Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Probleme mit Radius

Frage Netzwerke

Mitglied: pillermann2000

pillermann2000 (Level 1) - Jetzt verbinden

09.05.2006, aktualisiert 16.05.2006, 4866 Aufrufe, 10 Kommentare

Hallo

Ich habe ein Problem mit dem Radius-Server.
Ich will über einen Radius Server die authentifikation von Benutzern auf Switchen machen.

Ich habe zur Zeit folgende Umgebung zum testen.
Ein Win 2003 Server mit AD, DNS, und DHCP drauf.
Ich benutze ein Alcatel Switch auf der ich den Radius eingegeben habe.
Auf dem Switch scheint es richtig eingestellt zu sein, da kann man ja auch nicht wirklich was falsch machen.
Im Windows llaufen die oben genannten Dienste auch alle.

Ich habe dann wie bei der Windows-Homepage das "RAS und Routing" auf Radius gestellt, die Schlüssel und Ports eingestellt. Das gleiche beim IAS, und habe diesen im Active Directory regestriert.
Wenn ich jetzt von einem Rechner mit z.B. Telnet auf das Switch zugreifen will, kommt ein Fehler (Server configuration error, contact your administrator).
Im Ereignisprotokoll beim Server sehe ich das er den Benutzer richtig erkannt hat, und im den Zugriff gewährt hat.

Hat jemand eine Idee woran es liegen könnte?!?

Gruß und Danke
Mitglied: aqui
09.05.2006 um 17:47 Uhr
Willst du die Benutzer die den Switch konfigurieren authentifizieren oder die Benutzer die an den Ports hängen um den Zugriff zum Netz zu reglementieren (802.1x)....das wird nicht ganz klar.
Ich weiss nicht wie das bei Alcatel aussieht aber in der Syntax eines bekannten Netzwerkherstellers sieht die Lösung der ersten Variante so aus:

aaa authentication login default radius local
(Local = damit du noch raufkommst wenn der Radius mal offline ist )
radius-server host 192.168.1.253
radius-server key Geheim
user Admin password admin

Die dazu korrespondierende FreeRadius Konfig ist dann so:
( clients.conf )
client 192.168.1.0/24 {
secret = Geheim
}

( users )
Willi Service-Type == Framed-User, User-Password == "SagIchNicht"
#
Bitte warten ..
Mitglied: pillermann2000
09.05.2006 um 22:39 Uhr
Hey

Ich will die Benutzer die auf den Switch gehen authtifizieren.
Bei Alcatel ist das ähnlich und das hab ich auch so.
Bitte warten ..
Mitglied: pillermann2000
10.05.2006 um 09:39 Uhr
noch ne Frage
den User den du anlegst, ist das allgemein gemeint oder braucht man diesen für den Radius??
Bitte warten ..
Mitglied: aqui
10.05.2006 um 10:38 Uhr
Nein, generell brauchst du den nicht, das ist nur wie oben beschrieben ein "Notanker". Das aaa Kommando sagt ja hinten das der default Status vom Login via Radius ist und das "local" am Schluß meint das wenn die Radius Authentifizierung fehlschlägt, er dann eine Local Authentication machen soll. Das hat den Vorteil, das du immer noch an den Switch herankommst, auch wenn der Radius Server mal nicht erreichbar sein sollte sei es durch Ausfall, Wartung oder Abziehen des Trunk Links etc.
Hast du das nicht, kommst du, wenn überhaupt, nur noch über die Konsole an den Switch ran. Greift hier bei deinem Hersteller auch das aaa Kommando konsolseitig, kannst du nur noch eine Password Recovery Prozedur fahren über den Konsolport und den Switch ohne Konfig hochfahren, damit die Radius Authentifizierung außer Funktion genommen wird. Das kann sehr lästig sein, deshalb der Notausstieg mit der lokalen Authentifizierung, für die man dann den Usernamen und PW braucht.
Die Fehlermeldung bei dir ist etwas ungewöhnlich in diesem Zusammenhang. Wenn bei der Benutzerauthentifizierung was nicht klappt timed der Zugangsversuch eigentlich aus oder du bekommst ein "Login failed". Bei Freeradius hat man die Möglichkeit den Server im Debugger Modus laufen zu lassen und kann sehr detailiert sehen wie der Prozess abläuft bzw. wo der Fehler liegt sofern er denn auf Radius Ebene liegt.
Ein wichtiger Punkt bei der Sache ist noch der Radius TCP Port, denn der ist über die Jahre verändert worden. Server beutzen heute eigentlich nur noch die aktuellen Ports TCP 1812 für die Authentifizierung und TCP 1813 fürs Accounting. Die meisten Switches und Router haben aber als default Einstellung noch die alten Radius Ports 1645 und 1646. Deshalb solltest du zur Sicherheit diese in der Konfig mit angeben:

radius-server host 192.168.1.1 auth-port 1812 acct-port 1813 default key Geheim

sonst kann es sein das die requests ins Nirwana gehen ! Kannst du das nicht musst du die Server son hochfahren das sie diese Ports benutzen. (Freeradius macht das über einen einfach Parameteraufruf beim Start) Das solltest du aber ggf. mit dem Debugger auf dem Switch auch sehen können.
Bitte warten ..
Mitglied: pillermann2000
10.05.2006 um 13:49 Uhr
Die Ports hab ich 1812 und 1813 auf dem Switch wie auf dem Server.
Kann ich den Beim Server oder im Windows irgendwas falsch einstellen?

Kannst du einen Free-Radius empfehlen, er sollte unter windows laufen und sich mit dem Active Directory koppeln lassen.
Bitte warten ..
Mitglied: aqui
11.05.2006 um 16:21 Uhr
Soweit ich weiss gibt es da nichts Freies für die Windows Welt ausser ein paar sehr abgespeckte Demos von komerzieller SW.
Das einfachste ist du nimmst den Windows IAS, der ist bei 2K mit dabei und natürlich im ADS integriert.
Bei den Ports ist es wichtig wie dein Server konfiguriert ist, ob er die alten Ports benutzt oder die Neuen. Ich meine der IAS benutzt die Neuen. Der Freeradius (www.freeradius.org) macht das mit dem default Programmaufruf auch !
Bitte warten ..
Mitglied: pillermann2000
12.05.2006 um 08:49 Uhr
IAS benutze ich im Moment bzw. versuche es.
Wie gesagt die Ports hab ich auf 1812 und 1813, in dem Switch eingestellt und beim Radius hat er es auch das hab ich schon überprüft, gibt es sonst irgend ein Haken den ich setzen muß oder was was man falsch machen kann.
Im Prinzip hab ich fst überall die default Einstellungen.
Muß ich dem User was bestimmtes einstellen? Einwählrechte hat er.
Bitte warten ..
Mitglied: pillermann2000
12.05.2006 um 15:59 Uhr
Mal noch ne ganz andere Frage.
Wenn ein User sich über den Radius authentifiziert kann ich diesem dann verschiedene Rechte auf dem Switch zuweisen?
Bitte warten ..
Mitglied: pillermann2000
16.05.2006 um 13:55 Uhr
Hallo

Weis jemand wie das bei Cisco geht, das man dem User verschiedene Rechte mitgeben kann??
Bei Alcatel habe ich das hinbekommen.
Bitte warten ..
Mitglied: gehr05
07.04.2009 um 08:50 Uhr
Hallo,

du mußt auf dem Radius verschiedene Gruppen anlegen die verschiedene Privileges zugewiesen bekommen.
Auf dem Switch legst du dann ein passendes Enable PW mit den passenden priviliege level an

enable secret level 2 Passwort

Du kannst dann dem level verschiedene befehle zusätzlich noch hinzufügen
z.B.:

privilege exec level 2 clear counters

Aber vielleicht kanst du mir auch weiterhelfen. Wie macht man das ganze bei Alcatel Switchen?

Gruss
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless
Lancom Radius Server hat mit Netgear-WLAN-AP Probleme
Frage von josefseLAN, WAN, Wireless1 Kommentar

Wir haben hier folgende Problemstellung: Neuer Lancom-Router 1781A mit 2 VLAN´s: Intranet und Gastnetz Vorhandener Netgear WLAN-AP (WNDAP360) mit ...

Netzwerke
Authentifizerungsproblem mit RADIUS
Frage von Dom1091Netzwerke6 Kommentare

Guten Morgen allerseits, zurzeit befinde ich mich in der Ausbiildung zum FISI nun soll ich währen meines Projekts ein ...

Netzwerke
Welcher RADIUS-Server
Frage von GurustratorNetzwerke5 Kommentare

Hallo zusammen, Ich bin auf der Suche nach einem Radius Server für ein Unternehmensnetzwerk mit ca. 1000 Windows Clients. ...

LAN, WAN, Wireless
WLAN per Radius absichern - Handy unterstützt Radius nicht
Frage von dietziLAN, WAN, Wireless10 Kommentare

Hallo Leute, ich hoffe, dass ich hier eine Antwort auf meine Frage finde. Ich habe einen Server mit Freeradius ...

Neue Wissensbeiträge
Windows 10

Windows 10 Hello-Anmeldung per Foto ausgehebelt

Tipp von kgborn vor 3 StundenWindows 10

Windows Hello ist eine Funktion, um sich per Fingerabdruck-, Gesichts- oder Iriserkennung bei Windows 10-Geräten anzumelden (siehe), setzt aber ...

Perl

Perl hat heute Geburtstag: 30 Jahre Perl: Lange Gesichter zum Geburtstag

Information von Penny.Cilin vor 11 StundenPerl2 Kommentare

Hallo, auch wenn es wenige wissen und noch weniger Leute es nutzen. Perl hat heute Geburtstag. 30 Jahre Perl ...

Sicherheit

Blackberry stirbt - Keine Updates für Priv mehr

Tipp von certifiedit.net vor 11 StundenSicherheit1 Kommentar

Blackberry wird zu einer 08/15 Firma und geht wohl mehr und mehr den Weg, den HTC schon ging. Von ...

Windows 10

Autsch: Microsoft bündelt Windows 10 mit unsicherer Passwort-Manager-App

Tipp von kgborn vor 2 TagenWindows 1012 Kommentare

Unter Microsofts Windows 10 haben Endbenutzer keine Kontrolle mehr, was Microsoft an Apps auf dem Betriebssystem installiert (die Windows ...

Heiß diskutierte Inhalte
Windows Server
SCCM 2016: PXE Boot des Clients schlägt fehl
Frage von gabeBUWindows Server23 Kommentare

Hallo Zusammen Ich habe eine Testumgebung erstellt um über SCCM 2016 einen virtuellen Client aufzusetzen. Folgende Maschinen habe ich ...

Netzwerkgrundlagen
Belibiges Teilnetz einer Subnetzmaske rausfinden?
gelöst Frage von CenuzeNetzwerkgrundlagen19 Kommentare

Wundervollen Gutentag, mittlerweile kann ich Subnetting so einigermaßen, aber ein Problem habe ich noch. Netzwerkadresse und Boradcast errechnen ist ...

LAN, WAN, Wireless
WLAN Reichweite erhöhen mit neuer Antenne
gelöst Frage von gdconsultLAN, WAN, Wireless12 Kommentare

Hallo, ich besitze einen TL-WN722N USB-WLAN Dongle mit einer richtigen Antenne. Ich frage mich jetzt ob man die Reichweite ...

Exchange Server
Exchange empfängt Emails - Kann aber keine Senden
gelöst Frage von niklasschaeferExchange Server11 Kommentare

Hallo, ich stehe gerade bei mir zuhause vor folgender Problemstellung. Gegeben sind 2x Hyper-V Host mit Windows Server 2016 ...