失败的身份验证和授权cisco.pdf

失败的身份验证和授权 安全访问操作指南系列 作者：John Eppich 日期：2012 年8 月 安全访问操作指南 目录 对失败的身份验证和授权进行故障排除 3 概述 3 简要故障排除步骤 4 TrustSec 组件 10 请求方 10 网络接入设备(NAD) 12 有用的 Cisco IOS show 命令 12 SPAN 13 与 ISE PSN 的通信 14 策略不匹配 15 身份服务引擎(ISE) 17 报告 19 附录A ：参考 25 Cisco TrustSec 系统： 25 设备配置指南： 25 © 2015 思科系统公司 第2 页 安全访问操作指南 对失败的身份验证和授权进行故障排除 概述 Cisco TrustSec 依赖于多个组件。当身份验证在TrustSec 环境中失败时，可能难以找出问题的根本原因，因为 您可能需要查看不同的组件。TrustSec 2.1 组件包括： • 思科ISE 节点 • 网络接入设备(NAD)：Cisco Catalyst® 交换机、思科无线局域网控制器(WLC)、Cisco ASA 自适应 安全设备 • 请求方 • 外部身份库 借助必威体育精装版的增强功能，思科致力于通过以下方式为故障排除提供单点视图：将交换机系统日志事件与内部 ISE 事件进行关联以及通过在ISE 上提供接口按需对不同的身份验证相关信息进行轮询。ISE 上的其他增强 功能包括配置验证程序（即TCP Dump 实用程序），以及能够在客户端运行基于证书的EAP 类型的Cisco AnyConnect® 网络访问管理器时提供有关请求方问题的详细信息的功能。 © 2015 思科系统公司 第3 页 安全访问操作指南 简要故障排除步骤 图3 显示故障排除流程的简图。 图1. 简要故障排除步骤 © 2015 思科系统公司 第4 页 安全访问操作指南 检查 ISE 身份验证日志 步骤1 登录到主ISE 策略管理节点(PAN) 。 步骤2 转至Operations Authentications 。 步骤3 （可选）如果事件在实时身份验证日志中不存在，请转至Operations Reports Catalog  AAA Protocol RADIUS Authentication 。 检查日志中的所有失败的身份验证尝试 步骤1 如果已知MAC 地址或用户名，请使用过滤器仅查看来自特定终端的事件。 注：即使对于802.1X 身份验证而言，改用MAC 地址进行过滤也有益处，原因是：根据发生失败的具体过程， ISE 可能无法获知终端用户或计算机名称。 步骤2 实时身份验证日志（图4 ）显示最近24 小时的事件，因此请确保查看必威体育精装版事件。 步骤3 成功事件的状态为带有绿色背景色的 。失败事件将通过带有红色背景色的 明确标识状态。 步骤4 记录网络设备和设备端口，然后继续操作。图4 实时身份验证日志：失败的身份验证事件。