Windows Server 2008 mit Procurve Switch RADIUS MAC-Authentifikation Switch wird nicht zugelassen

Hallo Zusammen

Ich habe vor einiger Zeit schon eine Frage bezüglich des RADIUS-Servers auf Windows 2008 gestellt. Leider konnte ich das Problem immer noch nicht lösen, bin aber schon weiter gekommen.

Der Server erkennt nun endlich den Switch (yeey), blockiert Ihn aber. Folgende Fehlermeldung habe ich in der Ereignisanzeige gelesen:

 EventData 

  SubjectUserSid S-1-0-0 
  SubjectUserName 843497ca71a9 
  SubjectDomainName UEB 
  FullyQualifiedSubjectUserName UEB\84-34-97-ca-71-a9 
  SubjectMachineSID S-1-0-0 
  SubjectMachineName - 
  FullyQualifiedSubjectMachineName - 
  MachineInventory - 
  CalledStationID 84-34-97-43-5f-97 
  CallingStationID 84-34-97-ca-71-a9 
  NASIPv4Address 192.168.210.51 
  NASIPv6Address - 
  NASIdentifier UEBSW01  
  NASPortType Ethernet 
  NASPort 9 
  ClientName UEBSW01 
  ClientIPAddress 192.168.210.51 
  ProxyPolicyName UEBSW01 
  NetworkPolicyName - 
  AuthenticationProvider Windows 
  AuthenticationServer UEBSRV.ueb.lokal 
  AuthenticationType MD5-CHAP 
  EAPType - 
  AccountSessionIdentifier - 
  ReasonCode 16 
  Reason Authentifizierungsfehler aufgrund der Nichtübereinstimmung von Benutzeranmeldeinformationen. Der angegebene Benutzername ist keinem vorhandenen Benutzerkonto zugeordnet, oder das Kennwort war falsch. 
  LoggingResult Die Kontoinformationen wurden in die lokale Protokolldatei geschrieben. 

Nur kann ich nicht ganz verstehen, warum er die Authentifzierung nicht zulässt. Der Benutzername ist richtig, der gemeinsame Schlüssel (123) wurde richtig konfiguriert und auch die IP-Adresse stimmt überein.

Meine derzeitigen Switch-Konfigurationen:

SEITE 1
hostname "UEBSW01 "  
mirror-port 9
ip default-gateway 192.168.210.1
vlan 1
   name "normale"  
   untagged 1-10
   ip address dhcp-bootp
   exit
vlan 2
   name "unauth"  
   no ip address
   exit
vlan 3
   name "auth"  
   ip address dhcp-bootp
   exit
interface 2
   monitor
SEITE 2
 exit
aaa authentication login privilege-mode
aaa authentication port-access eap-radius
aaa accounting network start-stop radius
radius-server host 192.168.210.1 key "123"  
snmp-server community "public" Unrestricted  
snmp-server contact "Gabriel Buehler" location "317a"  
aaa port-access mac-based 9 addr-limit 3
aaa port-access mac-based 9 auth-vid 3
aaa port-access mac-based 9 unauth-vid 2
aaa port-access mac-based 10 auth-vid 3
aaa port-access mac-based 10 unauth-vid 2
password manager

Authentifikations-Einstellungen

  Login Attempts : 3
  Respect Privilege : Enabled

              | Login      Login      Enable     Enable
  Access Task | Primary    Secondary  Primary    Secondary
  ----------- + ---------- ---------- ---------- ----------
  Console     | Local      None       Local      None
  Telnet      | Local      None       Local      None
  Port-Access | EapRadius  None
  Webui       | Local      None       Local      None
  SSH         | Local      None       Local      None
  Web-Auth    | ChapRadius None
  MAC-Auth    | ChapRadius None

Falls ihr noch mehr Informationen benötigt, einfach nachfragen.

Ich glaube aber, dass ich langsam weiter vorankomme. Wo denkt ihr, könnte der Wurm liegen?

Edit: Oh, Pardon. Wie es scheint wird der Client blockiert, nicht der Switch. Da habe ich mich wohl verlesen.

Please also mark the comments that contributed to the solution of the article

Content-Key: 212519

Url: https://administrator.de/contentid/212519

Printed on: April 26, 2024 at 04:04 o'clock

13 Comments

Latest comment

Guckst du hier:
http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?lang=en&a ...
Die Wildcards denkst du dir natürlich weg und trägst dedizierte Mac s ein.
Funktioniert problemlos !
Ansonsten mal testweise einen FreeRadius ausprobieren:
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
nur um querzuchecken ob der Kinken im NPS liegt.
Das o.a. Tutorial hat aber noch ein paar Links zur Winblows Konfiguratuon...

Hmm... versteh ich das richtig? Muss ich bei der Call-In die ersten 3 Ziffern der MAC-Adresse eingeben, die sich mit der Maschine verbinden möchten?

Das wäre bei mir:
00-0c-29-*
84-34-97-*

Falls es so ist funktionierte es leider nicht. Ich erhalte wieder die gleichen 3 Meldungen. Es sind die zwei oberen MAC-Adressen, die geblockt werden sowie eine 3., bei der ich nicht weiss woher sie stammt:
00127ff254f0

Keiner der Maschinen, des Servers oder der Switches besitzen diese MAC-Adresse.

Du müsstest die kompette Mac dort logischerweise angeben !!
Das oben bewirkt das alle Mac Adressen die mit 00-0c-29- oder 84-34-97 anfangen durchkommen.
Kann man machen wenn man z.B. alle VmWare Rechner (00-0c-29-xx-xx ist vmWare zugewiesen) ins Netz erlauben will. (84-34-97-xx-xx ist HP)
Mac Hersteller Datenbank: http://www.macvendorlookup.com
Deine "unbekannte" 00-12-7f-f2-54-f0 Mac Adresse ist eine Adresse von Cisco System, zeigt also auf ein Cisco Endgerät !!

Häääh? Das kann gar nicht sein, wir haben gar keine Cisco-Switches im Einsatz, nur HP-Switches...seltsam.

Stimmt das mit der ganzen MAC-Adresse klingt logisch. Funktioniert aber leider auch nicht. Ich habe für die Cisco-Adresse auch ein AD-Benutzer und eine Call-In angelegt, die Verbindung klappte leider trotzdem nicht.

Die Adresse ist aber definitiv eine Cisco Mac. Cisco macht ja nicht nur Switches sondern auch Router, WLAN, Load Balancer, Telefone, interne v Switches in VmWare und und und....
Da kennst du wohl dein Netz nicht gut genug, denn irgendwas habt ihr davon ja im Einsatz... ?!
Vermutlich liegt das an den Procurve HP Billigswitches. Hier im Formum gibt es dazu eine lange Leidenshistorie was HP im 802.1x Umfeld anbetrifft.
Checke ganz sicher ob deine HP Teile das sog "MAC authentication bypass" supporten, ansonsten ist gar keine Mac Authentisierung möglich bei den Switches. Bei dem kastrierten Featureset was HP da hat wär das nicht verwunderlich...die können doch nur billig und dann wirds eng.
Mit anderen Switchherstellern funktioniert sowas auf Anhieb !

Sollte möglich sein, es gibt im Handbuch des Switches Erklärungen dazu wie auch ein allgemeines Handbuch (MAC Authentication on HP Procurve Switches) . Also vermute ich schon.

Ich habe meinen Chef gefragt, ob wir Cisco's einsetzen...wir setzten Cisco's ein, aber die befinden sich nicht in meinem VLAN...es ist wirklich seltsam. Aber darauf kommt es ja auch nicht mehr an, ich habe die MAC-Adresse jetzt auch akzeptiert.

Na dann hat da wohl jemand die VLAN Konfig vermurkst...anders ist das ja nicht zu erklären wenn diese Adresse da auftaucht !
Funktioniert deine Mac Authentisierung denn nun wenigstens ?

Nein, leider nicht. Immer noch die genau gleiche Meldung, immer noch keine Netzverbindung mehr, wenn ich die Authentifizierung starte.

..."Unterbruch" ???

Unterbruch war schlecht gewählt. Die Netzverbindung ist dann einfach nicht mehr vorhanden. Mit dem Befehl "aaa port-access mac-based 10" starte ich die Authentifizierung und ich habe kein Netz mehr auf der VM.

oookey. Wie es scheint, bin ich jetzt schon mal weiter gekommen. Jetzt erhalte ich die Meldung, dass ich die Veribndungsrichtlinie falsch konfiuguriert habe:

Protokollname: Security
Quelle:        Microsoft-Windows-Security-Auditing
Datum:         06.08.2013 10:41:30
Ereignis-ID:   6273
Aufgabenkategorie:Netzwerkrichtlinienserver
Ebene:         Informationen
Schlüsselwörter:Überwachung gescheitert
Benutzer:      Nicht zutreffend
Computer:      UEBSRV.ueb.lokal
Beschreibung:
Der Netzwerkrichtlinienserver verweigerte einem Benutzer den Zugriff.

Wenden Sie sich an den Administrator des Netzwerkrichtlinienservers, um weitere Informationen zu erhalten.

Benutzer:
	Sicherheits-ID:			NULL SID
	Kontoname:				000c29b205d1
	Kontodomäne:				-
	Vollqualifizierter Kontoname:		-

Clientcomputer:
	Sicherheits-ID:			NULL SID
	Kontoname:				-
	Vollqualifizierter Kontoname:		-
	Betriebssystemversion:			-
	Empfänger-ID:				84-34-97-43-5f-97
	Anrufer-ID:				00-0c-29-b2-05-d1

NAS:
	NAS-IPv4-Adresse:			192.168.210.51
	NAS-IPv6-Adresse:			-
	NAS-ID:					UEBSW01 
	NAS-Porttyp:				Ethernet
	NAS-Port:				9

RADIUS-Client:
	Clientanzeigenname:				UEBSW01
	Client-IP-Adresse:			192.168.210.51

Authentifizierungsdetails:
	Name der Verbindungsanforderungsrichtlinie:	-
	Netzwerkrichtlinienname:		-
	Authentifizierungsanbieter:		-
	Authentifizierungsserver:		UEBSRV.ueb.lokal
	Authentifizierungstyp:		-
	EAP-Typ:			-
	Kontositzungs-ID:		-
	Protokollierungsergebnisse:			Die Kontoinformationen wurden in die lokale Protokolldatei geschrieben.
	Ursachencode:			49
	Ursache:				Die RADIUS-Anforderung stimmte mit keiner konfigurierten Verbindungsanforderungsrichtlinie (Connection Request Policy, CRP) überein.

Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">  
  <System>
    <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />  
    <EventID>6273</EventID>
    <Version>1</Version>
    <Level>0</Level>
    <Task>12552</Task>
    <Opcode>0</Opcode>
    <Keywords>0x8010000000000000</Keywords>
    <TimeCreated SystemTime="2013-08-06T08:41:30.109375000Z" />  
    <EventRecordID>1186497</EventRecordID>
    <Correlation />
    <Execution ProcessID="500" ThreadID="660" />  
    <Channel>Security</Channel>
    <Computer>UEBSRV.ueb.lokal</Computer>
    <Security />
  </System>
  <EventData>
    <Data Name="SubjectUserSid">S-1-0-0</Data>  
    <Data Name="SubjectUserName">000c29b205d1</Data>  
    <Data Name="SubjectDomainName">-</Data>  
    <Data Name="FullyQualifiedSubjectUserName">-</Data>  
    <Data Name="SubjectMachineSID">S-1-0-0</Data>  
    <Data Name="SubjectMachineName">-</Data>  
    <Data Name="FullyQualifiedSubjectMachineName">-</Data>  
    <Data Name="MachineInventory">-</Data>  
    <Data Name="CalledStationID">84-34-97-43-5f-97</Data>  
    <Data Name="CallingStationID">00-0c-29-b2-05-d1</Data>  
    <Data Name="NASIPv4Address">192.168.210.51</Data>  
    <Data Name="NASIPv6Address">-</Data>  
    <Data Name="NASIdentifier">UEBSW01 </Data>  
    <Data Name="NASPortType">Ethernet</Data>  
    <Data Name="NASPort">9</Data>  
    <Data Name="ClientName">UEBSW01</Data>  
    <Data Name="ClientIPAddress">192.168.210.51</Data>  
    <Data Name="ProxyPolicyName">-</Data>  
    <Data Name="NetworkPolicyName">-</Data>  
    <Data Name="AuthenticationProvider">-</Data>  
    <Data Name="AuthenticationServer">UEBSRV.ueb.lokal</Data>  
    <Data Name="AuthenticationType">-</Data>  
    <Data Name="EAPType">-</Data>  
    <Data Name="AccountSessionIdentifier">-</Data>  
    <Data Name="ReasonCode">49</Data>  
    <Data Name="Reason">Die RADIUS-Anforderung stimmte mit keiner konfigurierten Verbindungsanforderungsrichtlinie (Connection Request Policy, CRP) überein.</Data>  
    <Data Name="LoggingResult">Die Kontoinformationen wurden in die lokale Protokolldatei geschrieben.</Data>  
  </EventData>
</Event>

Siehe ganz unten die Meldung. Ich habe mal noch versucht, den Switch als Empfänger-ID zu nehmen, was leider auch nichts gebracht hat.

Stellt sich jetzt die Frage was MS mit dem kryptischen Verbindungsanforderungsrichtlinie meint ??
Ggf. ist das dann die Lösung:
http://technet.microsoft.com/de-de/library/cc753603.aspx
http://technet.microsoft.com/de-de/library/dd440996.aspx
oder
http://technet.microsoft.com/de-de/library/cc730866.aspx

Die Verbindungsrichtline ist ja die Konfigurationseinstellung für die Authorisation, also vermute ich, dass es sich dabei um das handelt. Ich habe noch ein wenig herumexperimentiert mit den Call-ID's (Pro MAC eine eigene richtlinie, Empfangs-ID für den Switch), brachte natürlich alles nichts.

ICh werde jetzt nun mal noch die Links durchlesen.

Edit: Gut, da steht auch nicht mehr viel mehr drin als "Wenn sie einen RADIUS-Server aufsetzen möchten brauchen sie die richtige Verbindungsrichtlinie". Hab' ich alles schon durchprobiert...

da werde ich wohl weiter gucken müssen.

German Question Windows Network Microsoft

Hotly discussed

Check of ZFW Firewallgleixnerd - 5 Comments