Résolution des échecs d’authentification EAP-TLS sur les machines Windows avec ISE
Lors de la tentative d’authentification EAP-TLS via Cisco ISE, une erreur s’est produite indiquant un échec d’authentification. Ce problème a entravé notre capacité à mettre en œuvre une solution d’accès réseau dépendant de Cisco ISE. Dans cet article, nous allons explorer des méthodes efficaces pour résoudre le problème des machines Windows qui ne terminent pas l’authentification EAP-TLS avec ISE .
Événement 5400 : Échec d’authentification.
Dépannage des échecs d’authentification EAP-TLS sous Windows 11
Dans les cas où les systèmes Windows ne parviennent pas à finaliser l’authentification EAP-TLS avec ISE et affichent l’erreur d’événement 5400, envisagez de mettre en œuvre les solutions suivantes :
- Supprimer les entrées de nouvelle tentative.
- Ajustez vos paramètres de validation de certificat.
- Contactez le support Microsoft.
Examinons de plus près chaque solution.
Résolution de l’échec d’authentification de l’événement 5400
1] Supprimer les entrées du registre
Ce problème survient généralement lorsque la stratégie de groupe ne sélectionne pas correctement les certificats racine et intermédiaire. Pour résoudre ce problème, vous devez supprimer plusieurs clés de registre. Avant de continuer, assurez-vous de sauvegarder vos informations de registre. Ensuite, lancez l’invite de commande en tant qu’administrateur et exécutez les commandes suivantes :
reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies"/f
reg delete "HKCU\Software\Microsoft\WindowsSelfHost"/f
reg delete "HKCU\Software\Policies"/f
reg delete "HKLM\Software\Microsoft\Policies"/f
reg delete "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies"/f
reg delete "HKLM\Software\Microsoft\Windows\CurrentVersion\WindowsStore\WindowsUpdate"/f
reg delete "HKLM\Software\Microsoft\WindowsSelfHost"/f
reg delete "HKLM\Software\Policies"/f
reg delete "HKLM\Software\WOW6432Node\Microsoft\Policies"/f
reg delete "HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Policies"/f
reg delete "HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\WindowsStore\WindowsUpdate"/f
Remarque : vous pouvez recevoir des messages indiquant : « ERREUR : le système n’a pas pu trouver la clé ou la valeur de registre spécifiée », qui peuvent être ignorés.
Une fois cette étape terminée, redémarrez votre ordinateur et sélectionnez les certificats racine et intermédiaires appropriés.
2] Modifier les paramètres de validation du certificat
Les versions précédentes de Windows, comme Windows 10, avaient des logiques de validation différentes pour les certificats de serveur en fonction de diverses méthodes EAP. Avec Windows 11, Microsoft a unifié cette logique pour l’aligner sur la spécification WPA3-Enterprise, garantissant ainsi une expérience cohérente et fiable. Si vous rencontrez des problèmes avec EAP-TLS et TLS 1.3, assurez-vous que votre serveur RADIUS est mis à jour et corrigé , ou envisagez de désactiver TLS 1.3 côté serveur. En outre, vérifiez que les certificats racine et intermédiaires utilisés par le serveur ISE sont reconnus comme dignes de confiance par le client Windows 11.
3] Contactez le support Microsoft
Si aucune des solutions précédentes ne s’avère efficace, il peut être utile de contacter le support Microsoft. Accédez à support.microsoft.com , connectez-vous à votre compte et soumettez un ticket décrivant votre problème pour recevoir de l’aide.
Avec un peu de chance, les solutions décrites dans cet article peuvent vous aider à résoudre le problème d’authentification.
Comment activer la reprise de session EAP TLS pour ISE ?
Pour activer la reprise de session TLS pour EAP-TLS, accédez à Administration > Système > Paramètres > Protocole > EAP-TLS. Cochez la case Activer la reprise de session TLS EAP et saisissez les valeurs nécessaires dans le champ Délai d’expiration de la session TLS EAP.
Qu’est-ce que EAP dans Cisco ISE ?
Au sein de Cisco Identity Services Engine (ISE), le protocole EAP (Extensible Authentication Protocol) facilite l’authentification sécurisée des appareils qui tentent de se connecter au réseau. EAP est un cadre adaptable qui autorise différentes méthodes d’authentification, offrant une flexibilité dans les processus de vérification des appareils et des utilisateurs.
Laisser un commentaire