Hallo,
ich teste gerade Cisco's 802.1x in einer Laborumgebung mit einem 3560 (IOS 12.2(44SE)) und der ACS 4.1 für Windows.
Firmeneigene PC's sollen über ihr zugehöriges Computerzertifikat authentifiziert werden. Nicht 802.1x fähige Geräte sollen per MAC Authentication Bypass (MAB) authentifiziert werden. MAB möchte ich auch für den PXE-Boot verwenden, da dieser für die Softwareverteilung benötigt wird.
Die für das MAB benötigten MAC-Adressen stehen in einer externen Datenbank. So wie es aussieht, kann ich für den MAB nicht direkt auf eine externe Datenbank zugreifen. Cisco verweist in seinen Dokumentation nur auf die Möglichkeit Benutzer zu authentifizieren.
User Guide for Cisco Secure Access Control Server 4.1 - User Databases [Cisco Secure Access Control Server for Windows] - Cisco Systems
User Guide for Cisco Secure Access Control Server 4.1 - User Databases [Cisco Secure Access Control Server for Windows] - Cisco Systems
Zusätzlich würde ich PC's bei fehlgeschlagener Authentifizierung gern in ein Gäste-VLAN mappen. Der Port ist wie folgt konfiguriert:
Current configuration : 283 bytes
!
interface FastEthernet0/5
switchport mode access
no snmp trap link-status
dot1x mac-auth-bypass
dot1x pae authenticator
dot1x port-control auto
dot1x timeout quiet-period 10
dot1x timeout tx-period 5
dot1x reauthentication
dot1x guest-vlan 100
spanning-tree portfast
end
Dot1x Info for FastEthernet0/5
-----------------------------------
PAE = AUTHENTICATOR
PortControl = AUTO
ControlDirection = Both
HostMode = SINGLE_HOST
ReAuthentication = Enabled
QuietPeriod = 10
ServerTimeout = 30
SuppTimeout = 30
ReAuthPeriod = 3600 (Locally configured)
ReAuthMax = 2
MaxReq = 2
TxPeriod = 5
RateLimitPeriod = 0
Mac-Auth-Bypass = Enabled
Inactivity Timeout = None
Guest-Vlan = 100
Dot1x Authenticator Client List Empty
Domain = DATA
Port Status = UNAUTHORIZED
Switch>show int status
Fa0/5 notconnect 1 a-full a-100 10/100BaseTX
Bei fehlgeschlagener Authentifizierung geht der Port aber nicht in das Gäste-VLAN, sondern in den Unauthorized Status.
Hat hier jemand schon Erfahrungen gesammelt und weiß Rat? Bin für jeden Tipp dankbar.
Gruß
Proxymus