Zum Inhalt wechseln


Foto

MAC-basierte 802.1x-Authentifizierung mit dynamischer VLAN-Zuordnung


  • Bitte melde dich an um zu Antworten
12 Antworten in diesem Thema

#1 mturba

mturba

    Member

  • 238 Beiträge

 

Geschrieben 04. Dezember 2006 - 16:44

Hi,

bei vielen Herstellern aktiver Netzwerkkomponenten wie z.B. Procurve, Extreme oder Foundry gibt es die Möglichkeit, eine MAC-basierte 802.1x-Authentifizierung durchzuführen mit dynamischer VLAN-Zuordnung. Bei Cisco scheint es diese Möglichkeit nicht zu geben, zumindest habe ich in der Dokumentation nichts dazu gefunden. Vermutlich verlässt sich Cisco dabei auf sein proprietäres VMPS-Protokoll, anstatt auf herstellerpezifische Radius-Attribute.

Weiß da jemand etwas drüber?

Danke und Gruß,
Martin

#2 fu123

fu123

    Board Veteran

  • 618 Beiträge

 

Geschrieben 05. Dezember 2006 - 06:19

Hier hier für einen 3560.

Configuring IEEE 802.1x Port-Based Authentication

...
•VLAN Membership Policy Server (VMPS)—IEEE802.1x and VMPS are mutually exclusive.
...

Fu

#3 Wordo

Wordo

    Board Veteran

  • 3.213 Beiträge

 

Geschrieben 05. Dezember 2006 - 08:25

Vermutlich verlässt sich Cisco dabei auf sein proprietäres VMPS-Protokoll, anstatt auf herstellerpezifische Radius-Attribute.


Einen VMPS Server kannst du aber auch unter Linux aufsetzen (OpenVMPS)

#4 mturba

mturba

    Member

  • 238 Beiträge

 

Geschrieben 05. Dezember 2006 - 09:06

VLAN Membership Policy Server (VMPS)—IEEE802.1x and VMPS are mutually exclusive

Danke für den Hinweis, evtl. habe ich mich nicht richtig ausgedrückt. Mein Ziel ist nicht, die VLAN-Zuordnung per VMPS zu machen und gleichzeitig 802.1x port based authentication zu fahren. Ziel ist es, eine Möglichkeit zu finden, in einer heterogenen Umgebung (Cisco, Procurve, Foundry, ...) eine dynamische VLAN-Zuordnung anhand der MAC-Adresse zu erreichen.
Einziger Ansatz bisher ist, eine Datenbankanbindung für OpenVMPS zu schreiben, der die VLAN-Zuordnung per VMPS für die Cisco-Geräte übernimmt und parallel dazu einen FreeRADIUS, der auf der gleichen Datenbasis die VLAN-Zuordnung per 802.1x vornimmt. Schön wäre allerdings gewesen, wenn man sich den VMPS-Daemon hätte sparen können.

#5 Weihnachtsmann

Weihnachtsmann

    Member

  • 193 Beiträge

 

Geschrieben 05. Dezember 2006 - 09:55

Ein Ansatz wäre bestimmt MAC-basierende 802.1x Authentifizierung damit solltest du über den RADIUS Server VLANs zuordnen können. Bei HP funktioniert das soweit ich weis indem man als Radius-User und als Radius-Passwort die MAC-Adresse des Clients nimmt.

#6 mturba

mturba

    Member

  • 238 Beiträge

 

Geschrieben 05. Dezember 2006 - 10:53

Ein Ansatz wäre bestimmt MAC-basierende 802.1x Authentifizierung damit solltest du über den RADIUS Server VLANs zuordnen können. Bei HP funktioniert das soweit ich weis indem man als Radius-User und als Radius-Passwort die MAC-Adresse des Clients nimmt.

Richtig, und das funktioniert auch für die meisten Hersteller. Mein Ziel ist, herauszufinden, ob das bei Cisco auf die gleiche Art möglich ist, oder ob Cisco diese Möglichkeit nicht vorsieht,
1. die Authentifizierung anhand der MAC-Adresse durchzuführen
2. die entsprechenden Radius-Attribute auszuwerten und anhand derer die VLAN-Zuordnung vorzunehmen, wie es andere Hersteller auch tun

#7 daking

daking

    Board Veteran

  • 595 Beiträge

 

Geschrieben 05. Dezember 2006 - 19:55

Hola,

non supplicant authentication ist auch mit cisco möglich..

Catalyst 2960 Switch Software Configuration Guide, 12.2(25)SEE - Configuring IEEE 802.1x Port-Based Authentication  [Cisco Catalyst 2960 Series Switches] - Cisco Systems

Using IEEE 802.1x Authentication with MAC Authentication Bypass
==> Das Delay sollte jedoch relativ hoch sein (ca. 30s) ==> DHCP könnte da Probleme haben..

Automatische Vlan Zuweisung klappt auch.

Ciao

#8 mturba

mturba

    Member

  • 238 Beiträge

 

Geschrieben 05. Dezember 2006 - 23:09

Hier hier für einen 3560.

Configuring IEEE 802.1x Port-Based Authentication

Hola,

non supplicant authentication ist auch mit cisco möglich..

Catalyst 2960 Switch Software Configuration Guide, 12.2(25)SEE - Configuring IEEE 802.1x Port-Based Authentication* [Cisco Catalyst 2960 Series Switches] - Cisco Systems

Hmm... danke :-) Wie konnt ich das nur überlesen... werde das morgen sofort testen!

#9 Frank04

Frank04

    Senior Member

  • 378 Beiträge

 

Geschrieben 06. Dezember 2006 - 10:10

Mich würde hier folgendes interessieren:

Wenn ich mein Windows-PC am Switchport anschliesse und hochfahre, dann bin ich ja nicht an eine Domain angemeldet, sondern nur local. Danach würde mir ein VLAN zugeordnet und eine IP-Adresse zu geordnet. Schön, jetzt habe ich zwar eine IP-Adresse aus dem korrekten VLAN, aber wie geht es denn jetzt weiter? Wie "zwinge" ich denn Windows dazu sich an der Domain anzumelden bzw. wie kann ich jetzt dem PC bestimmte Scripte zuweisen?

#10 weg5st0

weg5st0

    Board Veteran

  • 2.924 Beiträge

 

Geschrieben 06. Dezember 2006 - 10:13

Frank: Das sind nun wirklich zwei paar Stiefel!

Hier dreht es sich darum, dass ein Netzwerkgerät überhaupt ans Netzwerk darf.

Was du vorhast liesse sich über Richtlinien steuern.
Gruss Götz
--------------------------------------------------------------------
englische Knowledgebase Artikel lassen sich rechts oben auch auf deutsch anzeigen: Article Translations - german

#11 mturba

mturba

    Member

  • 238 Beiträge

 

Geschrieben 07. Dezember 2006 - 12:13

Wuuunderbar, hat funktioniert!

Der relevante Ausschnitt aus der Switchkonfiguration sieht folgendermassen aus:

!
aaa new-model
!
aaa authentication dot1x default group radius
aaa authorization network default group radius
!
dot1x system-auth-control
!
interface FastEthernet1/0/1
 switchport mode access
 dot1x mac-auth-bypass
 dot1x pae authenticator
 dot1x port-control auto
 dot1x timeout tx-period 1
 dot1x guest-vlan 100
!
radius-server host 1.2.3.4 auth-port 1812 acct-port 1813 key 7 14112D040D0538302131
!

Der Eintrag in der FreeRADIUS-Konfiguration sieht folgendermassen aus:

001122AABBCC    Auth-Type := Local, User-Password == "001122AABBCC"
                Tunnel-Medium-Type = IEEE-802,
                Tunnel-Private-Group-Id = 123,
                Tunnel-Type = VLAN

Vielen Dank nochmal an alle :)

#12 Wordo

Wordo

    Board Veteran

  • 3.213 Beiträge

 

Geschrieben 07. Dezember 2006 - 12:50

Muss man dann neben der Zeitspanne fuer Spanning-Tree nochmal 30 Sekunden warten bis man dann drin ist oder wie war das mit dem bypass?

#13 mturba

mturba

    Member

  • 238 Beiträge

 

Geschrieben 08. Dezember 2006 - 13:54

Nee, auf den Accessports habe ich spanning-tree portfast konfiguriert, in der Konfiguration in meinem vorherigen Post aber weggelassen, weils für die 802.1x-Geschichte nicht wichtig war. Es dauert ca. 3-5 Sekunden, bis der Port einem VLAN zugewiesen ist und der Rechner eine IP-Adresse bekommen hat, da ich die tx-period auf 1 gesetzt habe und defaultmässig 2 retries gemacht werden. Nach dem letzten retry verwendet der Switch die MAC-Adresse, die an diesem Port gesehen wurde zur Authentifizierung, das war diese mac-auth-bypass-Sache.