La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.
Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).
In questo documento viene descritto come configurare l'autenticazione EAP-TLS con OCSP per i controlli in tempo reale delle revoche di certificati dei client.
Cisco raccomanda la conoscenza dei seguenti argomenti:
Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
Nell'immagine è illustrata la topologia utilizzata per l'esempio del documento.
In EAP-TLS, un client presenta il proprio certificato digitale al server come parte del processo di autenticazione. In questo documento viene descritto come ISE convalida il certificato client verificando il nome comune del certificato (CN) sul server AD e confermando se il certificato è stato revocato utilizzando OCSP (Online Certificate Status Protocol), che fornisce lo stato del protocollo in tempo reale.
Il nome di dominio configurato in Windows Server 2016 è ad.rem-xxx.com, utilizzato come esempio in questo documento.
Per la convalida del certificato vengono utilizzati i server OCSP (Online Certificate Status Protocol) e AD (Active Directory) a cui si fa riferimento in questo documento.
Catena di certificati con il nome comune di ogni certificato utilizzato nel documento.
Questa è la configurazione minima nella CLI di C1000.
aaa new-model
radius server ISE32
address ipv4 1.x.x.181
key cisco123
aaa group server radius AAASERVER
server name ISE32
aaa authentication dot1x default group AAASERVER
aaa authorization network default group AAASERVER
aaa accounting dot1x default start-stop group AAASERVER
dot1x system-auth-control
interface Vlan12
ip address 192.168.10.254 255.255.255.0
interface Vlan14
ip address 1.x.x.101 255.0.0.0
interface GigabitEthernet1/0/1
Switch port access vlan 14
Switch port mode access
interface GigabitEthernet1/0/3
switchport access vlan 12
switchport mode access
authentication host-mode multi-auth
authentication port-control auto
dot1x pae authenticator
spanning-tree portfast edge
Passare a Autenticazione, selezionare Abilita autenticazione IEEE 802.1X e selezionare Microsoft: Smart Card o altro certificato.
Fare clic su ImpostazioniPulsante, selezionare Utilizza un certificato in questo computer, quindi selezionare l'autorità di certificazione attendibile del PC Windows.
Passare a Autenticazione, selezionare Impostazioni aggiuntive. Selezionare Autenticazione utente o computer dall'elenco a discesa.
Passare a Certificati - Utente corrente > Personale > Certificati e verificare il certificato client utilizzato per l'autenticazione.
Fare doppio clic sul certificato client, passare a Dettagli, controllare i dettagli di Oggetto, Punti di distribuzione CRL, Accesso alle informazioni dell'autorità.
Passare a Utenti e computer di Active Directory, quindi fare clic su Utenti. Aggiungere clientcertCN come nome di accesso utente.
Passare a Windows e fare clic su Gestione risponditore in linea. Confermare lo stato del server OCSP.
Fare clic su winserver.ad.rem-xxx.com, verificare lo stato del certificato di firma OCSP.
Selezionare Amministrazione > Dispositivi di rete, quindi fare clic su Aggiungi per aggiungere un dispositivo C1000.
Selezionare Amministrazione > Origini identità esterne > Active Directory, fare clic sulla scheda Connessione, quindi aggiungere Active Directory ad ISE.
Passare alla scheda Gruppi, selezionare Seleziona gruppi dalla directory dall'elenco a discesa.
Selezionate Recupera gruppi (Retrieve Groups) dall'elenco a discesa. Checkad.rem-xxx.com/Users/Cert Publisher e fare clic su OK.
Passare a Amministrazione > Origini identità esterne > Profilo di autenticazione certificato, fare clic sul pulsante Aggiungi per aggiungere un nuovo profilo di autenticazione certificato.
Passare ad Amministrazione > Sequenze origine identità, quindi aggiungere una sequenza origine identità.
Passare a Amministrazione > Certificati > Certificati di sistema, quindi verificare che il certificato del server sia firmato dalla CA attendibile.
Passare a Amministrazione > Certificati > Profilo client OCSP, quindi fare clic su Pulsante Aggiungi per aggiungere un nuovo profilo client OCSP.
Selezionare Amministrazione > Certificati > Certificati attendibili, quindi confermare che l'autorità di certificazione attendibile sia stata importata in ISE.
Controllare la CA e fare clic sul pulsante Modifica, immettere i dettagli della configurazione OCSP per la convalida dello stato del certificato.
Passare a Criterio > Risultati > Autenticazione > Protocolli consentiti, modificare l'elenco dei servizi di accesso alla rete predefiniti e quindi selezionare Consenti EAP-TLS.
Passare a Criterio > Set di criteri, fare clic su + per aggiungere un set di criteri.
Passare a Set di criteri, quindi fare clic su EAP-TLS-Test per aggiungere un criterio di autenticazione.
Passare a Set di criteri e fare clic su EAP-TLS-Test per aggiungere un criterio di autorizzazione.
Eseguireshow authentication sessions interface GigabitEthernet1/0/3 details il comando per confermare la sessione di autenticazione in C1000.
Switch#show authentication sessions interface GigabitEthernet1/0/3 details
Interface: GigabitEthernet1/0/3
MAC Address: b496.9114.398c
IPv6 Address: Unknown
IPv4 Address: 192.168.10.10
User-Name: clientcertCN
Status: Authorized
Domain: DATA
Oper host mode: multi-auth
Oper control dir: both
Session timeout: N/A
Restart timeout: N/A
Periodic Acct timeout: N/A
Session Uptime: 111s
Common Session ID: 01C20065000000933E4E87D9
Acct Session ID: 0x00000078
Handle: 0xB6000043
Current Policy: POLICY_Gi1/0/3
Local Policies:
Service Template: DEFAULT_LINKSEC_POLICY_SHOULD_SECURE (priority 150)
Server Policies:
Method status list:
Method State
dot1x Authc Success
Passaggio 2. Conferma registro dinamico Radius
Selezionare Operations > RADIUS > Live Login nella GUI di ISE, quindi confermare il log attivo per l'autenticazione.
Confermare il log dettagliato dell'autenticazione in tempo reale.
Risoluzione dei problemi
1. Registro di debug
Questo log di debug (prrt-server.log) permette di verificare i dettagli sul comportamento dell'autenticazione in ISE.
- runtime-AAA
// OCSP request and response
Crypto,2024-06-05 09:43:33,064,DEBUG,0x7f9822961700,NIL-CONTEXT,Crypto::Result=0, CryptoLib.CSSL.OCSP Callback - starting OCSP request to primary,SSL.cpp:1444
Crypto,2024-06-05 09:43:33,064,DEBUG,0x7f9822961700,NIL-CONTEXT,Crypto::Result=0, Crypto.OcspClient::performRequest - Start processing OCSP request, URL=http://winserver.ad.rem-xxx.com/ocsp, use nonce=1,OcspClient.cpp:144
Crypto,2024-06-05 09:43:33,104,DEBUG,0x7f9822961700,NIL-CONTEXT,Crypto::Result=0, Crypto.OcspClient::performRequest - Received OCSP server response,OcspClient.cpp:411
Crypto,2024-06-05 09:43:33,104,DEBUG,0x7f9822961700,NIL-CONTEXT,Crypto::Result=0, Crypto.OcspClient::performRequest - Nonce verification passed,OcspClient.cpp:426
Crypto,2024-06-05 09:43:33,104,DEBUG,0x7f9822961700,NIL-CONTEXT,Crypto::Result=0, Crypto.OcspClient::performRequest - OCSP responser name 8CD12ECAB78607FA07194126EDA82BA7789CE00C,OcspClient.cpp:462
Crypto,2024-06-05 09:43:33,104,DEBUG,0x7f9822961700,NIL-CONTEXT,Crypto::Result=0, Crypto.OcspClient::performRequest - Verify response signature and KU/EKU attributes of response signer certificate,OcspClient.cpp:472
Crypto,2024-06-05 09:43:33,104,DEBUG,0x7f9822961700,NIL-CONTEXT,Crypto::Result=0, Crypto.OcspClient::performRequest - Response signature verification passed,OcspClient.cpp:482
Crypto,2024-06-05 09:43:33,104,DEBUG,0x7f9822961700,NIL-CONTEXT,Crypto::Result=0, Crypto.OcspClient::performRequest - Response contains 1 single responses for certificates,OcspClient.cpp:490
Crypto,2024-06-05 09:43:33,104,DEBUG,0x7f9822961700,NIL-CONTEXT,Crypto::Result=0, Crypto.OcspClient::performRequest - User certificate status: Good,OcspClient.cpp:598
Crypto,2024-06-05 09:43:33,104,DEBUG,0x7f9822961700,NIL-CONTEXT,Crypto::Result=0, CryptoLib.CSSL.OCSP Callback - perform OCSP request succeeded, status: Good,SSL.cpp:1684
// Radius session
Radius,2024-06-05 09:43:33,120,DEBUG,0x7f982d7b9700,cntx=0000017387,sesn=ise32-01/506864164/73,CPMSessionID=01C20065000000933E4E87D9,CallingStationID=B4-96-91-14-39-8C,RADIUS PACKET:: Code=1(AccessRequest) Identifier=238 Length=324
[1] User-Name - value: [clientcertCN]
[4] NAS-IP-Address - value: [1.x.x.101]
[5] NAS-Port - value: [50103]
[24] State - value: [37CPMSessionID=01C20065000000933E4E87D9;31SessionID=ise32-01/506864164/73;]
[87] NAS-Port-Id - value: [GigabitEthernet1/0/3]
Radius,2024-06-05 09:43:33,270,DEBUG,0x7f982d9ba700,cntx=0000017387,sesn=ise32-01/506864164/73,CPMSessionID=01C20065000000933E4E87D9,user=clientcertCN,CallingStationID=B4-96-91-14-39-8C,RADIUS PACKET:: Code=2(AccessAccept) Identifier=238 Length=294
[1] User-Name - value: [clientcertCN]
Radius,2024-06-05 09:43:33,342,DEBUG,0x7f982d1b6700,cntx=0000017401,sesn=ise32-01/506864164/74,CPMSessionID=01C20065000000933E4E87D9,CallingStationID=B4-96-91-14-39-8C,RADIUS PACKET:: Code=4(AccountingRequest) Identifier=10 Length=286
[1] User-Name - value: [clientcertCN]
[4] NAS-IP-Address - value: [1.x.x.101]
[5] NAS-Port - value: [50103]
[40] Acct-Status-Type - value: [Interim-Update]
[87] NAS-Port-Id - value: [GigabitEthernet1/0/3]
[26] cisco-av-pair - value: [audit-session-id=01C20065000000933E4E87D9]
[26] cisco-av-pair - value: [method=dot1x] ,RADIUSHandler.cpp:2455
Radius,2024-06-05 09:43:33,350,DEBUG,0x7f982e1be700,cntx=0000017401,sesn=ise32-01/506864164/74,CPMSessionID=01C20065000000933E4E87D9,user=clientcertCN,CallingStationID=B4-96-91-14-39-8C,RADIUS PACKET:: Code=5(AccountingResponse) Identifier=10 Length=20,RADIUSHandler.cpp:2455
2. Dump TCP
Nel dump TCP ad ISE, ci si aspetta di trovare informazioni sulla risposta OCSP e sulla sessione Radius.
Richiesta e risposta OCSP:
Sessione Radius:
Informazioni correlate
Revisione | Data di pubblicazione | Commenti |
---|---|---|
1.0 |
19-Jul-2024 |
Versione iniziale |