps de vieillissement valide est comprise entre 1 et 8 760.
Accédez à Administration > Identity Source Sequences, ajoutez une Identity Source Sequence.
Accédez à Policy > Results > Authorization > Downloadable ACLs, ajoutez une DACL.
Accédez à Policy > Results > Authorization > Authorization Profiles, ajoutez un profil d'autorisation.
Accédez à Policy > Policy Sets, cliquez sur + pour ajouter un jeu de stratégies.
Accédez à Jeux de stratégies, cliquez sur MAR_Test pour ajouter une stratégie d'authentification.
Accédez à Jeux de stratégies, cliquez sur MAR_Test pour ajouter une stratégie d'autorisation.
Cliquez sur le bouton Déconnexion de Win10 PC1 pour déclencher l'authentification de l'ordinateur.
Exécutez show authentication sessions interface GigabitEthernet1/0/2 details la commande pour confirmer la session d'authentification de la machine dans C1000.
Switch#show authentication sessions interface GigabitEthernet1/0/2 details
Interface: GigabitEthernet1/0/2
MAC Address: b496.9115.84cb
IPv6 Address: Unknown
IPv4 Address: 1.x.x.9
User-Name: host/DESKTOP-L2IL9I6.ad.rem-xxx.com
Status: Authorized
Domain: DATA
Oper host mode: multi-auth
Oper control dir: both
Session timeout: N/A
Restart timeout: N/A
Periodic Acct timeout: N/A
Session Uptime: 5s
Common Session ID: 01C2006500000049AA780D80
Acct Session ID: 0x0000003C
Handle: 0x66000016
Current Policy: POLICY_Gi1/0/2
Local Policies:
Service Template: DEFAULT_LINKSEC_POLICY_SHOULD_SECURE (priority 150)
Server Policies:
ACS ACL: xACSACLx-IP-MAR_Passed-6639ba20
Method status list:
Method State
dot1x Authc Success
Étape 3. Connexion au PC Windows
Connectez-vous à Win10 PC1, entrez le nom d'utilisateur et le mot de passe pour déclencher l'authentification utilisateur.
Étape 4. Confirmer la session d'authentification
Exécutez
show authentication sessions interface GigabitEthernet1/0/2 details la commande pour confirmer la session d'authentification utilisateur dans C1000.
Switch#show authentication sessions interface GigabitEthernet1/0/2 details
Interface: GigabitEthernet1/0/2
MAC Address: b496.9115.84cb
IPv6 Address: Unknown
IPv4 Address: 1.x.x.9
User-Name: AD\testuser
Status: Authorized
Domain: DATA
Oper host mode: multi-auth
Oper control dir: both
Session timeout: N/A
Restart timeout: N/A
Periodic Acct timeout: N/A
Session Uptime: 85s
Common Session ID: 01C2006500000049AA780D80
Acct Session ID: 0x0000003D
Handle: 0x66000016
Current Policy: POLICY_Gi1/0/2
Local Policies:
Service Template: DEFAULT_LINKSEC_POLICY_SHOULD_SECURE (priority 150)
Server Policies:
Method status list:
Method State
dot1x Authc Success
Étape 5. Confirmer le journal Radius en direct
Accédez à Operations > RADIUS > Live Logs dans l'interface utilisateur graphique ISE, confirmez le journal en direct pour l'authentification de la machine et l'authentification de l'utilisateur.
Confirmez le journal en direct détaillé de l'authentification de la machine.
Confirmez le journal en direct détaillé de l'authentification utilisateur.
Modèle 2. Authentification utilisateur uniquement
Étape 1. Désactiver et activer la carte réseau du PC Windows
Afin de déclencher l'authentification de l'utilisateur, désactivez et activez la carte réseau de Win10 PC1.
Étape 2. Confirmer la session d'authentification
Exécutez
show authentication sessions interface GigabitEthernet1/0/2 details la commande pour confirmer la session d'authentification utilisateur dans C1000.
Switch#show authentication sessions interface GigabitEthernet1/0/2 details
Interface: GigabitEthernet1/0/2
MAC Address: b496.9115.84cb
IPv6 Address: Unknown
IPv4 Address: 1.x.x.9
User-Name: AD\testuser
Status: Authorized
Domain: DATA
Oper host mode: multi-auth
Oper control dir: both
Session timeout: N/A
Restart timeout: N/A
Periodic Acct timeout: N/A
Session Uptime: 419s
Common Session ID: 01C2006500000049AA780D80
Acct Session ID: 0x0000003D
Handle: 0x66000016
Current Policy: POLICY_Gi1/0/2
Local Policies:
Service Template: DEFAULT_LINKSEC_POLICY_SHOULD_SECURE (priority 150)
Server Policies:
Method status list:
Method State
dot1x Authc Success
Étape 3. Confirmer le journal Radius en direct
Accédez à Operations > RADIUS > Live Logs dans l'interface utilisateur graphique ISE, confirmez le journal en direct pour l'authentification de l'utilisateur.
Remarque : le cache MAR étant stocké dans ISE, seule l'authentification des utilisateurs est nécessaire.
Confirmez le journal en direct détaillé de l'authentification utilisateur.
Dépannage
Ces journaux de débogage (prrt-server.log) vous aident à confirmer le comportement détaillé de l'authentification dans ISE.
- runtime-config
- journalisation de l'exécution
- runtime-AAA
Ceci est un exemple du journal de débogage pour le modèle 1. Authentification de l'ordinateur et authentification de l'utilisateur dans ce document.
// machine authentication
MAR,2024-05-08 16:54:50,582,DEBUG,0x7fb2fd3db700,cntx=0000034313,sesn=ise33-01/504417979/41,CPMSessionID=01C2006500000049AA780D80,user=host/DESKTOP-L2IL9I6.ad.rem-xxx.com,CallingStationID=B4-96-91-15-84-CB,FramedIPAddress=1.x.x.9,MARCache::checkInsertConditions: subject=machine, calling-station-id=B4-96-91-15-84-CB, HostName=DESKTOP-L2IL9I6$@ad.rem-xxx.com,MARCache.cpp:105
// insert MAR cache
MAR,2024-05-08 16:54:50,582,DEBUG,0x7fb2fd3db700,cntx=0000034313,sesn=ise33-01/504417979/41,CPMSessionID=01C2006500000049AA780D80,user=host/DESKTOP-L2IL9I6.ad.rem-xxx.com,CallingStationID=B4-96-91-15-84-CB,FramedIPAddress=1.x.x.9,Inserting new entry to cache CallingStationId=B4-96-91-15-84-CB, HostName=DESKTOP-L2IL9I6$@ad.rem-xxx.com, IDStore=AD_Join_Point and TTL=18000,CallingStationIdCacheHandler.cpp:55
MAR,2024-05-08 16:54:50,582,DEBUG,0x7fb2fd3db700,cntx=0000034313,sesn=ise33-01/504417979/41,CPMSessionID=01C2006500000049AA780D80,user=host/DESKTOP-L2IL9I6.ad.rem-xxx.com,CallingStationID=B4-96-91-15-84-CB,FramedIPAddress=1.x.x.9,MARCache::onInsertRequest: event not locally,MARCache.cpp:134
// user authentication
MAR,2024-05-08 16:55:11,120,DEBUG,0x7fb2fdde0700,cntx=0000034409,sesn=ise33-01/504417979/45,CPMSessionID=01C2006500000049AA780D80,user=AD\testuser,CallingStationID=B4-96-91-15-84-CB,FramedIPAddress=1.x.x.9,MARCache::onQueryRequest: machine authentication confirmed locally,MARCache.cpp:222
MAR,2024-05-08 16:55:11,130,DEBUG,0x7fb2fe5e4700,cntx=0000034409,sesn=ise33-01/504417979/45,CPMSessionID=01C2006500000049AA780D80,user=AD\testuser,CallingStationID=B4-96-91-15-84-CB,FramedIPAddress=1.x.x.9,MARCache::onMachineQueryResponse: machine DESKTOP-L2IL9I6$@ad.rem-xxx.com valid in AD,MARCache.cpp:316
Informations connexes
Restrictions d'accès aux machines Avantages et inconvénients
Révision | Date de publication | Commentaires |
---|---|---|
1.0 |
25-Jul-2024 |
Première publication |