Jump to content

802.1x mit Computerzertifikaten und MAC Bypass


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

 

ich teste gerade Cisco's 802.1x in einer Laborumgebung mit einem 3560 (IOS 12.2(44SE)) und der ACS 4.1 für Windows.

 

Firmeneigene PC's sollen über ihr zugehöriges Computerzertifikat authentifiziert werden. Nicht 802.1x fähige Geräte sollen per MAC Authentication Bypass (MAB) authentifiziert werden. MAB möchte ich auch für den PXE-Boot verwenden, da dieser für die Softwareverteilung benötigt wird.

 

Die für das MAB benötigten MAC-Adressen stehen in einer externen Datenbank. So wie es aussieht, kann ich für den MAB nicht direkt auf eine externe Datenbank zugreifen. Cisco verweist in seinen Dokumentation nur auf die Möglichkeit Benutzer zu authentifizieren.

 

User Guide for Cisco Secure Access Control Server 4.1 - User Databases [Cisco Secure Access Control Server for Windows] - Cisco Systems

User Guide for Cisco Secure Access Control Server 4.1 - User Databases [Cisco Secure Access Control Server for Windows] - Cisco Systems

 

Zusätzlich würde ich PC's bei fehlgeschlagener Authentifizierung gern in ein Gäste-VLAN mappen. Der Port ist wie folgt konfiguriert:

 

Current configuration : 283 bytes
!
interface FastEthernet0/5
switchport mode access
no snmp trap link-status
dot1x mac-auth-bypass
dot1x pae authenticator
dot1x port-control auto
dot1x timeout quiet-period 10
dot1x timeout tx-period 5
dot1x reauthentication
dot1x guest-vlan 100
spanning-tree portfast
end

 

Dot1x Info for FastEthernet0/5
-----------------------------------
PAE                       = AUTHENTICATOR
PortControl               = AUTO
ControlDirection          = Both
HostMode                  = SINGLE_HOST
ReAuthentication          = Enabled
QuietPeriod               = 10
ServerTimeout             = 30
SuppTimeout               = 30
ReAuthPeriod              = 3600 (Locally configured)
ReAuthMax                 = 2
MaxReq                    = 2
TxPeriod                  = 5
RateLimitPeriod           = 0
Mac-Auth-Bypass           = Enabled
   Inactivity Timeout    = None
Guest-Vlan                = 100

Dot1x Authenticator Client List Empty

Domain                    = DATA
Port Status               = UNAUTHORIZED

 

Switch>show int status
Fa0/5                        notconnect   1          a-full  a-100 10/100BaseTX

Bei fehlgeschlagener Authentifizierung geht der Port aber nicht in das Gäste-VLAN, sondern in den Unauthorized Status.

 

Hat hier jemand schon Erfahrungen gesammelt und weiß Rat? Bin für jeden Tipp dankbar.

 

Gruß

 

Proxymus

Link zu diesem Kommentar

Ein Möglichkeit für den MAB ist die MAC-Adresse im Network Access Profil (NAP) im Punkt Authentication per Hand anzulegen/einzutragen. Für Tests funktioniert dies auch, allerdings ist für eine große Clientanzahl kein gangbarer Weg. :(

 

Bliebe der Import der ODBC Datenbank. Allerdings müsste man hier wissen welches Format für User und Passwort nötig ist.

 

When the MAC authentication bypass feature is enabled on an IEEE 802.1x port, the switch uses the MAC address as the client identity. The authentication server has a database of client MAC addresses that are allowed network access. After detecting a client on an IEEE 802.1x port, the switch waits for an Ethernet packet from the client. The switch sends the authentication server a RADIUS-access/request frame with a username and password based on the MAC address. If authorization succeeds, the switch grants the client access to the network. If authorization fails, the switch assigns the port to the guest VLAN if one is configured.

 

Meine bis jetzt getätigten Versuche User in Form von MAC-Adressen anzulegen scheiterten bislang. Weiß jemand ob dies überhaupt funktioniert?

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...