Jump to content
Sign in to follow this  
Proxymus

802.1x mit Computerzertifikaten und MAC Bypass

Recommended Posts

Hallo,

 

ich teste gerade Cisco's 802.1x in einer Laborumgebung mit einem 3560 (IOS 12.2(44SE)) und der ACS 4.1 für Windows.

 

Firmeneigene PC's sollen über ihr zugehöriges Computerzertifikat authentifiziert werden. Nicht 802.1x fähige Geräte sollen per MAC Authentication Bypass (MAB) authentifiziert werden. MAB möchte ich auch für den PXE-Boot verwenden, da dieser für die Softwareverteilung benötigt wird.

 

Die für das MAB benötigten MAC-Adressen stehen in einer externen Datenbank. So wie es aussieht, kann ich für den MAB nicht direkt auf eine externe Datenbank zugreifen. Cisco verweist in seinen Dokumentation nur auf die Möglichkeit Benutzer zu authentifizieren.

 

User Guide for Cisco Secure Access Control Server 4.1 - User Databases [Cisco Secure Access Control Server for Windows] - Cisco Systems

User Guide for Cisco Secure Access Control Server 4.1 - User Databases [Cisco Secure Access Control Server for Windows] - Cisco Systems

 

Zusätzlich würde ich PC's bei fehlgeschlagener Authentifizierung gern in ein Gäste-VLAN mappen. Der Port ist wie folgt konfiguriert:

 

Current configuration : 283 bytes
!
interface FastEthernet0/5
switchport mode access
no snmp trap link-status
dot1x mac-auth-bypass
dot1x pae authenticator
dot1x port-control auto
dot1x timeout quiet-period 10
dot1x timeout tx-period 5
dot1x reauthentication
dot1x guest-vlan 100
spanning-tree portfast
end

 

Dot1x Info for FastEthernet0/5
-----------------------------------
PAE                       = AUTHENTICATOR
PortControl               = AUTO
ControlDirection          = Both
HostMode                  = SINGLE_HOST
ReAuthentication          = Enabled
QuietPeriod               = 10
ServerTimeout             = 30
SuppTimeout               = 30
ReAuthPeriod              = 3600 (Locally configured)
ReAuthMax                 = 2
MaxReq                    = 2
TxPeriod                  = 5
RateLimitPeriod           = 0
Mac-Auth-Bypass           = Enabled
   Inactivity Timeout    = None
Guest-Vlan                = 100

Dot1x Authenticator Client List Empty

Domain                    = DATA
Port Status               = UNAUTHORIZED

 

Switch>show int status
Fa0/5                        notconnect   1          a-full  a-100 10/100BaseTX

Bei fehlgeschlagener Authentifizierung geht der Port aber nicht in das Gäste-VLAN, sondern in den Unauthorized Status.

 

Hat hier jemand schon Erfahrungen gesammelt und weiß Rat? Bin für jeden Tipp dankbar.

 

Gruß

 

Proxymus

Share this post


Link to post
Share on other sites

Ein Möglichkeit für den MAB ist die MAC-Adresse im Network Access Profil (NAP) im Punkt Authentication per Hand anzulegen/einzutragen. Für Tests funktioniert dies auch, allerdings ist für eine große Clientanzahl kein gangbarer Weg. :(

 

Bliebe der Import der ODBC Datenbank. Allerdings müsste man hier wissen welches Format für User und Passwort nötig ist.

 

When the MAC authentication bypass feature is enabled on an IEEE 802.1x port, the switch uses the MAC address as the client identity. The authentication server has a database of client MAC addresses that are allowed network access. After detecting a client on an IEEE 802.1x port, the switch waits for an Ethernet packet from the client. The switch sends the authentication server a RADIUS-access/request frame with a username and password based on the MAC address. If authorization succeeds, the switch grants the client access to the network. If authorization fails, the switch assigns the port to the guest VLAN if one is configured.

 

Meine bis jetzt getätigten Versuche User in Form von MAC-Adressen anzulegen scheiterten bislang. Weiß jemand ob dies überhaupt funktioniert?

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...