ich versuche mich gerade an 802.1x auf meinem Cisco Catalyst 3550 in Verbindung mit einem Microsoft IAS Radius Server.
WLAN ist dabei kein Thema, aber dies nur vorweg.
Der RADIUS Server akzeptiert Anforderungen, die ich mit einem RADIUS-Test Programm generiere und erlaubt mir auch den Zugriff bei richtigen Zugangsdaten.
Nur leider bekomme ich mit dem Switch keine Authentifizierung hin.
Ein Sniff am RADIUS Server ergibt, daß keine Authentifizierungsanfragen ankommen und somit auch nicht beantwortet werden.
Der Switch-Port steht in dem Fall auf AUTHENTICATING und via "debug dot1x all" bekomme ich laufend TimeOut Messages.
Die angegebene Server IP Adresse stimmt aber auf jeden Fall.
Das RADIUS-Secret hab ich zum Testen auf beiden Seiten auf "cisco" gesetzt.
Der XP Client sendet laut Log EOPOL Packages.
Ich poste mal Debug LOG und Teile der Konfiguration.
Feb 8 12:33:26.761: dot1x-core(Fa0/10): starting
Feb 8 12:33:26.761: dot1x-authsm(Fa0/10): state INITIALIZE, event CONTROL, arg 0x0
Feb 8 12:33:26.761: dot1x-authsm(Fa0/10): state INITIALIZE, event ENTRY, arg 0x0
Feb 8 12:33:26.761: dot1x-authsm(Fa0/10): state DISCONNECTED, event ENTRY, arg 0x0
Feb 8 12:33:26.761: dot1x-core(Fa0/10): deauthorized port
Feb 8 12:33:26.761: dot1x-core(Fa0/10): send EAPOL type=0, EAP code=4, id=0
Feb 8 12:33:26.765: dot1x-authsm(Fa0/10): state CONNECTING, event ENTRY, arg 0x0
Feb 8 12:33:26.765: dot1x-core(Fa0/10): send EAPOL type=0, EAP code=1, id=1
Feb 8 12:33:26.765: dot1x-authsm(Fa0/10): first connection attempt
Feb 8 12:33:26.765: dot1x-besm(Fa0/10): state IDLE, event CONTROL, arg 0x0
Feb 8 12:33:26.765: dot1x-besm(Fa0/10): state INITIALIZE, event ENTRY, arg 0x0
Feb 8 12:33:26.765: dot1x-reauthsm(Fa0/10): state INITIALIZE, event CONTROL, arg 0x0
Feb 8 12:33:26.765: dot1x-reauthsm(Fa0/10): reauth timer stopped
Feb 8 12:33:26.765: dot1x-core(Fa0/10): control event
Feb 8 12:33:26.765: dot1x-authsm(Fa0/10): state CONNECTING, event CONTROL, arg 0x0
Feb 8 12:33:26.765: dot1x-besm(Fa0/10): state INITIALIZE, event CONTROL, arg 0x0
Feb 8 12:33:26.765: dot1x-besm(Fa0/10): state IDLE, event ENTRY, arg 0x0
Feb 8 12:33:26.765: dot1x-reauthsm(Fa0/10): state INITIALIZE, event CONTROL, arg 0x0
Feb 8 12:33:26.765: dot1x-reauthsm(Fa0/10): reauth timer stopped
Feb 8 12:33:26.765: dot1x-core(Fa0/10): control event
Feb 8 12:33:26.765: dot1x-authsm(Fa0/10): state CONNECTING, event CONTROL, arg 0x0
Feb 8 12:33:26.765: dot1x-besm(Fa0/10): state IDLE, event CONTROL, arg 0x0
Feb 8 12:33:26.765: dot1x-reauthsm(Fa0/10): state INITIALIZE, event CONTROL, arg 0x0
Feb 8 12:33:26.765: dot1x-reauthsm(Fa0/10): reauth timer stopped
Feb 8 12:33:28.762: %LINK-3-UPDOWN: Interface FastEthernet0/10, changed state to up
Feb 8 12:33:56.769: dot1x-core(Fa0/10): timer TX_WHEN expired
Feb 8 12:33:56.769: dot1x-authsm(Fa0/10): state CONNECTING, event TIMEOUT, arg 0x0
Feb 8 12:33:56.769: dot1x-authsm(Fa0/10): state CONNECTING, event ENTRY, arg 0x0
Feb 8 12:33:56.769: dot1x-core(Fa0/10): send EAPOL type=0, EAP code=1, id=1
Feb 8 12:33:56.769: dot1x-authsm(Fa0/10): connection retry 1 of 2
Feb 8 12:33:56.769: dot1x-besm(Fa0/10): state IDLE, event TIMEOUT, arg 0x0
Feb 8 12:33:56.769: dot1x-reauthsm(Fa0/10): state INITIALIZE, event TIMEOUT, arg 0x0
die globale Einstellung hab ich noch nicht aktiviert, was aber einfach daran liegt, daß meine IOS Version das nicht unterstützt hat. Habe jetzt man den Wechsel von c3550-i9q3l2-mz.121-9.EA1c nach c3550-i9q3l2-mz.121-19.EA1c gemacht, weil ich die hier noch rumfliegen habe.
Also werd ich's damit noch mal ausprobieren.
"test aaa" klingt sehr schön zum Testen, aber leider unterstützt dies mein Switch nicht. Brauch ich dafür noch irgendwas anderes? Hab "nur" die SMI Variante des Switches.
/edit: Man braucht 12.2(4) für "test aaa", die ich leider nicht vorliegen haben und mangels Software-Update-Vertrag auch nicht so einfach bekomme
Ich klopfe mal gearde jeden ab, der zu Deinem/unserem Probelm noch im Stoff
steht.
Grund:
Bin selber gerade an dieser Konfiguration am Bastel.
Ich setze hier jedoch nen Cat 2950 mit IOS 12.2 (22)EA2 ein.
Dies sollte jedoch nicht das Problem sein ! Habe dazu nen Cisco ACS 3.3 auf nem
W2K Server laufen mit vollfunktionfähigem Certificate Server.
Die einfache Radius Authentication local auf dem Switch ist soweit nicht das Problem.
Jetzt stehe ich hier vor genau der selben Stelle !
Jedoch sieht mein dot1x debug etwas anders aus !
Frage: Ist das Thema bei Dir noch aktuell ?
Könnten wir uns hier etwas ergänzen ?
Ist ja bei dir immerhin scho 8 Wochen her ?
nachdem ich meine IOS Version upgedatet hatte (von einem baugleichen Switch kopiert), konnte ich die globale Einstellung "dot1x system-auth-control", wie von daking beschrieben setzen.
Danach hat das ganze dann funktioniert.
Mit der älteren IOS Version (siehe oben) hab ich es allerdings nicht zum Laufen bekommen.
Ich glaube, daß ich mir die Konfiguration aufgeschrieben habe.
Werde am Montag mal eben nachlesen und dann noch mal posten.
wie du vielleicht schon in anderen Beiträgen gelesen hast, arbeite ich mit Mr._Oiso zusammen an dem Problem.
Vielen Dank für die Konfiguration, aber wir denken das ist leider nicht unser Problem, da der ganze Aufbau mit einem IAS von Microsoft problemlos läuft...
Der Ärger fängt erst an, wenn der IAS ausgestellt wird und der ACS die Rolle des Radius Servers übernehemn soll.
Wir bekommen dabei jedesmal folgenede Fehlermeldung:
"Windows dialin permission requiered"
Ich habe bereits nachgeschaut bei den Eigenschaften der Benutzer in der AD. Dort ist unter "Einwählen" das Feld "Zugriff über RAS-Richtlinien steuern" aktiviert.
Gibt es da noch weitere Einstellungen die gemacht werden müssen???
Ach ja, wir haben den ACS und den Zertifikatsdienst(CA) auf einem Server zusammen laufen, könnte es damit Probleme geben???
802.1x port authentication
