6
HP Switch mittels Radius managen
Hi,
ich möchte gerne einen HP5120 Switch per SSH/Telnet managen, und zwar mit Usern aus einem Active Directory.
Ist das prinzipiell möglich? Ich hoffe schon. Auf einem Win 2008 Server läuft ein Radius Server.
Nun habe ich das Problem, dass wenn ich mich am Switch per SSH mittels meines AD Kontos anmelde, am Server zwar ein Radius Paket ankommt, der Server jedoch mit einem Reject antwortet:
From To Proto
10:26:07 Switch Rad Svr RADIUS RADIUS:Access Request, Id = 0, Length = 144
10:26:07 lsass.exe Rad Svr DC NRPC NRPC:NetrLogonSamLogonEx Request, *Encrypted*
10:26:07 lsass.exe DC Rad Svr NRPC NRPC:NetrLogonSamLogonEx Response, *Encrypted*
10:26:07 Rad Svr Switch RADIUS RADIUS:Access Reject, Id = 0, Length = 20
Die Switch-Config sieht folgendermaßen aus (Ausschnitt):
radius scheme test
primary authentication "Rad Srv IP"
primary accounting "Rad Srv IP"
key authentication 1234
key accounting 1234
user-name-format without-domain
nas-ip "Switch IP"
domain name.local
authentication login radius-scheme test
accounting login radius-scheme test
access-limit disable
state active
idle-cut disable
self-service-url disable
ich möchte gerne einen HP5120 Switch per SSH/Telnet managen, und zwar mit Usern aus einem Active Directory.
Ist das prinzipiell möglich? Ich hoffe schon. Auf einem Win 2008 Server läuft ein Radius Server.
Nun habe ich das Problem, dass wenn ich mich am Switch per SSH mittels meines AD Kontos anmelde, am Server zwar ein Radius Paket ankommt, der Server jedoch mit einem Reject antwortet:
From To Proto
10:26:07 Switch Rad Svr RADIUS RADIUS:Access Request, Id = 0, Length = 144
10:26:07 lsass.exe Rad Svr DC NRPC NRPC:NetrLogonSamLogonEx Request, *Encrypted*
10:26:07 lsass.exe DC Rad Svr NRPC NRPC:NetrLogonSamLogonEx Response, *Encrypted*
10:26:07 Rad Svr Switch RADIUS RADIUS:Access Reject, Id = 0, Length = 20
Die Switch-Config sieht folgendermaßen aus (Ausschnitt):
radius scheme test
primary authentication "Rad Srv IP"
primary accounting "Rad Srv IP"
key authentication 1234
key accounting 1234
user-name-format without-domain
nas-ip "Switch IP"
domain name.local
authentication login radius-scheme test
accounting login radius-scheme test
access-limit disable
state active
idle-cut disable
self-service-url disable
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 193869
Url: https://administrator.de/contentid/193869
Printed on: April 20, 2024 at 02:04 o'clock
6 Comments
Latest comment
Hi
hast du denn am MPS den Switch als Radius Client eingetragen ? SharedSecret stimmt auf beiden Seiten ? Was sagt das NPS Log ?
LG
hast du denn am MPS den Switch als Radius Client eingetragen ? SharedSecret stimmt auf beiden Seiten ? Was sagt das NPS Log ?
LG
Alle deinen Fragen sollte dieses Tutorial beantworten:
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Hi,
bin mittlerweile auf einen HP 3100 umgestiegen, und habe diesen von grundauf neu konfiguriert.
Das Ergebnis ist, dass ich im Log vom Win2008 Server eine erfolgreiche Authentifizierung habe, ich jedoch in der Telnet Session mit Login Failed abgewiesen werde. Nun kann es sich nur mehr um eine Kleinigkeit handeln...
bin mittlerweile auf einen HP 3100 umgestiegen, und habe diesen von grundauf neu konfiguriert.
Das Ergebnis ist, dass ich im Log vom Win2008 Server eine erfolgreiche Authentifizierung habe, ich jedoch in der Telnet Session mit Login Failed abgewiesen werde. Nun kann es sich nur mehr um eine Kleinigkeit handeln...
Vermutlich die lokale Firewall vom Telnet Server ?!
Was sagt denn ein "show 802.1x" auf dem Switch wie der gepostet Output im o.a. Tutorial ??
Zeigt das eine erfolgreiche Authentisierung und das die Client Mac damit in die Forwarding Database des Switches übernommen wurde ??
Ansonsten müssen wir für die "Kleinigkeit" hier im freien Fall raten ohne weitere Infos
Was sagt denn ein "show 802.1x" auf dem Switch wie der gepostet Output im o.a. Tutorial ??
Zeigt das eine erfolgreiche Authentisierung und das die Client Mac damit in die Forwarding Database des Switches übernommen wurde ??
Ansonsten müssen wir für die "Kleinigkeit" hier im freien Fall raten ohne weitere Infos
Hab den Servertyp von Standard auf extended gesetzt, nun greifen auch die eingestellten Attribute. Jetz funktioniert alles.
