22
802.1x mit Computerzertifikaten und MAC Authentication Bypass
Hallo,
ich teste gerade Cisco's 802.1x Portsecurity in einer Laborumgebung mit einem 3560 (IOS 12.2(44SE)) und der ACS 4.1 für Windows.
Firmeneigene PC's sollen über ihr zugehöriges Computerzertifikat authentifiziert werden. Nicht 802.1x fähige Geräte sollen per MAC Authentication Bypass (MAB) authentifiziert werden. MAB möchte ich auch für den PXE-Boot verwenden, da dieser für die Softwareverteilung benötigt wird.
Die Authentifizierung habe ich über die "Network Access Profiles" konfiguriert. Die Authentifizierung über das Computerzertifikat funktioniert bereits problemlos. Mit dem MAB habe ich noch ein paar Probleme. Wenn ich die MAC-Adresse im Punkt Authentication händisch eintrage und auf eine Gruppe binde, funktioniert der MAC Bypass (auch mit Zusatzfeatures wie VLAN-Mapping). Nun habe ich das Problem, dass ich sehr viele Clients habe und ich diese nicht alle händisch eintragen will. Alle MAC-Adressen stehen aber in einer ODBC Datenbank. Leider kann ich scheinbar im Access Profil nicht direkt auf die ODBC-Datenbank zugreifen. Ich habe es, wie bei Cisco beschreiben, über die Stored Procedures versucht. Leider bislang ohne Erfolg.
Ich habe auch schon versucht Benutzer anzulegen, die der MAC-Adresse entsprechen. Leider ebenfalls erfolglos.
Zitat von http://www.cisco.com/en/US/products/hw/switches/ps5528/products_configu ...
When the MAC authentication bypass feature is enabled on an IEEE 802.1x port, the switch uses the MAC address as the client identity. The authentication server has a database of client MAC addresses that are allowed network access. After detecting a client on an IEEE 802.1x port, the switch waits for an Ethernet packet from the client. The switch sends the authentication server a RADIUS-access/request frame with a username and password based on the MAC address. If authorization succeeds, the switch grants the client access to the network. If authorization fails, the switch assigns the port to the guest VLAN if one is configured.
Hat jemand bereits Erfahrungen in dem Bereich gesammelt? Ich bin für jeden Tipp dankbar.
mfg, Proxymus
ich teste gerade Cisco's 802.1x Portsecurity in einer Laborumgebung mit einem 3560 (IOS 12.2(44SE)) und der ACS 4.1 für Windows.
Firmeneigene PC's sollen über ihr zugehöriges Computerzertifikat authentifiziert werden. Nicht 802.1x fähige Geräte sollen per MAC Authentication Bypass (MAB) authentifiziert werden. MAB möchte ich auch für den PXE-Boot verwenden, da dieser für die Softwareverteilung benötigt wird.
Die Authentifizierung habe ich über die "Network Access Profiles" konfiguriert. Die Authentifizierung über das Computerzertifikat funktioniert bereits problemlos. Mit dem MAB habe ich noch ein paar Probleme. Wenn ich die MAC-Adresse im Punkt Authentication händisch eintrage und auf eine Gruppe binde, funktioniert der MAC Bypass (auch mit Zusatzfeatures wie VLAN-Mapping). Nun habe ich das Problem, dass ich sehr viele Clients habe und ich diese nicht alle händisch eintragen will. Alle MAC-Adressen stehen aber in einer ODBC Datenbank. Leider kann ich scheinbar im Access Profil nicht direkt auf die ODBC-Datenbank zugreifen. Ich habe es, wie bei Cisco beschreiben, über die Stored Procedures versucht. Leider bislang ohne Erfolg.
Ich habe auch schon versucht Benutzer anzulegen, die der MAC-Adresse entsprechen. Leider ebenfalls erfolglos.
Zitat von http://www.cisco.com/en/US/products/hw/switches/ps5528/products_configu ...
When the MAC authentication bypass feature is enabled on an IEEE 802.1x port, the switch uses the MAC address as the client identity. The authentication server has a database of client MAC addresses that are allowed network access. After detecting a client on an IEEE 802.1x port, the switch waits for an Ethernet packet from the client. The switch sends the authentication server a RADIUS-access/request frame with a username and password based on the MAC address. If authorization succeeds, the switch grants the client access to the network. If authorization fails, the switch assigns the port to the guest VLAN if one is configured.
Hat jemand bereits Erfahrungen in dem Bereich gesammelt? Ich bin für jeden Tipp dankbar.
mfg, Proxymus
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 80139
Url: https://administrator.de/contentid/80139
Printed on: April 23, 2024 at 10:04 o'clock
22 Comments
Latest comment
Mittlerweile habe ich herausgefunden, wie MAB mit der externen Datenbank funktioniert. Dazu muss man am Switch-Port "dot1x mac-auth-bypass eap" konfigurieren und die Prozedur auf der externen Datenbank anlegen.
Hi Proxymus,
sga mal, hast du vielleicht ne doku erstellt die du zur verfügung stellen würdest?
ich habe einen thin client mit windows ce und will den über MAB anbinden.
dazu wäre mir deine Kenntnis sehr hilfreich. ebensofür drucker im netzwerk.
auf windows ce kann ich leider keine log dateien sehen, und analayzer softare wie wireshark gibts für auch nicht.
daher würde ich gerne wissen wie du das mit mab gemacht hast.
danke.
sga mal, hast du vielleicht ne doku erstellt die du zur verfügung stellen würdest?
ich habe einen thin client mit windows ce und will den über MAB anbinden.
dazu wäre mir deine Kenntnis sehr hilfreich. ebensofür drucker im netzwerk.
auf windows ce kann ich leider keine log dateien sehen, und analayzer softare wie wireshark gibts für auch nicht.
daher würde ich gerne wissen wie du das mit mab gemacht hast.
danke.
Hallo,
je nachdem welche Authentifizierung du nutzen willst, musst du dir eine gespeicherte Prozedur auf deinem Datenbankserver anlegen und diese dann in der ACS unter "External User Databases" angeben. Beispiele für die Prozeduren stehen im ACS-Userguide.
http://www.cisco.com/en/US/docs/net_mgmt/cisco_secure_access_control_se ...
Der Switchport sollte von der Konfiguration ungefähr so aussehen:
Das ganze lässt sich dann über diverse Timer noch verbessern/anpassen.
mfg, Proxymus
je nachdem welche Authentifizierung du nutzen willst, musst du dir eine gespeicherte Prozedur auf deinem Datenbankserver anlegen und diese dann in der ACS unter "External User Databases" angeben. Beispiele für die Prozeduren stehen im ACS-Userguide.
http://www.cisco.com/en/US/docs/net_mgmt/cisco_secure_access_control_se ...
Der Switchport sollte von der Konfiguration ungefähr so aussehen:
interface FastEthernet0/1
switchport access vlan 20
switchport mode access
switchport voice vlan 30
no snmp trap link-status
dot1x mac-auth-bypass eap
dot1x pae authenticator
dot1x port-control auto
dot1x violation-mode protect
spanning-tree portfast
end
switchport access vlan 20
switchport mode access
switchport voice vlan 30
no snmp trap link-status
dot1x mac-auth-bypass eap
dot1x pae authenticator
dot1x port-control auto
dot1x violation-mode protect
spanning-tree portfast
end
Das ganze lässt sich dann über diverse Timer noch verbessern/anpassen.
mfg, Proxymus
Hi Proxymus,
ich war krank und konnte daher nicht früher schreiben.
Also ich habe einen Cisco 6509 als Authenticator.
Auf dem Interface habe ich die selbe Konfiguration wie du. (" dot1x mac-auth-bypass eap " )
Ich habe den IAS als Radius.
Im Active Directory habe ich als Benutzer die MAC-Adresse des Devices (Thin-Client) hinterlegt, mit der MAC-Adresse gleichzeitig als Passwort.
Da ich auf dem ThinClient kein Zertifikat zur Authentifizierung habe wird MAB also auf MAC ebene das gerät authentifizieren wollen.
bei mir macht er allerdings nichts.
könntest du mir da vielleicht weiterhelfen?
ich war krank und konnte daher nicht früher schreiben.
Also ich habe einen Cisco 6509 als Authenticator.
Auf dem Interface habe ich die selbe Konfiguration wie du. (" dot1x mac-auth-bypass eap " )
Ich habe den IAS als Radius.
Im Active Directory habe ich als Benutzer die MAC-Adresse des Devices (Thin-Client) hinterlegt, mit der MAC-Adresse gleichzeitig als Passwort.
Da ich auf dem ThinClient kein Zertifikat zur Authentifizierung habe wird MAB also auf MAC ebene das gerät authentifizieren wollen.
bei mir macht er allerdings nichts.
könntest du mir da vielleicht weiterhelfen?
Hallo,
zum IAS kann ich leider nichts sagen, da ich mit der Cisco ACS arbeite. Ich würde als erstes mal den Traffic mit Wireshark sniffen und schauen was du für EAP-Pakete siehst. Dafür gibt es zwei Punkte. Zum einen kannst du dir den Switchport spiegeln, an dem der Client hängt und dort mit einem 2. Computer die Pakete auslesen. Dann würde ich auf dem Radius Server mal einen Mitschnitt machen. Dann bekommst du raus wer was sendet. Was schickt der Client? Wie antwortet der Server?
Vielleicht musst du aber auch noch deine Portkonfiguration anpassen/optimieren. Versuche mal die Standardwerte der Timer zu verändern z.B.:
mfg, Proxymus
zum IAS kann ich leider nichts sagen, da ich mit der Cisco ACS arbeite. Ich würde als erstes mal den Traffic mit Wireshark sniffen und schauen was du für EAP-Pakete siehst. Dafür gibt es zwei Punkte. Zum einen kannst du dir den Switchport spiegeln, an dem der Client hängt und dort mit einem 2. Computer die Pakete auslesen. Dann würde ich auf dem Radius Server mal einen Mitschnitt machen. Dann bekommst du raus wer was sendet. Was schickt der Client? Wie antwortet der Server?
Vielleicht musst du aber auch noch deine Portkonfiguration anpassen/optimieren. Versuche mal die Standardwerte der Timer zu verändern z.B.:
dot1x max-req 1
dot1x max-reauth-req 1
dot1x max-reauth-req 1
mfg, Proxymus
hm 
mit acs hab ich es am anfang versucht aber nicht hinbekommen (w2k + cisco acs 3.1).
mit ias funktioniert alles so weit.
muss jetzt nur noch devices wie drucker und thin clients ans netz schliessen die sich mit mac authentifizieren über dot1x mac-auth-bypass.
auf dem thinclient geht kein wireshark zu installieren da es winCE ist. Zertifikate nimmt er auch nicht. (schon aber nur .cer und keine pfx, also mit schlüssel und exportierbarkeit)
ich habe also nur die möglichkeit auf dem switch mitzusehen was er versucht und auf dem server die wireshark mitschnitte.
die logging zeilen vom switch helfen mir nicht viel weiter...auf dem ias-server sehe ich über wireshark einen challenge und ein reject im anschluss.
muss ich für geräte ohne dot1x unterstützung wie drucker und thin clients (also geräte die ich über mac adresse autehtifizieren muss) eigene richtlinien gruppe erstellen? wenn ja worauf achten?
mit acs hab ich es am anfang versucht aber nicht hinbekommen (w2k + cisco acs 3.1).
mit ias funktioniert alles so weit.
muss jetzt nur noch devices wie drucker und thin clients ans netz schliessen die sich mit mac authentifizieren über dot1x mac-auth-bypass.
auf dem thinclient geht kein wireshark zu installieren da es winCE ist. Zertifikate nimmt er auch nicht. (schon aber nur .cer und keine pfx, also mit schlüssel und exportierbarkeit)
ich habe also nur die möglichkeit auf dem switch mitzusehen was er versucht und auf dem server die wireshark mitschnitte.
die logging zeilen vom switch helfen mir nicht viel weiter...auf dem ias-server sehe ich über wireshark einen challenge und ein reject im anschluss.
muss ich für geräte ohne dot1x unterstützung wie drucker und thin clients (also geräte die ich über mac adresse autehtifizieren muss) eigene richtlinien gruppe erstellen? wenn ja worauf achten?
also es ist doch so, dass nach 3maligem versagen der authentifizierung via dot1x es einen reject /bzw. timeout gibt.
nach dem timeout versucht der switch die MAC adresse des supplicanten zu erlernen.
anschliessend wird diese mac adresse dem radius server weitergeleitet und die identity überprüft mit dem benutzer aus der AD-Userdatenbank wo diese MAC adresse als User = passwort angelegt ist.
( Hier eine frage: die MAC-Adresse mit doppelpunkten oder punkten oder durchgehend?
also 000f20.. oder 00:0F:20.. oder 00.0F.20.. ???)
der server müsste nun ein ACCEPT schicken und der switch dann das PORT enablen...oder täusche ich mich?
warum schickt der Radius ein Reject bei mir??
nun müsste doch alles ok sein oder habe ich etwas vergessen???
nach dem timeout versucht der switch die MAC adresse des supplicanten zu erlernen.
anschliessend wird diese mac adresse dem radius server weitergeleitet und die identity überprüft mit dem benutzer aus der AD-Userdatenbank wo diese MAC adresse als User = passwort angelegt ist.
( Hier eine frage: die MAC-Adresse mit doppelpunkten oder punkten oder durchgehend?
also 000f20.. oder 00:0F:20.. oder 00.0F.20.. ???)
der server müsste nun ein ACCEPT schicken und der switch dann das PORT enablen...oder täusche ich mich?
warum schickt der Radius ein Reject bei mir??
nun müsste doch alles ok sein oder habe ich etwas vergessen???
also ich hab nun den wireshark mitschnitt analysiert so gut ich kann und folgendes sehe ich:
ein Access-Request(1) vom Supplicanten.
als Attribut usernamen ist der wert die MAC adresse mit kleinbuchstaben.
(ist das evtl falsch? weil in der AD-Userdatenbank ich grossbuchstaben für die MAC benutzt habe als Usernamen?)
darauf folgt ein Access-Challenge(11) vom Server.
dann wieder ein Access-Request(1) vom Supclicant.
und beendet wird die geschichte mit einem Access-Reject(3).
ein Access-Request(1) vom Supplicanten.
als Attribut usernamen ist der wert die MAC adresse mit kleinbuchstaben.
(ist das evtl falsch? weil in der AD-Userdatenbank ich grossbuchstaben für die MAC benutzt habe als Usernamen?)
darauf folgt ein Access-Challenge(11) vom Server.
dann wieder ein Access-Request(1) vom Supclicant.
und beendet wird die geschichte mit einem Access-Reject(3).
Hallo,
ich bin im Moment auch dabei auf 802.1X umzustellen.
Ich habe einen Ausschnitt der eventuell ein paar Informationen bringen könnte.
"Und genau hier offenbart sich ein weiteres zu lösendes Problem: die
Standard-Policies für Passwörter eines User-Objekts verweigern aus guten
Gründen das Anlegen eines AD-Objektes, dessen Namen gleich dessen
Passworts ist. Zwar kann diese Einstellung verändert werden, aus
Sicherheitsgründen kann davon aber nur dringend abgeraten werden.
Hinzu kommt, dass der IAS auf das Active Directory angewiesen ist, eine
Datenhaltung der MAC Adressen in einer Datei oder einer anderen Datenbank
wird nicht unterstützt."
Quelle: Seite 5 des Whitepeper`s der Firma rt-solutions.de GbmH
Wenn ihr die legalicy Geräte über MAB authentifiziert, wie stellt ihr dann sicher, dass dieser Port nicht zu Angriffen auf das Netz missbraucht wird. Die MAC - Adresse eines Druckers beispielweiße lässt sich ja leicht herrausfinden und einen Laptop diese geben.
Über Informationen diesbezüglich würde ich mich freuen.
Gruß,
Daniel
ich bin im Moment auch dabei auf 802.1X umzustellen.
Ich habe einen Ausschnitt der eventuell ein paar Informationen bringen könnte.
"Und genau hier offenbart sich ein weiteres zu lösendes Problem: die
Standard-Policies für Passwörter eines User-Objekts verweigern aus guten
Gründen das Anlegen eines AD-Objektes, dessen Namen gleich dessen
Passworts ist. Zwar kann diese Einstellung verändert werden, aus
Sicherheitsgründen kann davon aber nur dringend abgeraten werden.
Hinzu kommt, dass der IAS auf das Active Directory angewiesen ist, eine
Datenhaltung der MAC Adressen in einer Datei oder einer anderen Datenbank
wird nicht unterstützt."
Quelle: Seite 5 des Whitepeper`s der Firma rt-solutions.de GbmH
Wenn ihr die legalicy Geräte über MAB authentifiziert, wie stellt ihr dann sicher, dass dieser Port nicht zu Angriffen auf das Netz missbraucht wird. Die MAC - Adresse eines Druckers beispielweiße lässt sich ja leicht herrausfinden und einen Laptop diese geben.
Über Informationen diesbezüglich würde ich mich freuen.
Gruß,
Daniel
Hallo,
also bei mir werden die MAC-Adressen ohne Trennzeichen in Kleinschreibung benötigt. Welches Format du brauchst, siehst du auch im Wireshark-Mitschnitt (am gespiegelten Port). Dort steht die MAC-Adresse in den EAP-Paketen. Ich gehe aber stark davon aus, dass du das gleiche Format benötigst.
@Daniel:
Macbypass sollte nur eine Lösung für Geräte sein, die sich wirklich überhaupt nicht anders authentifizieren lassen z.B. Drucker. Diese gehören dann natürlich in ein separates VLAN, dass durch eine Firewall geschützt ist. Dann kann man sich zwar anstecken, bekommt aber nur Zugriff auf Druckerdienste. Eine 100%ige Sicherheit gibt es nicht.
mfg, Proxymus
also bei mir werden die MAC-Adressen ohne Trennzeichen in Kleinschreibung benötigt. Welches Format du brauchst, siehst du auch im Wireshark-Mitschnitt (am gespiegelten Port). Dort steht die MAC-Adresse in den EAP-Paketen. Ich gehe aber stark davon aus, dass du das gleiche Format benötigst.
@Daniel:
Macbypass sollte nur eine Lösung für Geräte sein, die sich wirklich überhaupt nicht anders authentifizieren lassen z.B. Drucker. Diese gehören dann natürlich in ein separates VLAN, dass durch eine Firewall geschützt ist. Dann kann man sich zwar anstecken, bekommt aber nur Zugriff auf Druckerdienste. Eine 100%ige Sicherheit gibt es nicht.
mfg, Proxymus
@Daniel:
kann mich proxymus nur anschliessen.
drucker-vlan + firewall.
rt-solution hat eine eigene extension zur umgehung des identischen password´s zur mac-adresse.
vielleicht bietet microsoft auch so eine extension an. ??
@proxy:
als usernamen sehe ich im wireshark mitschnitt die MAC-Adresse ohne trennzeichen und kleinbuchstaben.
ich bin am verzweifeln...wieso klappt das nicht ??
kann mich proxymus nur anschliessen.
drucker-vlan + firewall.
rt-solution hat eine eigene extension zur umgehung des identischen password´s zur mac-adresse.
vielleicht bietet microsoft auch so eine extension an. ??
@proxy:
als usernamen sehe ich im wireshark mitschnitt die MAC-Adresse ohne trennzeichen und kleinbuchstaben.
ich bin am verzweifeln...wieso klappt das nicht
??
also bei mir ist passwort = username = mac-adresse für das gerät.
nachdem timeout müsste er doch einen request schicken und diesem ein accept geben.
maaaan
bei mir gibts kommt ein access-request(1) herein mit macadresse als usernamen in kleinbuchstaben ohne trennzeichen.
anschliessend ein access-challenge. vom server raus an supplicant.
dann wieder ein request herein und darauf der server dann ein reject.
nachdem timeout müsste er doch einen request schicken und diesem ein accept geben.
maaaan
bei mir gibts kommt ein access-request(1) herein mit macadresse als usernamen in kleinbuchstaben ohne trennzeichen.
anschliessend ein access-challenge. vom server raus an supplicant.
dann wieder ein request herein und darauf der server dann ein reject.
Das ist auf jeden Fall korrekt. Ich werde versuchen nächste Woche mal einen Traffic-Mitschnitt zu machen. Dann kann ich ja mal posten wie es aussehen müßte.
danke Proxy,
im ernst, danke für deine hilfe.
ich weiss es zu schätzen.
im ernst, danke für deine hilfe.
ich weiss es zu schätzen.
ich hab in der ereignisanzeige von windows folgendes entdeckt.
"
Ursache =
Der Client konnte nicht authentifiziert werden, da der angegebene EAP (Extensible Authentication-Protokoll)-Typ vom Server nicht verarbeitet werden kann. "
also ich habe ja eine richtinie für die authentifizierung für eap-tls.
wie sollte eine richtline für MAB aussehen?
worauf ist hier zu achten.
"
Ursache =
Der Client konnte nicht authentifiziert werden, da der angegebene EAP (Extensible Authentication-Protokoll)-Typ vom Server nicht verarbeitet werden kann. "
also ich habe ja eine richtinie für die authentifizierung für eap-tls.
wie sollte eine richtline für MAB aussehen?
worauf ist hier zu achten.
Hi.
Die Richtline muß als EAP-Method MD5-Challenge und als Authentication "unencrypted Authentication (PAP, SPAP)" enthalten.
Bei Cisco-Switches werden die MAC-Adressen in Kleinschrift ohne Trennzeichen genutzt. User-ID und Kennwort des Windows-Accounts müssen diese Konvention natürlich einhalten.
Und nein, Microsoft hat keine IAS-Extension zum Zugriff auf eine Datenbank. Also, entweder bei RT-Solutions kaufen oder mit dem Windows-Developers-Kit selbstbauen
(Nein, ich habe keine Teilhaberschaft bei RT-Solutions).
Gruß
Gerd Schelbert
Die Richtline muß als EAP-Method MD5-Challenge und als Authentication "unencrypted Authentication (PAP, SPAP)" enthalten.
Bei Cisco-Switches werden die MAC-Adressen in Kleinschrift ohne Trennzeichen genutzt. User-ID und Kennwort des Windows-Accounts müssen diese Konvention natürlich einhalten.
Und nein, Microsoft hat keine IAS-Extension zum Zugriff auf eine Datenbank. Also, entweder bei RT-Solutions kaufen oder mit dem Windows-Developers-Kit selbstbauen
(Nein, ich habe keine Teilhaberschaft bei RT-Solutions).
Gruß
Gerd Schelbert
Hallo,
@Gerd:
Deine Beschreibung ist korrekt. Über RT-Solutions bin ich damals auch gestolpert, aber wir haben uns für die ACS entschieden. Per Plug&Play hat es aber auch nicht sofort funktioniert.
@DerTester:
Es scheint als wären damit die Fragen vorerst beantwortet. Zu einem Traffic-Mitschnitt komme ich zur Zeit leider nicht. Wenn du den noch brauchst, kann ich es in ca. 14 Tagen versuchen.
mfg, Proxymus
@Gerd:
Deine Beschreibung ist korrekt. Über RT-Solutions bin ich damals auch gestolpert, aber wir haben uns für die ACS entschieden. Per Plug&Play hat es aber auch nicht sofort funktioniert.
@DerTester:
Es scheint als wären damit die Fragen vorerst beantwortet. Zu einem Traffic-Mitschnitt komme ich zur Zeit leider nicht. Wenn du den noch brauchst, kann ich es in ca. 14 Tagen versuchen.
mfg, Proxymus
Hi Leute,
ich hab ein positives ergebnis durch eure hilfe erlangen können.
MAC Authentication Bypass bei 802.1x im LAN
gerd hat mir sehr geholfen.
ich hoffe ich werde auch mal so hilfreich sein können.
Danke Proxymus auch für deine mühe.
Danke Gerd (ohne dich hätte ich mehr zeit verloren).
ich hab ein positives ergebnis durch eure hilfe erlangen können.
MAC Authentication Bypass bei 802.1x im LAN
gerd hat mir sehr geholfen.
ich hoffe ich werde auch mal so hilfreich sein können.
Danke Proxymus auch für deine mühe.
Danke Gerd (ohne dich hätte ich mehr zeit verloren).
hey,
ich haette einige Fragen an deinen Thread.
Ich bin auch die 802.1x Authentifizierung mit Zertifikaten am Testen und möchte auch die Geräte die keine 802.1x können mit MAb authentifizieren.
Vorerst zu den Zertifizierung: Ich habe ein Root Ca Zertifikat auf meinem Domain Controller erstellt und dann in meinen Cisco ACS 4.2 ein "generate self signing request" angestoßen und das Zertifikat dann auch sauber von http://server/cersrv heruntergeladen und installiert. Ich habe in dem Glabalenkonfigurationsmodus PEAP aktiviert.
Kannst du mir sagen wo ich auf dem ACS Server sehe das sich meine Windows XP Clients auch wirklich mit dem Zertifikat authentifizieren ?
ich habe nähmlich unter External User Database-->Unknown user policy --> den haken bei "Check the following external User Database" gesetzt, das bedeutet ja , wenn der Benutzer kommt und nicht in der internen Datenbank ist, an die Windows Datenbank geht, wenn der Windows Xp (Computername) dann im Active Directory vorhanden ist, ist er Authentifiziert, ich weiss nur nicht wie ich das unterscheiden kann ob er jetzt auch wirklich das Zertifikat verwendet.
Was ich noch zusätzlich gemacht habe:
Ich habe das Zertifikat per Gruppenrichtlinie in die Vertrauenwürdigen Zertifizirungsstellen hinzugefügt und der CLient sieht auch die Zertifizierungssstelle.
meine Switchkonfig sieht folgendermaßen aus;
interface GigabitEthernet2/1
description PEAP
switchport access vlan 5
switchport mode access
authentication host-mode multi-domain
authentication order mab dot1x
authentication priority mab dot1x
authentication port-control auto
mab
no snmp trap link-status
dot1x pae authenticator
dot1x timeout quiet-period 50
spanning-tree portfast
spanning-tree bpduguard enable
Hast du diese Manuell auf dem Client installiert ?
Vielen Dank für deine hilfe
ich haette einige Fragen an deinen Thread.
Ich bin auch die 802.1x Authentifizierung mit Zertifikaten am Testen und möchte auch die Geräte die keine 802.1x können mit MAb authentifizieren.
Vorerst zu den Zertifizierung: Ich habe ein Root Ca Zertifikat auf meinem Domain Controller erstellt und dann in meinen Cisco ACS 4.2 ein "generate self signing request" angestoßen und das Zertifikat dann auch sauber von http://server/cersrv heruntergeladen und installiert. Ich habe in dem Glabalenkonfigurationsmodus PEAP aktiviert.
Kannst du mir sagen wo ich auf dem ACS Server sehe das sich meine Windows XP Clients auch wirklich mit dem Zertifikat authentifizieren ?
ich habe nähmlich unter External User Database-->Unknown user policy --> den haken bei "Check the following external User Database" gesetzt, das bedeutet ja , wenn der Benutzer kommt und nicht in der internen Datenbank ist, an die Windows Datenbank geht, wenn der Windows Xp (Computername) dann im Active Directory vorhanden ist, ist er Authentifiziert, ich weiss nur nicht wie ich das unterscheiden kann ob er jetzt auch wirklich das Zertifikat verwendet.
Was ich noch zusätzlich gemacht habe:
Ich habe das Zertifikat per Gruppenrichtlinie in die Vertrauenwürdigen Zertifizirungsstellen hinzugefügt und der CLient sieht auch die Zertifizierungssstelle.
meine Switchkonfig sieht folgendermaßen aus;
interface GigabitEthernet2/1
description PEAP
switchport access vlan 5
switchport mode access
authentication host-mode multi-domain
authentication order mab dot1x
authentication priority mab dot1x
authentication port-control auto
mab
no snmp trap link-status
dot1x pae authenticator
dot1x timeout quiet-period 50
spanning-tree portfast
spanning-tree bpduguard enable
Zitat von @Proxymus:
Hallo,
ich teste gerade Cisco's 802.1x Portsecurity in einer Laborumgebung mit einem 3560 (IOS 12.2(44SE)) und der ACS 4.1 für
Windows.
Firmeneigene PC's sollen über ihr zugehöriges Computerzertifikat authentifiziert werden. Nicht 802.1x fähige
Geräte sollen per MAC Authentication Bypass (MAB) authentifiziert werden. MAB möchte ich auch für den PXE-Boot
verwenden, da dieser für die Softwareverteilung benötigt wird.
Die Authentifizierung habe ich über die "Network Access Profiles" konfiguriert. Die Authentifizierung über das
Brauch man Network Access Profiles um Zertifikate zu nutzen ?Hallo,
ich teste gerade Cisco's 802.1x Portsecurity in einer Laborumgebung mit einem 3560 (IOS 12.2(44SE)) und der ACS 4.1 für
Windows.
Firmeneigene PC's sollen über ihr zugehöriges Computerzertifikat authentifiziert werden. Nicht 802.1x fähige
Geräte sollen per MAC Authentication Bypass (MAB) authentifiziert werden. MAB möchte ich auch für den PXE-Boot
verwenden, da dieser für die Softwareverteilung benötigt wird.
Die Authentifizierung habe ich über die "Network Access Profiles" konfiguriert. Die Authentifizierung über das
Computerzertifikat funktioniert bereits problemlos.
Hast du diese Manuell auf dem Client installiert ?
Mit dem MAB habe ich noch ein paar Probleme. Wenn ich die MAC-Adresse im Punkt
Authentication händisch eintrage und auf eine Gruppe binde, funktioniert der MAC Bypass (auch mit Zusatzfeatures wie
VLAN-Mapping). Nun habe ich das Problem, dass ich sehr viele Clients habe und ich diese nicht alle händisch eintragen will.
Alle MAC-Adressen stehen aber in einer ODBC Datenbank. Leider kann ich scheinbar im Access Profil nicht direkt auf die
ODBC-Datenbank zugreifen. Ich habe es, wie bei Cisco beschreiben, über die Stored Procedures versucht. Leider bislang ohne
Erfolg.
Ich habe auch schon versucht Benutzer anzulegen, die der MAC-Adresse entsprechen. Leider ebenfalls erfolglos.
Zitat von
http://www.cisco.com/en/US/products/hw/switches/ps5528/products_configu ...
When the MAC authentication bypass feature is enabled on an IEEE 802.1x port, the switch uses the MAC address as the client
identity. The authentication server has a database of client MAC addresses that are allowed network access. After detecting a
client on an IEEE 802.1x port, the switch waits for an Ethernet packet from the client. The switch sends the authentication
server a RADIUS-access/request frame with a username and password based on the MAC address. If authorization succeeds, the
switch grants the client access to the network. If authorization fails, the switch assigns the port to the guest VLAN if one is
configured.
Hat jemand bereits Erfahrungen in dem Bereich gesammelt? Ich bin für jeden Tipp dankbar.
mfg, Proxymus
Authentication händisch eintrage und auf eine Gruppe binde, funktioniert der MAC Bypass (auch mit Zusatzfeatures wie
VLAN-Mapping). Nun habe ich das Problem, dass ich sehr viele Clients habe und ich diese nicht alle händisch eintragen will.
Alle MAC-Adressen stehen aber in einer ODBC Datenbank. Leider kann ich scheinbar im Access Profil nicht direkt auf die
ODBC-Datenbank zugreifen. Ich habe es, wie bei Cisco beschreiben, über die Stored Procedures versucht. Leider bislang ohne
Erfolg.
Ich habe auch schon versucht Benutzer anzulegen, die der MAC-Adresse entsprechen. Leider ebenfalls erfolglos.
Zitat von
http://www.cisco.com/en/US/products/hw/switches/ps5528/products_configu ...
When the MAC authentication bypass feature is enabled on an IEEE 802.1x port, the switch uses the MAC address as the client
identity. The authentication server has a database of client MAC addresses that are allowed network access. After detecting a
client on an IEEE 802.1x port, the switch waits for an Ethernet packet from the client. The switch sends the authentication
server a RADIUS-access/request frame with a username and password based on the MAC address. If authorization succeeds, the
switch grants the client access to the network. If authorization fails, the switch assigns the port to the guest VLAN if one is
configured.
Hat jemand bereits Erfahrungen in dem Bereich gesammelt? Ich bin für jeden Tipp dankbar.
mfg, Proxymus
Vielen Dank für deine hilfe
hey ,
ich habe noch eine Frage,
wenn du einen Client anlegt fü MAb...
wie legst du den auf dem ACS server an ?
Unter Name habe ich immer die Mac Adresse eingetragen , aber ich weiss nicht was ich bei Passwort angeben musst ? muss da auch die mac adresse rein ?
ich habe noch eine Frage,
wenn du einen Client anlegt fü MAb...
wie legst du den auf dem ACS server an ?
Unter Name habe ich immer die Mac Adresse eingetragen , aber ich weiss nicht was ich bei Passwort angeben musst ? muss da auch die mac adresse rein ?
Hallo Ruffy1984
Es ist schon ziemlich lange her, dass ich mit der ACS 4.x gearbeitet habe. Wir sind schon vor einiger Zeit auf ACS 5.x umgestiegen. Ich glaube es stand etwas wie HOST/computername im Log, wenn man per Zertifikat authentifiziert war.
Schalte doch zum Test mal die externen Benutzerdatenbanken ab und hänge einen Client mit Zertifikat an den Port.
An der Stelle muss ich leider passen..., habe die Details zur Konfiguration unter 4.2 nicht mehr genau im Kopf. Vielleicht hilft dir das hier weiter:
http://www.cisco.com/en/US/docs/net_mgmt/cisco_secure_access_control_se ...
Es gab bei cisco.com auch noch weitere Beispielkonfigurationen.
> Computerzertifikat funktioniert bereits problemlos.
Hast du diese Manuell auf dem Client installiert ?
Wir haben eine Zertifikatsvorlage für Computerzertifikate. Über eine AD-Gruppe werden Computer darauf berechtigt, welche ein Zertifikat bekommen sollen. Du kannst über eine MMC überprüfen ob der Client ein Computerzertifikat hat.
>Mit dem MAB habe ich noch ein paar Probleme. Wenn ich die MAC-Adresse im Punkt
> Authentication händisch eintrage und auf eine Gruppe binde, funktioniert der MAC Bypass (auch mit Zusatzfeatures wie
> VLAN-Mapping). Nun habe ich das Problem, dass ich sehr viele Clients habe und ich diese nicht alle händisch eintragen
will.
> Alle MAC-Adressen stehen aber in einer ODBC Datenbank. Leider kann ich scheinbar im Access Profil nicht direkt auf die
> ODBC-Datenbank zugreifen. Ich habe es, wie bei Cisco beschreiben, über die Stored Procedures versucht. Leider bislang
ohne
> Erfolg.
>
> Ich habe auch schon versucht Benutzer anzulegen, die der MAC-Adresse entsprechen. Leider ebenfalls erfolglos.
>
> ----
> Zitat von
> http://www.cisco.com/en/US/products/hw/switches/ps5528/products_configu ...
> When the MAC authentication bypass feature is enabled on an IEEE 802.1x port, the switch uses the MAC address as the client
> identity. The authentication server has a database of client MAC addresses that are allowed network access. After detecting
a
> client on an IEEE 802.1x port, the switch waits for an Ethernet packet from the client. The switch sends the
authentication
> server a RADIUS-access/request frame with a username and password based on the MAC address. If authorization succeeds, the
> switch grants the client access to the network. If authorization fails, the switch assigns the port to the guest VLAN if one
is
> configured.
> ----
>
> Hat jemand bereits Erfahrungen in dem Bereich gesammelt? Ich bin für jeden Tipp dankbar.
>
> mfg, Proxymus
Vielen Dank für deine hilfe
VG, Proxymus
Zitat von @Ruffy1984:
hey,
ich haette einige Fragen an deinen Thread.
Ich bin auch die 802.1x Authentifizierung mit Zertifikaten am Testen und möchte auch die Geräte die keine 802.1x
können mit MAb authentifizieren.
Vorerst zu den Zertifizierung: Ich habe ein Root Ca Zertifikat auf meinem Domain Controller erstellt und dann in meinen Cisco ACS
4.2 ein "generate self signing request" angestoßen und das Zertifikat dann auch sauber von http://server/cersrv
heruntergeladen und installiert. Ich habe in dem Glabalenkonfigurationsmodus PEAP aktiviert.
Kannst du mir sagen wo ich auf dem ACS Server sehe das sich meine Windows XP Clients auch wirklich mit dem Zertifikat
authentifizieren ?
hey,
ich haette einige Fragen an deinen Thread.
Ich bin auch die 802.1x Authentifizierung mit Zertifikaten am Testen und möchte auch die Geräte die keine 802.1x
können mit MAb authentifizieren.
Vorerst zu den Zertifizierung: Ich habe ein Root Ca Zertifikat auf meinem Domain Controller erstellt und dann in meinen Cisco ACS
4.2 ein "generate self signing request" angestoßen und das Zertifikat dann auch sauber von http://server/cersrv
heruntergeladen und installiert. Ich habe in dem Glabalenkonfigurationsmodus PEAP aktiviert.
Kannst du mir sagen wo ich auf dem ACS Server sehe das sich meine Windows XP Clients auch wirklich mit dem Zertifikat
authentifizieren ?
Es ist schon ziemlich lange her, dass ich mit der ACS 4.x gearbeitet habe. Wir sind schon vor einiger Zeit auf ACS 5.x umgestiegen. Ich glaube es stand etwas wie HOST/computername im Log, wenn man per Zertifikat authentifiziert war.
ich habe nähmlich unter External User Database-->Unknown user policy --> den haken bei "Check the following
external User Database" gesetzt, das bedeutet ja , wenn der Benutzer kommt und nicht in der internen Datenbank ist, an die
Windows Datenbank geht, wenn der Windows Xp (Computername) dann im Active Directory vorhanden ist, ist er Authentifiziert, ich
weiss nur nicht wie ich das unterscheiden kann ob er jetzt auch wirklich das Zertifikat verwendet.
external User Database" gesetzt, das bedeutet ja , wenn der Benutzer kommt und nicht in der internen Datenbank ist, an die
Windows Datenbank geht, wenn der Windows Xp (Computername) dann im Active Directory vorhanden ist, ist er Authentifiziert, ich
weiss nur nicht wie ich das unterscheiden kann ob er jetzt auch wirklich das Zertifikat verwendet.
Schalte doch zum Test mal die externen Benutzerdatenbanken ab und hänge einen Client mit Zertifikat an den Port.
Was ich noch zusätzlich gemacht habe:
Ich habe das Zertifikat per Gruppenrichtlinie in die Vertrauenwürdigen Zertifizirungsstellen hinzugefügt und der CLient
sieht auch die Zertifizierungssstelle.
meine Switchkonfig sieht folgendermaßen aus;
interface GigabitEthernet2/1
description PEAP
switchport access vlan 5
switchport mode access
authentication host-mode multi-domain
authentication order mab dot1x
authentication priority mab dot1x
authentication port-control auto
mab
no snmp trap link-status
dot1x pae authenticator
dot1x timeout quiet-period 50
spanning-tree portfast
spanning-tree bpduguard enable
> Zitat von @Proxymus:
> ----
> Hallo,
>
> ich teste gerade Cisco's 802.1x Portsecurity in einer Laborumgebung mit einem 3560 (IOS 12.2(44SE)) und der ACS 4.1
für
> Windows.
>
> Firmeneigene PC's sollen über ihr zugehöriges Computerzertifikat authentifiziert werden. Nicht 802.1x
fähige
> Geräte sollen per MAC Authentication Bypass (MAB) authentifiziert werden. MAB möchte ich auch für den
PXE-Boot
> verwenden, da dieser für die Softwareverteilung benötigt wird.
>
> Die Authentifizierung habe ich über die "Network Access Profiles" konfiguriert. Die Authentifizierung
über das
>
Brauch man Network Access Profiles um Zertifikate zu nutzen ?
Ich habe das Zertifikat per Gruppenrichtlinie in die Vertrauenwürdigen Zertifizirungsstellen hinzugefügt und der CLient
sieht auch die Zertifizierungssstelle.
meine Switchkonfig sieht folgendermaßen aus;
interface GigabitEthernet2/1
description PEAP
switchport access vlan 5
switchport mode access
authentication host-mode multi-domain
authentication order mab dot1x
authentication priority mab dot1x
authentication port-control auto
mab
no snmp trap link-status
dot1x pae authenticator
dot1x timeout quiet-period 50
spanning-tree portfast
spanning-tree bpduguard enable
> Zitat von @Proxymus:
> ----
> Hallo,
>
> ich teste gerade Cisco's 802.1x Portsecurity in einer Laborumgebung mit einem 3560 (IOS 12.2(44SE)) und der ACS 4.1
für
> Windows.
>
> Firmeneigene PC's sollen über ihr zugehöriges Computerzertifikat authentifiziert werden. Nicht 802.1x
fähige
> Geräte sollen per MAC Authentication Bypass (MAB) authentifiziert werden. MAB möchte ich auch für den
PXE-Boot
> verwenden, da dieser für die Softwareverteilung benötigt wird.
>
> Die Authentifizierung habe ich über die "Network Access Profiles" konfiguriert. Die Authentifizierung
über das
>
Brauch man Network Access Profiles um Zertifikate zu nutzen ?
An der Stelle muss ich leider passen..., habe die Details zur Konfiguration unter 4.2 nicht mehr genau im Kopf. Vielleicht hilft dir das hier weiter:
http://www.cisco.com/en/US/docs/net_mgmt/cisco_secure_access_control_se ...
Es gab bei cisco.com auch noch weitere Beispielkonfigurationen.
> Computerzertifikat funktioniert bereits problemlos.
Hast du diese Manuell auf dem Client installiert ?
Wir haben eine Zertifikatsvorlage für Computerzertifikate. Über eine AD-Gruppe werden Computer darauf berechtigt, welche ein Zertifikat bekommen sollen. Du kannst über eine MMC überprüfen ob der Client ein Computerzertifikat hat.
>Mit dem MAB habe ich noch ein paar Probleme. Wenn ich die MAC-Adresse im Punkt
> Authentication händisch eintrage und auf eine Gruppe binde, funktioniert der MAC Bypass (auch mit Zusatzfeatures wie
> VLAN-Mapping). Nun habe ich das Problem, dass ich sehr viele Clients habe und ich diese nicht alle händisch eintragen
will.
> Alle MAC-Adressen stehen aber in einer ODBC Datenbank. Leider kann ich scheinbar im Access Profil nicht direkt auf die
> ODBC-Datenbank zugreifen. Ich habe es, wie bei Cisco beschreiben, über die Stored Procedures versucht. Leider bislang
ohne
> Erfolg.
>
> Ich habe auch schon versucht Benutzer anzulegen, die der MAC-Adresse entsprechen. Leider ebenfalls erfolglos.
>
> ----
> Zitat von
> http://www.cisco.com/en/US/products/hw/switches/ps5528/products_configu ...
> When the MAC authentication bypass feature is enabled on an IEEE 802.1x port, the switch uses the MAC address as the client
> identity. The authentication server has a database of client MAC addresses that are allowed network access. After detecting
a
> client on an IEEE 802.1x port, the switch waits for an Ethernet packet from the client. The switch sends the
authentication
> server a RADIUS-access/request frame with a username and password based on the MAC address. If authorization succeeds, the
> switch grants the client access to the network. If authorization fails, the switch assigns the port to the guest VLAN if one
is
> configured.
> ----
>
> Hat jemand bereits Erfahrungen in dem Bereich gesammelt? Ich bin für jeden Tipp dankbar.
>
> mfg, Proxymus
Vielen Dank für deine hilfe
VG, Proxymus
Zitat von @Ruffy1984:
wie legst du den auf dem ACS server an ?
Unter Name habe ich immer die Mac Adresse eingetragen , aber ich weiss nicht was ich bei Passwort angeben musst ? muss da auch die
mac adresse rein ?
wie legst du den auf dem ACS server an ?
Unter Name habe ich immer die Mac Adresse eingetragen , aber ich weiss nicht was ich bei Passwort angeben musst ? muss da auch die
mac adresse rein ?
Es muss als Name und als Password die MAC-Adresse eingetragen werden. Wenn ich mich richtig erinnere ohne Trennzeichen.
VG, Proxymus
