Jump to content

802.1X Config Probleme


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo

folgendes ich möchte Dynamische VLAN's mit 802.1x realisieren. Leider bleibe ich im Moment schon beim Radiusauth hängen.

Ich benutze Freeradius. Wenn ich mit ntradping mein Auth Versuch starte funktioniert es auch. Danach habe ich das ganze mit Hilfe des AEGIS Clients Probiert und den entsprechenden Port Konfiguriert. Leider bekomme ich jetzt immer diese Fehlemeldung von Freeradius

 

rad_recv: Access-Request packet from host xxx.xxx.xxx.209:1812, id=21, length=98

NAS-IP-Address = xxx.xxx.xxx.209

NAS-Port = 50009

NAS-Port-Type = Ethernet

User-Name = "test"

Calling-Station-Id = "00-00-39-60-5D-24"

Service-Type = Framed-User

EAP-Message = 0x020100090174657374

Message-Authenticator = 0xcde3ecd0274808e928bf6215dfa033d9

Processing the authorize section of radiusd.conf

modcall: entering group authorize for request 7

modcall[authorize]: module "preprocess" returns ok for request 7

modcall[authorize]: module "chap" returns noop for request 7

modcall[authorize]: module "mschap" returns noop for request 7

rlm_realm: No '@' in User-Name = "test", looking up realm NULL

rlm_realm: No such realm "NULL"

modcall[authorize]: module "suffix" returns noop for request 7

rlm_eap: EAP packet type response id 1 length 9

rlm_eap: No EAP Start, assuming it's an on-going EAP conversation

modcall[authorize]: module "eap" returns updated for request 7

users: Matched test at 80

modcall[authorize]: module "files" returns ok for request 7

modcall: group authorize returns updated for request 7

rad_check_password: Found Auth-Type Local

auth: type Local

auth: No User-Password or CHAP-Password attribute in the request

auth: Failed to validate the user.

Delaying request 7 for 1 seconds

enter the text in that file's own buffer.

 

das Problem ist wohl --> auth: No User-Password or CHAP-Password attribute in the request

Nur habe ich keine Ahnung was ich falsch gemacht habe.....

 

 

Switch ist ein 2950 IOS 12.1(11)EA1

Hier der Radius Debug

 

01:56:30: RADIUS: ustruct sharecount=1

01:56:30: RADIUS: Initial Transmit FastEthernet0/9 id 23 xxx.xxx.xxx.2:1812, Acce

ss-Request, len 98

01:56:30: Attribute 4 6 A41499D1

01:56:30: Attribute 5 6 0000C359

01:56:30: Attribute 61 6 0000000F

01:56:30: Attribute 1 6 74657374

01:56:30: Attribute 31 19 30302D30

01:56:30: Attribute 6 6 00000002

01:56:30: Attribute 79 11 02090009

01:56:30: Attribute 80 18 9775B185

01:56:32: RADIUS: Received from id 23 xxx.xxx.xxx.xxx:1812, Access-Reject, len 27

01:56:32: Attribute 18 7 48656C6C

 

 

thx for Help

Link zu diesem Kommentar

nach 2 Tagen probieren habe ich gerade die falsche stelle gefunden :)

 

war in der users: Auth-Type :=Local

nach dem ich das heraus genommen habe funktioniert es.

 

 

Stellt sich nun die nächste frage wie übergebe ich die Atribute richtig?

 

Mit

Replay-Message = "Hello",

Tunnel-Type = VLAN,

Tunnel-Medium-Type = IEEE-802,

Tunnel-Private-Group-Id = 33

 

scheint es nicht zu funktionieren

 

 

*edit*

 

ich schaue mir gerade den debug auf dem switch an

 

03:05:16: Attribute 64 6 0000000D

03:05:16: Attribute 65 6 00000006

03:05:16: Attribute 81 4 33334F06

 

Attribute 64 und 65 in Ordnung nur Attribute 81 sollte eigentlich 00000021 sein.

Deswegen noch mal Freeradius im Debug Modus aufgerufen und gesehen das er beim Reply die 33 in "33" umwandelt.

Link zu diesem Kommentar

irgend wie habe ich das gefühl das ich an der falschen stelle suche. Denke mal liegt doch an der Switch Config - kann mal jemand sein Meinnung darüber äußern?

 

 

Current configuration : 3985 bytes

!

version 12.1

no service pad

service timestamps debug uptime

service timestamps log uptime

service password-encryption

!

hostname xxx

!

aaa new-model

aaa authentication login default line enable

aaa authentication dot1x default group radius

enable secret 5 xxxx.

enable password 7 xxxx

!

ip subnet-zero

ip domain-name xxx.xxx

!

!

spanning-tree extend system-id

no spanning-tree vlan 65

no spanning-tree vlan 255

!

!

interface FastEthernet0/1

switchport mode trunk

no ip address

!

interface FastEthernet0/2

switchport access vlan dynamic

switchport mode access

no ip address

spanning-tree portfast

!

interface FastEthernet0/3

switchport mode access

no ip address

!

interface FastEthernet0/4

no ip address

!

interface FastEthernet0/5

no ip address

shutdown

!

interface FastEthernet0/6

no ip address

!

interface FastEthernet0/7

no ip address

!

interface FastEthernet0/8

no ip address

!

interface FastEthernet0/9

switchport mode access

no ip address

dot1x port-control auto

!

interface FastEthernet0/10

no ip address

!

interface FastEthernet0/11

no ip address

!

interface FastEthernet0/12

no ip address

!

interface GigabitEthernet0/1

no ip address

!

interface GigabitEthernet0/2

no ip address

!

interface Vlan1

ip address xxx.xxx.xxx.209 255.255.255.0

no ip route-cache

!

ip default-gateway xxx.xxx.xxx.1

ip http server

!

snmp-server engineID local 800000090300000BBE855001

snmp-server group grp_snmp v3 auth

snmp-server community xxx RO

snmp-server enable traps snmp linkdown linkup

snmp-server host xxx.xxx.xxx.101 version 2c pub

radius-server host xxx.xxx.xxx.2 auth-port 1812 acct-port 1813 key xxx

radius-server retransmit 3

!

line con 0

ip netmask-format decimal

line vty 0 4

password 7 xxxxx

line vty 5 15

password 7xxxxxx

!

ntp clock-period 17179903

ntp server xxx.xxx.xxx.196

end

 

 

zusätzlich noch die sh version

 

Cisco Internetwork Operating System Software

IOS C2950 Software (C2950-I6Q4L2-M), Version 12.1(11)EA1, RELEASE SOFTWARE

(fc1)

Copyright © 1986-2002 by cisco Systems, Inc.

Compiled Wed 28-Aug-02 10:25 by antonino

Link zu diesem Kommentar
  • 4 Wochen später...

hi tinsel

 

Da sieht wohl so aus wie Du sagst.

Allerdings hab ich mal gearde eine Frage.

Ich befinde mich im Moment an der selben Stelle. Allerdings suche ich erst mal

nach einer Funktion um nur die Authentication auf dem Client über den Switch

sicher zu stellen !

 

Bist Du noch im Stoff ? Oder auf der suche nach der Lösung ?

Setze selbst den ACS von Cisco ein !

Welche Radius Attribute hast Du gewählt ?

Standard IETF ?

 

mfg

 

Mr. Oiso

Link zu diesem Kommentar

ging voran mehr infos ab Freitag wenn dann die Implementation ins Live System realiesiert wurde

 

 

noch eine Frage

 

Win2k und WinXP unterstützen nach ein paar Patches auch 802.1x Authentifizierung. Kann mir jemand sagen ob diese Clients auch Authentifizierung beim Boot unterstützen?

Das Problem ist ja solange der Port Unauthorized kein Verkehr durch den Port geht. Somit auch DHCP, WindowsDomain anmeldung ect. flach fällt.

Es gibt zwar 3. Anbieter Client die im Bootprozzess die Auth. machen aber ich kann das im moment nicht testen da mein Testsystem heute früh von mir abgebaut wurde und dieses Problem gerade bei einer Projektbesprechung durch gegangen wurde.

Link zu diesem Kommentar

hi tinsel

 

Das siehst Du richtig ! In der Regel benötigst Du doch zwei Benutzer/Passwörter.

Ich gehe davon aus, dass einmal der Client (Host) eine Netzwerkauthentication benötigt

um sich am Netzwerk via 802.1x anzumelden. Diese wird benötigt, um den Port auf dem

Switch zu öffnen. Zusätzlich benötigt der User, welcher an diesem Host arbeitet ebenfals

eine Authentication um sich an der Domain anzumelden. Diese Anmeldungen können aber müssen nicht miteinander verknüpft werden.

Zumindest scheint der Cisco ACS (bei mir via Zertifikate) den Port nicht aufzumachen, wenn er nicht beide Zertifikate ordnungsgemäß besitzt und gegen die Microsoft CA Root

prüfen kann.

Problem: Windows Dialin Permission required !

Ist die Fehlermeldung im Log vom ACS wenn der Client mit dem Zertifikat kommt.

 

Weiß jemand eventuell wie ich mein Zertifikat von der Domain mal testen kann ?

 

MfG

 

Mr. Oiso

Link zu diesem Kommentar

mm also

wenn ich den cisco ACS richtig verstanden habe müsstest du für den ACs und den Client jeweils ein Zertifikat erstellen. Du musst natürlich den Zertifikaten einer CA auch vertrauen (erledings wo man das im ACS sagt, kann ich dir nicht aus dem Kopf sagen)

 

 

 

Windows Dialin Permission required !

 

ich vermute du hast als UserVerwaltung ein ADS Laufen, oder? Bzw. benutzt die Windows Userverwaltung.

Wenn dem so ist schaue mal im Benutzerprofil bei RAS dort sollte Einwahlerlauben aktiviert sein.

Link zu diesem Kommentar

Hallo Tinsel,

 

ich arbeite mit Mr.Oiso zusammen an dem Problem, daher noch kurz folgende Frage:

Bei den Eigenschaften der Benutzer in der Active Directory gibt es die Möglichkeit unter Einwählen, RAS Berechtigungen zu vergeben.

Bei "Zugriff über RAS-Richtlinie steuern" bekommen wir die obigen Fehlermeldung (Windows Dialin Permission required ! )

Bei "Zugriff gestatten" bekommen wir keinen Zugriff und tauchen nichteinmal im Log-File als Fehler auf.

Welche Einstellung sollte also gewählt werden?

 

Als kurze Ergänzung noch, die ganze Geschichte läuft bis jetzt noch Problemlos mit dem IAS von MS als Radius Server. Ich denke also das die Zertifikate in Ordnung sind, bis der ACS kommt, dann ist Feierabend...

Link zu diesem Kommentar

hi tinsel

 

So weit so gut !

Den ACS haben wir erstmal aussen vor gelassen.

Hier wäre der CA Domain-controller als trusted zu konfigurieren, was wir natürlich gemacht haben.

Jedoch gibt es mit Win2K ein paar Probleme !

Ein XP Client macht soweit keine Mukken.

Hier lauft die Authentifizierung 802.1x Wired (Cat2950) und Wireless (Aironet1200)

problemlos.

Jedoch will es unter Win2K nicht funktionieren.

Hier mal ein debug radius/aaa

 

07:15:58: AAA/AUTHEN/CONT (922714513): continue_login (user='Frank@Testnetzete.l

ocal')

07:15:58: AAA/AUTHEN (922714513): status = GETDATA

07:15:58: AAA/AUTHEN (922714513): Method=radius (radius)

07:15:58: RADIUS: ustruct sharecount=1

07:15:58: RADIUS: EAP-login: length of radius packet = 163 code = 1

07:15:58: RADIUS: Initial Transmit FastEthernet0/20 id 36 10.10.3.1:1812, Access

-Request, len 163

07:15:58: Attribute 4 6 0A0A03FD

07:15:58: Attribute 5 6 0000C364

07:15:58: Attribute 79 8 020D0006

07:15:58: Attribute 80 18 32F229BA

07:15:58: RADIUS: Received from id 36 10.10.3.1:1812, Access-Challenge, len 1576

07:15:58: Attribute 27 6 0000001E

07:15:58: Attribute 79 255 010E05D8

07:15:58: Attribute 79 255 74686F72

07:15:58: Attribute 24 24 053B010C

07:15:58: Attribute 80 18 B4A37159

07:15:58: RADIUS: EAP-login: length of eap packet = 1496

07:15:58: RADIUS: EAP-login: got challenge from radius

07:15:58: AAA/AUTHEN (922714513): status = GETDATA

 

07:16:33: AAA/AUTHEN/CONT (3650909570): continue_login (user='aweller@Testnetzet

e.local')

07:16:33: AAA/AUTHEN (3650909570): status = GETDATA

07:16:33: AAA/AUTHEN (3650909570): Method=radius (radius)

07:16:33: RADIUS: ustruct sharecount=1

07:16:33: RADIUS: EAP-login: length of radius packet = 212 code = 1

07:16:33: RADIUS: Initial Transmit FastEthernet0/13 id 40 10.10.3.1:1812, Access

-Request, len 212

07:16:33: Attribute 4 6 0A0A03FD

07:16:33: Attribute 5 6 0000C35D

07:16:33: Attribute 61 6 0000000F

07:16:33: Attribute 24 24 053C010D

07:16:33: Attribute 79 55 02020035

07:16:33: Attribute 80 18 716954A7

07:16:33: RADIUS: Received from id 40 10.10.3.1:1812, Access-Accept, len 210

07:16:33: Attribute 79 6 03030004

07:16:33: Attribute 26 6 0000000907060000

07:16:33: Attribute 7 6 00000001

07:16:33: RADIUS: EAP-login: length of eap packet = 4

07:16:33: RADIUS: EAP-login: radius didn't send any vlan

07:16:33: AAA/AUTHEN (3650909570): status = PASS

07:16:34: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/13, chan

ged state to up

07:16:58: AAA/MEMORY: free_user_quiet (0x80F1BE28) user='Frank@Testnetzete.local

' ruser='Frank@Testnetzete.local' port='FastEthernet0/20' rem_addr='00-E0-00-C3-

6A-08/00-0C-CE-38-CC-94' authen_type=6 service=17 priv=1

ACS-Client1#u all

All possible debugging has been turned off

ACS-Client1#

 

Auf Port 13 kommt er XP Client mit user aweller rein !

Auf Port 20 der Win2K mit user frank jedoch nicht, obwohl die challenge vom Radius-Server zurückkommt.

Der Port bekommt einfach nicht den Status = PASS !

 

Sämtliche Zwertifikate mal erneuert und auch die RAS-Berechtigung geprüft, aber es will nicht gelingen.

 

Weiß jemand Rat ?

 

MfG

 

Mr. Oiso

Link zu diesem Kommentar

so hier kommte der Debug vom Port 20, vielleicht bringt er etwas Licht ins Dunkle:

 

Teil1:

 

ACS-Client1#

03:18:23: %LINK-3-UPDOWN: Interface FastEthernet0/20, changed state to up

03:19:21: AAA: parse name=FastEthernet0/20 idb type=122 tty=-1

03:19:21: AAA: name=FastEthernet0/20 flags=0x15 type=6 shelf=0 slot=0 adapter=0

port=20 channel=0

03:19:21: AAA: parse name=<no string> idb type=-1 tty=-1

03:19:21: AAA/MEMORY: create_user (0x80E434D8) user='Frank@Testnetzete.local' ru

ser='Frank@Testnetzete.local' port='FastEthernet0/20' rem_addr='00-E0-00-C3-6A-0

8/00-0C-CE-38-CC-94' authen_type=EAP service=802.1x priv=1

03:19:21: AAA/AUTHEN/START (1732263527): port='FastEthernet0/20' list='Dot1x Acc

List' action=LOGIN service=802.1x

03:19:21: AAA/AUTHEN/START (1732263527): using "default" list

03:19:21: AAA/AUTHEN/START (1732263527): Method=radius (radius)

03:19:21: RADIUS: ustruct sharecount=1

03:19:21: RADIUS: EAP-login: length of radius packet = 161 code = 1

03:19:21: RADIUS: Initial Transmit FastEthernet0/20 id 33 10.10.3.1:1812, Access

-Request, len 161

03:19:21: Attribute 4 6 0A0A03FD

03:19:21: Attribute 5 6 0000C364

03:19:21: Attribute 61 6 0000000F

03:19:21: Attribute 1 25 4672616E

03:19:21: Attribute 30 19 30302D30

03:19:21: Attribute 31 19 30302D45

03:19:21: Attribute 6 6 00000002

03:19:21: Attribute 12 6 000005DC

03:19:21: Attribute 79 30 0200001C

03:19:21: Attribute 80 18 C3923C1E

03:19:21: RADIUS: Received from id 33 10.10.3.1:1812, Access-Challenge, len 76

03:19:21: Attribute 27 6 0000001E

03:19:21: Attribute 79 8 01010006

03:19:21: Attribute 24 24 057F014C

03:19:21: Attribute 80 18 4A595053

03:19:21: RADIUS: EAP-login: length of eap packet = 6

03:19:21: RADIUS: EAP-login: got challenge from radius

03:19:21: AAA/AUTHEN (1732263527): status = GETDATA

03:19:21: AAA/AUTHEN/CONT (1732263527): continue_login (user='Frank@Testnetzete.

local')

03:19:21: AAA/AUTHEN (1732263527): status = GETDATA

03:19:21: AAA/AUTHEN (1732263527): Method=radius (radius)

03:19:21: RADIUS: ustruct sharecount=1

03:19:21: RADIUS: EAP-login: length of radius packet = 237 code = 1

03:19:21: RADIUS: Initial Transmit FastEthernet0/20 id 34 10.10.3.1:1812, Access

-Request, len 237

03:19:21: Attribute 4 6 0A0A03FD

03:19:21: Attribute 5 6 0000C364

03:19:21: Attribute 61 6 0000000F

03:19:21: Attribute 1 25 4672616E

03:19:21: Attribute 30 19 30302D30

03:19:21: Attribute 31 19 30302D45

03:19:21: Attribute 6 6 00000002

03:19:21: Attribute 12 6 000005DC

03:19:21: Attribute 24 24 057F014C

03:19:21: Attribute 79 82 02010050

03:19:21: Attribute 80 18 63B6DF8C

03:19:21: RADIUS: Received from id 34 10.10.3.1:1812, Access-Challenge, len 1576

03:19:21: Attribute 27 6 0000001E

03:19:21: Attribute 79 255 010205D8

03:19:21: Attribute 79 255 4886F70D

03:19:21: Attribute 79 255 72301D06

03:19:21: Attribute 79 255 65747A65

03:19:21: Attribute 79 255 6E666967

03:19:21: Attribute 79 233 2E6C6F63

03:19:21: Attribute 24 24 057F014C

03:19:21: Attribute 80 18 A3B645CB

03:19:21: RADIUS: EAP-login: length of eap packet = 1496

03:19:21: RADIUS: EAP-login: got challenge from radius

03:19:21: AAA/AUTHEN (1732263527): status = GETDATA

03:19:21: AAA/AUTHEN/CONT (1732263527): continue_login (user='Frank@Testnetzete.

local')

Link zu diesem Kommentar

Teil2:

 

03:19:21: AAA/AUTHEN (1732263527): status = GETDATA

03:19:21: AAA/AUTHEN (1732263527): Method=radius (radius)

03:19:21: RADIUS: ustruct sharecount=1

03:19:21: RADIUS: EAP-login: length of radius packet = 163 code = 1

03:19:21: RADIUS: Initial Transmit FastEthernet0/20 id 35 10.10.3.1:1812, Access

-Request, len 163

03:19:21: Attribute 4 6 0A0A03FD

03:19:21: Attribute 5 6 0000C364

03:19:21: Attribute 61 6 0000000F

03:19:21: Attribute 1 25 4672616E

03:19:21: Attribute 30 19 30302D30

03:19:21: Attribute 31 19 30302D45

03:19:21: Attribute 6 6 00000002

03:19:21: Attribute 12 6 000005DC

03:19:21: Attribute 24 24 057F014C

03:19:21: Attribute 79 8 02020006

03:19:21: Attribute 80 18 135ED7A2

03:19:21: RADIUS: Received from id 35 10.10.3.1:1812, Access-Challenge, len 1576

03:19:21: Attribute 27 6 0000001E

03:19:21: Attribute 79 255 010305D8

03:19:21: Attribute 79 255 74686F72

03:19:21: Attribute 79 255 40746861

03:19:21: Attribute 79 255 69727374

03:19:21: Attribute 79 255 65205065

03:19:21: Attribute 79 233 686F7269

03:19:21: Attribute 24 24 057F014C

03:19:21: Attribute 80 18 FE967E07

03:19:21: RADIUS: EAP-login: length of eap packet = 1496

03:19:21: RADIUS: EAP-login: got challenge from radius

03:19:21: AAA/AUTHEN (1732263527): status = GETDATA

03:19:21: AAA/AUTHEN/CONT (1732263527): continue_login (user='Frank@Testnetzete.

local')

03:19:21: AAA/AUTHEN (1732263527): status = GETDATA

03:19:21: AAA/AUTHEN (1732263527): Method=radius (radius)

03:19:21: RADIUS: ustruct sharecount=1

03:19:21: RADIUS: EAP-login: length of radius packet = 163 code = 1

03:19:21: RADIUS: Initial Transmit FastEthernet0/20 id 36 10.10.3.1:1812, Access

-Request, len 163

03:19:21: Attribute 4 6 0A0A03FD

03:19:21: Attribute 5 6 0000C364

03:19:21: Attribute 61 6 0000000F

03:19:21: Attribute 1 25 4672616E

03:19:21: Attribute 30 19 30302D30

03:19:21: Attribute 31 19 30302D45

03:19:21: Attribute 6 6 00000002

03:19:21: Attribute 12 6 000005DC

03:19:21: Attribute 24 24 057F014C

03:19:21: Attribute 79 8 02030006

03:19:21: Attribute 80 18 A13B8FC8

03:19:21: RADIUS: Received from id 36 10.10.3.1:1812, Access-Challenge, len 778

03:19:21: Attribute 27 6 0000001E

03:19:21: Attribute 79 255 010402C0

03:19:21: Attribute 79 255 65725472

03:19:21: Attribute 79 200 29203139

03:19:21: Attribute 24 24 057F014C

03:19:21: Attribute 80 18 70539898

03:19:21: RADIUS: EAP-login: length of eap packet = 704

03:19:21: RADIUS: EAP-login: got challenge from radius

03:19:21: AAA/AUTHEN (1732263527): status = GETDATA

03:20:21: AAA/MEMORY: free_user_quiet (0x80E434D8) user='Frank@Testnetzete.local

' ruser='Frank@Testnetzete.local' port='FastEthernet0/20' rem_addr='00-E0-00-C3-

6A-08/00-0C-CE-38-CC-94' authen_type=6 service=17 priv=1

 

ab hier geht´s dann immer wieder von vorne los. :confused:

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...