7
802.1x Authentifizierung HP Switch und MS NPS
Hallo Zusammen,
ich würde gerne bzw. bin dabei in unserem Netzwerk die Authentifizierung an den LAN-Ports einzuführen.
Der Switch ist ein HP 1920-24 G mit der neuesten Version. Der Client, mit dem ich die Authentifizierung teste ist ein Windows 7 Client x64.
Der NPS-Dienst läuft unserem Domänencontroller Server 2008 R2.
Den NPS hab ich soweit konfiguriert wie ich es hier im Forum in mehreren Artikeln finden konnte, das klappt soweit auch.
In den Netzwerkrichtlinien hab ich eine Gruppe aus dem AD eingefügt, die für den Zugriff quasi freigeschalten ist.
Auf dem HP Switch hab ich den Radius-Server (NPS) eingetragen und den Port, an dem der Client hängt, für die 802.1x Authentifizierung
eingestellt. Ebenso hab ich die LAN-Karte am Client für die Authentifizierung eingerichtet.
Wenn ich jetzt meinen Client an dem Port zur Authentifizierung anschließe authentifiziert sich innerhalb ein paar Sekunden der Client
am NPS und ich erhalte eine IP vom DHCP. Zudem steht unter der LAN-Verbindung unser interner Domänenname firma.local. Jedoch nach ein paar
Sekunden fängt die Netzwerkkarte am Client wieder an sich zu authentifizieren und nach kurzer Zeit heißt es nur noch "Authentifizierung fehlgeschlagen",
der Client verliert seine IP vom DHCP und es erfolgt natürlich kein Netzwerkzugriff mehr.
Ich habe am Switch, auch durch recherchieren, verschiedene Einstellungen im Authentication-Unterpunkt "AAA" gemacht. Jedoch komm ich hier nicht wirklich
zu Recht bzw. bin mir unsicher, ob mein Problem überhaupt hier liegt oder was hier verkehrt ist. Meine Einstellung, aktuell, beziehen sich in allen
3 Punkten auf "Default Authentication" am Radius.
Vielleicht hatte jemand in dieser Konstellation bereits damit zu kämpfen und könnte mir einen guten Tipp geben oder ähnliches.
Wenn weitere Informationen benötigt werden dann bitte einfach danach fragen.
Vielen Dank im voraus!
ich würde gerne bzw. bin dabei in unserem Netzwerk die Authentifizierung an den LAN-Ports einzuführen.
Der Switch ist ein HP 1920-24 G mit der neuesten Version. Der Client, mit dem ich die Authentifizierung teste ist ein Windows 7 Client x64.
Der NPS-Dienst läuft unserem Domänencontroller Server 2008 R2.
Den NPS hab ich soweit konfiguriert wie ich es hier im Forum in mehreren Artikeln finden konnte, das klappt soweit auch.
In den Netzwerkrichtlinien hab ich eine Gruppe aus dem AD eingefügt, die für den Zugriff quasi freigeschalten ist.
Auf dem HP Switch hab ich den Radius-Server (NPS) eingetragen und den Port, an dem der Client hängt, für die 802.1x Authentifizierung
eingestellt. Ebenso hab ich die LAN-Karte am Client für die Authentifizierung eingerichtet.
Wenn ich jetzt meinen Client an dem Port zur Authentifizierung anschließe authentifiziert sich innerhalb ein paar Sekunden der Client
am NPS und ich erhalte eine IP vom DHCP. Zudem steht unter der LAN-Verbindung unser interner Domänenname firma.local. Jedoch nach ein paar
Sekunden fängt die Netzwerkkarte am Client wieder an sich zu authentifizieren und nach kurzer Zeit heißt es nur noch "Authentifizierung fehlgeschlagen",
der Client verliert seine IP vom DHCP und es erfolgt natürlich kein Netzwerkzugriff mehr.
Ich habe am Switch, auch durch recherchieren, verschiedene Einstellungen im Authentication-Unterpunkt "AAA" gemacht. Jedoch komm ich hier nicht wirklich
zu Recht bzw. bin mir unsicher, ob mein Problem überhaupt hier liegt oder was hier verkehrt ist. Meine Einstellung, aktuell, beziehen sich in allen
3 Punkten auf "Default Authentication" am Radius.
Vielleicht hatte jemand in dieser Konstellation bereits damit zu kämpfen und könnte mir einen guten Tipp geben oder ähnliches.
Wenn weitere Informationen benötigt werden dann bitte einfach danach fragen.
Vielen Dank im voraus!
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 305889
Url: https://administrator.de/contentid/305889
Ausgedruckt am: 25.11.2024 um 12:11 Uhr
7 Kommentare
Neuester Kommentar
Hier steht eigentlich alles was du dazu wissen musst:
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Die detailierten Hinweise für MS NPS Knechte findest du in den weiterführenden Links.
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Die detailierten Hinweise für MS NPS Knechte findest du in den weiterführenden Links.
die Anleitungen hab ich ja auch befolgt und wie ich auch bereits geschrieben habe
bekomme ich, sobald ich den Client am Switch-Port anstecke eine erfolgreiche Authentifizierung.
Jedoch nach kurzer Zeit, entweder es werden weitere Dinge am NPS überprüft oder es findet
eine Re-Authentifizierung statt, sucht die LAN-Verbindung erneut nach einer Authentifizierung,
die kurz darauf in "fehlgeschlagen" endet.
bekomme ich, sobald ich den Client am Switch-Port anstecke eine erfolgreiche Authentifizierung.
Jedoch nach kurzer Zeit, entweder es werden weitere Dinge am NPS überprüft oder es findet
eine Re-Authentifizierung statt, sucht die LAN-Verbindung erneut nach einer Authentifizierung,
die kurz darauf in "fehlgeschlagen" endet.
Antwortet dein Radius Server denn nicht auf diese Reauth Frage... Das ist doch üblich das .1x Clients eine zyklische Reauth schicken. Das sieht der Standard so vor !
Hallo,
Habe genau das selbe Problem wie der Beitrags Ersteller nur mit einem Procurve HP 1920-8 G.
Gibt es schon irgendwelche News zu den Problem, wie wurde es gelöst?
Konnte den Fehler noch etwas genauer eingrenzen auf meiner Seite. Sowohl am Radius als auch am Switch in den Logs taucht ein "Authentication Success" auf. Habe dann am Windows 7 64bit Client und auch auf einen Windows 10 Wireshark laufen lassen mit folgenden Ergebnis:
Der Client durchläuft am Anfang ganz normal die dot1x Authentifizierung mit einem EAP Success zum Schluss. Aber nach ein paar sec 5-10 schickt der Switch ein EAP Request-Identity worauf der Client auch antwortet nach 2-3 versuchen vom Switch ist dann auch der Port zu.
Der Client senden auch die richtige Identity also zumindest aus meiner Sicht Domain/User.
Sollte ich in den MS Radius Logs etwas sehen von den EAP Request-Identity?
Hat einer noch eine Idee was ich versuchen kann?
EDIT: Das Problem war das am Port die Handsake Funktion enabled war.
Vielen Dank im voraus!
Mit freundlichen Grüßen
Woanaz
Habe genau das selbe Problem wie der Beitrags Ersteller nur mit einem Procurve HP 1920-8 G.
Gibt es schon irgendwelche News zu den Problem, wie wurde es gelöst?
Konnte den Fehler noch etwas genauer eingrenzen auf meiner Seite. Sowohl am Radius als auch am Switch in den Logs taucht ein "Authentication Success" auf. Habe dann am Windows 7 64bit Client und auch auf einen Windows 10 Wireshark laufen lassen mit folgenden Ergebnis:
Der Client durchläuft am Anfang ganz normal die dot1x Authentifizierung mit einem EAP Success zum Schluss. Aber nach ein paar sec 5-10 schickt der Switch ein EAP Request-Identity worauf der Client auch antwortet nach 2-3 versuchen vom Switch ist dann auch der Port zu.
Der Client senden auch die richtige Identity also zumindest aus meiner Sicht Domain/User.
Sollte ich in den MS Radius Logs etwas sehen von den EAP Request-Identity?
Hat einer noch eine Idee was ich versuchen kann?
EDIT: Das Problem war das am Port die Handsake Funktion enabled war.
Vielen Dank im voraus!
Mit freundlichen Grüßen
Woanaz
EDIT: Das Problem war das am Port die Handsake Funktion enabled war.
Und damit war das Problem jetzt vollständig gelöst...???Das wird aus deinem Posting nicht wirklich klar ?!
ja sobald man auf dem Port die handshake Funktion deaktiviert
Hört sich gut an !
Bitte dann auch Wie kann ich einen Beitrag als gelöst markieren? nicht vergessen !
Bitte dann auch Wie kann ich einen Beitrag als gelöst markieren? nicht vergessen !
