Jump to content

tinsel

Members
 Profil anzeigen  Aktivitäten des Benutzers anzeigen

  • Gesamte Inhalte

    31

  • Registriert seit

  • Letzter Besuch

 Inhaltstyp 

Beiträge erstellt von tinsel

  13. 802.1X Config Probleme

    in Cisco Forum — Allgemein

    Geschrieben

    was habt ihr für die Zertifikatserstellung benutzt? Zufällig Win2k Server? Ich hab Zertifikate eigentlich immer in einer Linux Umgebung erstellt soll aber für Test Zwecke das ganze mal mit Win2k probieren.

     

    Der Zertifikatsdienst läuft auch schon und ich komme auch auf hostname/certsrv aber was, muss ich wo, klicken das ich ein Zertifikat bekomme *verwirrtist*

  14. 802.1X Config Probleme

    in Cisco Forum — Allgemein

    Geschrieben

    mm kann ich leider nicht nachvollziehen.

    In deinem Anderen Threat hast du glaube ich geschrieben, das du Probleme mit dem XP Client hast. Könnte es daran liegen das du vll.den Zertifikaten "nicht Vertraust", da du das Zertifikat der RootCA nicht zu den vertrauenswürdigen Zertifizierungsstellen hinzugefügt hast?

     

     

    Eine Frage von mir noch

    Das Radius Protokoll fordert zwingend einen Benutzername+PW, oder? Die CallerID reicht nicht um bestimmte Aktionen auszulösen?

  17. 802.1X Config Probleme

    in Cisco Forum — Allgemein

    Geschrieben

    mm also

    wenn ich den cisco ACS richtig verstanden habe müsstest du für den ACs und den Client jeweils ein Zertifikat erstellen. Du musst natürlich den Zertifikaten einer CA auch vertrauen (erledings wo man das im ACS sagt, kann ich dir nicht aus dem Kopf sagen)

     

     

     

    Windows Dialin Permission required !

     

    ich vermute du hast als UserVerwaltung ein ADS Laufen, oder? Bzw. benutzt die Windows Userverwaltung.

    Wenn dem so ist schaue mal im Benutzerprofil bei RAS dort sollte Einwahlerlauben aktiviert sein.

  20. 802.1X Config Probleme

    in Cisco Forum — Allgemein

    Geschrieben

    ging voran mehr infos ab Freitag wenn dann die Implementation ins Live System realiesiert wurde

     

     

    noch eine Frage

     

    Win2k und WinXP unterstützen nach ein paar Patches auch 802.1x Authentifizierung. Kann mir jemand sagen ob diese Clients auch Authentifizierung beim Boot unterstützen?

    Das Problem ist ja solange der Port Unauthorized kein Verkehr durch den Port geht. Somit auch DHCP, WindowsDomain anmeldung ect. flach fällt.

    Es gibt zwar 3. Anbieter Client die im Bootprozzess die Auth. machen aber ich kann das im moment nicht testen da mein Testsystem heute früh von mir abgebaut wurde und dieses Problem gerade bei einer Projektbesprechung durch gegangen wurde.

  21. 802.1X Config Probleme

    in Cisco Forum — Allgemein

    Geschrieben

    irgend wie habe ich das gefühl das ich an der falschen stelle suche. Denke mal liegt doch an der Switch Config - kann mal jemand sein Meinnung darüber äußern?

     

     

    Current configuration : 3985 bytes

    !

    version 12.1

    no service pad

    service timestamps debug uptime

    service timestamps log uptime

    service password-encryption

    !

    hostname xxx

    !

    aaa new-model

    aaa authentication login default line enable

    aaa authentication dot1x default group radius

    enable secret 5 xxxx.

    enable password 7 xxxx

    !

    ip subnet-zero

    ip domain-name xxx.xxx

    !

    !

    spanning-tree extend system-id

    no spanning-tree vlan 65

    no spanning-tree vlan 255

    !

    !

    interface FastEthernet0/1

    switchport mode trunk

    no ip address

    !

    interface FastEthernet0/2

    switchport access vlan dynamic

    switchport mode access

    no ip address

    spanning-tree portfast

    !

    interface FastEthernet0/3

    switchport mode access

    no ip address

    !

    interface FastEthernet0/4

    no ip address

    !

    interface FastEthernet0/5

    no ip address

    shutdown

    !

    interface FastEthernet0/6

    no ip address

    !

    interface FastEthernet0/7

    no ip address

    !

    interface FastEthernet0/8

    no ip address

    !

    interface FastEthernet0/9

    switchport mode access

    no ip address

    dot1x port-control auto

    !

    interface FastEthernet0/10

    no ip address

    !

    interface FastEthernet0/11

    no ip address

    !

    interface FastEthernet0/12

    no ip address

    !

    interface GigabitEthernet0/1

    no ip address

    !

    interface GigabitEthernet0/2

    no ip address

    !

    interface Vlan1

    ip address xxx.xxx.xxx.209 255.255.255.0

    no ip route-cache

    !

    ip default-gateway xxx.xxx.xxx.1

    ip http server

    !

    snmp-server engineID local 800000090300000BBE855001

    snmp-server group grp_snmp v3 auth

    snmp-server community xxx RO

    snmp-server enable traps snmp linkdown linkup

    snmp-server host xxx.xxx.xxx.101 version 2c pub

    radius-server host xxx.xxx.xxx.2 auth-port 1812 acct-port 1813 key xxx

    radius-server retransmit 3

    !

    line con 0

    ip netmask-format decimal

    line vty 0 4

    password 7 xxxxx

    line vty 5 15

    password 7xxxxxx

    !

    ntp clock-period 17179903

    ntp server xxx.xxx.xxx.196

    end

     

     

    zusätzlich noch die sh version

     

    Cisco Internetwork Operating System Software

    IOS C2950 Software (C2950-I6Q4L2-M), Version 12.1(11)EA1, RELEASE SOFTWARE

    (fc1)

    Copyright © 1986-2002 by cisco Systems, Inc.

    Compiled Wed 28-Aug-02 10:25 by antonino

  23. 802.1X Config Probleme

    in Cisco Forum — Allgemein

    Geschrieben

    nach 2 Tagen probieren habe ich gerade die falsche stelle gefunden :)

     

    war in der users: Auth-Type :=Local

    nach dem ich das heraus genommen habe funktioniert es.

     

     

    Stellt sich nun die nächste frage wie übergebe ich die Atribute richtig?

     

    Mit

    Replay-Message = "Hello",

    Tunnel-Type = VLAN,

    Tunnel-Medium-Type = IEEE-802,

    Tunnel-Private-Group-Id = 33

     

    scheint es nicht zu funktionieren

     

     

    *edit*

     

    ich schaue mir gerade den debug auf dem switch an

     

    03:05:16: Attribute 64 6 0000000D

    03:05:16: Attribute 65 6 00000006

    03:05:16: Attribute 81 4 33334F06

     

    Attribute 64 und 65 in Ordnung nur Attribute 81 sollte eigentlich 00000021 sein.

    Deswegen noch mal Freeradius im Debug Modus aufgerufen und gesehen das er beim Reply die 33 in "33" umwandelt.

  24. 802.1X Config Probleme

    in Cisco Forum — Allgemein

    Geschrieben

    Hallo

    folgendes ich möchte Dynamische VLAN's mit 802.1x realisieren. Leider bleibe ich im Moment schon beim Radiusauth hängen.

    Ich benutze Freeradius. Wenn ich mit ntradping mein Auth Versuch starte funktioniert es auch. Danach habe ich das ganze mit Hilfe des AEGIS Clients Probiert und den entsprechenden Port Konfiguriert. Leider bekomme ich jetzt immer diese Fehlemeldung von Freeradius

     

    rad_recv: Access-Request packet from host xxx.xxx.xxx.209:1812, id=21, length=98

    NAS-IP-Address = xxx.xxx.xxx.209

    NAS-Port = 50009

    NAS-Port-Type = Ethernet

    User-Name = "test"

    Calling-Station-Id = "00-00-39-60-5D-24"

    Service-Type = Framed-User

    EAP-Message = 0x020100090174657374

    Message-Authenticator = 0xcde3ecd0274808e928bf6215dfa033d9

    Processing the authorize section of radiusd.conf

    modcall: entering group authorize for request 7

    modcall[authorize]: module "preprocess" returns ok for request 7

    modcall[authorize]: module "chap" returns noop for request 7

    modcall[authorize]: module "mschap" returns noop for request 7

    rlm_realm: No '@' in User-Name = "test", looking up realm NULL

    rlm_realm: No such realm "NULL"

    modcall[authorize]: module "suffix" returns noop for request 7

    rlm_eap: EAP packet type response id 1 length 9

    rlm_eap: No EAP Start, assuming it's an on-going EAP conversation

    modcall[authorize]: module "eap" returns updated for request 7

    users: Matched test at 80

    modcall[authorize]: module "files" returns ok for request 7

    modcall: group authorize returns updated for request 7

    rad_check_password: Found Auth-Type Local

    auth: type Local

    auth: No User-Password or CHAP-Password attribute in the request

    auth: Failed to validate the user.

    Delaying request 7 for 1 seconds

    enter the text in that file's own buffer.

     

    das Problem ist wohl --> auth: No User-Password or CHAP-Password attribute in the request

    Nur habe ich keine Ahnung was ich falsch gemacht habe.....

     

     

    Switch ist ein 2950 IOS 12.1(11)EA1

    Hier der Radius Debug

     

    01:56:30: RADIUS: ustruct sharecount=1

    01:56:30: RADIUS: Initial Transmit FastEthernet0/9 id 23 xxx.xxx.xxx.2:1812, Acce

    ss-Request, len 98

    01:56:30: Attribute 4 6 A41499D1

    01:56:30: Attribute 5 6 0000C359

    01:56:30: Attribute 61 6 0000000F

    01:56:30: Attribute 1 6 74657374

    01:56:30: Attribute 31 19 30302D30

    01:56:30: Attribute 6 6 00000002

    01:56:30: Attribute 79 11 02090009

    01:56:30: Attribute 80 18 9775B185

    01:56:32: RADIUS: Received from id 23 xxx.xxx.xxx.xxx:1812, Access-Reject, len 27

    01:56:32: Attribute 18 7 48656C6C

     

     

    thx for Help

×
×
  • Neu erstellen...