AnyConnect NAM 및 ISE의 EAP-FAST 및 체인 구현 이해

Similar documents
歯규격(안).PDF

RHEV 2.2 인증서 만료 확인 및 갱신

Cisco FirePOWER 호환성 가이드

Windows 8에서 BioStar 1 설치하기

Subnet Address Internet Network G Network Network class B networ

1,000 AP 20,000 ZoneDirector IT 5, WLAN. ZoneFlex AP ZoneDirector. WLAN. WLAN AP,,,,,,., Wi-Fi. AP. PSK PC. VLAN WLAN.. ZoneDirector 5000 WLAN L

TTA Journal No.157_서체변경.indd

ThinkVantage Fingerprint Software

이도경, 최덕재 Dokyeong Lee, Deokjai Choi 1. 서론

vRealize Automation용 VMware Remote Console - VMware

³»Áö¼öÁ¤

VPN.hwp

Microsoft Word - windows server 2003 수동설치_non pro support_.doc

목차 데모 홖경 및 개요... 3 테스트 서버 설정... 4 DC (Domain Controller) 서버 설정... 4 RDSH (Remote Desktop Session Host) 서버 설정... 9 W7CLIENT (Windows 7 Client) 클라이얶트 설정

SQL Developer Connect to TimesTen 유니원아이앤씨 DB 기술지원팀 2010 년 07 월 28 일 문서정보 프로젝트명 SQL Developer Connect to TimesTen 서브시스템명 버전 1.0 문서명 작성일 작성자

아이콘의 정의 본 사용자 설명서에서는 다음 아이콘을 사용합니다. 참고 참고는 발생할 수 있는 상황에 대처하는 방법을 알려 주거나 다른 기능과 함께 작동하는 방법에 대한 요령을 제공합니다. 상표 Brother 로고는 Brother Industries, Ltd.의 등록 상

Windows Server 2012

본교재는수업용으로제작된게시물입니다. 영리목적으로사용할경우저작권법제 30 조항에의거법적처벌을받을수있습니다. [ 실습 ] 스위치장비초기화 1. NVRAM 에저장되어있는 'startup-config' 파일이있다면, 삭제를실시한다. SWx>enable SWx#erase sta

HLS(HTTP Live Streaming) 이용가이드 1. HLS 소개 Apple iphone, ipad, ipod의운영체제인 ios에서사용하는표준 HTTP 기반스트리밍프로토콜입니다. 2. HLS 지원대상 - 디바이스 : iphone/ipad/ipod - 운영체제 :


PathEye 공식 블로그 다운로드 받으세요!! 지속적으로 업그래이드 됩니다. 여러분의 의견을 주시면 개발에 반영하겠 습니다.

목차 BUG offline replicator 에서유효하지않은로그를읽을경우비정상종료할수있다... 3 BUG 각 partition 이서로다른 tablespace 를가지고, column type 이 CLOB 이며, 해당 table 을 truncate

The Pocket Guide to TCP/IP Sockets: C Version

UDP Flooding Attack 공격과 방어

View Licenses and Services (customer)

BEA_WebLogic.hwp

A Study on the efficient mutual authentication mechanism using the agent server

<4D F736F F F696E74202D20B5A5C0CCC5CDBAA3C0CCBDBA5F3130C1D6C2F75F32C2F7BDC32E >

Endpoint Protector - Active Directory Deployment Guide

Microsoft Word - ntasFrameBuilderInstallGuide2.5.doc

라우터

API STORE 키발급및 API 사용가이드 Document Information 문서명 : API STORE 언어별 Client 사용가이드작성자 : 작성일 : 업무영역 : 버전 : 1 st Draft. 서브시스템 : 문서번호 : 단계 : Docum

Microsoft PowerPoint - Lecture_Note_5.ppt [Compatibility Mode]

비디오 / 그래픽 아답터 네트워크 만약에 ArcGolbe를 사용하는 경우, 추가적인 디스크 공간 필요. ArcGlobe는 캐시파일을 생성하여 사용 24 비트 그래픽 가속기 Oepn GL 2.0 이상을 지원하는 비디오카드 최소 64 MB 이고 256 MB 이상을 메모리

Microsoft Word - release note-VRRP_Korean.doc

1. Windows 설치 (Client 설치 ) 원하는위치에다운받은발송클라이언트압축파일을해제합니다. Step 2. /conf/config.xml 파일수정 conf 폴더에서 config.xml 파일을텍스트에디터를이용하여 Open 합니다. config.xml 파일에서, 아

[Brochure] KOR_TunA

<4D F736F F F696E74202D E20B3D7C6AEBFF6C5A920C7C1B7CEB1D7B7A1B9D62E >

The Pocket Guide to TCP/IP Sockets: C Version

Contents Test Lab 홖경... 3 Windows 2008 R2 서버를도메인멤버서버로추가... 4 기존 Windows 2003 AD 홖경에서 Windows 2008 R2 AD 홖경으로업그레이드를위한사젂작업 7 기존 Windows 2003 AD의스키마확장...

6. 설치가시작되는동안 USB 드라이버가자동으로로드됩니다. USB 드라이버가성공적으로로드되면 Setup is starting( 설치가시작되는중 )... 화면이표시됩니다. 7. 화면지침에따라 Windows 7 설치를완료합니다. 방법 2: 수정된 Windows 7 ISO

°í¼®ÁÖ Ãâ·Â

Portal_9iAS.ppt [읽기 전용]

슬라이드 1

System Recovery 사용자 매뉴얼

초기설정 WebtoB Web Server 에서인증서를사용하기위해 CSR 을생성하는방법입니다. 1. 초기설정 - CSR 을생성하기전에다음의몇가지사항을필히확인합니다. 부팅후 Path 나환경변수를일일이설정하지않게초기설정파일을사용하여로그인시자동으로실행되도록하고있습니다. 그러나

SBR-100S User Manual

슬라이드 1

오프라인 사용을 위한 Tekla Structures 라이선스 대여

untitled

Sena Device Server Serial/IP TM Version

DBPIA-NURIMEDIA

SSL Strip Attack JAC (SemiDntmd) 이우승 semidntmd.tistory.com

SMB_ICMP_UDP(huichang).PDF

마스터노드세팅하기 마스터노드를세팅하는것은리눅스와블록체인기술에대한기본적인이해가필요합니다. 아래설명을충분히이해하신후실행하시길바랍니다. 또한, 잘못된설치로인한지갑분실사고가발생하지않도록주의하시기바랍니다. 시작하기전에본가이드는마스터노드를처음세팅한다고가정하고작성되었습니다. 필요한

[SHA-2] HASH 함수 중의 하나로, HASH는 임의의 길이의 데이터를 입력 받아 고정된 길이의 데이터(해시 값)로 출력합니다. 동일한 데이터인 경우 동일한 해시 값을 갖는다. 에 기초하여 메시지 무결성(오류/변조 탐지)을 확인하기 위하여 사용됩 니다. 하지만 서

Microsoft Word - Armjtag_문서1.doc

서비스) 와서버( 관리대상서버) 간에자격증명을사용하여서로의 ID 를확인하고서로주고받는데이터를검사하고암호화하는프로세스 이다. 높은인증수준은일반적으로성능의저하를가져올수있지만높은 수준의보안과데이터무결성을제공한다. 기본값 - 관리대상서버에설정되어있는 DCOM 인증수준기본 값을

DIY 챗봇 - LangCon

목차 1. 시스템요구사항 암호및힌트설정 ( 윈도우 ) JetFlash Vault 시작하기 ( 윈도우 ) JetFlash Vault 옵션 ( 윈도우 )... 9 JetFlash Vault 설정... 9 JetFlash Vault

H3250_Wi-Fi_E.book

XCom v2.x User's Manual

Microsoft PowerPoint - 권장 사양

Citrix Workload Balancing 2.1 설치 가이드

NTD36HD Manual

Security Overview

PowerPoint 프레젠테이션

Operating Instructions

슬라이드 1

Amazon Stores

행자부 G4C

Voice Portal using Oracle 9i AS Wireless

Cloud Friendly System Architecture

Secure Programming Lecture1 : Introduction

Install stm32cubemx and st-link utility

PowerPoint Template


AAA AAA란라우터로접속하는사용자에대한인증, 권한, 과금을수행하기위한보안관련기능을수행하며, 클라이언트장비가서버쪽장비와연결되어네트워크서비스연결을시도할때도 AAA 기능을통해서장비인증및권한을실시한다. AAA 기능을사용하기이전에는라우터접근제어는 Console 라인과 VTY

<4D F736F F F696E74202D20C6AEB7A2315F33335FC7C3B6F3C0CCC7CFC0CC20B1E8B1E2BFB5B4EBC7A55F BFCFC0FCC1A4BAB95F E >

1) 인증서만들기 ssl]# cat > // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키

<C0CCBCBCBFB52DC1A4B4EBBFF82DBCAEBBE7B3EDB9AE2D D382E687770>

Microsoft PowerPoint - 6.pptx

Certificate Enrollment Using CEP/CES

Title Here

B _00_Ko_p1-p51.indd

Chapter11OSPF

Microsoft Word - src.doc

Webtob( 멀티도메인 ) SSL 인증서갱신설치가이드 본문서는주식회사한국기업보안에서 SSL 보안서버인증서설치를위해작성된문서로 주식회사한국기업보안의동의없이무단으로사용하실수없습니다. [ 고객센터 ] 한국기업보안. 유서트기술팀 Copyright 201

1) 인증서만들기 ssl]# cat > // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키

Multi Channel Analysis. Multi Channel Analytics :!! - (Ad network ) Report! -! -!. Valuepotion Multi Channel Analytics! (1) Install! (2) 3 (4 ~ 6 Page

Office 365, FastTrack 4 FastTrack. Tony Striefel FastTrack FastTrack

untitled

bn2019_2

Active Directory 소개

목 차 요약문 I Ⅰ. 연구개요 1 Ⅱ. 특허검색 DB 및시스템조사 5

PowerPoint Presentation


(Veritas\231 System Recovery 16 Monitor Readme)

Transcription:

AnyConnect NAM 및 ISE 의 EAP-FAST 및체인구현이해 목차 소개사전요구사항요구사항사용되는구성요소이론단계 PAC PAC 가생성되는경우 EAP-FAST 서버마스터키 ACS 4.x 와 ACS 5x 및 ISE 비교세션다시시작서버상태상태비저장 (PAC 기반 ) AnyConnect NAM 구현 PAC 프로비저닝 (0 단계 ) 익명 TLS 터널인증된 TLS 터널 EAP 연결 PAC 파일이저장되는위치 AnyConnect NAM 3.1 vs 4.0 예네트워크다이어그램사용자및머신 PAC 와 EAP 연결없이 EAP-Fast PAC 빠른재연결을통한 EAP 연결을사용하는 EAP-Fast PAC 없이 EAP 연결을사용하는 EAP-Fast EAP 연결권한부여 PAC 만료를사용하는 EAP-Fast EAP 연결터널 PAC 가만료된 EAP-Fast EAP 연결및익명 TLS 터널 PAC 프로비저닝을사용하는 EAP-Fast EAP 연결사용자인증만있는 EAP-Fast EAP 연결및일관성없는익명 TLS 터널설정을사용하는 EAP-Fast 문제해결 ISE AnyConnect NAM 참조 소개 이문서에서는 Cisco AnyConnect NAM(Network Access Manager) 및 ISE(Identity Services Engine) 의 EAP-FAST 구현에대한세부정보를설명합니다. 또한특정기능이어떻게연동되는지설명하고일반적인활용사례와예를제공합니다.

사전요구사항 요구사항 다음주제에대한지식을보유하고있으면유용합니다. EAP 프레임워크및 EAP-FAST 방법에대한기본지식 ISE(Identity Services Engine) 에대한기본지식 AnyConnect NAM 및프로파일편집기에대한기본지식 802.1x 서비스를위한 Cisco Catalyst 구성에대한기본지식 사용되는구성요소 이문서의정보는다음소프트웨어버전을기반으로합니다. Windows 7 with Cisco AnyConnect Secure Mobility Client, 릴리스 3.1 및 4.0 Cisco Catalyst 3750X 스위치 ( 소프트웨어 15.2.1 이상 ) Cisco ISE, 릴리스 1.4 이론 단계 EAP-FAST 는신청자와서버의상호인증을허용하는유연한 EAP 방법입니다.EAP-PEAP 와비슷하지만일반적으로클라이언트또는서버인증서를사용할필요가없습니다.EAP-FAST 의한가지이점은여러인증을연결 ( 여러내부방법사용 ) 하고암호방식으로연결 (EAP 연결 ) 하는기능입니다. Cisco 구현에서는사용자및머신인증에이기능을사용합니다. EAP-FAST 는 PAC(Protected Access Credentials) 를사용하여 TLS 터널 ( 세션재개 ) 을신속하게설정하거나사용자 / 머신 ( 인증에대한내부방법건너뛰기 ) 을인증합니다. EAP-FAST 에는 3 가지단계가있습니다. 단계 0(PAC 프로비저닝 ) 1단계 (TLS 터널설정 ) 2단계 ( 인증 ) EAP-FAST는 PAC-less 및 PAC 기반대화를지원합니다.PAC 기반은 PAC 프로비저닝및 PAC 기반인증으로구성됩니다.PAC 프로비저닝은익명또는인증된 TLS 세션을기반으로할수있습니다. PAC PAC 는서버에서생성되어클라이언트에제공되는보호액세스자격증명입니다. 구성요소 : PAC 키 (TLS 마스터및세션키파생에사용되는임의비밀값 ) PAC 불투명 (PAC 키 + 사용자 ID - 모두 EAP-FAST 서버마스터키로암호화됨 ) PAC 정보 ( 서버 ID, TTL 타이머 ) PAC를실행하는서버는 EAP-FAST 서버마스터키 (PAC 불투명 ) 를사용하여 PAC 키와 ID를암호

화하고전체 PAC 를클라이언트로보냅니다. 다른정보는보관 / 저장하지않습니다 ( 모든 PAC 에대해동일한마스터키제외 ). PAC 불투명키를수신하면 EAP-FAST 서버마스터키를사용하여해독되고검증됩니다.PAC 키는축약 TLS 터널에대한 TLS 마스터및세션키를파생시키는데사용됩니다. 이전마스터키가만료되면새 EAP-FAST 서버마스터키가생성됩니다. 경우에따라마스터키를취소할수있습니다. 현재사용중인 PAC 유형은몇가지가있습니다. 터널 PAC: TLS 터널설정에사용됩니다 ( 클라이언트또는서버인증서가필요하지않음 ). TLS 클라이언트 Hello로전송됨 컴퓨터 PAC:TLS 터널설정및즉시시스템권한부여에사용됩니다.TLS 클라이언트 Hello로전송됨 사용자권한부여 PAC: 서버에서허용하는경우즉시사용자인증 ( 내부방법건너뛰기 ) 에사용됩니다.TLV를사용하여 TLS 터널내부에서전송됨. 머신권한부여 PAC: 서버에서허용하는경우즉시시스템인증 ( 내부방법건너뛰기 ) 에사용됩니다.TLV를사용하여 TLS 터널내부에서전송됨. Trustsec PAC: 환경또는정책새로고침을수행할때권한부여에사용됩니다. 이러한모든 PAC는일반적으로 0단계에서자동으로전달됩니다. PAC의일부 ( 터널, 머신, Trustsec) 도수동으로전달할수있습니다. PAC 가생성되는경우 터널 PAC: 이전에사용하지않은경우성공적인인증 ( 내부방법 ) 후에프로비저닝됨 권한부여 PAC: 인증성공후프로비저닝됨 ( 내부방법 )( 이전에사용되지않음 ) 컴퓨터 PAC: 이전에사용되지않거나권한부여 PAC가사용되지않는경우, 성공적인머신인증 ( 내부방법 ) 후에프로비저닝됨이는터널 PAC가만료될때제공되지만, 인증 PAC가만료될때는제공되지않습니다.EAP 체이닝이활성화되거나비활성화되면프로비저닝됩니다. 참고 : 각 PAC 프로비저닝에는다음활용사례를제외하고성공적인인증이필요합니다. 권한이있는사용자가 AD 계정이없는컴퓨터에대해머신 PAC 를요청합니다. 다음표에는프로비저닝및사전대응적업데이트기능이요약되어있습니다. PAC 유형터널 v1/v1a/cts 컴퓨터 Ahthorization( 권한부프로비저닝요청시 PAC 인증된프로비저닝에서예인증된프로비저닝만제공터널 PAC가요청된경이인증에서사용되지인증요청시 PAC 제공예예경우에만 사전업데이트 예 아니요 아니요 실패한 PAC 기반인증 ( 예 : PAC가만료된경우 ) 후 PAC 프로비저닝으로다시전환할때 거부및새기능제공안함거부및새기능제공안함거부및새기능제공안 ACS 4.x PAC 지원터널 PAC v1/v1a 용예아니요 EAP-FAST 서버마스터키 ACS 4.x 와 ACS 5x 및 ISE 비교

ACS 4.x 와 ISE 를비교할때마스터키처리에약간의차이가있습니다. 기능 ACS 4.1.2 ACS 5.x / ISE 마스터키 PAC 새로고침 마스터키에 TTL 이있으며활성, 폐기또는만료될수있습니다. PAC 암호화에사용된마스터키가만료되지않는한 PAC 가만료될때서버에서 PAC 업데이트를보냅니다. 마스터키는구성된기간마다시드에서자동으로생성됩니다. 특정마스터키는항상액세스가능하며만료되지않음 PAC 업데이트는 PAC 만료시점이전의특정구성가능한기간에수행된첫번째인증성공후서버에서전송됩니다. 즉, ISE 는모든이전마스터키를유지하고기본적으로매주한번새마스터키를생성합니다. 마스터키가만료될수없으므로 PAC TTL 만검증됩니다. ISE 마스터키생성기간은 Administration( 관리 ) -> Settings( 설정 ) -> Protocol( 프로토콜 ) -> EAP- FAST -> EAP-FAST Settings(EAP-FAST 설정 ) 에서구성됩니다. 세션다시시작 이는터널 PAC 사용을허용하는중요한구성요소입니다. 인증서사용없이 TLS 터널재협상이가능합니다. EAP-FAST 에대한두가지세션재시작유형이있습니다. 서버상태기반및상태비저장 (PAC 기반 ) 서버상태 표준 TLS 기반메서드는서버에캐시된 TLS SessionID 를기반으로합니다.TLS Client Hello 를보내는클라이언트는세션을재개하기위해 SessionID 를연결합니다. 세션은익명 TLS 터널을사용할때 PAC 프로비저닝에만사용됩니다.

상태비저장 (PAC 기반 ) 사용자 / 머신권한부여 PAC 는피어에대한이전인증및권한부여상태를저장하는데사용됩니다. 클라이언트측재시작은 RFC 4507 을기반으로합니다. 서버는데이터를캐시할필요가없습니다. 대신클라이언트는 TLS Client Hello SessionTicket 확장에 PAC 를연결합니다. 그러면 PAC 는서버에의해검증됩니다. 서버에전달된터널 PAC 를기반으로한예 :

AnyConnect NAM 구현 빠른재연결을통해클라이언트측 (AnyConnect NAM) 에서활성화되지만권한부여 PAC 사용만제어하는데사용됩니다.

설정이비활성화된상태에서 NAM 은터널 PAC 를사용하여 TLS 터널을구축합니다 ( 인증서필요없음 ). 그러나즉시사용자및머신권한부여를수행하기위해권한부여 PAC 를사용하지않습니다. 따라서내부방법을사용하는 2 단계가항상필요합니다. ISE 에는스테이트리스세션재개를활성화하는옵션이있습니다. 그리고 NAM 과마찬가지로이는단지 Authorization PAC 를위한것입니다. 터널 PAC 사용은 "Use PACs(PAC 사용 )" 옵션으로제어됩니다.

옵션이활성화된경우 NAM 은 PAC 를사용하려고시도합니다.ISE 에서 "Don't Use PACs(PACs 사용안함 )" 가구성되고 ISE 가 TLS 확장에서터널 PAC 를수신하면다음오류가보고되고 EAP 실패가반환됩니다. 여기에삽입 ISE 에서는 TLS SessionID( 전역 EAP-FAST 설정에서 ) 를기반으로세션재개를활성화해야합니다. 기본적으로비활성화되어있습니다.

세션재개유형은하나만사용할수있습니다.SessionID 기반은 PAC-less 구축에만사용되며 RFC 4507 기반은 PAC 구축에만사용됩니다. PAC 프로비저닝 (0 단계 ) PAC 는단계 0 에서자동으로프로비저닝될수있습니다. 단계 0 은다음과같이구성됩니다. TLS 터널설정 인증 ( 내부방법 ) PAC는 PAC TLV( 및 PAC TLV Acknowledgement) 를통해 TLS 터널내에서성공적인인증후전달됩니다. 익명 TLS 터널 PKI 인프라가없는구축의경우익명 TLS 터널을사용할수있습니다. 익명 TLS 터널은서버또는클라이언트인증서없이 Diffie Hellman 암호그룹을사용하여구축됩니다. 이러한접근방식은 Man in the Middle 공격 ( 가장 ) 에영향을주기쉽습니다. 이옵션을사용하려면 NAM 에다음구성옵션이필요합니다. "PAC 를사용하면인증되지않은 PAC 프로비저닝이허용됩니다."(PKI 인프라가없으면인증서기반내부방법을사용할수없기때문에비밀번호기반내부방법에만적합합니다.) 또한 ISE 는 Authentication Allowed Protocols( 인증허용프로토콜 ) 아래에다음과같이구성해야합니다. " 익명대역내 PAC 프로비저닝허용 " 익명대역내 PAC 프로비저닝이 TrustSec NDAC 구축 ( 네트워크디바이스간에협상된 EAP-FAST 세션 ) 에서사용되고있습니다. 인증된 TLS 터널 가장안전하고권장되는옵션입니다.TLS 터널은신청자가검증한서버인증서를기반으로구축됩니다. 이렇게하려면서버측에만 PKI 인프라가필요합니다. ISE 에필요합니다 (NAM 에서는 "Validate Server Identity" 옵션을비활성화할수있습니다 ). ISE 의경우두가지추가옵션이있습니다. 일반적으로 PAC 프로비저닝후, 신청자가 PAC 를사용하여재인증하도록강제하는액세스거부전송해야합니다. 그러나 PAC 가인증과함께 TLS 터널에제공되었으므로전체프로세스를단축하고 PAC 프로비저닝직후에 Access-Accept 를반환할수있습니다. 두번째옵션은클라이언트인증서를기반으로 TLS 터널을구축합니다 ( 엔드포인트에서 PKI 구축이필요함 ). 이를통해상호인증을통해 TLS 터널을구축할수있으며, 내부방법을건너뛰고 PAC 프

로비저닝단계로바로이동합니다. 여기서주의해야합니다. 경우에따라신청자가 ISE 에서신뢰하지않는인증서 ( 다른용도로사용 ) 를표시하고세션이실패합니다. EAP 연결 하나의 RADIUS/EAP 세션내에서사용자및머신인증을허용합니다. 여러 EAP 방법을함께연결할수있습니다. 첫번째인증 ( 일반적으로머신 ) 이성공적으로완료되면서버는성공을나타내는중간결과 TLV( 내부 TLS 터널 ) 를보냅니다. 해당 TLV 는 Crypto-Binding TLV 요청과함께사용해야합니다. 암호화바인딩은서버와피어가모두특정인증시퀀스에참여했음을입증하는데사용됩니다. 암호화바인딩프로세스에서는 1 단계및 2 단계의키자료를사용합니다. 또한다음 TLV 를하나더추가합니다.EAP-Payload(EAP- 페이로드 ) - 새세션을시작합니다 ( 일반적으로사용자에대해 ). ISE(Radius Server) 가 Crypto-Binding TLV 응답을수신하고이를검증하면다음 EAP 방법이로그에표시되고다음 EAP 방법이시도됩니다 ( 일반적으로사용자인증을위해 ). 12126 EAP-FAST cryptobinding verification passed 암호화바인딩검증이실패하면전체 EAP 세션이실패합니다. 인증내에서실패한인증이계속정상인경우 ISE 는관리자가권한부여조건 NetworkAccess:EapChainingResult 를기반으로여러연결결과를구성할수있습니다. EAP-FAST 사용자및머신인증이활성화되면 NAM 에서 EAP 체이닝이자동으로활성화됩니다. ISE 에서 EAP 체이닝이구성되어야합니다. PAC 파일이저장되는위치 기본적으로 Tunnel 및 Machine PAC 는 C:\ProgramData\Cisco\Cisco AnyConnect Secure Mobility Client\Network Access Manager\system\internalConfiguration.xml 섹션에 <credential> 에저장됩니다. 암호화된형태로저장됩니다.

권한부여 PAC 는메모리에만저장되며리부팅또는 NAM 서비스를다시시작한후에제거됩니다. 터널또는시스템 PAC 를제거하려면서비스를다시시작해야합니다. AnyConnect NAM 3.1 vs 4.0 관리자는 AnyConnect 3.x NAM 프로파일편집기를사용하여 PAC 를수동으로구성할수있습니다. 이기능은 AnyConnect 4.x NAM 프로파일편집기에서제거되었습니다.

이기능을제거하기로결정한것은 CSCuf31422 및 CSCua13140 을기반으로합니다. 예 네트워크다이어그램 모든예는다음네트워크토폴로지를사용하여테스트되었습니다. 무선을사용할때도마찬가지입니다. 사용자및머신 PAC 와 EAP 연결없이 EAP-Fast 기본적으로 ISE 에서 EAP_chaining 이비활성화됩니다. 그러나시스템및권한부여 PAC 를비롯한다른모든옵션이활성화됩니다. 신청자에이미유효한시스템및터널 PAC 가있습니다. 이플로우에서는 ISE 에별도의로그가있는두개의개별인증 ( 시스템에대해하나씩, 사용자에대해하나씩 ) 이있습니다.ISE 에의해로깅된기본단계. 첫번째인증 ( 컴퓨터 ): 서플리컨트가시스템 PAC와함께 TLS 클라이언트 hello를보냅니다. 서버가머신 PAC를검증하고 TLS 터널을구축합니다 ( 사용된인증서없음 ). 서버는시스템 PAC를확인하고 Active Directory에서계정조회를수행하고내부방법을건너뜁니다. 12102 Extracted EAP-Response containing EAP-FAST challenge-response and accepting EAP-FAST as negotiated 12800 Extracted first TLS record; TLS handshake started 12174 Received Machine PAC 12805 Extracted TLS ClientHello message 12806 Prepared TLS ServerHello message 12801 Prepared TLS ChangeCipherSpec message 12816 TLS handshake succeeded 12132 EAP-FAST built PAC-based tunnel for purpose of authentication 24351 Account validation succeeded 24420 User's Attributes retrieval from Active Directory succeeded - example.com

12124 EAP-FAST inner method skipped 11503 Prepared EAP-Success 11002 Returned RADIUS Access-Accept 두번째인증 ( 사용자 ): 서플리컨트가터널 PAC와함께 TLS 클라이언트 Hello를전송합니다. 서버는 PAC를검증하고 TLS 터널을구축합니다 ( 사용된인증서없음 ). 서플리컨트에권한부여 PAC가없으므로내부방법 (EAP-MSCHAP) 인증에사용됩니다. 12102 Extracted EAP-Response containing EAP-FAST challenge-response and accepting EAP-FAST as negotiated 12800 Extracted first TLS record; TLS handshake started 12175 Received Tunnel PAC 12805 Extracted TLS ClientHello message 12806 Prepared TLS ServerHello message 12801 Prepared TLS ChangeCipherSpec message 12816 TLS handshake succeeded 12132 EAP-FAST built PAC-based tunnel for purpose of authentication 12125 EAP-FAST inner method started 11806 Prepared EAP-Request for inner method proposing EAP-MSCHAP with challenge 24402 User authentication against Active Directory succeeded - example.com 11503 Prepared EAP-Success 11002 Returned RADIUS Access-Accept ISE 의상세보고서의 " 기타특성 " 섹션에서사용자및머신인증에대해다음과같이표시됩니다. EapChainingResult: No chaining PAC 빠른재연결을통한 EAP 연결을사용하는 EAP-Fast 이흐름에서신청자는사용자및머신권한부여 PAC 와함께이미유효한터널 PAC 를가지고있습니다. 서플리컨트가터널 PAC와함께 TLS 클라이언트 Hello를전송합니다. 서버는 PAC를검증하고 TLS 터널을구축합니다 ( 사용된인증서없음 ). ISE는 EAP 체인을시작하고, 신청자는 TLS 터널내에서 TLV를사용하여사용자및시스템에대한권한부여 PAC를연결합니다. ISE는권한부여 PACs( 내부방법필요없음 ) 를확인하고, Active Directory에계정이있는지확인 ( 추가인증없음 ), 성공반환 12102 Extracted EAP-Response containing EAP-FAST challenge-response and accepting EAP-FAST as negotiated 12800 Extracted first TLS record; TLS handshake started 12175 Received Tunnel PAC 12805 Extracted TLS ClientHello message 12806 Prepared TLS ServerHello message 12801 Prepared TLS ChangeCipherSpec message 12816 TLS handshake succeeded 12132 EAP-FAST built PAC-based tunnel for purpose of authentication

12209 Starting EAP chaining 12210 Received User Authorization PAC 12211 Received Machine Authorization PAC 24420 User's Attributes retrieval from Active Directory succeeded - example.com 24439 Machine Attributes retrieval from Active Directory succeeded - example.com 11503 Prepared EAP-Success 11002 Returned RADIUS Access-Accept ISE의상세보고서의 " 기타특성 " 섹션에서다음과같은내용이표시됩니다. EapChainingResult: EAP Chaining 또한사용자및머신자격증명이아래와같은로그에포함됩니다. Username: cisco,host/mgarcarz-pc PAC 없이 EAP 연결을사용하는 EAP-Fast 이흐름에서 NAM 은 PAC 를사용하지않도록구성되며 ISE 는 PAC 를사용하지않도록구성됩니다 ( 그러나 EAP 체이닝으로 ). 서플리컨트가터널 PAC 없이 TLS 클라이언트 Hello를보냅니다. 서버는 TLS 인증서및인증서요청페이로드로응답합니다. 서플리컨트가서버인증서를신뢰해야하며클라이언트인증서를전송하지않습니다 ( 인증서페이로드는 0). TLS 터널이구축됩니다. ISE는 TLS 터널내에서클라이언트인증서에대한 TLV 요청을전송하지만서플리컨트는그렇지않습니다 ( 계속하려면 TLV를가질필요가없음 ). MSCHAPv2 인증과함께내부방법을사용하여사용자에대한 EAP 체이닝을시작합니다. MSCHAPv2 인증과함께내부방법을사용하여머신인증을계속합니다. 프로비저닝중인 PAC가없습니다. 12102 Extracted EAP-Response containing EAP-FAST challenge-response and accepting EAP-FAST as negotiated 12800 Extracted first TLS record; TLS handshake started 12805 Extracted TLS ClientHello message 12806 Prepared TLS ServerHello message 12807 Prepared TLS Certificate message 12809 Prepared TLS CertificateRequest message 12811 Extracted TLS Certificate message containing client certificate 12812 Extracted TLS ClientKeyExchange message 12816 TLS handshake succeeded 12207 Client certificate was requested but not received during tunnel establishment. Will renegotiate and request client certificate inside the tunnel. 12226 Started renegotiated TLS handshake 12104 Extracted EAP-Response containing EAP-FAST challenge-response 12811 Extracted TLS Certificate message containing client certificate 12812 Extracted TLS ClientKeyExchange message 12804 Extracted TLS Finished message 12801 Prepared TLS ChangeCipherSpec message 12802 Prepared TLS Finished message

12226 Started renegotiated TLS handshake 12205 Client certificate was requested but not received inside the tunnel. Will continue with inner method. 12176 EAP-FAST PAC-less full handshake finished successfully 12209 Starting EAP chaining 12218 Selected identity type 'User' 11806 Prepared EAP-Request for inner method proposing EAP-MSCHAP with challenge 24402 User authentication against Active Directory succeeded - example.com 12219 Selected identity type 'Machine' 11806 Prepared EAP-Request for inner method proposing EAP-MSCHAP with challenge 24470 Machine authentication against Active Directory is successful - example.com 11503 Prepared EAP-Success 11002 Returned RADIUS Access-Accept EAP 연결권한부여 PAC 만료를사용하는 EAP-Fast 이흐름에서신청자는유효한터널 PAC 를가지고있지만권한부여 PAC 가만료되었습니다. 서플리컨트가터널 PAC와함께 TLS 클라이언트 Hello를전송합니다. 서버는 PAC를검증하고 TLS 터널을구축합니다 ( 사용된인증서없음 ). ISE는 EAP 체인을시작하고, 신청자는 TLS 터널내에서 TLV를사용하여사용자및머신에대한권한부여 PAC를연결합니다. PAC가만료되면사용자와머신모두에대한내부방법이시작됩니다 (EAP-MSCHAP). 두인증이모두성공하면사용자및머신권한부여 PAC가모두프로비저닝됩니다. 12102 Extracted EAP-Response containing EAP-FAST challenge-response and accepting EAP-FAST as negotiated 12800 Extracted first TLS record; TLS handshake started 12175 Received Tunnel PAC 12805 Extracted TLS ClientHello message 12806 Prepared TLS ServerHello message 12801 Prepared TLS ChangeCipherSpec message 12816 TLS handshake succeeded 12132 EAP-FAST built PAC-based tunnel for purpose of authentication 12209 Starting EAP chaining 12227 User Authorization PAC has expired - will run inner method 12228 Machine Authorization PAC has expired - will run inner method 12218 Selected identity type 'User' 11806 Prepared EAP-Request for inner method proposing EAP-MSCHAP with challenge 24402 User authentication against Active Directory succeeded - example.com 12219 Selected identity type 'Machine' 24470 Machine authentication against Active Directory is successful - example.com 12171 Successfully finished EAP-FAST user authorization PAC provisioning/update

12179 Successfully finished EAP-FAST machine authorization PAC provisioning/update 11503 Prepared EAP-Success 11002 Returned RADIUS Access-Accept EAP 연결터널 PAC 가만료된 EAP-Fast 유효한터널 PAC 가없을경우이흐름에서내부단계를사용한전체 TLS 협상이발생합니다. 서플리컨트가터널 PAC 없이 TLS 클라이언트 Hello 를전송합니다. 서버는 TLS 인증서및인증서요청페이로드로응답합니다. 서플리컨트는서버인증서를신뢰해야하며클라이언트인증서를전송하지않습니다 ( 인증서페이로드는 0). TLS 터널이구축됩니다. ISE는 TLS 터널내에서클라이언트인증서에대한 TLV 요청을전송하지만서플리컨트는그렇지않습니다 ( 계속하려면 TLV를가질필요가없음 ). MSCHAPv2 인증과함께내부방법을사용하여사용자에대한 EAP 체이닝을시작합니다. MSCHAPv2 인증과함께내부방법을사용하여머신인증을계속합니다. 모든 PAC를프로비저닝했습니다 (ISE 컨피그레이션에서활성화됨 ). 12102 Extracted EAP-Response containing EAP-FAST challenge-response and accepting EAP-FAST as negotiated 12800 Extracted first TLS record; TLS handshake started 12805 Extracted TLS ClientHello message 12806 Prepared TLS ServerHello message 12807 Prepared TLS Certificate message 12809 Prepared TLS CertificateRequest message 12105 Prepared EAP-Request with another EAP-FAST challenge 11006 Returned RADIUS Access-Challenge 11001 Received RADIUS Access-Request 12816 TLS handshake succeeded 12207 Client certificate was requested but not received during tunnel establishment. Will renegotiate and request client certificate inside the tunnel. 12226 Started renegotiated TLS handshake 12104 Extracted EAP-Response containing EAP-FAST challenge-response 12811 Extracted TLS Certificate message containing client certificate 12812 Extracted TLS ClientKeyExchange message 12804 Extracted TLS Finished message 12801 Prepared TLS ChangeCipherSpec message 12802 Prepared TLS Finished message 12226 Started renegotiated TLS handshake 12205 Client certificate was requested but not received inside the tunnel. Will continue with inner method. 12149 EAP-FAST built authenticated tunnel for purpose of PAC provisioning 12105 Prepared EAP-Request with another EAP-FAST challenge 11006 Returned RADIUS Access-Challenge 11001 Received RADIUS Access-Request 11018 RADIUS is re-using an existing session 12104 Extracted EAP-Response containing EAP-FAST challenge-response 12209 Starting EAP chaining 12218 Selected identity type 'User' 11806 Prepared EAP-Request for inner method proposing EAP-MSCHAP with challenge 24402 User authentication against Active Directory succeeded - example.com 12126 EAP-FAST cryptobinding verification passed 12200 Approved EAP-FAST client Tunnel PAC request

12202 Approved EAP-FAST client Authorization PAC request 12219 Selected identity type 'Machine' 11806 Prepared EAP-Request for inner method proposing EAP-MSCHAP with challenge 24470 Machine authentication against Active Directory is successful - example.com 12169 Successfully finished EAP-FAST tunnel PAC provisioning/update 12171 Successfully finished EAP-FAST user authorization PAC provisioning/update 12170 Successfully finished EAP-FAST machine PAC provisioning/update 12179 Successfully finished EAP-FAST machine authorization PAC provisioning/update 11503 Prepared EAP-Success 11002 Returned RADIUS Access-Accept EAP 연결및익명 TLS 터널 PAC 프로비저닝을사용하는 EAP-Fast 이흐름에서 ISE 및 NAM 익명 TLS 터널은 PAC 프로비저닝 (PAC 프로비저닝을위한 ISE 인증 TLS 터널이비활성화됨 ) 에대해구성됩니다. PAC 프로비저닝요청은다음과같습니다. 서플리컨트가여러암호그룹없이 TLS 클라이언트 Hello를보냅니다. 서버는 TLS Server Hello 및 TLS 익명 Diffie Hellman 암호 ( 예 : TLS_DH_anon_WITH_AES_128_CBC_SHA) 로응답합니다. 서플리컨트가이를수락하고익명 TLS 터널이구축 ( 교환된인증서없음 ) 됩니다. MSCHAPv2 인증과함께내부방법을사용하여사용자에대한 EAP 체이닝을시작합니다. MSCHAPv2 인증과함께내부방법을사용하여머신인증을계속합니다. 익명 TLS 터널이빌드되고있으므로권한부여 PAC는허용되지않습니다. Radius Reject(RADIUS 거부 ) 가반환되어서플리컨트가다시인증 ( 프로비저닝된 PAC 사용 ) 합니다. 12102 Extracted EAP-Response containing EAP-FAST challenge-response and accepting EAP-FAST as negotiated 12800 Extracted first TLS record; TLS handshake started 12805 Extracted TLS ClientHello message 12806 Prepared TLS ServerHello message 12808 Prepared TLS ServerKeyExchange message 12810 Prepared TLS ServerDone message 12812 Extracted TLS ClientKeyExchange message 12804 Extracted TLS Finished message 12801 Prepared TLS ChangeCipherSpec message 12802 Prepared TLS Finished message 12816 TLS handshake succeeded 12131 EAP-FAST built anonymous tunnel for purpose of PAC provisioning 12209 Starting EAP chaining 12218 Selected identity type 'User' 11806 Prepared EAP-Request for inner method proposing EAP-MSCHAP with challenge 24402 User authentication against Active Directory succeeded - example.com 12162 Cannot provision Authorization PAC on anonymous provisioning. Authorization PAC can be provisioned only on authenticated provisioning

12200 Approved EAP-FAST client Tunnel PAC request 12219 Selected identity type 'Machine' 24470 Machine authentication against Active Directory is successful - example.com 12162 Cannot provision Authorization PAC on anonymous provisioning. Authorization PAC can be provisioned only on authenticated provisioning 12169 Successfully finished EAP-FAST tunnel PAC provisioning/update 12170 Successfully finished EAP-FAST machine PAC provisioning/update 11504 Prepared EAP-Failure 11003 Returned RADIUS Access-Reject 익명 TLS 터널협상을위한 Wireshark 패킷캡처 : EAP 연결사용자인증만있는 EAP-Fast 이흐름에서 AnyConnect NAM with EAP-FAST and User (EAP-TLS) and Machine authentication

(EAP-TLS) 이구성됩니다.Windows PC 가부팅되지만사용자자격증명이제공되지않습니다. 스위치가 802.1x 세션을시작합니다. 그러나 NAM 은응답해야합니다. 그러나사용자자격증명이제공되지않습니다 ( 사용자저장소및인증서에대한액세스권한이아직없음 ). 사용자인증이실패하는동안시스템이성공합니다. - ISE authz 조건 "Network Access:EapChainingResult EQUALS User failed and machine succeeded" 가충족됩니다. 나중에사용자가로그인하고다른인증이시작되며사용자와시스템모두성공합니다. 서플리컨트가시스템 PAC와함께 TLS 클라이언트 hello를보냅니다. 서버가 TLS 암호변경사양에응답합니다. TLS 터널은해당 PAC를기반으로즉시구축됩니다. ISE는 EAP 체이닝을시작하고사용자 ID를요청합니다. 서플리컨트가대신머신 ID를제공합니다 ( 사용자가아직준비되지않음 ). EAP-TLS 내부방법을완료합니다. ISE가사용자 ID를다시요청합니다. 신청자가이를제공할수없습니다. ISE는중간결과 = 실패 ( 사용자인증용 ) 로 TLV를보냅니다. ISE는최종 EAP 성공메시지, ISE 조건네트워크액세스 :EapChainingResult EQUALS 사용자실패및머신성공을반환합니다. 12102 Extracted EAP-Response containing EAP-FAST challenge-response and accepting EAP-FAST as negotiated 12800 Extracted first TLS record; TLS handshake started 12174 Received Machine PAC 12805 Extracted TLS ClientHello message 12806 Prepared TLS ServerHello message 12801 Prepared TLS ChangeCipherSpec message 12802 Prepared TLS Finished message 12816 TLS handshake succeeded 12132 EAP-FAST built PAC-based tunnel for purpose of authentication 12209 Starting EAP chaining 12218 Selected identity type 'User' 12213 Identity type provided by client is not equal to requested type 12215 Client suggested 'Machine' identity type instead 12104 Extracted EAP-Response containing EAP-FAST challenge-response 12523 Extracted EAP-Response/NAK for inner method requesting to use EAP-TLS instead 12805 Extracted TLS ClientHello message 12806 Prepared TLS ServerHello message 12807 Prepared TLS Certificate message 12809 Prepared TLS CertificateRequest message 12816 TLS handshake succeeded 12509 EAP-TLS full handshake finished successfully 22070 Identity name is taken from certificate attribute 15013 Selected Identity Source - Test-AD 24323 Identity resolution detected single matching account 12202 Approved EAP-FAST client Authorization PAC request 12218 Selected identity type 'User' 12213 Identity type provided by client is not equal to requested type 12216 Identity type provided by client was already used for authentication 12967 Sent EAP Intermediate Result TLV indicating failure

12179 Successfully finished EAP-FAST machine authorization PAC provisioning/update 12106 EAP-FAST authentication phase finished successfully 11503 Prepared EAP-Success 11002 Returned RADIUS Access-Accept EAP 연결및일관성없는익명 TLS 터널설정을사용하는 EAP-Fast 이흐름에서 ISE 는익명 TLS 터널을통해서만 PAC 프로비저닝에대해구성되지만 NAM 은인증된 TLS 터널을사용중이며 ISE 는다음을기록합니다. 12102 Extracted EAP-Response containing EAP-FAST challenge-response and accepting EAP-FAST as negotiated 12800 Extracted first TLS record; TLS handshake started 12805 Extracted TLS ClientHello message 12814 Prepared TLS Alert message 12817 TLS handshake failed 12121 Client didn't provide suitable ciphers for anonymous PAC-provisioning 11504 Prepared EAP-Failure 11003 Returned RADIUS Access-Reject 이문제는 NAM 이특정 TLS 암호를사용하여인증된 TLS 터널을구축하려고할때발생합니다. 이터널은익명 TLS 터널에대해구성된 ISE 에서수락되지않습니다 (DH 암호만적용 ). 문제해결 ISE 자세한로그를보려면해당 PSN 노드에서 Runtime-AAA 디버그를활성화해야합니다. 다음은 prrtserver.log 의로그예입니다. 시스템 PAC 생성 : DEBUG,0x7fd5332fe700,cntx=0001162745,sesn=mgarcarz- ise14/223983918/29245,cpmsessionid=0a3e946d00000fe5131f9d26,callingstationid=00-50-b6-11-ed- 31,FramedIPAddress=10.0.13.127,Using IID from PAC request for machine,eapfasttlv.cpp:1234 DEBUG,0x7fd5332fe700,cntx=0001162745,sesn=mgarcarz- ise14/223983918/29245,cpmsessionid=0a3e946d00000fe5131f9d26,callingstationid=00-50-b6-11-ed- 31,FramedIPAddress=10.0.13.127,Adding PAC of type=machine Authorization,EapFastProtocol.cpp:3610 DEBUG,0x7fd5332fe700,cntx=0001162745,sesn=mgarcarz- ise14/223983918/29245,cpmsessionid=0a3e946d00000fe5131f9d26,callingstationid=00-50-b6-11-ed- 31,FramedIPAddress=10.0.13.127,Eap-Fast: Generating Pac, Issued PAC type=machine Authorization with expiration time: Fri Jul 3 10:38:30 2015 PAC 요청승인 : INFO,0x7fd5330fc700,cntx=0001162745,sesn=mgarcarzise14/223983918/29245,CPMSessionID=0A3E946D00000FE5131F9D26,user=host/mgarcarzpc,CallingStationID=00-50-B6-11-ED-31,FramedIPAddress=10.0.13.127,Eap-Fast: client PAC request approved for PAC type - Requested PAC type=machine,eapfastprotocol.cpp:955 INFO,0x7fd5330fc700,cntx=0001162745,sesn=mgarcarzise14/223983918/29245,CPMSessionID=0A3E946D00000FE5131F9D26,user=host/mgarcarzpc,CallingStationID=00-50-B6-11-ED-31,FramedIPAddress=10.0.13.127,Eap-Fast: client PAC request approved for PAC type - Requested PAC type=machine Authorization,EapFastProtocol.cpp:955

PAC 검증 : DEBUG,0x7fd5330fc700,cntx=0001162499,sesn=mgarcarz- ise14/223983918/29243,cpmsessionid=0a3e946d00000fe5131f9d26,user=anonymous,callingstationid=00-50-b6-11-ed-31,framedipaddress=10.0.13.127,authorization PAC is valid,eapfastprotocol.cpp:3403 Eap,2015-07-03 09:34:39,208,DEBUG,0x7fd5330fc700,cntx=0001162499,sesn=mgarcarz- ise14/223983918/29243,cpmsessionid=0a3e946d00000fe5131f9d26,user=anonymous,callingstationid=00-50-b6-11-ed-31,framedipaddress=10.0.13.127,authorization PAC accepted,eapfastprotocol.cpp:3430 PAC 생성을위한성공적인요약예 : DEBUG,0x7fd5331fd700,cntx=0001162749,sesn=mgarcarz- ise14/223983918/29245,cpmsessionid=0a3e946d00000fe5131f9d26,user=cisco,callingstationid=00-50- B6-11-ED-31,FramedIPAddress=10.0.13.127,Conversation summary: Provisioning. Authenticated. Inner method succeeded. Inner method succeeded. Generated PAC of type Tunnel V1A. Generated PAC of type User Authorization. Generated PAC of type Machine. Generated PAC of type Machine Authorization. Success PAC 검증을위한성공적인요약예 : DEBUG,0x7fd5330fc700,cntx=0001162503,sesn=mgarcarzise14/223983918/29243,CPMSessionID=0A3E946D00000FE5131F9D26,user=host/mgarcarzpc,CallingStationID=00-50-B6-11-ED-31,FramedIPAddress=10.0.13.127,Conversation summary: Authentication. PAC type Tunnel V1A. PAC is valid.skip inner method. Skip inner method. Success AnyConnect NAM NAM 의 DART 로그에는다음세부정보가제공됩니다. 비 EAP 연결세션, 빠른재연결없이머신인증의예 : EAP: Identity requested Auth[eap-fast-pac:machine-auth]: Performing full authentication Auth[eap-fast-pac:machine-auth]: Disabling fast reauthentication 권한부여 PAC 조회예 ( 비 EAP 연결세션에대한머신인증 ): Looking for matching pac with iid: host/admin-pc2 Requested machine pac was sen MSCHAP 의모든내부방법상태는아래로그에서확인할수있습니다. EAP (0) EAP-MSCHAP-V2: State: 0 (eap_auth_mschapv2_c.c 731 EAP (0) EAP-MSCHAP-V2: State: 2 (eap_auth_mschapv2_c.c 731 EAP (0) EAP-MSCHAP-V2: State: 1 (eap_auth_mschapv2_c.c 731 EAP (0) EAP-MSCHAP-V2: State: 4 (eap_auth_mschapv2_c.c 73 NAM 은모든 EAP 패킷을캡처하여 pcap 파일에저장할확장로깅기능의컨피그레이션을허용합니다. 이는로그온전시작기능에특히유용합니다 (EAP 패킷은사용자로그온전에발생하는인증에도캡처됨 ). 기능활성화에대해서는 TAC 엔지니어에게문의하십시오. 참조

Cisco AnyConnect Secure Mobility Client 관리자가이드, 릴리스 4.0 EAP-FAST 컨피그레이션 Cisco Identity Services Engine 관리자가이드, 릴리스 1.4 EAP-FAST 권장사항 Cisco Identity Services Engine 설계가이드 AnyConnect NAM 및 Cisco ISE로 EAP 체이닝구축 기술지원및문서 Cisco Systems

2024 © docsplayer.org 개인정보보호 | 약관 | 지원