10
Probleme mit Radius
Hallo
Ich habe ein Problem mit dem Radius-Server.
Ich will über einen Radius Server die authentifikation von Benutzern auf Switchen machen.
Ich habe zur Zeit folgende Umgebung zum testen.
Ein Win 2003 Server mit AD, DNS, und DHCP drauf.
Ich benutze ein Alcatel Switch auf der ich den Radius eingegeben habe.
Auf dem Switch scheint es richtig eingestellt zu sein, da kann man ja auch nicht wirklich was falsch machen.
Im Windows llaufen die oben genannten Dienste auch alle.
Ich habe dann wie bei der Windows-Homepage das "RAS und Routing" auf Radius gestellt, die Schlüssel und Ports eingestellt. Das gleiche beim IAS, und habe diesen im Active Directory regestriert.
Wenn ich jetzt von einem Rechner mit z.B. Telnet auf das Switch zugreifen will, kommt ein Fehler (Server configuration error, contact your administrator).
Im Ereignisprotokoll beim Server sehe ich das er den Benutzer richtig erkannt hat, und im den Zugriff gewährt hat.
Hat jemand eine Idee woran es liegen könnte?!?
Gruß und Danke
Ich habe ein Problem mit dem Radius-Server.
Ich will über einen Radius Server die authentifikation von Benutzern auf Switchen machen.
Ich habe zur Zeit folgende Umgebung zum testen.
Ein Win 2003 Server mit AD, DNS, und DHCP drauf.
Ich benutze ein Alcatel Switch auf der ich den Radius eingegeben habe.
Auf dem Switch scheint es richtig eingestellt zu sein, da kann man ja auch nicht wirklich was falsch machen.
Im Windows llaufen die oben genannten Dienste auch alle.
Ich habe dann wie bei der Windows-Homepage das "RAS und Routing" auf Radius gestellt, die Schlüssel und Ports eingestellt. Das gleiche beim IAS, und habe diesen im Active Directory regestriert.
Wenn ich jetzt von einem Rechner mit z.B. Telnet auf das Switch zugreifen will, kommt ein Fehler (Server configuration error, contact your administrator).
Im Ereignisprotokoll beim Server sehe ich das er den Benutzer richtig erkannt hat, und im den Zugriff gewährt hat.
Hat jemand eine Idee woran es liegen könnte?!?
Gruß und Danke
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 32046
Url: https://administrator.de/contentid/32046
Printed on: April 19, 2024 at 21:04 o'clock
10 Comments
Latest comment
Willst du die Benutzer die den Switch konfigurieren authentifizieren oder die Benutzer die an den Ports hängen um den Zugriff zum Netz zu reglementieren (802.1x)....das wird nicht ganz klar.
Ich weiss nicht wie das bei Alcatel aussieht aber in der Syntax eines bekannten Netzwerkherstellers sieht die Lösung der ersten Variante so aus:
aaa authentication login default radius local
(Local = damit du noch raufkommst wenn der Radius mal offline ist
)
radius-server host 192.168.1.253
radius-server key Geheim
user Admin password admin
Die dazu korrespondierende FreeRadius Konfig ist dann so:
( clients.conf )
#
client 192.168.1.0/24 {
secret = Geheim
}
( users )
#
Willi Service-Type == Framed-User, User-Password == "SagIchNicht"
#
Ich weiss nicht wie das bei Alcatel aussieht aber in der Syntax eines bekannten Netzwerkherstellers sieht die Lösung der ersten Variante so aus:
aaa authentication login default radius local
(Local = damit du noch raufkommst wenn der Radius mal offline ist
)radius-server host 192.168.1.253
radius-server key Geheim
user Admin password admin
Die dazu korrespondierende FreeRadius Konfig ist dann so:
( clients.conf )
#
client 192.168.1.0/24 {
secret = Geheim
}
( users )
#
Willi Service-Type == Framed-User, User-Password == "SagIchNicht"
#
Hey
Ich will die Benutzer die auf den Switch gehen authtifizieren.
Bei Alcatel ist das ähnlich und das hab ich auch so.
Ich will die Benutzer die auf den Switch gehen authtifizieren.
Bei Alcatel ist das ähnlich und das hab ich auch so.
noch ne Frage
den User den du anlegst, ist das allgemein gemeint oder braucht man diesen für den Radius??
den User den du anlegst, ist das allgemein gemeint oder braucht man diesen für den Radius??
Nein, generell brauchst du den nicht, das ist nur wie oben beschrieben ein "Notanker". Das aaa Kommando sagt ja hinten das der default Status vom Login via Radius ist und das "local" am Schluß meint das wenn die Radius Authentifizierung fehlschlägt, er dann eine Local Authentication machen soll. Das hat den Vorteil, das du immer noch an den Switch herankommst, auch wenn der Radius Server mal nicht erreichbar sein sollte sei es durch Ausfall, Wartung oder Abziehen des Trunk Links etc.
Hast du das nicht, kommst du, wenn überhaupt, nur noch über die Konsole an den Switch ran. Greift hier bei deinem Hersteller auch das aaa Kommando konsolseitig, kannst du nur noch eine Password Recovery Prozedur fahren über den Konsolport und den Switch ohne Konfig hochfahren, damit die Radius Authentifizierung außer Funktion genommen wird. Das kann sehr lästig sein, deshalb der Notausstieg mit der lokalen Authentifizierung, für die man dann den Usernamen und PW braucht.
Die Fehlermeldung bei dir ist etwas ungewöhnlich in diesem Zusammenhang. Wenn bei der Benutzerauthentifizierung was nicht klappt timed der Zugangsversuch eigentlich aus oder du bekommst ein "Login failed". Bei Freeradius hat man die Möglichkeit den Server im Debugger Modus laufen zu lassen und kann sehr detailiert sehen wie der Prozess abläuft bzw. wo der Fehler liegt sofern er denn auf Radius Ebene liegt.
Ein wichtiger Punkt bei der Sache ist noch der Radius TCP Port, denn der ist über die Jahre verändert worden. Server beutzen heute eigentlich nur noch die aktuellen Ports TCP 1812 für die Authentifizierung und TCP 1813 fürs Accounting. Die meisten Switches und Router haben aber als default Einstellung noch die alten Radius Ports 1645 und 1646. Deshalb solltest du zur Sicherheit diese in der Konfig mit angeben:
radius-server host 192.168.1.1 auth-port 1812 acct-port 1813 default key Geheim
sonst kann es sein das die requests ins Nirwana gehen ! Kannst du das nicht musst du die Server son hochfahren das sie diese Ports benutzen. (Freeradius macht das über einen einfach Parameteraufruf beim Start) Das solltest du aber ggf. mit dem Debugger auf dem Switch auch sehen können.
Hast du das nicht, kommst du, wenn überhaupt, nur noch über die Konsole an den Switch ran. Greift hier bei deinem Hersteller auch das aaa Kommando konsolseitig, kannst du nur noch eine Password Recovery Prozedur fahren über den Konsolport und den Switch ohne Konfig hochfahren, damit die Radius Authentifizierung außer Funktion genommen wird. Das kann sehr lästig sein, deshalb der Notausstieg mit der lokalen Authentifizierung, für die man dann den Usernamen und PW braucht.
Die Fehlermeldung bei dir ist etwas ungewöhnlich in diesem Zusammenhang. Wenn bei der Benutzerauthentifizierung was nicht klappt timed der Zugangsversuch eigentlich aus oder du bekommst ein "Login failed". Bei Freeradius hat man die Möglichkeit den Server im Debugger Modus laufen zu lassen und kann sehr detailiert sehen wie der Prozess abläuft bzw. wo der Fehler liegt sofern er denn auf Radius Ebene liegt.
Ein wichtiger Punkt bei der Sache ist noch der Radius TCP Port, denn der ist über die Jahre verändert worden. Server beutzen heute eigentlich nur noch die aktuellen Ports TCP 1812 für die Authentifizierung und TCP 1813 fürs Accounting. Die meisten Switches und Router haben aber als default Einstellung noch die alten Radius Ports 1645 und 1646. Deshalb solltest du zur Sicherheit diese in der Konfig mit angeben:
radius-server host 192.168.1.1 auth-port 1812 acct-port 1813 default key Geheim
sonst kann es sein das die requests ins Nirwana gehen ! Kannst du das nicht musst du die Server son hochfahren das sie diese Ports benutzen. (Freeradius macht das über einen einfach Parameteraufruf beim Start) Das solltest du aber ggf. mit dem Debugger auf dem Switch auch sehen können.
Die Ports hab ich 1812 und 1813 auf dem Switch wie auf dem Server.
Kann ich den Beim Server oder im Windows irgendwas falsch einstellen?
Kannst du einen Free-Radius empfehlen, er sollte unter windows laufen und sich mit dem Active Directory koppeln lassen.
Kann ich den Beim Server oder im Windows irgendwas falsch einstellen?
Kannst du einen Free-Radius empfehlen, er sollte unter windows laufen und sich mit dem Active Directory koppeln lassen.
Soweit ich weiss gibt es da nichts Freies für die Windows Welt ausser ein paar sehr abgespeckte Demos von komerzieller SW.
Das einfachste ist du nimmst den Windows IAS, der ist bei 2K mit dabei und natürlich im ADS integriert.
Bei den Ports ist es wichtig wie dein Server konfiguriert ist, ob er die alten Ports benutzt oder die Neuen. Ich meine der IAS benutzt die Neuen. Der Freeradius (www.freeradius.org) macht das mit dem default Programmaufruf auch !
Das einfachste ist du nimmst den Windows IAS, der ist bei 2K mit dabei und natürlich im ADS integriert.
Bei den Ports ist es wichtig wie dein Server konfiguriert ist, ob er die alten Ports benutzt oder die Neuen. Ich meine der IAS benutzt die Neuen. Der Freeradius (www.freeradius.org) macht das mit dem default Programmaufruf auch !
IAS benutze ich im Moment bzw. versuche es.
Wie gesagt die Ports hab ich auf 1812 und 1813, in dem Switch eingestellt und beim Radius hat er es auch das hab ich schon überprüft, gibt es sonst irgend ein Haken den ich setzen muß oder was was man falsch machen kann.
Im Prinzip hab ich fst überall die default Einstellungen.
Muß ich dem User was bestimmtes einstellen? Einwählrechte hat er.
Wie gesagt die Ports hab ich auf 1812 und 1813, in dem Switch eingestellt und beim Radius hat er es auch das hab ich schon überprüft, gibt es sonst irgend ein Haken den ich setzen muß oder was was man falsch machen kann.
Im Prinzip hab ich fst überall die default Einstellungen.
Muß ich dem User was bestimmtes einstellen? Einwählrechte hat er.
Mal noch ne ganz andere Frage.
Wenn ein User sich über den Radius authentifiziert kann ich diesem dann verschiedene Rechte auf dem Switch zuweisen?
Wenn ein User sich über den Radius authentifiziert kann ich diesem dann verschiedene Rechte auf dem Switch zuweisen?
Hallo
Weis jemand wie das bei Cisco geht, das man dem User verschiedene Rechte mitgeben kann??
Bei Alcatel habe ich das hinbekommen.
Weis jemand wie das bei Cisco geht, das man dem User verschiedene Rechte mitgeben kann??
Bei Alcatel habe ich das hinbekommen.
Hallo,
du mußt auf dem Radius verschiedene Gruppen anlegen die verschiedene Privileges zugewiesen bekommen.
Auf dem Switch legst du dann ein passendes Enable PW mit den passenden priviliege level an
enable secret level 2 Passwort
Du kannst dann dem level verschiedene befehle zusätzlich noch hinzufügen
z.B.:
privilege exec level 2 clear counters
Aber vielleicht kanst du mir auch weiterhelfen. Wie macht man das ganze bei Alcatel Switchen?
Gruss
du mußt auf dem Radius verschiedene Gruppen anlegen die verschiedene Privileges zugewiesen bekommen.
Auf dem Switch legst du dann ein passendes Enable PW mit den passenden priviliege level an
enable secret level 2 Passwort
Du kannst dann dem level verschiedene befehle zusätzlich noch hinzufügen
z.B.:
privilege exec level 2 clear counters
Aber vielleicht kanst du mir auch weiterhelfen. Wie macht man das ganze bei Alcatel Switchen?
Gruss
