Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

802.1x mit Computerzertifikaten und MAC Authentication Bypass

Frage Netzwerke LAN, WAN, Wireless

Mitglied: Proxymus

Proxymus (Level 1) - Jetzt verbinden

07.02.2008, aktualisiert 18.10.2012, 18444 Aufrufe, 22 Kommentare

Hallo,

ich teste gerade Cisco's 802.1x Portsecurity in einer Laborumgebung mit einem 3560 (IOS 12.2(44SE)) und der ACS 4.1 für Windows.

Firmeneigene PC's sollen über ihr zugehöriges Computerzertifikat authentifiziert werden. Nicht 802.1x fähige Geräte sollen per MAC Authentication Bypass (MAB) authentifiziert werden. MAB möchte ich auch für den PXE-Boot verwenden, da dieser für die Softwareverteilung benötigt wird.

Die Authentifizierung habe ich über die "Network Access Profiles" konfiguriert. Die Authentifizierung über das Computerzertifikat funktioniert bereits problemlos. Mit dem MAB habe ich noch ein paar Probleme. Wenn ich die MAC-Adresse im Punkt Authentication händisch eintrage und auf eine Gruppe binde, funktioniert der MAC Bypass (auch mit Zusatzfeatures wie VLAN-Mapping). Nun habe ich das Problem, dass ich sehr viele Clients habe und ich diese nicht alle händisch eintragen will. Alle MAC-Adressen stehen aber in einer ODBC Datenbank. Leider kann ich scheinbar im Access Profil nicht direkt auf die ODBC-Datenbank zugreifen. Ich habe es, wie bei Cisco beschreiben, über die Stored Procedures versucht. Leider bislang ohne Erfolg.

Ich habe auch schon versucht Benutzer anzulegen, die der MAC-Adresse entsprechen. Leider ebenfalls erfolglos.

Zitat von http://www.cisco.com/en/US/products/hw/switches/ps5528/products_configu ...
When the MAC authentication bypass feature is enabled on an IEEE 802.1x port, the switch uses the MAC address as the client identity. The authentication server has a database of client MAC addresses that are allowed network access. After detecting a client on an IEEE 802.1x port, the switch waits for an Ethernet packet from the client. The switch sends the authentication server a RADIUS-access/request frame with a username and password based on the MAC address. If authorization succeeds, the switch grants the client access to the network. If authorization fails, the switch assigns the port to the guest VLAN if one is configured.
Hat jemand bereits Erfahrungen in dem Bereich gesammelt? Ich bin für jeden Tipp dankbar.

Mit freundlichen Grüßen, Proxymus
Mitglied: Proxymus
23.05.2008 um 09:52 Uhr
Mittlerweile habe ich herausgefunden, wie MAB mit der externen Datenbank funktioniert. Dazu muss man am Switch-Port "dot1x mac-auth-bypass eap" konfigurieren und die Prozedur auf der externen Datenbank anlegen.
Bitte warten ..
Mitglied: DerTester
16.09.2008 um 18:37 Uhr
Hi Proxymus,

sga mal, hast du vielleicht ne doku erstellt die du zur verfügung stellen würdest?

ich habe einen thin client mit windows ce und will den über MAB anbinden.

dazu wäre mir deine Kenntnis sehr hilfreich. ebensofür drucker im netzwerk.

auf windows ce kann ich leider keine log dateien sehen, und analayzer softare wie wireshark gibts für auch nicht.

daher würde ich gerne wissen wie du das mit mab gemacht hast.

danke.
Bitte warten ..
Mitglied: Proxymus
17.09.2008 um 15:34 Uhr
Hallo,

je nachdem welche Authentifizierung du nutzen willst, musst du dir eine gespeicherte Prozedur auf deinem Datenbankserver anlegen und diese dann in der ACS unter "External User Databases" angeben. Beispiele für die Prozeduren stehen im ACS-Userguide.

http://www.cisco.com/en/US/docs/net_mgmt/cisco_secure_access_control_se ...

Der Switchport sollte von der Konfiguration ungefähr so aussehen:

interface FastEthernet0/1
switchport access vlan 20
switchport mode access
switchport voice vlan 30
no snmp trap link-status
dot1x mac-auth-bypass eap
dot1x pae authenticator
dot1x port-control auto
dot1x violation-mode protect
spanning-tree portfast
end

Das ganze lässt sich dann über diverse Timer noch verbessern/anpassen.

Mit freundlichen Grüßen, Proxymus
Bitte warten ..
Mitglied: DerTester
23.09.2008 um 14:14 Uhr
Hi Proxymus,

ich war krank und konnte daher nicht früher schreiben.

Also ich habe einen Cisco 6509 als Authenticator.
Auf dem Interface habe ich die selbe Konfiguration wie du. (" dot1x mac-auth-bypass eap " )

Ich habe den IAS als Radius.
Im Active Directory habe ich als Benutzer die MAC-Adresse des Devices (Thin-Client) hinterlegt, mit der MAC-Adresse gleichzeitig als Passwort.

Da ich auf dem ThinClient kein Zertifikat zur Authentifizierung habe wird MAB also auf MAC ebene das gerät authentifizieren wollen.

bei mir macht er allerdings nichts.

könntest du mir da vielleicht weiterhelfen?
Bitte warten ..
Mitglied: Proxymus
24.09.2008 um 07:44 Uhr
Hallo,

zum IAS kann ich leider nichts sagen, da ich mit der Cisco ACS arbeite. Ich würde als erstes mal den Traffic mit Wireshark sniffen und schauen was du für EAP-Pakete siehst. Dafür gibt es zwei Punkte. Zum einen kannst du dir den Switchport spiegeln, an dem der Client hängt und dort mit einem 2. Computer die Pakete auslesen. Dann würde ich auf dem Radius Server mal einen Mitschnitt machen. Dann bekommst du raus wer was sendet. Was schickt der Client? Wie antwortet der Server?

Vielleicht musst du aber auch noch deine Portkonfiguration anpassen/optimieren. Versuche mal die Standardwerte der Timer zu verändern z.B.:

dot1x max-req 1
dot1x max-reauth-req 1

Mit freundlichen Grüßen, Proxymus
Bitte warten ..
Mitglied: DerTester
24.09.2008 um 15:29 Uhr
hm

mit acs hab ich es am anfang versucht aber nicht hinbekommen (w2k + cisco acs 3.1).

mit ias funktioniert alles so weit.

muss jetzt nur noch devices wie drucker und thin clients ans netz schliessen die sich mit mac authentifizieren über dot1x mac-auth-bypass.

auf dem thinclient geht kein wireshark zu installieren da es winCE ist. Zertifikate nimmt er auch nicht. (schon aber nur .cer und keine pfx, also mit schlüssel und exportierbarkeit)

ich habe also nur die möglichkeit auf dem switch mitzusehen was er versucht und auf dem server die wireshark mitschnitte.

die logging zeilen vom switch helfen mir nicht viel weiter...auf dem ias-server sehe ich über wireshark einen challenge und ein reject im anschluss.

muss ich für geräte ohne dot1x unterstützung wie drucker und thin clients (also geräte die ich über mac adresse autehtifizieren muss) eigene richtlinien gruppe erstellen? wenn ja worauf achten?
Bitte warten ..
Mitglied: DerTester
24.09.2008 um 17:02 Uhr
also es ist doch so, dass nach 3maligem versagen der authentifizierung via dot1x es einen reject /bzw. timeout gibt.

nach dem timeout versucht der switch die MAC adresse des supplicanten zu erlernen.

anschliessend wird diese mac adresse dem radius server weitergeleitet und die identity überprüft mit dem benutzer aus der AD-Userdatenbank wo diese MAC adresse als User = passwort angelegt ist.
( Hier eine frage: die MAC-Adresse mit doppelpunkten oder punkten oder durchgehend?
also 000f20.. oder 00:0F:20.. oder 00.0F.20.. ???)

der server müsste nun ein ACCEPT schicken und der switch dann das PORT enablen...oder täusche ich mich?

warum schickt der Radius ein Reject bei mir??

nun müsste doch alles ok sein oder habe ich etwas vergessen???
Bitte warten ..
Mitglied: DerTester
24.09.2008 um 17:51 Uhr
also ich hab nun den wireshark mitschnitt analysiert so gut ich kann und folgendes sehe ich:

ein Access-Request(1) vom Supplicanten.
als Attribut usernamen ist der wert die MAC adresse mit kleinbuchstaben.
(ist das evtl falsch? weil in der AD-Userdatenbank ich grossbuchstaben für die MAC benutzt habe als Usernamen?)

darauf folgt ein Access-Challenge(11) vom Server.

dann wieder ein Access-Request(1) vom Supclicant.

und beendet wird die geschichte mit einem Access-Reject(3).
Bitte warten ..
Mitglied: Daniel90
25.09.2008 um 10:22 Uhr
Hallo,

ich bin im Moment auch dabei auf 802.1X umzustellen.

Ich habe einen Ausschnitt der eventuell ein paar Informationen bringen könnte.



"Und genau hier offenbart sich ein weiteres zu lösendes Problem: die
Standard-Policies für Passwörter eines User-Objekts verweigern aus guten
Gründen das Anlegen eines AD-Objektes, dessen Namen gleich dessen
Passworts ist. Zwar kann diese Einstellung verändert werden, aus
Sicherheitsgründen kann davon aber nur dringend abgeraten werden.
Hinzu kommt, dass der IAS auf das Active Directory angewiesen ist, eine
Datenhaltung der MAC Adressen in einer Datei oder einer anderen Datenbank
wird nicht unterstützt."

Quelle: Seite 5 des Whitepeper`s der Firma rt-solutions.de GbmH

Wenn ihr die legalicy Geräte über MAB authentifiziert, wie stellt ihr dann sicher, dass dieser Port nicht zu Angriffen auf das Netz missbraucht wird. Die MAC - Adresse eines Druckers beispielweiße lässt sich ja leicht herrausfinden und einen Laptop diese geben.
Über Informationen diesbezüglich würde ich mich freuen.

Gruß,
Daniel
Bitte warten ..
Mitglied: Proxymus
25.09.2008 um 13:26 Uhr
Hallo,

also bei mir werden die MAC-Adressen ohne Trennzeichen in Kleinschreibung benötigt. Welches Format du brauchst, siehst du auch im Wireshark-Mitschnitt (am gespiegelten Port). Dort steht die MAC-Adresse in den EAP-Paketen. Ich gehe aber stark davon aus, dass du das gleiche Format benötigst.

@Daniel:
Macbypass sollte nur eine Lösung für Geräte sein, die sich wirklich überhaupt nicht anders authentifizieren lassen z.B. Drucker. Diese gehören dann natürlich in ein separates VLAN, dass durch eine Firewall geschützt ist. Dann kann man sich zwar anstecken, bekommt aber nur Zugriff auf Druckerdienste. Eine 100%ige Sicherheit gibt es nicht.

Mit freundlichen Grüßen, Proxymus
Bitte warten ..
Mitglied: DerTester
26.09.2008 um 13:12 Uhr
@Daniel:

kann mich proxymus nur anschliessen.
drucker-vlan + firewall.
rt-solution hat eine eigene extension zur umgehung des identischen password´s zur mac-adresse.
vielleicht bietet microsoft auch so eine extension an. ??

@proxy:

als usernamen sehe ich im wireshark mitschnitt die MAC-Adresse ohne trennzeichen und kleinbuchstaben.

ich bin am verzweifeln...wieso klappt das nicht ??
Bitte warten ..
Mitglied: DerTester
26.09.2008 um 14:51 Uhr
also bei mir ist passwort = username = mac-adresse für das gerät.

nachdem timeout müsste er doch einen request schicken und diesem ein accept geben.

maaaan

bei mir gibts kommt ein access-request(1) herein mit macadresse als usernamen in kleinbuchstaben ohne trennzeichen.

anschliessend ein access-challenge. vom server raus an supplicant.

dann wieder ein request herein und darauf der server dann ein reject.
Bitte warten ..
Mitglied: Proxymus
26.09.2008 um 14:55 Uhr
Zitat von DerTester:
also bei mir ist passwort = username = mac-adresse für das
gerät.


Das ist auf jeden Fall korrekt. Ich werde versuchen nächste Woche mal einen Traffic-Mitschnitt zu machen. Dann kann ich ja mal posten wie es aussehen müßte.
Bitte warten ..
Mitglied: DerTester
26.09.2008 um 15:03 Uhr
danke Proxy,

im ernst, danke für deine hilfe.

ich weiss es zu schätzen.
Bitte warten ..
Mitglied: DerTester
26.09.2008 um 15:39 Uhr
ich hab in der ereignisanzeige von windows folgendes entdeckt.

"
Ursache =
Der Client konnte nicht authentifiziert werden, da der angegebene EAP (Extensible Authentication-Protokoll)-Typ vom Server nicht verarbeitet werden kann. "

also ich habe ja eine richtinie für die authentifizierung für eap-tls.

wie sollte eine richtline für MAB aussehen?
worauf ist hier zu achten.
Bitte warten ..
Mitglied: gschelbe
30.09.2008 um 15:38 Uhr
Hi.

Die Richtline muß als EAP-Method MD5-Challenge und als Authentication "unencrypted Authentication (PAP, SPAP)" enthalten.

Bei Cisco-Switches werden die MAC-Adressen in Kleinschrift ohne Trennzeichen genutzt. User-ID und Kennwort des Windows-Accounts müssen diese Konvention natürlich einhalten.

Und nein, Microsoft hat keine IAS-Extension zum Zugriff auf eine Datenbank. Also, entweder bei RT-Solutions kaufen oder mit dem Windows-Developers-Kit selbstbauen

(Nein, ich habe keine Teilhaberschaft bei RT-Solutions).

Gruß

Gerd Schelbert
Bitte warten ..
Mitglied: Proxymus
30.09.2008 um 15:48 Uhr
Hallo,

@Gerd:
Deine Beschreibung ist korrekt. Über RT-Solutions bin ich damals auch gestolpert, aber wir haben uns für die ACS entschieden. Per Plug&Play hat es aber auch nicht sofort funktioniert.

@DerTester:

Es scheint als wären damit die Fragen vorerst beantwortet. Zu einem Traffic-Mitschnitt komme ich zur Zeit leider nicht. Wenn du den noch brauchst, kann ich es in ca. 14 Tagen versuchen.

Mit freundlichen Grüßen, Proxymus
Bitte warten ..
Mitglied: DerTester
01.10.2008, aktualisiert 18.10.2012
Hi Leute,
ich hab ein positives ergebnis durch eure hilfe erlangen können.

http://www.administrator.de/forum/mac-authentication-bypass-bei-802.1x- ...

gerd hat mir sehr geholfen.

ich hoffe ich werde auch mal so hilfreich sein können.

Danke Proxymus auch für deine mühe.
Danke Gerd (ohne dich hätte ich mehr zeit verloren).
Bitte warten ..
Mitglied: Ruffy1984
19.06.2012 um 15:13 Uhr
hey,

ich haette einige Fragen an deinen Thread.
Ich bin auch die 802.1x Authentifizierung mit Zertifikaten am Testen und möchte auch die Geräte die keine 802.1x können mit MAb authentifizieren.

Vorerst zu den Zertifizierung: Ich habe ein Root Ca Zertifikat auf meinem Domain Controller erstellt und dann in meinen Cisco ACS 4.2 ein "generate self signing request" angestoßen und das Zertifikat dann auch sauber von http://server/cersrv heruntergeladen und installiert. Ich habe in dem Glabalenkonfigurationsmodus PEAP aktiviert.

Kannst du mir sagen wo ich auf dem ACS Server sehe das sich meine Windows XP Clients auch wirklich mit dem Zertifikat authentifizieren ?
ich habe nähmlich unter External User Database-->Unknown user policy --> den haken bei "Check the following external User Database" gesetzt, das bedeutet ja , wenn der Benutzer kommt und nicht in der internen Datenbank ist, an die Windows Datenbank geht, wenn der Windows Xp (Computername) dann im Active Directory vorhanden ist, ist er Authentifiziert, ich weiss nur nicht wie ich das unterscheiden kann ob er jetzt auch wirklich das Zertifikat verwendet.


Was ich noch zusätzlich gemacht habe:
Ich habe das Zertifikat per Gruppenrichtlinie in die Vertrauenwürdigen Zertifizirungsstellen hinzugefügt und der CLient sieht auch die Zertifizierungssstelle.

meine Switchkonfig sieht folgendermaßen aus;
interface GigabitEthernet2/1
description PEAP
switchport access vlan 5
switchport mode access
authentication host-mode multi-domain
authentication order mab dot1x
authentication priority mab dot1x
authentication port-control auto
mab
no snmp trap link-status
dot1x pae authenticator
dot1x timeout quiet-period 50
spanning-tree portfast
spanning-tree bpduguard enable


Zitat von Proxymus:
Hallo,

ich teste gerade Cisco's 802.1x Portsecurity in einer Laborumgebung mit einem 3560 (IOS 12.2(44SE)) und der ACS 4.1 für
Windows.

Firmeneigene PC's sollen über ihr zugehöriges Computerzertifikat authentifiziert werden. Nicht 802.1x fähige
Geräte sollen per MAC Authentication Bypass (MAB) authentifiziert werden. MAB möchte ich auch für den PXE-Boot
verwenden, da dieser für die Softwareverteilung benötigt wird.

Die Authentifizierung habe ich über die "Network Access Profiles" konfiguriert. Die Authentifizierung über das
Brauch man Network Access Profiles um Zertifikate zu nutzen ?

Computerzertifikat funktioniert bereits problemlos.

Hast du diese Manuell auf dem Client installiert ?

>Mit dem MAB habe ich noch ein paar Probleme. Wenn ich die MAC-Adresse im Punkt
Authentication händisch eintrage und auf eine Gruppe binde, funktioniert der MAC Bypass (auch mit Zusatzfeatures wie
VLAN-Mapping). Nun habe ich das Problem, dass ich sehr viele Clients habe und ich diese nicht alle händisch eintragen will.
Alle MAC-Adressen stehen aber in einer ODBC Datenbank. Leider kann ich scheinbar im Access Profil nicht direkt auf die
ODBC-Datenbank zugreifen. Ich habe es, wie bei Cisco beschreiben, über die Stored Procedures versucht. Leider bislang ohne
Erfolg.

Ich habe auch schon versucht Benutzer anzulegen, die der MAC-Adresse entsprechen. Leider ebenfalls erfolglos.

Zitat von
http://www.cisco.com/en/US/products/hw/switches/ps5528/products_configu ...
When the MAC authentication bypass feature is enabled on an IEEE 802.1x port, the switch uses the MAC address as the client
identity. The authentication server has a database of client MAC addresses that are allowed network access. After detecting a
client on an IEEE 802.1x port, the switch waits for an Ethernet packet from the client. The switch sends the authentication
server a RADIUS-access/request frame with a username and password based on the MAC address.
If authorization succeeds, the
switch grants the client access to the network. If authorization fails, the switch assigns the port to the guest VLAN if one is
configured.
Hat jemand bereits Erfahrungen in dem Bereich gesammelt? Ich bin für jeden Tipp dankbar.

Mit freundlichen Grüßen, Proxymus



Vielen Dank für deine hilfe
Bitte warten ..
Mitglied: Ruffy1984
19.06.2012 um 17:08 Uhr
hey ,

ich habe noch eine Frage,

wenn du einen Client anlegt fü MAb...

wie legst du den auf dem ACS server an ?

Unter Name habe ich immer die Mac Adresse eingetragen , aber ich weiss nicht was ich bei Passwort angeben musst ? muss da auch die mac adresse rein ?
Bitte warten ..
Mitglied: Proxymus
20.06.2012 um 09:52 Uhr
Hallo Ruffy1984

Zitat von Ruffy1984:
hey,

ich haette einige Fragen an deinen Thread.
Ich bin auch die 802.1x Authentifizierung mit Zertifikaten am Testen und möchte auch die Geräte die keine 802.1x
können mit MAb authentifizieren.

Vorerst zu den Zertifizierung: Ich habe ein Root Ca Zertifikat auf meinem Domain Controller erstellt und dann in meinen Cisco ACS
4.2 ein "generate self signing request" angestoßen und das Zertifikat dann auch sauber von http://server/cersrv
heruntergeladen und installiert. Ich habe in dem Glabalenkonfigurationsmodus PEAP aktiviert.
Kannst du mir sagen wo ich auf dem ACS Server sehe das sich meine Windows XP Clients auch wirklich mit dem Zertifikat
authentifizieren ?

Es ist schon ziemlich lange her, dass ich mit der ACS 4.x gearbeitet habe. Wir sind schon vor einiger Zeit auf ACS 5.x umgestiegen. Ich glaube es stand etwas wie HOST/computername im Log, wenn man per Zertifikat authentifiziert war.


ich habe nähmlich unter External User Database-->Unknown user policy --> den haken bei "Check the following
external User Database" gesetzt, das bedeutet ja , wenn der Benutzer kommt und nicht in der internen Datenbank ist, an die
Windows Datenbank geht, wenn der Windows Xp (Computername) dann im Active Directory vorhanden ist, ist er Authentifiziert, ich
weiss nur nicht wie ich das unterscheiden kann ob er jetzt auch wirklich das Zertifikat verwendet.

Schalte doch zum Test mal die externen Benutzerdatenbanken ab und hänge einen Client mit Zertifikat an den Port.

Was ich noch zusätzlich gemacht habe:
Ich habe das Zertifikat per Gruppenrichtlinie in die Vertrauenwürdigen Zertifizirungsstellen hinzugefügt und der CLient
sieht auch die Zertifizierungssstelle.

meine Switchkonfig sieht folgendermaßen aus;
interface GigabitEthernet2/1
description PEAP
switchport access vlan 5
switchport mode access
authentication host-mode multi-domain
authentication order mab dot1x
authentication priority mab dot1x
authentication port-control auto
mab
no snmp trap link-status
dot1x pae authenticator
dot1x timeout quiet-period 50
spanning-tree portfast
spanning-tree bpduguard enable


> Zitat von Proxymus:
> ----
> Hallo,
>
> ich teste gerade Cisco's 802.1x Portsecurity in einer Laborumgebung mit einem 3560 (IOS 12.2(44SE)) und der ACS 4.1
für
> Windows.
>
> Firmeneigene PC's sollen über ihr zugehöriges Computerzertifikat authentifiziert werden. Nicht 802.1x
fähige
> Geräte sollen per MAC Authentication Bypass (MAB) authentifiziert werden. MAB möchte ich auch für den
PXE-Boot
> verwenden, da dieser für die Softwareverteilung benötigt wird.
>
> Die Authentifizierung habe ich über die "Network Access Profiles" konfiguriert. Die Authentifizierung
über das
>
Brauch man Network Access Profiles um Zertifikate zu nutzen ?

An der Stelle muss ich leider passen..., habe die Details zur Konfiguration unter 4.2 nicht mehr genau im Kopf. Vielleicht hilft dir das hier weiter:

http://www.cisco.com/en/US/docs/net_mgmt/cisco_secure_access_control_se ...

Es gab bei cisco.com auch noch weitere Beispielkonfigurationen.


> Computerzertifikat funktioniert bereits problemlos.

Hast du diese Manuell auf dem Client installiert ?

Wir haben eine Zertifikatsvorlage für Computerzertifikate. Über eine AD-Gruppe werden Computer darauf berechtigt, welche ein Zertifikat bekommen sollen. Du kannst über eine MMC überprüfen ob der Client ein Computerzertifikat hat.


>Mit dem MAB habe ich noch ein paar Probleme. Wenn ich die MAC-Adresse im Punkt
> Authentication händisch eintrage und auf eine Gruppe binde, funktioniert der MAC Bypass (auch mit Zusatzfeatures wie
> VLAN-Mapping). Nun habe ich das Problem, dass ich sehr viele Clients habe und ich diese nicht alle händisch eintragen
will.
> Alle MAC-Adressen stehen aber in einer ODBC Datenbank. Leider kann ich scheinbar im Access Profil nicht direkt auf die
> ODBC-Datenbank zugreifen. Ich habe es, wie bei Cisco beschreiben, über die Stored Procedures versucht. Leider bislang
ohne
> Erfolg.
>
> Ich habe auch schon versucht Benutzer anzulegen, die der MAC-Adresse entsprechen. Leider ebenfalls erfolglos.
>
> ----
> Zitat von
> http://www.cisco.com/en/US/products/hw/switches/ps5528/products_configu ...
> When the MAC authentication bypass feature is enabled on an IEEE 802.1x port, the switch uses the MAC address as the client
> identity. The authentication server has a database of client MAC addresses that are allowed network access. After detecting
a
> client on an IEEE 802.1x port, the switch waits for an Ethernet packet from the client. The switch sends the
authentication
> server a RADIUS-access/request frame with a username and password based on the MAC address.
If authorization succeeds, the
> switch grants the client access to the network. If authorization fails, the switch assigns the port to the guest VLAN if one
is
> configured.
> ----
>
> Hat jemand bereits Erfahrungen in dem Bereich gesammelt? Ich bin für jeden Tipp dankbar.
>
> Mit freundlichen Grüßen, Proxymus



Vielen Dank für deine hilfe

VG, Proxymus
Bitte warten ..
Mitglied: Proxymus
20.06.2012 um 10:00 Uhr
Zitat von Ruffy1984:

wie legst du den auf dem ACS server an ?
Unter Name habe ich immer die Mac Adresse eingetragen , aber ich weiss nicht was ich bei Passwort angeben musst ? muss da auch die
mac adresse rein ?


Es muss als Name und als Password die MAC-Adresse eingetragen werden. Wenn ich mich richtig erinnere ohne Trennzeichen.

VG, Proxymus
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

(2)

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
LAN, WAN, Wireless
802.1x funktioniert nur an einem oder zwei Accesspoints (3)

Frage von westberliner zum Thema LAN, WAN, Wireless ...

Windows Netzwerk
gelöst 802.1x Konfiguration (2)

Frage von michaelb123 zum Thema Windows Netzwerk ...

Windows Netzwerk
gelöst RADIUS 802.1x Geräte Authentifizierung (3)

Frage von Cloudy zum Thema Windows Netzwerk ...

LAN, WAN, Wireless
gelöst 802.1x Authentifizierung HP Switch und MS NPS (7)

Frage von NoobOne zum Thema LAN, WAN, Wireless ...

Heiß diskutierte Inhalte
Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (15)

Frage von JayyyH zum Thema Switche und Hubs ...

DSL, VDSL
DSL-Signal bewerten (13)

Frage von SarekHL zum Thema DSL, VDSL ...

Windows Server
Mailserver auf Windows Server 2012 (9)

Frage von StefanT81 zum Thema Windows Server ...