5
Radius-Authentifikation via MAC-Adresse (Windows Server 2012 und HP ProCurve 2510-24 J9019A)
Hallo
In meinem Testnetzwerk sind:
In meiner bisherigen Konfiguration muss sich der Benutzer (Client) entweder mit einem Zertifikat oder den Benutzerinformationen (Im AD gespeichert) anmelden, was auch funktioniert.
Der Switch ist so konfiguriert, dass er die authentifizierten Clients oder Benutzer in VLAN 1 (Authentifiziert) und alles andere in VLAN 2 setzt.
Da der Drucker sich durch keine der beiden Methoden anmelden kann, wird er vom Switch abgelehnt und landet im zweiten VLAN.
Nun habe ich an eine MAC-Authentifizierung gedacht, bei der ich für den Drucker einen Benutzer im AD erstelle und dieser so authentifiziert wird.
Benutzername und Passwort des Benutzers entsprechen der MAC-Adresse des Druckers (AA-BB-CC-DD-EE-FF). Später sollen weitere "Benutzer" hinzu kommen, darum habe ich eine separate Gruppe erstellt, in der alle Geräte sind, die via MAC authentifiziert werden.
In der Netzwerkrichtlinie unter "Bedingung" habe ich "NAS-Porttyp = Ethernet" und "Windows-Gruppe = MAC-Authenthifizierung (Gruppe des Druckers)" definiert.
Im Tab "Einschränkungen" ist nur "Unverschlüsselte Authentifizierung (PAP/SPAP)" ausgewählt.
Hier die Konfiguration des Ports, welcher für den Drucker konfiguriert werden soll:
aaa port-access mac-based addr-format multi-dash
aaa port-access mac-based 20 logoff-period 2400
aaa port-access mac-based 20 quiet-period 30
aaa port-access mac-based 20 server-timeout 10
aaa port-access mac-based 20 reauth-period 600
aaa port-access mac-based 20 auth-vid 1
aaa port-access mac-based 20 unauth-vid 2
aaa port-access 20
aaa port-access authenticator active
Wenn der Drucker nun an diesem Port angeschlossen wird, reagiert der Radius-Server nicht darauf (Keine Einträge in der Ereignisanzeige und im Log).
An der Standard-Konfiguration kann es ja nicht liegen, da die 802.1x Authentifikation (Getestet mit einem Windows 7-Client) problemlos funktioniert.
Nun zu meinen Fragen:
Gruss
In meinem Testnetzwerk sind:
- ein Netzwerkrichtlinienserver (WinSrv 2012)
- ein 802.1x-fähiger Switch (HP ProCurve 2510-24 J9019A, Aktuellste Firmware)
- ein Testclient (Win 7)
- und ein Drucker.
In meiner bisherigen Konfiguration muss sich der Benutzer (Client) entweder mit einem Zertifikat oder den Benutzerinformationen (Im AD gespeichert) anmelden, was auch funktioniert.
Der Switch ist so konfiguriert, dass er die authentifizierten Clients oder Benutzer in VLAN 1 (Authentifiziert) und alles andere in VLAN 2 setzt.
Da der Drucker sich durch keine der beiden Methoden anmelden kann, wird er vom Switch abgelehnt und landet im zweiten VLAN.
Nun habe ich an eine MAC-Authentifizierung gedacht, bei der ich für den Drucker einen Benutzer im AD erstelle und dieser so authentifiziert wird.
Benutzername und Passwort des Benutzers entsprechen der MAC-Adresse des Druckers (AA-BB-CC-DD-EE-FF). Später sollen weitere "Benutzer" hinzu kommen, darum habe ich eine separate Gruppe erstellt, in der alle Geräte sind, die via MAC authentifiziert werden.
In der Netzwerkrichtlinie unter "Bedingung" habe ich "NAS-Porttyp = Ethernet" und "Windows-Gruppe = MAC-Authenthifizierung (Gruppe des Druckers)" definiert.
Im Tab "Einschränkungen" ist nur "Unverschlüsselte Authentifizierung (PAP/SPAP)" ausgewählt.
Hier die Konfiguration des Ports, welcher für den Drucker konfiguriert werden soll:
aaa port-access mac-based addr-format multi-dash
aaa port-access mac-based 20 logoff-period 2400
aaa port-access mac-based 20 quiet-period 30
aaa port-access mac-based 20 server-timeout 10
aaa port-access mac-based 20 reauth-period 600
aaa port-access mac-based 20 auth-vid 1
aaa port-access mac-based 20 unauth-vid 2
aaa port-access 20
aaa port-access authenticator active
Wenn der Drucker nun an diesem Port angeschlossen wird, reagiert der Radius-Server nicht darauf (Keine Einträge in der Ereignisanzeige und im Log).
An der Standard-Konfiguration kann es ja nicht liegen, da die 802.1x Authentifikation (Getestet mit einem Windows 7-Client) problemlos funktioniert.
Nun zu meinen Fragen:
- Muss ich dem Switch noch mehr Parameter mitgeben (wenn ja, welche?), damit er die MAC-Adresse bzw. die authentifizierte Gruppe aus dem AD anfordert?
- Ist es möglich 802.1x- und MAC-Authentifikation an den selben Ports zu konfigurieren (So dass zuerst nach einem Zertifikat/den Benutzerinformationen gesucht wird und falls keine gefunden werden, die MAC-Authentifikaton angewandt wird)?
Gruss
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 235179
Url: https://administrator.de/contentid/235179
Printed on: April 19, 2024 at 13:04 o'clock
5 Comments
Latest comment
Das hiesige Forumstutorial dazu hast du gelesen ?
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Dort sind auch gängige Switch Konfigs aufgeführt zum Abtippen für eine Mac Authentisierung mit .1x
Und JA es ist möglich beide Authentisierungsverfahren auf dem Port zu fahren, jedenfalls supporten es fast alle gängigen Hersteller. Ob Billigheimer HP das kann musst du im Handbuch nachlesen. Manche nutzen dafür ein Radius Vendor Attribute was du im Dictionary File am Radius Server nachtragen musst aber in der Regel funktioniert es auch mit dem Timeout.
Hier muss man allerdings aufpassen WIE Hersteller das behandeln. Die einen machen zuerst .1x mit User/Pass oder Zertifikat und wenn das fehlschlägt die Mac Authentisierung um z.B. nicht .1x fähige Endgeräte wie Drucker oder Telefone abgesichert ins Netz zu bekommen.
Eigentlich macht auch nur diese Reihenfolge Sinn aber bei einer Reihe von Herstellern ist das customizebar, sprich über die Konfig einstellbar.
Einige supporten auch aufgrund eines Radius Vendor Attributes die erzwungene zusätzliche Mac Authentisierung nach der .1x Authentisierung. Also quasi doppelte Absicherung. Das Gros überspringt nach einer ersten erfolgreichen Authentisierung aber immer die zweite.
Wie sich der Switch da verhält ist zu 100% Sache des Herstellers, wie das in die Firmware implementiert ist. Einen Standard gibt es dafür nicht. Das kann dir also genau nur das User- oder Administration Manual zum Switch erklären, denn da sind die Unterschiede bei den Herstellern recht vielfältig.
Sehr hilfreich ist es hier wenn man den Radius in den Debug Mode versetzen kann um die Anfragen des Switches zu sehen (Siehe Tutorial oben). Alternativ dann natürlich ein Wireshark Sniffer Trace wo man die Radius Authentisierung mitsniffert. Dort sieht man dann sofort wo der Hase im Pfeffer liegt !
HP hat für seine Gurken was die Mac Authentisierung anbetrifft ein entsprechendes Manual:
http://h10032.www1.hp.com/ctg/Manual/c02628207.pdf
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Dort sind auch gängige Switch Konfigs aufgeführt zum Abtippen für eine Mac Authentisierung mit .1x
Und JA es ist möglich beide Authentisierungsverfahren auf dem Port zu fahren, jedenfalls supporten es fast alle gängigen Hersteller. Ob Billigheimer HP das kann musst du im Handbuch nachlesen. Manche nutzen dafür ein Radius Vendor Attribute was du im Dictionary File am Radius Server nachtragen musst aber in der Regel funktioniert es auch mit dem Timeout.
Hier muss man allerdings aufpassen WIE Hersteller das behandeln. Die einen machen zuerst .1x mit User/Pass oder Zertifikat und wenn das fehlschlägt die Mac Authentisierung um z.B. nicht .1x fähige Endgeräte wie Drucker oder Telefone abgesichert ins Netz zu bekommen.
Eigentlich macht auch nur diese Reihenfolge Sinn aber bei einer Reihe von Herstellern ist das customizebar, sprich über die Konfig einstellbar.
Einige supporten auch aufgrund eines Radius Vendor Attributes die erzwungene zusätzliche Mac Authentisierung nach der .1x Authentisierung. Also quasi doppelte Absicherung. Das Gros überspringt nach einer ersten erfolgreichen Authentisierung aber immer die zweite.
Wie sich der Switch da verhält ist zu 100% Sache des Herstellers, wie das in die Firmware implementiert ist. Einen Standard gibt es dafür nicht. Das kann dir also genau nur das User- oder Administration Manual zum Switch erklären, denn da sind die Unterschiede bei den Herstellern recht vielfältig.
Sehr hilfreich ist es hier wenn man den Radius in den Debug Mode versetzen kann um die Anfragen des Switches zu sehen (Siehe Tutorial oben). Alternativ dann natürlich ein Wireshark Sniffer Trace wo man die Radius Authentisierung mitsniffert. Dort sieht man dann sofort wo der Hase im Pfeffer liegt !
HP hat für seine Gurken was die Mac Authentisierung anbetrifft ein entsprechendes Manual:
http://h10032.www1.hp.com/ctg/Manual/c02628207.pdf
1
Hallo aqui
Ja, das Forumstutorial hat mir am Anfang sehr geholfen.
Laut HP unterstützt der Switch die doppelte Authentifizierung und benötigt keine weiteren Parameter für die MAC-Authentifizierung.
In der HP Manual wurden einige Einstellungen anders ausgeführt. Ich werde mir das nächste Woche einmal genauer ansehen.
Port-Security: "ftp://ftp.hp.com/pub/networking/software/Security-Oct2005-59906024-Chap09-Port_Security.pdf", mal sehn ob das weiter hilft
Danke für die Hilfe, ich melde mich sobald ich weiter gekommen bin oder neue Probleme auftauchen.
Gruss
Ja, das Forumstutorial hat mir am Anfang sehr geholfen.
Laut HP unterstützt der Switch die doppelte Authentifizierung und benötigt keine weiteren Parameter für die MAC-Authentifizierung.
In der HP Manual wurden einige Einstellungen anders ausgeführt. Ich werde mir das nächste Woche einmal genauer ansehen.
Port-Security: "ftp://ftp.hp.com/pub/networking/software/Security-Oct2005-59906024-Chap09-Port_Security.pdf", mal sehn ob das weiter hilft
Danke für die Hilfe, ich melde mich sobald ich weiter gekommen bin oder neue Probleme auftauchen.
Gruss
Der von dir gepostete Manual Auszug ist technisch etwas völlig anderes und hat mit 802.1x Mac Security gar nichts zu tun !
Das ist ganz einfach Mac Port Security, da kannst du den Switch anweisen keine weitere oder nur bestimmte Macs am Port zu lernen.
Komplett andere Baustelle ! Das kannst du für dein Problem vergessen und darfst das auch niemals aktiveren, denn das wirkt sich kontraproduktiv zu dem aus was du eigentlich willst, nämlich die dynamische Authentisierung !
Das ist ganz einfach Mac Port Security, da kannst du den Switch anweisen keine weitere oder nur bestimmte Macs am Port zu lernen.
Komplett andere Baustelle ! Das kannst du für dein Problem vergessen und darfst das auch niemals aktiveren, denn das wirkt sich kontraproduktiv zu dem aus was du eigentlich willst, nämlich die dynamische Authentisierung !
1
Hallo aqui
Sorry für die späte Antwort, bis jetzt fand ich keine Zeit, um an diesem Thema weiter zu arbeiten.
Mit dem Link hast du natürlich recht, ich sollte den Text nicht nur überfliegen!
Zu meinem eigentlichen Problem:
Die AD-Konfiguration inkl. dem AD-Benutzer war richtig.
Beim Switch (HP ProCurve 2510-24 J9019-A) steht einem der Befehl "aaa port-access mac-based addr-format" zur Verfügung.
Durch den Parameter "multi-dash" speichert der Switch die MAC-Adressen im Format "AA-BB-CC-DD-EE-FF" und nimmt diese auch so an ... sollte er zumindest.
Der Fehler war, dass er beim auslesen des AD-Benutzers trotzdem ein anderes Format verwendet hat.
Nachdem ich die MAC-Adressen ohne weiteres Format (aabbccddeeff) gepeichert hatte, funktionierte alles problemlos (Parameter "no-delimiter" beim Switch).
Nochmals danke für deine Hilfe.
Gruss
Sorry für die späte Antwort, bis jetzt fand ich keine Zeit, um an diesem Thema weiter zu arbeiten.
Mit dem Link hast du natürlich recht, ich sollte den Text nicht nur überfliegen!
Zu meinem eigentlichen Problem:
Die AD-Konfiguration inkl. dem AD-Benutzer war richtig.
Beim Switch (HP ProCurve 2510-24 J9019-A) steht einem der Befehl "aaa port-access mac-based addr-format" zur Verfügung.
Durch den Parameter "multi-dash" speichert der Switch die MAC-Adressen im Format "AA-BB-CC-DD-EE-FF" und nimmt diese auch so an ... sollte er zumindest.
Der Fehler war, dass er beim auslesen des AD-Benutzers trotzdem ein anderes Format verwendet hat.
Nachdem ich die MAC-Adressen ohne weiteres Format (aabbccddeeff) gepeichert hatte, funktionierte alles problemlos (Parameter "no-delimiter" beim Switch).
Nochmals danke für deine Hilfe.
Gruss
Hört sich gut an das nun alles klappt....
