はじめに

ISE 2.7で認証方式としてEAP-TEAP(Tunnel Extensible Authentication Protocol,RFC7170)が実装されました。Release Notes for Cisco Identity Services Engine, Release 2.7

これによりEAP-Chainingが可能になり、1つの認証Flowでmachine/user双方の認証ができそれぞれの結果に基づいた許可内容を指定できるようになります。EAP-chaining自体はEAP-FASTでも可能でしたが、WindowsのOS標準supplicantでは対応していなかったため、AnyConnect NAM等EAP-FAST対応のsupplicant softwareを必要としていました。Windows 10ではMay 2020 Update(2004/20H1)からEAP-TEAPが実装されたため、標準的な環境が揃ったことになります。

Windowsの標準SupplicantではChainingができず、以前はMAR(Machine Access Restriction)を利用して(machine認証成功)&(user認証成功)という条件を検出していました。

本稿ではEAP-TEAPの設定例を紹介します(AD-ISE連携は設定済みとし本稿には含めません)。

使用環境

• Active Directory Domain Controller(Windows Server 2019 Essentials version 1809 VM)
• ISE(2.7patch1 VM)
• NAD(C3850 IOS-XE 16.6.3)
• Windows endpoint(Windows 10 Enterprise version 2004 VM)

準備

Domain Controller

• 端末でログインに使用するUser account(aduser01)を作成しておきます。
  
  こちらはEAP-TEAPは意識しません。

Endpoint

• Windows10にMay 2020 Updateを適用する。
  通常のWindows updateで可能な場合もあるようですが、 Microsoft社のサイト(https://www.microsoft.com/ja-jp/software-download/windows10)からUpgrade programをdownloadして実行するのが確実なようです。
  Upgradeが完了(本稿の環境では数時間かかりました)すると、
  
  とVersionが2004となっていることが確認でき、
  
  認証方式にEAP-TEAPがあることが確認できます。

• EndpointがWorkgroup所属の場合はActive DirecotryのDomainに所属させる。
  
  AD側でComputer accountとして上で指定したwin10wiredteapが登録されていることが確認できます。
  

• TEAP設定
  
  ここではPrimary/Secondary inner methodに共にEAP-MSCHAPv2を選択(password認証)し、Windowsのlogonアカウントを使用することとしています。
  Additional SettingsではUser or computer authenticationを選択しています。
  それぞれのinner methodで証明書認証を選択することも可能です。
  (Active Directory配下の端末であればGPOを使った設定が一般的とは思いますが、今回は端末側で設定しています。)

NAD

こちらは特にEAP-TEAPを意識しないため、他の802.1x設定と違いはありません。

ISE

• Policy > Policy Elements > Results > Authentication > Allowed Protocols
  で、TEAPを有効にします(今回はTEAPのみ有効にしています)。
  
  Inner methodとしてPassword認証(EAP-MS-CHAPv2)を設定し、EAP Chainingを有効にしています。

• Policy > Policy Sets
  で、Authentication Policy内はActive DirectoryをIdentity storeとする有線802.1xのruleを作成し、
  
  Authorization Policy内はEap chainingの結果に基づいたruleを作成し、user認証/machine認証共に成功の時のみfull accessとなるようにruleを作成しています。

  chainingのconditionはPolicy Set内Conditions StudioでClick to add an attributeをクリックし、
  
  chainと入力するとEapChainingResult attributeが表示されるのでクリックすると
  
  値を選択できます。
  
  

• Administration > Identity Management > External Identity Sources > Active Directory > Advanced Settings
  で、有効になっていなければmachine認証を有効にします(MARも有効になっていますが、TEAPとは関係ありません)。
  
  

• (参考)MAR(ここではPEAP)では、machine認証とuser認証は個別に行うため、machine認証にpassした時のruleとuser認証に成功しかつMAR cacheにその端末のMACが存在していた場合のruleを作成して擬似chainingをしていました。
  
  この例は下からmachine認証の前にuser認証をして成功したが、MAR cacheにMACaddressが登録されていなかったためFailとなり、一度Windowsからlog offすることでmachine認証を発生させ成功しMAR cacheにMACが登録された後再度user認証をしてpassしたものです。
  
  

接続

ISEからのServer証明書を信頼できない状態の場合、

が出てきますが、ConnectをクリックするとTEAPが成功します。

のように、chainingの場合、user accountとmachine account双方が表示されるのが特徴です。

CSCvt18613: AuthZ Conditions with AD Groups Not matched for EAP-Chaining TEAP(MSCHAPv2)

という次版で修正予定(2020年7月21日現在)の不具合がありますが、合わせて確認ください。

参考情報

Machine Access Restriction Pros and Cons

Understanding EAP-FAST and Chaining implementations on AnyConnect NAM and ISE