1
Dot1x mit EAP-TLS auf Cisco Boxen und ACS 5.1
Hallo, Leutz.
Ich habe die Aufgabe bekommen, ein Netzwerk auf Dot1x umzustellen, Vorgaben hierfür sind:
- Es sollen Zertifikate auf allen Geräten verwendet werden, die Zertifikate tragen können und Dot1x sprechen können
- Es soll EAP-TLS benutzt werden, nur mit Zertifikaten, keine Usernames und Passworte
- Für Windows basierte Clients (Rechner/Laptops) findet eine Abfrage auf ein Active Directory Computer-Konto statt
- Für nicht Windows-Clients (Netzdrucker/IPPhones, OHNE AD Konto) soll ebenfalls nur das Zertifikat benutzt werden,
hierbei soll auf ein bestimmtes Attribut im Zertifikat (Subject Alternative Name, DNS-Name) überprüft werden, wo entweder
"printer" oder "ipphone" drinsteht
- Für Geräte, die kein Zertifikat tragen können und kein Dot1x können soll Mac-Authentication-Bypass benutzt werden
Die Netzwerk-Hardware besteht ausschliesslich aus Cisco Komponenten (Cat3560, Cat45xx), als Radius-Server wird der
ACS V5.1 benutzt .....
Jetzt kommt das Problem:
Wenn ich Rulesets auf dem ACS definiere, die EAP-TLS erlauben, kommen immer irgenwelche Meldungen, daß
trotz allem irgendein Username und ein Passwort gesendet wird ....., obwohl wir keinen Username etc überprüfen wollen ....
und die Clients werden abgelehnt.
Hat jemand vielleicht schon mal auf dem ACS 5.1 ein Ruleset mit EAP-TLS funktionierend konfiguriert ???
Dokus zu EAP-TLS finde ich leider nur zum ACS 4.x, der sieht leider ganz anders aus ........
Wenn nötig, kann ich auch mal Screenshots machen und hier reinstellen .......
Thx ...
Ich habe die Aufgabe bekommen, ein Netzwerk auf Dot1x umzustellen, Vorgaben hierfür sind:
- Es sollen Zertifikate auf allen Geräten verwendet werden, die Zertifikate tragen können und Dot1x sprechen können
- Es soll EAP-TLS benutzt werden, nur mit Zertifikaten, keine Usernames und Passworte
- Für Windows basierte Clients (Rechner/Laptops) findet eine Abfrage auf ein Active Directory Computer-Konto statt
- Für nicht Windows-Clients (Netzdrucker/IPPhones, OHNE AD Konto) soll ebenfalls nur das Zertifikat benutzt werden,
hierbei soll auf ein bestimmtes Attribut im Zertifikat (Subject Alternative Name, DNS-Name) überprüft werden, wo entweder
"printer" oder "ipphone" drinsteht
- Für Geräte, die kein Zertifikat tragen können und kein Dot1x können soll Mac-Authentication-Bypass benutzt werden
Die Netzwerk-Hardware besteht ausschliesslich aus Cisco Komponenten (Cat3560, Cat45xx), als Radius-Server wird der
ACS V5.1 benutzt .....
Jetzt kommt das Problem:
Wenn ich Rulesets auf dem ACS definiere, die EAP-TLS erlauben, kommen immer irgenwelche Meldungen, daß
trotz allem irgendein Username und ein Passwort gesendet wird ....., obwohl wir keinen Username etc überprüfen wollen ....
und die Clients werden abgelehnt.
Hat jemand vielleicht schon mal auf dem ACS 5.1 ein Ruleset mit EAP-TLS funktionierend konfiguriert ???
Dokus zu EAP-TLS finde ich leider nur zum ACS 4.x, der sieht leider ganz anders aus ........
Wenn nötig, kann ich auch mal Screenshots machen und hier reinstellen .......
Thx ...
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 134476
Url: https://administrator.de/contentid/134476
Printed on: April 24, 2024 at 05:04 o'clock
1 Comment
Hallo,
gibt es hierzu inzwischen eine Lösung ? Wir haben das gleiche vor und stehen ebenso vor der gleichen Frage.
Wäre super, wenn jemand hierzu eine Lösung aufzeigen könnte.
Vielen herzlichen Dank.
gibt es hierzu inzwischen eine Lösung ? Wir haben das gleiche vor und stehen ebenso vor der gleichen Frage.
Wäre super, wenn jemand hierzu eine Lösung aufzeigen könnte.
Vielen herzlichen Dank.
