Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Radius-Authentifikation via MAC-Adresse (Windows Server 2012 und HP ProCurve 2510-24 J9019A)

Frage Netzwerke Netzwerkmanagement

Mitglied: ITTKAG

ITTKAG (Level 1) - Jetzt verbinden

11.04.2014, aktualisiert 22.04.2014, 2528 Aufrufe, 5 Kommentare, 2 Danke

Hallo

In meinem Testnetzwerk sind:
  • ein Netzwerkrichtlinienserver (WinSrv 2012)
  • ein 802.1x-fähiger Switch (HP ProCurve 2510-24 J9019A, Aktuellste Firmware)
  • ein Testclient (Win 7)
  • und ein Drucker.

In meiner bisherigen Konfiguration muss sich der Benutzer (Client) entweder mit einem Zertifikat oder den Benutzerinformationen (Im AD gespeichert) anmelden, was auch funktioniert.
Der Switch ist so konfiguriert, dass er die authentifizierten Clients oder Benutzer in VLAN 1 (Authentifiziert) und alles andere in VLAN 2 setzt.

Da der Drucker sich durch keine der beiden Methoden anmelden kann, wird er vom Switch abgelehnt und landet im zweiten VLAN.
Nun habe ich an eine MAC-Authentifizierung gedacht, bei der ich für den Drucker einen Benutzer im AD erstelle und dieser so authentifiziert wird.

Benutzername und Passwort des Benutzers entsprechen der MAC-Adresse des Druckers (AA-BB-CC-DD-EE-FF). Später sollen weitere "Benutzer" hinzu kommen, darum habe ich eine separate Gruppe erstellt, in der alle Geräte sind, die via MAC authentifiziert werden.
In der Netzwerkrichtlinie unter "Bedingung" habe ich "NAS-Porttyp = Ethernet" und "Windows-Gruppe = MAC-Authenthifizierung (Gruppe des Druckers)" definiert.
Im Tab "Einschränkungen" ist nur "Unverschlüsselte Authentifizierung (PAP/SPAP)" ausgewählt.

Hier die Konfiguration des Ports, welcher für den Drucker konfiguriert werden soll:
aaa port-access mac-based addr-format multi-dash
aaa port-access mac-based 20 logoff-period 2400
aaa port-access mac-based 20 quiet-period 30
aaa port-access mac-based 20 server-timeout 10
aaa port-access mac-based 20 reauth-period 600
aaa port-access mac-based 20 auth-vid 1
aaa port-access mac-based 20 unauth-vid 2
aaa port-access 20
aaa port-access authenticator active

Wenn der Drucker nun an diesem Port angeschlossen wird, reagiert der Radius-Server nicht darauf (Keine Einträge in der Ereignisanzeige und im Log).
An der Standard-Konfiguration kann es ja nicht liegen, da die 802.1x Authentifikation (Getestet mit einem Windows 7-Client) problemlos funktioniert.

Nun zu meinen Fragen:

  • Muss ich dem Switch noch mehr Parameter mitgeben (wenn ja, welche?), damit er die MAC-Adresse bzw. die authentifizierte Gruppe aus dem AD anfordert?
  • Ist es möglich 802.1x- und MAC-Authentifikation an den selben Ports zu konfigurieren (So dass zuerst nach einem Zertifikat/den Benutzerinformationen gesucht wird und falls keine gefunden werden, die MAC-Authentifikaton angewandt wird)?

Gruss
Mitglied: aqui
LÖSUNG 11.04.2014, aktualisiert 22.04.2014
Das hiesige Forumstutorial dazu hast du gelesen ?
http://www.administrator.de/wissen/netzwerk-zugangskontrolle-mit-802-1x ...
Dort sind auch gängige Switch Konfigs aufgeführt zum Abtippen für eine Mac Authentisierung mit .1x
Und JA es ist möglich beide Authentisierungsverfahren auf dem Port zu fahren, jedenfalls supporten es fast alle gängigen Hersteller. Ob Billigheimer HP das kann musst du im Handbuch nachlesen. Manche nutzen dafür ein Radius Vendor Attribute was du im Dictionary File am Radius Server nachtragen musst aber in der Regel funktioniert es auch mit dem Timeout.
Hier muss man allerdings aufpassen WIE Hersteller das behandeln. Die einen machen zuerst .1x mit User/Pass oder Zertifikat und wenn das fehlschlägt die Mac Authentisierung um z.B. nicht .1x fähige Endgeräte wie Drucker oder Telefone abgesichert ins Netz zu bekommen.
Eigentlich macht auch nur diese Reihenfolge Sinn aber bei einer Reihe von Herstellern ist das customizebar, sprich über die Konfig einstellbar.
Einige supporten auch aufgrund eines Radius Vendor Attributes die erzwungene zusätzliche Mac Authentisierung nach der .1x Authentisierung. Also quasi doppelte Absicherung. Das Gros überspringt nach einer ersten erfolgreichen Authentisierung aber immer die zweite.
Wie sich der Switch da verhält ist zu 100% Sache des Herstellers, wie das in die Firmware implementiert ist. Einen Standard gibt es dafür nicht. Das kann dir also genau nur das User- oder Administration Manual zum Switch erklären, denn da sind die Unterschiede bei den Herstellern recht vielfältig.
Sehr hilfreich ist es hier wenn man den Radius in den Debug Mode versetzen kann um die Anfragen des Switches zu sehen (Siehe Tutorial oben). Alternativ dann natürlich ein Wireshark Sniffer Trace wo man die Radius Authentisierung mitsniffert. Dort sieht man dann sofort wo der Hase im Pfeffer liegt !
HP hat für seine Gurken was die Mac Authentisierung anbetrifft ein entsprechendes Manual:
http://h10032.www1.hp.com/ctg/Manual/c02628207.pdf
Bitte warten ..
Mitglied: ITTKAG
11.04.2014 um 15:59 Uhr
Hallo aqui

Ja, das Forumstutorial hat mir am Anfang sehr geholfen.
Laut HP unterstützt der Switch die doppelte Authentifizierung und benötigt keine weiteren Parameter für die MAC-Authentifizierung.
In der HP Manual wurden einige Einstellungen anders ausgeführt. Ich werde mir das nächste Woche einmal genauer ansehen.
Port-Security: "ftp://ftp.hp.com/pub/networking/software/Security-Oct2005-59906024-Cha ...", mal sehn ob das weiter hilft

Danke für die Hilfe, ich melde mich sobald ich weiter gekommen bin oder neue Probleme auftauchen.

Gruss
Bitte warten ..
Mitglied: aqui
11.04.2014, aktualisiert um 16:12 Uhr
Der von dir gepostete Manual Auszug ist technisch etwas völlig anderes und hat mit 802.1x Mac Security gar nichts zu tun !
Das ist ganz einfach Mac Port Security, da kannst du den Switch anweisen keine weitere oder nur bestimmte Macs am Port zu lernen.
Komplett andere Baustelle ! Das kannst du für dein Problem vergessen und darfst das auch niemals aktiveren, denn das wirkt sich kontraproduktiv zu dem aus was du eigentlich willst, nämlich die dynamische Authentisierung !
Bitte warten ..
Mitglied: ITTKAG
22.04.2014 um 07:58 Uhr
Hallo aqui

Sorry für die späte Antwort, bis jetzt fand ich keine Zeit, um an diesem Thema weiter zu arbeiten.
Mit dem Link hast du natürlich recht, ich sollte den Text nicht nur überfliegen!

Zu meinem eigentlichen Problem:
Die AD-Konfiguration inkl. dem AD-Benutzer war richtig.
Beim Switch (HP ProCurve 2510-24 J9019-A) steht einem der Befehl "aaa port-access mac-based addr-format" zur Verfügung.
Durch den Parameter "multi-dash" speichert der Switch die MAC-Adressen im Format "AA-BB-CC-DD-EE-FF" und nimmt diese auch so an ... sollte er zumindest.
Der Fehler war, dass er beim auslesen des AD-Benutzers trotzdem ein anderes Format verwendet hat.
Nachdem ich die MAC-Adressen ohne weiteres Format (aabbccddeeff) gepeichert hatte, funktionierte alles problemlos (Parameter "no-delimiter" beim Switch).

Nochmals danke für deine Hilfe.

Gruss
Bitte warten ..
Mitglied: aqui
22.04.2014 um 11:23 Uhr
Hört sich gut an das nun alles klappt....
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (17)

Frage von liquidbase zum Thema Windows Update ...