Cisco Cisco Identity Services Engine 1.3 전단

第

22 页

安全访问操作指南

失败的身份验证事件

TrustSec 身份验证可能由于许多原因而失败。其中包括未知用户、凭证错误、凭证到期、缺少证书、配置错
误等等。通过仔细检查

ISE 日志，可以诊断其中许多失败。下面说明了常见失败及其症状。

5411 向客户端发出最后一条 EAP 消息之后的 120 秒内，未收到回应

适用对象

所有

EAP 类型

可能原因

NAD 或请求方：EAP 超时可能过于激进。

请求方：配置有基于证书的身份验证，而请求方没有有效的凭证或不信任

ISE 证书。

请求方和用户：配置有基于密码的身份验证，而用户未提供有效的凭证。

解决方法

验证请求方是否正确配置为与

ISE 开展完整的 EAP 对话。验证 NAS 是否

正确配置为与请求方之间互相传输

EAP 消息。验证请求方或网络访问服务

器

(NAS) 是否针对 EAP 对话不会短时间超时。检查用于将 NAS 连接到

ISE 的网络。如果外部 ID 库用于身份认证，则其可能不会足够快地响应当
前超时。

12520 EAP-TLS 进行 SSL/TLS 握手失败，因为客户端拒绝 ISE 本地证书

适用对象

EAP-TLS（AnyConnect 网络访问管理器）

可能原因

请求方不信任

ISE PSN 证书。

解决方法

通过转至

Local Certificates 页面 (Administration > System > Certificates >

Local Certificates) 检查是否为 EAP 安装并配置了适当的证书。另请确
保签署此服务器证书的证书颁发机构正确安装在客户端的请求方中。检
查此

EAP-TLS 对话的日志中的先前步骤，查找指示握手失败的消息。

检查

OpenSSLErrorMessage 和 OpenSSLErrorStack 以获取详细

信息。

22044 身份策略结果配置为用于基于证书的身份验证方法但接收到的是基于密码的身份验证请求

适用对象

EAP-TLS 和 PEAP-TLS

可能原因

ISE 身份验证策略配置为用于基于密码的身份验证，但是请求方发送的是
证书凭证。

解决方法

在

Policy > Authentication 中检查相应的配置。当身份源配置为用于基于证

书的身份验证但接收到的是基于密码的身份验证请求时，会发生此错误。