Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Probleme mit Radius

Frage Netzwerke

Mitglied: pillermann2000

pillermann2000 (Level 1) - Jetzt verbinden

09.05.2006, aktualisiert 16.05.2006, 4839 Aufrufe, 10 Kommentare

Hallo

Ich habe ein Problem mit dem Radius-Server.
Ich will über einen Radius Server die authentifikation von Benutzern auf Switchen machen.

Ich habe zur Zeit folgende Umgebung zum testen.
Ein Win 2003 Server mit AD, DNS, und DHCP drauf.
Ich benutze ein Alcatel Switch auf der ich den Radius eingegeben habe.
Auf dem Switch scheint es richtig eingestellt zu sein, da kann man ja auch nicht wirklich was falsch machen.
Im Windows llaufen die oben genannten Dienste auch alle.

Ich habe dann wie bei der Windows-Homepage das "RAS und Routing" auf Radius gestellt, die Schlüssel und Ports eingestellt. Das gleiche beim IAS, und habe diesen im Active Directory regestriert.
Wenn ich jetzt von einem Rechner mit z.B. Telnet auf das Switch zugreifen will, kommt ein Fehler (Server configuration error, contact your administrator).
Im Ereignisprotokoll beim Server sehe ich das er den Benutzer richtig erkannt hat, und im den Zugriff gewährt hat.

Hat jemand eine Idee woran es liegen könnte?!?

Gruß und Danke
Mitglied: aqui
09.05.2006 um 17:47 Uhr
Willst du die Benutzer die den Switch konfigurieren authentifizieren oder die Benutzer die an den Ports hängen um den Zugriff zum Netz zu reglementieren (802.1x)....das wird nicht ganz klar.
Ich weiss nicht wie das bei Alcatel aussieht aber in der Syntax eines bekannten Netzwerkherstellers sieht die Lösung der ersten Variante so aus:

aaa authentication login default radius local
(Local = damit du noch raufkommst wenn der Radius mal offline ist )
radius-server host 192.168.1.253
radius-server key Geheim
user Admin password admin

Die dazu korrespondierende FreeRadius Konfig ist dann so:
( clients.conf )
client 192.168.1.0/24 {
secret = Geheim
}

( users )
Willi Service-Type == Framed-User, User-Password == "SagIchNicht"
#
Bitte warten ..
Mitglied: pillermann2000
09.05.2006 um 22:39 Uhr
Hey

Ich will die Benutzer die auf den Switch gehen authtifizieren.
Bei Alcatel ist das ähnlich und das hab ich auch so.
Bitte warten ..
Mitglied: pillermann2000
10.05.2006 um 09:39 Uhr
noch ne Frage
den User den du anlegst, ist das allgemein gemeint oder braucht man diesen für den Radius??
Bitte warten ..
Mitglied: aqui
10.05.2006 um 10:38 Uhr
Nein, generell brauchst du den nicht, das ist nur wie oben beschrieben ein "Notanker". Das aaa Kommando sagt ja hinten das der default Status vom Login via Radius ist und das "local" am Schluß meint das wenn die Radius Authentifizierung fehlschlägt, er dann eine Local Authentication machen soll. Das hat den Vorteil, das du immer noch an den Switch herankommst, auch wenn der Radius Server mal nicht erreichbar sein sollte sei es durch Ausfall, Wartung oder Abziehen des Trunk Links etc.
Hast du das nicht, kommst du, wenn überhaupt, nur noch über die Konsole an den Switch ran. Greift hier bei deinem Hersteller auch das aaa Kommando konsolseitig, kannst du nur noch eine Password Recovery Prozedur fahren über den Konsolport und den Switch ohne Konfig hochfahren, damit die Radius Authentifizierung außer Funktion genommen wird. Das kann sehr lästig sein, deshalb der Notausstieg mit der lokalen Authentifizierung, für die man dann den Usernamen und PW braucht.
Die Fehlermeldung bei dir ist etwas ungewöhnlich in diesem Zusammenhang. Wenn bei der Benutzerauthentifizierung was nicht klappt timed der Zugangsversuch eigentlich aus oder du bekommst ein "Login failed". Bei Freeradius hat man die Möglichkeit den Server im Debugger Modus laufen zu lassen und kann sehr detailiert sehen wie der Prozess abläuft bzw. wo der Fehler liegt sofern er denn auf Radius Ebene liegt.
Ein wichtiger Punkt bei der Sache ist noch der Radius TCP Port, denn der ist über die Jahre verändert worden. Server beutzen heute eigentlich nur noch die aktuellen Ports TCP 1812 für die Authentifizierung und TCP 1813 fürs Accounting. Die meisten Switches und Router haben aber als default Einstellung noch die alten Radius Ports 1645 und 1646. Deshalb solltest du zur Sicherheit diese in der Konfig mit angeben:

radius-server host 192.168.1.1 auth-port 1812 acct-port 1813 default key Geheim

sonst kann es sein das die requests ins Nirwana gehen ! Kannst du das nicht musst du die Server son hochfahren das sie diese Ports benutzen. (Freeradius macht das über einen einfach Parameteraufruf beim Start) Das solltest du aber ggf. mit dem Debugger auf dem Switch auch sehen können.
Bitte warten ..
Mitglied: pillermann2000
10.05.2006 um 13:49 Uhr
Die Ports hab ich 1812 und 1813 auf dem Switch wie auf dem Server.
Kann ich den Beim Server oder im Windows irgendwas falsch einstellen?

Kannst du einen Free-Radius empfehlen, er sollte unter windows laufen und sich mit dem Active Directory koppeln lassen.
Bitte warten ..
Mitglied: aqui
11.05.2006 um 16:21 Uhr
Soweit ich weiss gibt es da nichts Freies für die Windows Welt ausser ein paar sehr abgespeckte Demos von komerzieller SW.
Das einfachste ist du nimmst den Windows IAS, der ist bei 2K mit dabei und natürlich im ADS integriert.
Bei den Ports ist es wichtig wie dein Server konfiguriert ist, ob er die alten Ports benutzt oder die Neuen. Ich meine der IAS benutzt die Neuen. Der Freeradius (www.freeradius.org) macht das mit dem default Programmaufruf auch !
Bitte warten ..
Mitglied: pillermann2000
12.05.2006 um 08:49 Uhr
IAS benutze ich im Moment bzw. versuche es.
Wie gesagt die Ports hab ich auf 1812 und 1813, in dem Switch eingestellt und beim Radius hat er es auch das hab ich schon überprüft, gibt es sonst irgend ein Haken den ich setzen muß oder was was man falsch machen kann.
Im Prinzip hab ich fst überall die default Einstellungen.
Muß ich dem User was bestimmtes einstellen? Einwählrechte hat er.
Bitte warten ..
Mitglied: pillermann2000
12.05.2006 um 15:59 Uhr
Mal noch ne ganz andere Frage.
Wenn ein User sich über den Radius authentifiziert kann ich diesem dann verschiedene Rechte auf dem Switch zuweisen?
Bitte warten ..
Mitglied: pillermann2000
16.05.2006 um 13:55 Uhr
Hallo

Weis jemand wie das bei Cisco geht, das man dem User verschiedene Rechte mitgeben kann??
Bei Alcatel habe ich das hinbekommen.
Bitte warten ..
Mitglied: gehr05
07.04.2009 um 08:50 Uhr
Hallo,

du mußt auf dem Radius verschiedene Gruppen anlegen die verschiedene Privileges zugewiesen bekommen.
Auf dem Switch legst du dann ein passendes Enable PW mit den passenden priviliege level an

enable secret level 2 Passwort

Du kannst dann dem level verschiedene befehle zusätzlich noch hinzufügen
z.B.:

privilege exec level 2 clear counters

Aber vielleicht kanst du mir auch weiterhelfen. Wie macht man das ganze bei Alcatel Switchen?

Gruss
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Papierkorb
gelöst Office 2016 Probleme mit Outlook (5)

Frage von killtec zum Thema Papierkorb ...

LAN, WAN, Wireless
gelöst 802.1x Authentifizierung - NPS - RADIUS MAC (4)

Frage von LKaderavek zum Thema LAN, WAN, Wireless ...

Batch & Shell
gelöst Crontab mit Shell Probleme (9)

Frage von mschaedler1982 zum Thema Batch & Shell ...

Windows 7
gelöst Sind euch verstärkte Probleme bei Windows 7 Updates aufgefallen? (4)

Frage von RadioHam zum Thema Windows 7 ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (20)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Festplatten, SSD, Raid
M.2 SSD wird nicht erkannt (14)

Frage von uridium69 zum Thema Festplatten, SSD, Raid ...