Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Cisco AcessControlServer - Authentication Problem

Frage Sicherheit Verschlüsselung & Zertifikate

Mitglied: Stefan600

Stefan600 (Level 1) - Jetzt verbinden

25.03.2008, aktualisiert 31.12.2008, 3759 Aufrufe

Hallo,
Ich konfiguriere gerade einen ACS für unser Maturaprojekt und habe nun folgendes Problem:

Die Authentifizierung über den IETFRadius-server funktioniert bereits einwandfrei. doch bei der authentication von NAC(Network Admission Control) werden alle Clients in das Quarantäne-VLAN verfrachtet.. dies wird aus dem Portstatus beim switch ersichtlich und in den logs (Shared RAC:L2_1x_Quarantine_RAC).

Ich habe in "Shared Profile Components - RADIUS Authorization Components" 3 Komponenten eingerichtet:

Healthy_RAC:
IETF Session-Timeout (27) 3600
IETF Termination-Action (29) RADIUS-Request (1)
IETF Tunnel-Type (64) [T1] VLAN (13)
IETF Tunnel-Medium-Type (65) [T1] 802 (6)
IETF Tunnel-Private-Group-ID (81) [T1]secure_lan

Quarantine_RAC:
IETF Session-Timeout (27) 3600
IETF Termination-Action (29) RADIUS-Request (1)
I ETF Tunnel-Type (64) [T1] VLAN (13)
IETF Tunnel-Medium-Type (65) [T1] 802 (6)
IETF Tunnel-Private-Group-ID (81) [T1] quarantine

Transition_RAC:
IETF Session-Timeout (27) 30
IETF Termination-Action (29) RADIUS-Request (1)


Danach habe ich noch ein Network Access Profile namens nac_802.1x erstellt, jedoch zum Testen die Machinpostures unter authentifizierung ausgeschaltet.

Hier sind noch meine authoriziation rules:
*User Group: student
System Posture Token: Healthy
Deny Access: No
Shared RAC: Healthy_RAC
ACL: vorrübergehend deaktiviert

*If a condition is not defined or there is no matched condition: Quarantine_RAC


Hat jemand eine Idee woran das liegen könnte, dass die Clients immer in die Quaratäne kommen?
Beim Client habe ich bei 802.1x PEAP eingestellt und das ZErtifikiert hinzugfügt.
Authentifizierungsmethode: EAP-MSCHAPv2
Als Computer authentifizieren, wenn Computerinformationen verfügbar sind

Hier ist noch ein kleiner ausschnitt aus der Log-Datei(Passed Authentications) des ACS Servers:
http://www.datei-upload.eu/file.php?id=e532ee9671a10ba82567bd156f12ebf8
01.
Date,Time,Message-Type,User-Name,Caller-ID,NAS-Port,NAS-IP-Address,AAA Server,Filter Information,Network Device Group,Access Device, 
02.
PEAP/EAP-FAST-Clear-Name,Logged Remotely,EAP Type,EAP Type Name,Network Access Profile Name,Outbound Class,Shared RAC,Downloadable ACL,System-Posture-Token,Application-Posture-Token, 
03.
Reason,Cisco:PA:PA-Name,Cisco:PA:PA-Version,Cisco:PA:OS-Type,Cisco:PA:OSVersion,Cisco:Host:ServicePacks,Cisco:Host:HotFixes,Cisco:Host:Package 
04.
03/25/2008,16:52:50,Authen OK,test,00-03-0D-32-D2-75,50020,192.168.200.1,DELIVERANCE1,No Filters activated.,,Any,,No,25,MS-PEAP,Lab_NAC_L2_802.1x,CACS:7/58a/c0a8c801/50020,L2_1x_Quarantine_RAC,,,,,,,,,,, 
05.
03/25/2008,16:54:11,Authen OK,test,00-03-0D-32-D2-75,50020,192.168.200.1,DELIVERANCE1,No Filters activated.,,Any,,No,25,MS-PEAP,Lab_NAC_L2_802.1x,CACS:7/58c/c0a8c801/50020,L2_1x_Quarantine_RAC,,,,,,,,,,, 
06.
03/25/2008,16:57:15,Authen OK,test,00-03-0D-32-D2-75,50020,192.168.200.1,DELIVERANCE1,No Filters activated.,,Any,,No,25,MS-PEAP,Lab_NAC_L2_802.1x,CACS:7/58f/c0a8c801/50020,L2_1x_Quarantine_RAC,,,,,,,,,,, 
07.
03/25/2008,17:11:52,Authen OK,test,00-03-0D-32-D2-75,50020,192.168.200.1,DELIVERANCE1,No Filters activated.,,Any,,No,25,MS-PEAP,Lab_NAC_L2_802.1x,CACS:7/59c/c0a8c801/50020,L2_1x_Quarantine_RAC,,,,,,,,,,, 
08.
03/25/2008,17:19:48,Authen OK,test,00-03-0D-32-D2-75,50020,192.168.200.1,DELIVERANCE1,No Filters activated.,,Any,,No,25,MS-PEAP,Lab_NAC_L2_802.1x,CACS:7/5a3/c0a8c801/50020,L2_1x_Quarantine_RAC,,,,,,,,,,, 
09.
03/25/2008,17:20:24,Authen OK,test,00-03-0D-32-D2-75,50020,192.168.200.1,DELIVERANCE1,No Filters activated.,,Any,,No,25,MS-PEAP,Lab_NAC_L2_802.1x,CACS:7/5a4/c0a8c801/50020,L2_1x_Quarantine_RAC,,,,,,,,,,, 
10.
03/25/2008,17:23:29,Authen OK,test,00-03-0D-32-D2-75,50020,192.168.200.1,DELIVERANCE1,No Filters activated.,,Any,,No,25,MS-PEAP,Lab_NAC_L2_802.1x,CACS:7/5a8/c0a8c801/50020,L2_1x_Quarantine_RAC,,,,,,,,,,, 
11.
03/25/2008,17:32:37,Authen OK,test,00-03-0D-32-D2-75,50020,192.168.200.1,DELIVERANCE1,No Filters activated.,,Any,,No,25,MS-PEAP,Lab_NAC_L2_802.1x,CACS:7/5b0/c0a8c801/50020,L2_1x_Quarantine_RAC,,,,,,,,,,, 
12.
03/25/2008,17:39:19,Authen OK,test,00-03-0D-32-D2-75,50020,192.168.200.1,DELIVERANCE1,No Filters activated.,,Any,,No,25,MS-PEAP,Lab_NAC_L2_802.1x,CACS:7/5b7/c0a8c801/50020,L2_1x_Quarantine_RAC,,,,,,,,,,, 
13.
03/25/2008,17:55:32,Authen OK,test,00-03-0D-32-D2-75,50020,192.168.200.1,DELIVERANCE1,No Filters activated.,,Any,,No,25,MS-PEAP,Lab_NAC_L2_802.1x,CACS:7/5c6/c0a8c801/50020,L2_1x_Healthy_RAC,,,,,,,,,,, 
14.
03/25/2008,18:05:02,Authen OK,test,00-03-0D-32-D2-75,50020,192.168.200.1,DELIVERANCE1,No Filters activated.,,Any,,No,25,MS-PEAP,Lab_NAC_L2_802.1x,CACS:7/5cd/c0a8c801/50020,L2_1x_Quarantine_RAC,,,,,,,,,,, 
15.
03/25/2008,18:06:44,Authen OK,test,00-03-0D-32-D2-75,50020,192.168.200.1,DELIVERANCE1,No Filters activated.,,Any,,No,25,MS-PEAP,Lab_NAC_L2_802.1x,CACS:7/5cf/c0a8c801/50020,L2_1x_Quarantine_RAC,,,,,,,,,,, 
16.
03/25/2008,18:12:50,Authen OK,test,00-03-0D-32-D2-75,50020,192.168.200.1,DELIVERANCE1,No Filters activated.,,Any,,No,25,MS-PEAP,Lab_NAC_L2_802.1x,CACS:7/5d5/c0a8c801/50020,L2_1x_Quarantine_RAC,,,,,,,,,,, 
17.
03/25/2008,18:15:20,Authen OK,test,00-03-0D-32-D2-75,50020,192.168.200.1,DELIVERANCE1,No Filters activated.,,Any,,No,25,MS-PEAP,Lab_NAC_L2_802.1x,CACS:7/5d8/c0a8c801/50020,L2_1x_Healthy_RAC,,,,,,,,,,, 
18.
03/25/2008,18:22:58,Authen OK,new,00-03-0D-32-D2-75,50020,192.168.200.1,DELIVERANCE1,No Filters activated.,,Any,,No,25,MS-PEAP,Lab_NAC_L2_802.1x,CACS:7/5e0/c0a8c801/50020,L2_1x_Healthy_RAC,,,,,,,,,,, 
19.
03/25/2008,18:26:15,Authen OK,new,00-03-0D-32-D2-75,50020,192.168.200.1,DELIVERANCE1,No Filters activated.,,Any,,No,25,MS-PEAP,Lab_NAC_L2_802.1x,CACS:7/5e4/c0a8c801/50020,L2_1x_Quarantine_RAC,,,,,,,,,,,
In den Logs erscheint 3 mal die Healthy_RAC, dies ist jedoch nur weil ich bei "If a condition is not defined or there is no matched condition" diese ausgewählt hatte.

Ncoh eine Frage.. wird ein CTA Client für die Postures benötigt doer nicht? Hab mich bei einigen informiert, doch jeder meint was anders.

Im Vorraus vielen Dank für Antworten
mfg
http://net08.wordpress.com/
Dani - 25.03.2008 22:34
Ich habe mir erlaubt, für die Nachwelt das Log als Code-Block einzufügen. So dass der Beitrag immer komplett ist.
Ähnliche Inhalte
Netzwerkmanagement
HP SIM verursacht Authentication Failure an Cisco Switch
Frage von rennkuckuckNetzwerkmanagement7 Kommentare

Hallo, ich habe die neuste Version von HP Systems Insight Manager laufen und er produziert immer in dem Cisco ...

Verschlüsselung & Zertifikate
RSA authentication failed authentication manager
Frage von ko81roVerschlüsselung & Zertifikate2 Kommentare

Hallo zusammen, ich bekommen ob und zu immer wieder Probleme das sich die User nicht anmelden können, bei dem ...

Netzwerkgrundlagen
Mutual Authentication mit Offline CA ?
Frage von H4rdQu0r3Netzwerkgrundlagen5 Kommentare

Hallo Leute, Ich bin seit mittlerweile 2 Wochen am verzweifeln und finde einfach keine Antwort. Ich möchte einen Client ...

Switche und Hubs
Cisco SG300 - Routing Problem
Frage von StandardpasswortSwitche und Hubs15 Kommentare

Okay, wie erwartet bekomme ich die das Routen mit dem SG300 nicht hin. Hier nochmal die gewünschte Zielkonfiguration: VLAN10: ...

Neue Wissensbeiträge
Perl

Perl hat heute Geburtstag: 30 Jahre Perl: Lange Gesichter zum Geburtstag

Information von Penny.Cilin vor 5 StundenPerl2 Kommentare

Hallo, auch wenn es wenige wissen und noch weniger Leute es nutzen. Perl hat heute Geburtstag. 30 Jahre Perl ...

Sicherheit

Blackberry stirbt - Keine Updates für Priv mehr

Tipp von certifiedit.net vor 6 StundenSicherheit

Blackberry wird zu einer 08/15 Firma und geht wohl mehr und mehr den Weg, den HTC schon ging. Von ...

Windows 10

Autsch: Microsoft bündelt Windows 10 mit unsicherer Passwort-Manager-App

Tipp von kgborn vor 2 TagenWindows 1010 Kommentare

Unter Microsofts Windows 10 haben Endbenutzer keine Kontrolle mehr, was Microsoft an Apps auf dem Betriebssystem installiert (die Windows ...

Sicherheits-Tools

Achtung: Sicherheitslücke im FortiClient VPN-Client

Tipp von kgborn vor 2 TagenSicherheits-Tools

Ich weiß nicht, wie häufig die NextGeneration Endpoint Protection-Lösung von Fortinet in deutschen Unternehmen eingesetzt wird. An dieser Stelle ...

Heiß diskutierte Inhalte
Batch & Shell
Kann man mit einer .txt Datei eine .bat Datei öffnen?
gelöst Frage von HelloWorldBatch & Shell22 Kommentare

Wie schon im Titel beschrieben würde ich gerne durch einfaches klicken auf eine Text oder Word Datei eine Batch ...

Netzwerkgrundlagen
Belibiges Teilnetz einer Subnetzmaske rausfinden?
gelöst Frage von CenuzeNetzwerkgrundlagen18 Kommentare

Wundervollen Gutentag, mittlerweile kann ich Subnetting so einigermaßen, aber ein Problem habe ich noch. Netzwerkadresse und Boradcast errechnen ist ...

LAN, WAN, Wireless
WLAN Reichweite erhöhen mit neuer Antenne
gelöst Frage von gdconsultLAN, WAN, Wireless12 Kommentare

Hallo, ich besitze einen TL-WN722N USB-WLAN Dongle mit einer richtigen Antenne. Ich frage mich jetzt ob man die Reichweite ...

Windows Server
Logging von "gesendeten Nachrichten" auf Terminalservern
gelöst Frage von Z3R0C0MM4N0THiN6Windows Server10 Kommentare

Hallo zusammen, kann mir jemand auf kurzem Wege sagen ob 1) die per Task-Manager (oder damals tsadmin) an Benutzer ...