《CCNP安全VPN 642-648认证考试指南(第2版)》——5.11节对PKI和SSO的集成进行故障排错

5.11 对PKI和SSO的集成进行故障排错
CCNP安全VPN 642-648认证考试指南(第2版)
和许多验证方案一样,发生问题总是不可避免的。尽管绝大部分的问题是由于用户或者服务器的错误或者配置错误导致的,但是某些问题可能源自ASA的配置错误。尽管对客户端的证书验证进行故障排查可能也需要对外部的证书和PKI的组件进行排查,但是在这里我们只集中探讨因为ASA的内部CA的配置错误所导致的问题。

因为你正在配置和管理CA,因此你将负责向客户端颁发证书、吊销证书、核实证书的有效性和整体的部署工作。拥有或者管理内部CA的一个好处就是你能够直接在设备上对任何证书的问题作故障排查而无需协同第三方共同工作来解决证书问题。

有5个常见的要点可用于对客户端的证书验证作故障排查,图5-20中已经总结出来这些要点,它们可以帮助用户判断出任何特定问题的产生根源在什么地方。

关键步骤1首先检查是否已经在客户端上正确地安装了证书。总之,如果证书未被安装的话,客户端会在页面上收到一个“没有发现证书”的错误并给用户提供一个到相关页面的链接以提醒用户去下载一个证书。

步骤2当你确认客户端的机器已成功地安装证书后,那么检查所安装证书的有效性。如果证书被报告为无效的,那么去检查证书的有效时间,同时也要确保客户端和ASA的时钟是同步的。

步骤3确认证书未被吊销。如果它已经被吊销了(与具体原因有关),你可能需要从ASDM的证书管理窗口中取消吊销,可以在Configuration > Remote Access VPN > Certificate Management > Local Certificate Authority > Manage User Certificates中执行它(也可以在CLI的特权EXEC模式下输入命令crypto ca server unrevoked serial number完成取消证书吊销的工作)。

步骤4如果用户收到了一个不正确的连接配置文件,这可能是由于配置了不正确的证书到连接配置文件的映射。通过Configure > Remote Access VPN >Advanced > Certificate to SSL VPN Connection Profile Maps检查所配置的证书映射规则。

步骤5检查服务器上的AAA配置来判断是否配置了正确的基于证书的验证参数或者这些参数能否配合AAA验证一起工作。

绝大部分与证书有关的错误都可以通过客户端的错误消息或者日志条目所显示的信息来解释错误发生的原因,你也可以察看实时的监控日志(Monitor > Logging > Real-Time Log Viewer)来解释错误原因。你还可以使用debug crypto ca server level命令启动调试功能。debug命令的可选级别可以为1~255的任何一个数值,配置哪个级别与你想收到的信息量有关。例如,对于低级调试,输入255;如想接收少量的详细信息,输入1。

当进行故障排查时,选择默认的debug级别是非常常见的,这是因为它会给用户提供关于一个设备的尽可能多的信息。不过,要记住的重要的一点就是在生产环境中启动debug可能会对所有连接到这个设备的或者穿过这个设备的用户的性能造成影响。

图5-21显示了一个不能正常地访问SSL VPN设备连接时我们收集的一个调试结果。从所示的debug的输出中我们可以看到证书被认为无效的原因是证书已经过了有效期。如果在检查证书文件后发现它的日期依旧是有效的,那么你需要检查ASA设备的日期和时间的设置是否正确。

与证书的方式类似,用户的错误或者服务器的配置或者ASA的配置错误都可能导致SSO发生错误。因为我们现在正在讨论ASA和服务器之间的验证过程,不考虑用户的话,我们可以排除大部分的用户错误(如果用户已成功地登录了SSL VPN)进而对ASA设备或者服务器进行故障排查以查找故障的根源。

产生SSO错误的最常见的一个原因是公司内部使用不同的验证机制。正如之前讨论的,当ASA代表用户被服务器成功地验证后,服务器返回一个验证的cookie,它会被ASA保存作为将来向服务器发出的验证请求。不过,如果这个用户使用一个不同的用户名和口令或者使用一个与ASA上被配置的SSO配置文件不同的验证协议的话,服务器对用户的验证就会失败。不会再对用户提示输入登录凭证。

如果没有将服务器配置为对访问它的资源的用户进行验证的话,同样的事情也会发生。ASA会继续等待验证请求,导致客户端不能够访问它所请求的资源。

为了从CLI对用户的验证问题进行故障排查,有下面这些选项可供选择。

debug webvpn / debug aaa common(针对一般验证)。
debug radius(针对RADIUS验证)。
debug ntdomain(针对域验证)。
debug ldap(针对LDAP验证)。
debug sdi(针对RSA验证)。
debug kerberos(针对Kerberos验证)。
在ASDM的Monitor > Logging > Real-Time Log Viewer窗口内或者在命令行下执行show logging命令,可以找到需要的大量信息来解决问题。除此之外,对用户进行验证而验证结果为失败的服务器通常也含有宝贵的日志信息,利用这些日志信息可以很好地帮助你进行故障排查。

备考任务
在“本书内容结构”中已经提到,对于备考方式你可以进行灵活选择:阅读第22章、阅读附录C(在本书的配套光盘中),以及练习光盘中的考试模拟试题。

时间: 2024-11-01 06:38:47

《CCNP安全VPN 642-648认证考试指南(第2版)》——5.11节对PKI和SSO的集成进行故障排错的相关文章

《CCENT/CCNA ICND1(100-101)认证考试指南(第4版)》——1.1节“我已经知道了吗?”小测试

1.1 "我已经知道了吗?"小测试CCENT/CCNA ICND1(100-101)认证考试指南(第4版)通过本节的小测试可以判断读者是否有必要略读本章或其中某个主要部分内容,甚至可以直接阅读本章的"考前准备".这些测试题可用来评估读者对该部分知识的掌握程度.本节小测试的答案参见随附光盘的附录C. 1.下列哪些协议属于TCP/IP传输层协议?(选择两个答案) a.以太网 b.HTTP c.IP d.UDP e.SMTP f.TCP 2.下列哪些协议属于数据链路层协议

《CCNP ROUTE (642-902 )认证考试指南》一导读

前 言 CCNP ROUTE (642-902 )认证考试指南 本书只有一个主要目标,就是帮助您通过ROUTE(642-902)考试.同时,本书也会实现其他实用的目标:阐述各种网络主题,演示如何在Cisco路由器上配置这些功能,介绍如何判断这些功能是否运行正常:因此,也可将本书用于学习IP路由和IP路由协议.然而,本书的主要目标是帮助您通过ROUTE考试,这也是它属于Cisco Press认证考试指南系列丛书的原因. 接下来将重点探讨两个主题:ROUTE考试及本书的内容. CCNP ROUTE考

《CCNP ROUTE (642-902 )认证考试指南》一1.5 结语

1.5 结语 CCNP ROUTE (642-902 )认证考试指南要求规划和记录的CCNP ROUTE考试主题很多,它们都不要求您掌握额外的技术知识,但要求您更熟练地掌握技术主题.为熟练掌握技术主题,最佳的方法是从事一项使用这些功能的工作,但通过学习,也可非常熟练地掌握技术.对于本章介绍的技术,如果您的使用经验不多,请花些时间完成每章末尾的"规划练习"一节的练习,它们将帮助您从规划角度备考ROUTE考试.

《CCNP ROUTE (642-902 )认证考试指南》一第1章 CCNP考试中的规划任务

第1章 CCNP考试中的规划任务 CCNP ROUTE (642-902 )认证考试指南本章介绍以下主题: 与规划相关的CCNP考试主题: 该书CCNP认证的目标. 如何备考CCNP考试中的规划主题: 阐述您需要知道的规划知识,为考试做好准备. 有关实现和验证计划的背景信息: 讨论具体的计划以及考试不使用特定规划的原因. ROUTE考试的前身为组建可扩展的Cisco互联网络(BSCI)考试,它要求考生掌握众多路由协议最常用的功能.ROUTE考试也要求考生掌握这些知识,但还包括很多使用字样"计划&

《CCNP ROUTE (642-902 )认证考试指南》一1.1 与规划相关的CCNP考试主题

1.1 与规划相关的CCNP考试主题 CCNP ROUTE (642-902 )认证考试指南Cisco于1998年推出了CCNP(Cisco Certified Network Professional,Cisco认证资深网络工程师)认证,从那时起,Cisco多次修订了考试纲要和相关课程.在每次重大修订中,都扩大并新增了一些主题,并压缩或删除了一些主题.与此同时,调整了主题的深度--每个主题的深度或更深或更浅了. 在Cisco于2010年1月发布的最新CCNP考试(包括本书针对的642-902考

《CCNP ROUTE (642-902 )认证考试指南》一1.2 将考试主题与典型网络工程师的工作关联起来

1.2 将考试主题与典型网络工程师的工作关联起来 CCNP ROUTE (642-902 )认证考试指南组织的规模越大,越需要规划并编写规划文档.即使公司只有一个人关心路由器和交换机基础设施,这位工程师也可能不想在变更时间窗于星期天凌晨两点打开时去编写配置.因此,即使在小型IT部门,工程师在周末的变更时间窗到来前使用文本编辑器编写配置时,也需要做些规划.当网络人员增加到三四人(尤其是他们轮流值班时),编写设计.实现和验证/运营文档则变得更为重要. 本节将以一家大中型公司为例,介绍一些在实际工作中

《CCNP ROUTE (642-902 )认证考试指南》一1.3 如何备考CCNP考试中的规划主题

1.3 如何备考CCNP考试中的规划主题 CCNP ROUTE (642-902 )认证考试指南对于CCNP考试涉及的每项技术,您都能制定网络实现规划吗?对于这些技术,您都能制定验证规划吗?通过CCNP考试主题可知,最新的CCNP考试将考核这些技能.然而,Cisco不可能提出像下面这样没有明确限制的问题:"根据下面的设计文档制定完整的EIGRP实现计划".回答这种问题需要很长时间,而在典型的Cisco考试中,每个考题的答题时间平均只有75秒. 虽然在考试中可能不会要求您制定计划,但您必

《CCNP ROUTE (642-902 )认证考试指南》一第2章 EIGRP概述及邻接关系

第2章 EIGRP概述及邻接关系 CCNP ROUTE (642-902 )认证考试指南**本章介绍以下主题:** EIGRP CCNA复习: 复习EIGRP概念.配置和验证命令,具体地说是CCNA考试涉及的EIGRP细节. EIGRP邻接关系: 讨论各种影响路由器建立EIGRP邻接关系的功能.要建立邻接关系必须满足的条件以及导致无法建立邻接关系的因素. 通过WAN建立邻接关系: 简要地讨论如何通过各种WAN技术建立EIGRP邻接关系. 只需几个相对简单的命令便可配置增强内部网关路由协议(Enh

《CCNP ROUTE (642-902 )认证考试指南》一2.1 “我已经知道了吗?”测验

2.1 "我已经知道了吗?"测验 CCNP ROUTE (642-902 )认证考试指南"我已经知道了吗?"测验旨在帮助读者判断是否应阅读整章.如果您不能正确回答的测试题不超过1个,可直接跳到"备考任务"一节.表2.1概述了本章讨论的主要主题及对应的测试题,让您能够评估自己对这些领域的掌握情况.答案见附录A. 在一台路由器中,配置了命令route eigrp 9和network 172.16.1.0 0.0.0.255,但没有配置其他与EIGRP