AndreasWeller 10 Geschrieben 1. April 2005 Melden Teilen Geschrieben 1. April 2005 Hallo, Meine Komponeneten : Server mit Windows 2000 Server SP4 und Cisco ACS 3.3 , 2950 Catalyst (AAA-Client) , Laptop mit Windows XP SP2 (802.1x Client) Ich habe soweit alles konfiguriert wie es in der Cisco Dokumentation nachzulesen war, aber ich bekomme immer wieder folgende Fehlermeldung in der ACS.log Datei.( Failed Attempts active.csv) : Authen-Failure-Code : EAP-TLS or PEAP authentication failed during SSL handshake Der Radius(ACS) Server und auch der der Client besitzen gültige Zertifikate, die ich mit der Windows eigenen Zertifizierungsstelle ebenfals nach Cisco-Anleitung erstellt habe. (Das Zertifikat auf dem Laptop habe ich installiert, bevor ich begonnen habe mich über den 802.1x Port des Switches einzuloggen) Hat jemand eine Idee wo das Problem liegen könnte? Hier noch die Configuration des Catalyst 2950, fals sie denn helfen könnte : version 12.1 no service pad service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname ACS-Client1 ! aaa new-model aaa authentication dot1x default group radius enable secret 5 $1$iDdn$1Bmg1m5kY/W76lwgJtZm5/ ! username aweller privilege 15 password 0 aweller ip subnet-zero ! ip ssh time-out 120 ip ssh authentication-retries 3 ! spanning-tree mode pvst no spanning-tree optimize bpdu transmission spanning-tree extend system-id dot1x system-auth-control ! interface FastEthernet0/13 switchport mode access dot1x port-control auto dot1x timeout quiet-period 3 dot1x timeout reauth-period 1 dot1x reauthentication ! interface GigabitEthernet0/2 ! interface Vlan1 ip address 10.10.3.253 255.255.255.0 no ip route-cache ! ip default-gateway 10.10.3.254 ip http server radius-server host 10.10.3.1 auth-port 1812 acct-port 1813 radius-server retransmit 3 radius-server key radius ! line con 0 password cisco line vty 0 4 password cisco line vty 5 15 password cisco ! ! end Zitieren Link zu diesem Kommentar
ClausFußenegger 10 Geschrieben 30. Mai 2005 Melden Teilen Geschrieben 30. Mai 2005 Hallo, Andreas! Die Switch-Konfig ist O.K., brauche aber etwas mehr Infos für genaue Betrachtung: - Welche Zertifikatstypen wurden für ACS und Client verwendet? - Wie sehen die "Global Autentication Settings" auf dem ACS (und die Authentifizierungseinstellungen der zur Authentifizierung zu verwendendenden Datenbank (Active Directory/Lokal/....)) aus? - Wie ist die Authentifizierung der LAN-Verbindung auf dem XP-Client eingrichtet? - Welche 12.1er IOS-Version wird verwendet? Bedauerlicherweise sagt die Fehlermeldung nicht besonders viel aus; bei mir trat sie u.a. bei einem Problem bezüglich der Gültigkeit/Akzeptanz der Zertifikate auf. Gruß, Claus Zitieren Link zu diesem Kommentar
AndreasWeller 10 Geschrieben 31. Mai 2005 Autor Melden Teilen Geschrieben 31. Mai 2005 Oh vielleicht sollte ich den Thread als erledigt markieren... Trotzdem Danke, aber der Testaufbau läuft seit einiger Zeit problemlos! Zitieren Link zu diesem Kommentar
tinsel 10 Geschrieben 31. Mai 2005 Melden Teilen Geschrieben 31. Mai 2005 gut das hier das Thema wieder aufgefrischt wurde :) kann mir jemand zufällig sagen ob der ACS die VLAN-ID's auch aus LDAP rausnehmen kann? Zitieren Link zu diesem Kommentar
AndreasWeller 10 Geschrieben 31. Mai 2005 Autor Melden Teilen Geschrieben 31. Mai 2005 Gute Frage das müsste ich mal nachschauen, werd mir das morgen mal genauer anschauen.... Vielleicht sollten wir das ganze aber in dem alten Thread besprechen, ist für den ein oder anderen Außenstehenden dann vielleicht etwas übersichtlicher, was bis jetzt so gelaufen ist.... alter Thread Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.