Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Radius-Authentifikation via MAC-Adresse (Windows Server 2012 und HP ProCurve 2510-24 J9019A)

Mitglied: ITTKAG

ITTKAG (Level 1) - Jetzt verbinden

11.04.2014, aktualisiert 22.04.2014, 2999 Aufrufe, 5 Kommentare, 2 Danke

Hallo

In meinem Testnetzwerk sind:
  • ein Netzwerkrichtlinienserver (WinSrv 2012)
  • ein 802.1x-fähiger Switch (HP ProCurve 2510-24 J9019A, Aktuellste Firmware)
  • ein Testclient (Win 7)
  • und ein Drucker.

In meiner bisherigen Konfiguration muss sich der Benutzer (Client) entweder mit einem Zertifikat oder den Benutzerinformationen (Im AD gespeichert) anmelden, was auch funktioniert.
Der Switch ist so konfiguriert, dass er die authentifizierten Clients oder Benutzer in VLAN 1 (Authentifiziert) und alles andere in VLAN 2 setzt.

Da der Drucker sich durch keine der beiden Methoden anmelden kann, wird er vom Switch abgelehnt und landet im zweiten VLAN.
Nun habe ich an eine MAC-Authentifizierung gedacht, bei der ich für den Drucker einen Benutzer im AD erstelle und dieser so authentifiziert wird.

Benutzername und Passwort des Benutzers entsprechen der MAC-Adresse des Druckers (AA-BB-CC-DD-EE-FF). Später sollen weitere "Benutzer" hinzu kommen, darum habe ich eine separate Gruppe erstellt, in der alle Geräte sind, die via MAC authentifiziert werden.
In der Netzwerkrichtlinie unter "Bedingung" habe ich "NAS-Porttyp = Ethernet" und "Windows-Gruppe = MAC-Authenthifizierung (Gruppe des Druckers)" definiert.
Im Tab "Einschränkungen" ist nur "Unverschlüsselte Authentifizierung (PAP/SPAP)" ausgewählt.

Hier die Konfiguration des Ports, welcher für den Drucker konfiguriert werden soll:
aaa port-access mac-based addr-format multi-dash
aaa port-access mac-based 20 logoff-period 2400
aaa port-access mac-based 20 quiet-period 30
aaa port-access mac-based 20 server-timeout 10
aaa port-access mac-based 20 reauth-period 600
aaa port-access mac-based 20 auth-vid 1
aaa port-access mac-based 20 unauth-vid 2
aaa port-access 20
aaa port-access authenticator active

Wenn der Drucker nun an diesem Port angeschlossen wird, reagiert der Radius-Server nicht darauf (Keine Einträge in der Ereignisanzeige und im Log).
An der Standard-Konfiguration kann es ja nicht liegen, da die 802.1x Authentifikation (Getestet mit einem Windows 7-Client) problemlos funktioniert.

Nun zu meinen Fragen:

  • Muss ich dem Switch noch mehr Parameter mitgeben (wenn ja, welche?), damit er die MAC-Adresse bzw. die authentifizierte Gruppe aus dem AD anfordert?
  • Ist es möglich 802.1x- und MAC-Authentifikation an den selben Ports zu konfigurieren (So dass zuerst nach einem Zertifikat/den Benutzerinformationen gesucht wird und falls keine gefunden werden, die MAC-Authentifikaton angewandt wird)?

Gruss
Mitglied: aqui
LÖSUNG 11.04.2014, aktualisiert 22.04.2014
Das hiesige Forumstutorial dazu hast du gelesen ?
https://www.administrator.de/wissen/netzwerk-zugangskontrolle-mit-802-1x ...
Dort sind auch gängige Switch Konfigs aufgeführt zum Abtippen für eine Mac Authentisierung mit .1x
Und JA es ist möglich beide Authentisierungsverfahren auf dem Port zu fahren, jedenfalls supporten es fast alle gängigen Hersteller. Ob Billigheimer HP das kann musst du im Handbuch nachlesen. Manche nutzen dafür ein Radius Vendor Attribute was du im Dictionary File am Radius Server nachtragen musst aber in der Regel funktioniert es auch mit dem Timeout.
Hier muss man allerdings aufpassen WIE Hersteller das behandeln. Die einen machen zuerst .1x mit User/Pass oder Zertifikat und wenn das fehlschlägt die Mac Authentisierung um z.B. nicht .1x fähige Endgeräte wie Drucker oder Telefone abgesichert ins Netz zu bekommen.
Eigentlich macht auch nur diese Reihenfolge Sinn aber bei einer Reihe von Herstellern ist das customizebar, sprich über die Konfig einstellbar.
Einige supporten auch aufgrund eines Radius Vendor Attributes die erzwungene zusätzliche Mac Authentisierung nach der .1x Authentisierung. Also quasi doppelte Absicherung. Das Gros überspringt nach einer ersten erfolgreichen Authentisierung aber immer die zweite.
Wie sich der Switch da verhält ist zu 100% Sache des Herstellers, wie das in die Firmware implementiert ist. Einen Standard gibt es dafür nicht. Das kann dir also genau nur das User- oder Administration Manual zum Switch erklären, denn da sind die Unterschiede bei den Herstellern recht vielfältig.
Sehr hilfreich ist es hier wenn man den Radius in den Debug Mode versetzen kann um die Anfragen des Switches zu sehen (Siehe Tutorial oben). Alternativ dann natürlich ein Wireshark Sniffer Trace wo man die Radius Authentisierung mitsniffert. Dort sieht man dann sofort wo der Hase im Pfeffer liegt !
HP hat für seine Gurken was die Mac Authentisierung anbetrifft ein entsprechendes Manual:
http://h10032.www1.hp.com/ctg/Manual/c02628207.pdf
Bitte warten ..
Mitglied: ITTKAG
11.04.2014 um 15:59 Uhr
Hallo aqui

Ja, das Forumstutorial hat mir am Anfang sehr geholfen.
Laut HP unterstützt der Switch die doppelte Authentifizierung und benötigt keine weiteren Parameter für die MAC-Authentifizierung.
In der HP Manual wurden einige Einstellungen anders ausgeführt. Ich werde mir das nächste Woche einmal genauer ansehen.
Port-Security: "ftp://ftp.hp.com/pub/networking/software/Security-Oct2005-59906024-Cha ...", mal sehn ob das weiter hilft

Danke für die Hilfe, ich melde mich sobald ich weiter gekommen bin oder neue Probleme auftauchen.

Gruss
Bitte warten ..
Mitglied: aqui
11.04.2014, aktualisiert um 16:12 Uhr
Der von dir gepostete Manual Auszug ist technisch etwas völlig anderes und hat mit 802.1x Mac Security gar nichts zu tun !
Das ist ganz einfach Mac Port Security, da kannst du den Switch anweisen keine weitere oder nur bestimmte Macs am Port zu lernen.
Komplett andere Baustelle ! Das kannst du für dein Problem vergessen und darfst das auch niemals aktiveren, denn das wirkt sich kontraproduktiv zu dem aus was du eigentlich willst, nämlich die dynamische Authentisierung !
Bitte warten ..
Mitglied: ITTKAG
22.04.2014 um 07:58 Uhr
Hallo aqui

Sorry für die späte Antwort, bis jetzt fand ich keine Zeit, um an diesem Thema weiter zu arbeiten.
Mit dem Link hast du natürlich recht, ich sollte den Text nicht nur überfliegen!

Zu meinem eigentlichen Problem:
Die AD-Konfiguration inkl. dem AD-Benutzer war richtig.
Beim Switch (HP ProCurve 2510-24 J9019-A) steht einem der Befehl "aaa port-access mac-based addr-format" zur Verfügung.
Durch den Parameter "multi-dash" speichert der Switch die MAC-Adressen im Format "AA-BB-CC-DD-EE-FF" und nimmt diese auch so an ... sollte er zumindest.
Der Fehler war, dass er beim auslesen des AD-Benutzers trotzdem ein anderes Format verwendet hat.
Nachdem ich die MAC-Adressen ohne weiteres Format (aabbccddeeff) gepeichert hatte, funktionierte alles problemlos (Parameter "no-delimiter" beim Switch).

Nochmals danke für deine Hilfe.

Gruss
Bitte warten ..
Mitglied: aqui
22.04.2014 um 11:23 Uhr
Hört sich gut an das nun alles klappt....
Bitte warten ..
Ähnliche Inhalte
Switche und Hubs

Problem mit HP Procurve 2510-24 Bootloop?

Frage von alex132Switche und Hubs3 Kommentare

Hallo zusammen, ich hoffe ich bin hier richtig. Ich habe mir einen gebrauchten Procurve 2510-24 bei Ebay gekauft. Anfangs ...

Netzwerkgrundlagen

RSTP HP 2510-24

gelöst Frage von deredvtypNetzwerkgrundlagen17 Kommentare

Hallo liebe Administratoren und Supporter, ich möchte auf einem HP 2510-24 (mir persönlich wäre Cisco lieber gewesen aber so ...

Netzwerkmanagement

HP Procurve und 802.1x via Radius

Frage von 14116Netzwerkmanagement1 Kommentar

Hallo, Ich möchte hier 802.1x via Radius konfigurieren. Wie kann ich konfigurieren, was passieren soll, wenn der Radius Server ...

LAN, WAN, Wireless

ProCurve ereicht Radius-Server nicht

gelöst Frage von RalphTLAN, WAN, Wireless10 Kommentare

Moin, ich habe 3 ProCurve 2610, 2620, 2510 Switche. Auf allen dreien sind VLANs erstellt worden. (VLAN 1, VLAN ...

Neue Wissensbeiträge
Windows 10
Zero-Day-Lücke in Microsoft Edge
Information von kgborn vor 1 TagWindows 10

In Microsofts Edge-Browser klafft wohl eine nicht geschlossene (0-Day) Sicherheitslücke im Just In Time Compiler (JIT Compiler) für Javascript. ...

Sicherheit
Microsoft und Skype: Sicherheit
Information von kgborn vor 1 TagSicherheit

Die Tage gab es ja einige Berichte zur Sicherheit des Skype-Updaters. Der Updater von Skype läuft unter dem Konto ...

Datenschutz

Behörden ignorieren Sicherheitsbedenken gegenüber Windows 10

Information von Penny.Cilin vor 2 TagenDatenschutz8 Kommentare

Hallo, passend zum Thema Ablösung LIMUX in München ein interessanter Beitrag dazu: Behörden ignorieren Sicherheitsbedenken gegenüber Windows 10 Anscheinend ...

Sicherheit
Information Security Hub Munich airport
Information von brammer vor 2 TagenSicherheit

Hallo, Neues Center für Cyber Kriminalität am Münchener Flughafen brammer

Heiß diskutierte Inhalte
DSL, VDSL
Mindestgeschwindigkeiten DSL Telekom
Frage von justlukasDSL, VDSL14 Kommentare

Hallo zusammen, Seit diesem Jahr habe ich Verständnisprobleme mit dem Verhalten der Telekom. Wir haben seit einem Jahr VDSL ...

Switche und Hubs
LANCOM-Switch: Probleme (no link) mit SFP-Modulen?
Frage von THETOBSwitche und Hubs11 Kommentare

Hi zusammen, ich habe folgendes Problem: Und zwar habe ich an einem Standort drei Switche verbaut - LANCOM GS-2326P+, ...

Firewall
RB2011 Firewall Rule eine bestimmte Mac oder IP Adresse nicht zu blockieren
Frage von lightmanFirewall10 Kommentare

Hallo liebes Forum mit ihren Spezialisten. Ich habe meine Firewall so konfiguriert das kein Endgerät ohne meine Speziellen Erlaubnis ...

Humor (lol)
Was könnte man mit einem Server machen? Idee gesucht
Frage von 2SeitenHumor (lol)10 Kommentare

Hey Zusammen Ich habe einen alten HP G2 Rackserver zu Hause rumliegen. 28GB Ram, 1xAMD Prozi mit etwa 2GHz. ...