Hallo *,
schade, dass mich hier niemand unterstützen konnte oder wollte. Damit zumindest der "Nachwelt" geholfen ist, möchte ich die von mir umgesetzte Lösung zum Thema hier präsentieren.
Zusätzlich zum DEFAULT_VLAN habe ich 2 weitere ('unauth' VID 2, 'auth' VID 3) eingerichtet, dem VLAN unauth erstmal alle Ports untagged zugeordnet und für beide VLANs dem Switch eine IP gegeben und den Standard Gateway eingerichtet:
config term
vlan 2
name "unauth"
untag all
ip addr 192.168.3.2/24
vlan 3
name "auth"
ip addr 192.168.2.2/24
ip default-gateway 192.168.2.1
exit
write mem
Weiter gehts mit dem Radius Server samt Key:
config term
radius-server host 192.168.2.4 key secretkey
show radius <-- zur Kontrolle
exit
write mem
Da am Switch auch Server hängen habe ich die Ports A1 bis B20 fest mit dem VLAN 3 "auth" verbunden. Die Ports B21 und B22 kommen ins VLAN 2 "unauth":
config term
vlan 3
untag A1-A22
vlan 2
untag B21-B22
exit
write mem
Um die Authentifizierung zu sichern benötigt der Switch ein Manager User und ein Passwort. Weiterhin ist ein RSA Key zu generieren, damit der Zugriff auf den Radius Server klappt:
config term
passwort manager user-name admin
New password for manager: bla
Retype: bla
krypto key gen cert 1024
exit
write mem
Nun ist die MAC basierte Authentifizierung für die Ports einzurichten und dem Ports mitzugeben, welche VLAN ID sie haben sollen, je nachdem wie die Authentifizierung ausfällt:
config term
aaa port-access mac-based C1-H24
aaa port-access mac-based C1-H24 auth-vid 3
aaa port-access mac-based C1-H24 unauth-vid 2
exit
mem write
Soweit die Konfiguration am Switch. Im Radius Server nun noch den Switch mit dem angegeben key als Client einrichten und MD5-Challenge zuordnen.
HP authentifiziert den Rechner über die MAC Adresse (Username und Passwort) gegen das ADs. Hierbei ist zu beachten, dass das Konto mit umgekehrtem Passwort zur Entschlüsselung gespeichert werden und die Einwahl für den Benutzer erlaubt ist.
Da MAC Adresse als Benutzer und(!) Passwort dient ist darauf zu achten, dass die Benutzer keine Rechte im ADs bekommen, also nicht Mitglied der Gruppe "Domänen-Benutzer" ist. Hier bietet es sich an, eine separate Sicherheitsgruppe ohne Rechte anzulegen.
In der Hoffnung, dass ich hiermit mal jemandem helfen kann möchte ich mich noch bei denen bedanken, die mir hätten helfen können und es nicht getan haben. DANKE! So hab ich bei einfachem RTFM vieles über meinen Switch lernen können. :cool:
Gruß
b.w