802.1x mit Computerzertifikaten und MAC Authentication Bypass
Hallo,
ich teste gerade Cisco's 802.1x Portsecurity in einer Laborumgebung mit einem 3560 (IOS 12.2(44SE)) und der ACS 4.1 für Windows.
Firmeneigene PC's sollen über ihr zugehöriges Computerzertifikat authentifiziert werden. Nicht 802.1x fähige Geräte sollen per MAC Authentication Bypass (MAB) authentifiziert werden. MAB möchte ich auch für den PXE-Boot verwenden, da dieser für die Softwareverteilung benötigt wird.
Die Authentifizierung habe ich über die "Network Access Profiles" konfiguriert. Die Authentifizierung über das Computerzertifikat funktioniert bereits problemlos. Mit dem MAB habe ich noch ein paar Probleme. Wenn ich die MAC-Adresse im Punkt Authentication händisch eintrage und auf eine Gruppe binde, funktioniert der MAC Bypass (auch mit Zusatzfeatures wie VLAN-Mapping). Nun habe ich das Problem, dass ich sehr viele Clients habe und ich diese nicht alle händisch eintragen will. Alle MAC-Adressen stehen aber in einer ODBC Datenbank. Leider kann ich scheinbar im Access Profil nicht direkt auf die ODBC-Datenbank zugreifen. Ich habe es, wie bei Cisco beschreiben, über die Stored Procedures versucht. Leider bislang ohne Erfolg.
Ich habe auch schon versucht Benutzer anzulegen, die der MAC-Adresse entsprechen. Leider ebenfalls erfolglos.
Zitat von http://www.cisco.com/en/US/products/hw/switches/ps5528/products_configu ...
When the MAC authentication bypass feature is enabled on an IEEE 802.1x port, the switch uses the MAC address as the client identity. The authentication server has a database of client MAC addresses that are allowed network access. After detecting a client on an IEEE 802.1x port, the switch waits for an Ethernet packet from the client. The switch sends the authentication server a RADIUS-access/request frame with a username and password based on the MAC address. If authorization succeeds, the switch grants the client access to the network. If authorization fails, the switch assigns the port to the guest VLAN if one is configured.
Hat jemand bereits Erfahrungen in dem Bereich gesammelt? Ich bin für jeden Tipp dankbar.
mfg, Proxymus
ich teste gerade Cisco's 802.1x Portsecurity in einer Laborumgebung mit einem 3560 (IOS 12.2(44SE)) und der ACS 4.1 für Windows.
Firmeneigene PC's sollen über ihr zugehöriges Computerzertifikat authentifiziert werden. Nicht 802.1x fähige Geräte sollen per MAC Authentication Bypass (MAB) authentifiziert werden. MAB möchte ich auch für den PXE-Boot verwenden, da dieser für die Softwareverteilung benötigt wird.
Die Authentifizierung habe ich über die "Network Access Profiles" konfiguriert. Die Authentifizierung über das Computerzertifikat funktioniert bereits problemlos. Mit dem MAB habe ich noch ein paar Probleme. Wenn ich die MAC-Adresse im Punkt Authentication händisch eintrage und auf eine Gruppe binde, funktioniert der MAC Bypass (auch mit Zusatzfeatures wie VLAN-Mapping). Nun habe ich das Problem, dass ich sehr viele Clients habe und ich diese nicht alle händisch eintragen will. Alle MAC-Adressen stehen aber in einer ODBC Datenbank. Leider kann ich scheinbar im Access Profil nicht direkt auf die ODBC-Datenbank zugreifen. Ich habe es, wie bei Cisco beschreiben, über die Stored Procedures versucht. Leider bislang ohne Erfolg.
Ich habe auch schon versucht Benutzer anzulegen, die der MAC-Adresse entsprechen. Leider ebenfalls erfolglos.
Zitat von http://www.cisco.com/en/US/products/hw/switches/ps5528/products_configu ...
When the MAC authentication bypass feature is enabled on an IEEE 802.1x port, the switch uses the MAC address as the client identity. The authentication server has a database of client MAC addresses that are allowed network access. After detecting a client on an IEEE 802.1x port, the switch waits for an Ethernet packet from the client. The switch sends the authentication server a RADIUS-access/request frame with a username and password based on the MAC address. If authorization succeeds, the switch grants the client access to the network. If authorization fails, the switch assigns the port to the guest VLAN if one is configured.
Hat jemand bereits Erfahrungen in dem Bereich gesammelt? Ich bin für jeden Tipp dankbar.
mfg, Proxymus
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 80139
Url: https://administrator.de/forum/802-1x-mit-computerzertifikaten-und-mac-authentication-bypass-80139.html
Ausgedruckt am: 22.12.2024 um 15:12 Uhr
22 Kommentare
Neuester Kommentar
Hi Proxymus,
sga mal, hast du vielleicht ne doku erstellt die du zur verfügung stellen würdest?
ich habe einen thin client mit windows ce und will den über MAB anbinden.
dazu wäre mir deine Kenntnis sehr hilfreich. ebensofür drucker im netzwerk.
auf windows ce kann ich leider keine log dateien sehen, und analayzer softare wie wireshark gibts für auch nicht.
daher würde ich gerne wissen wie du das mit mab gemacht hast.
danke.
sga mal, hast du vielleicht ne doku erstellt die du zur verfügung stellen würdest?
ich habe einen thin client mit windows ce und will den über MAB anbinden.
dazu wäre mir deine Kenntnis sehr hilfreich. ebensofür drucker im netzwerk.
auf windows ce kann ich leider keine log dateien sehen, und analayzer softare wie wireshark gibts für auch nicht.
daher würde ich gerne wissen wie du das mit mab gemacht hast.
danke.
Hi Proxymus,
ich war krank und konnte daher nicht früher schreiben.
Also ich habe einen Cisco 6509 als Authenticator.
Auf dem Interface habe ich die selbe Konfiguration wie du. (" dot1x mac-auth-bypass eap " )
Ich habe den IAS als Radius.
Im Active Directory habe ich als Benutzer die MAC-Adresse des Devices (Thin-Client) hinterlegt, mit der MAC-Adresse gleichzeitig als Passwort.
Da ich auf dem ThinClient kein Zertifikat zur Authentifizierung habe wird MAB also auf MAC ebene das gerät authentifizieren wollen.
bei mir macht er allerdings nichts.
könntest du mir da vielleicht weiterhelfen?
ich war krank und konnte daher nicht früher schreiben.
Also ich habe einen Cisco 6509 als Authenticator.
Auf dem Interface habe ich die selbe Konfiguration wie du. (" dot1x mac-auth-bypass eap " )
Ich habe den IAS als Radius.
Im Active Directory habe ich als Benutzer die MAC-Adresse des Devices (Thin-Client) hinterlegt, mit der MAC-Adresse gleichzeitig als Passwort.
Da ich auf dem ThinClient kein Zertifikat zur Authentifizierung habe wird MAB also auf MAC ebene das gerät authentifizieren wollen.
bei mir macht er allerdings nichts.
könntest du mir da vielleicht weiterhelfen?
hm
mit acs hab ich es am anfang versucht aber nicht hinbekommen (w2k + cisco acs 3.1).
mit ias funktioniert alles so weit.
muss jetzt nur noch devices wie drucker und thin clients ans netz schliessen die sich mit mac authentifizieren über dot1x mac-auth-bypass.
auf dem thinclient geht kein wireshark zu installieren da es winCE ist. Zertifikate nimmt er auch nicht. (schon aber nur .cer und keine pfx, also mit schlüssel und exportierbarkeit)
ich habe also nur die möglichkeit auf dem switch mitzusehen was er versucht und auf dem server die wireshark mitschnitte.
die logging zeilen vom switch helfen mir nicht viel weiter...auf dem ias-server sehe ich über wireshark einen challenge und ein reject im anschluss.
muss ich für geräte ohne dot1x unterstützung wie drucker und thin clients (also geräte die ich über mac adresse autehtifizieren muss) eigene richtlinien gruppe erstellen? wenn ja worauf achten?
mit acs hab ich es am anfang versucht aber nicht hinbekommen (w2k + cisco acs 3.1).
mit ias funktioniert alles so weit.
muss jetzt nur noch devices wie drucker und thin clients ans netz schliessen die sich mit mac authentifizieren über dot1x mac-auth-bypass.
auf dem thinclient geht kein wireshark zu installieren da es winCE ist. Zertifikate nimmt er auch nicht. (schon aber nur .cer und keine pfx, also mit schlüssel und exportierbarkeit)
ich habe also nur die möglichkeit auf dem switch mitzusehen was er versucht und auf dem server die wireshark mitschnitte.
die logging zeilen vom switch helfen mir nicht viel weiter...auf dem ias-server sehe ich über wireshark einen challenge und ein reject im anschluss.
muss ich für geräte ohne dot1x unterstützung wie drucker und thin clients (also geräte die ich über mac adresse autehtifizieren muss) eigene richtlinien gruppe erstellen? wenn ja worauf achten?
also es ist doch so, dass nach 3maligem versagen der authentifizierung via dot1x es einen reject /bzw. timeout gibt.
nach dem timeout versucht der switch die MAC adresse des supplicanten zu erlernen.
anschliessend wird diese mac adresse dem radius server weitergeleitet und die identity überprüft mit dem benutzer aus der AD-Userdatenbank wo diese MAC adresse als User = passwort angelegt ist.
( Hier eine frage: die MAC-Adresse mit doppelpunkten oder punkten oder durchgehend?
also 000f20.. oder 00:0F:20.. oder 00.0F.20.. ???)
der server müsste nun ein ACCEPT schicken und der switch dann das PORT enablen...oder täusche ich mich?
warum schickt der Radius ein Reject bei mir??
nun müsste doch alles ok sein oder habe ich etwas vergessen???
nach dem timeout versucht der switch die MAC adresse des supplicanten zu erlernen.
anschliessend wird diese mac adresse dem radius server weitergeleitet und die identity überprüft mit dem benutzer aus der AD-Userdatenbank wo diese MAC adresse als User = passwort angelegt ist.
( Hier eine frage: die MAC-Adresse mit doppelpunkten oder punkten oder durchgehend?
also 000f20.. oder 00:0F:20.. oder 00.0F.20.. ???)
der server müsste nun ein ACCEPT schicken und der switch dann das PORT enablen...oder täusche ich mich?
warum schickt der Radius ein Reject bei mir??
nun müsste doch alles ok sein oder habe ich etwas vergessen???
also ich hab nun den wireshark mitschnitt analysiert so gut ich kann und folgendes sehe ich:
ein Access-Request(1) vom Supplicanten.
als Attribut usernamen ist der wert die MAC adresse mit kleinbuchstaben.
(ist das evtl falsch? weil in der AD-Userdatenbank ich grossbuchstaben für die MAC benutzt habe als Usernamen?)
darauf folgt ein Access-Challenge(11) vom Server.
dann wieder ein Access-Request(1) vom Supclicant.
und beendet wird die geschichte mit einem Access-Reject(3).
ein Access-Request(1) vom Supplicanten.
als Attribut usernamen ist der wert die MAC adresse mit kleinbuchstaben.
(ist das evtl falsch? weil in der AD-Userdatenbank ich grossbuchstaben für die MAC benutzt habe als Usernamen?)
darauf folgt ein Access-Challenge(11) vom Server.
dann wieder ein Access-Request(1) vom Supclicant.
und beendet wird die geschichte mit einem Access-Reject(3).
Hallo,
ich bin im Moment auch dabei auf 802.1X umzustellen.
Ich habe einen Ausschnitt der eventuell ein paar Informationen bringen könnte.
"Und genau hier offenbart sich ein weiteres zu lösendes Problem: die
Standard-Policies für Passwörter eines User-Objekts verweigern aus guten
Gründen das Anlegen eines AD-Objektes, dessen Namen gleich dessen
Passworts ist. Zwar kann diese Einstellung verändert werden, aus
Sicherheitsgründen kann davon aber nur dringend abgeraten werden.
Hinzu kommt, dass der IAS auf das Active Directory angewiesen ist, eine
Datenhaltung der MAC Adressen in einer Datei oder einer anderen Datenbank
wird nicht unterstützt."
Quelle: Seite 5 des Whitepeper`s der Firma rt-solutions.de GbmH
Wenn ihr die legalicy Geräte über MAB authentifiziert, wie stellt ihr dann sicher, dass dieser Port nicht zu Angriffen auf das Netz missbraucht wird. Die MAC - Adresse eines Druckers beispielweiße lässt sich ja leicht herrausfinden und einen Laptop diese geben.
Über Informationen diesbezüglich würde ich mich freuen.
Gruß,
Daniel
ich bin im Moment auch dabei auf 802.1X umzustellen.
Ich habe einen Ausschnitt der eventuell ein paar Informationen bringen könnte.
"Und genau hier offenbart sich ein weiteres zu lösendes Problem: die
Standard-Policies für Passwörter eines User-Objekts verweigern aus guten
Gründen das Anlegen eines AD-Objektes, dessen Namen gleich dessen
Passworts ist. Zwar kann diese Einstellung verändert werden, aus
Sicherheitsgründen kann davon aber nur dringend abgeraten werden.
Hinzu kommt, dass der IAS auf das Active Directory angewiesen ist, eine
Datenhaltung der MAC Adressen in einer Datei oder einer anderen Datenbank
wird nicht unterstützt."
Quelle: Seite 5 des Whitepeper`s der Firma rt-solutions.de GbmH
Wenn ihr die legalicy Geräte über MAB authentifiziert, wie stellt ihr dann sicher, dass dieser Port nicht zu Angriffen auf das Netz missbraucht wird. Die MAC - Adresse eines Druckers beispielweiße lässt sich ja leicht herrausfinden und einen Laptop diese geben.
Über Informationen diesbezüglich würde ich mich freuen.
Gruß,
Daniel
@Daniel:
kann mich proxymus nur anschliessen.
drucker-vlan + firewall.
rt-solution hat eine eigene extension zur umgehung des identischen password´s zur mac-adresse.
vielleicht bietet microsoft auch so eine extension an. ??
@proxy:
als usernamen sehe ich im wireshark mitschnitt die MAC-Adresse ohne trennzeichen und kleinbuchstaben.
ich bin am verzweifeln...wieso klappt das nicht ??
kann mich proxymus nur anschliessen.
drucker-vlan + firewall.
rt-solution hat eine eigene extension zur umgehung des identischen password´s zur mac-adresse.
vielleicht bietet microsoft auch so eine extension an. ??
@proxy:
als usernamen sehe ich im wireshark mitschnitt die MAC-Adresse ohne trennzeichen und kleinbuchstaben.
ich bin am verzweifeln...wieso klappt das nicht ??
also bei mir ist passwort = username = mac-adresse für das gerät.
nachdem timeout müsste er doch einen request schicken und diesem ein accept geben.
maaaan
bei mir gibts kommt ein access-request(1) herein mit macadresse als usernamen in kleinbuchstaben ohne trennzeichen.
anschliessend ein access-challenge. vom server raus an supplicant.
dann wieder ein request herein und darauf der server dann ein reject.
nachdem timeout müsste er doch einen request schicken und diesem ein accept geben.
maaaan
bei mir gibts kommt ein access-request(1) herein mit macadresse als usernamen in kleinbuchstaben ohne trennzeichen.
anschliessend ein access-challenge. vom server raus an supplicant.
dann wieder ein request herein und darauf der server dann ein reject.
ich hab in der ereignisanzeige von windows folgendes entdeckt.
"
Ursache =
Der Client konnte nicht authentifiziert werden, da der angegebene EAP (Extensible Authentication-Protokoll)-Typ vom Server nicht verarbeitet werden kann. "
also ich habe ja eine richtinie für die authentifizierung für eap-tls.
wie sollte eine richtline für MAB aussehen?
worauf ist hier zu achten.
"
Ursache =
Der Client konnte nicht authentifiziert werden, da der angegebene EAP (Extensible Authentication-Protokoll)-Typ vom Server nicht verarbeitet werden kann. "
also ich habe ja eine richtinie für die authentifizierung für eap-tls.
wie sollte eine richtline für MAB aussehen?
worauf ist hier zu achten.
Hi.
Die Richtline muß als EAP-Method MD5-Challenge und als Authentication "unencrypted Authentication (PAP, SPAP)" enthalten.
Bei Cisco-Switches werden die MAC-Adressen in Kleinschrift ohne Trennzeichen genutzt. User-ID und Kennwort des Windows-Accounts müssen diese Konvention natürlich einhalten.
Und nein, Microsoft hat keine IAS-Extension zum Zugriff auf eine Datenbank. Also, entweder bei RT-Solutions kaufen oder mit dem Windows-Developers-Kit selbstbauen
(Nein, ich habe keine Teilhaberschaft bei RT-Solutions).
Gruß
Gerd Schelbert
Die Richtline muß als EAP-Method MD5-Challenge und als Authentication "unencrypted Authentication (PAP, SPAP)" enthalten.
Bei Cisco-Switches werden die MAC-Adressen in Kleinschrift ohne Trennzeichen genutzt. User-ID und Kennwort des Windows-Accounts müssen diese Konvention natürlich einhalten.
Und nein, Microsoft hat keine IAS-Extension zum Zugriff auf eine Datenbank. Also, entweder bei RT-Solutions kaufen oder mit dem Windows-Developers-Kit selbstbauen
(Nein, ich habe keine Teilhaberschaft bei RT-Solutions).
Gruß
Gerd Schelbert
Hi Leute,
ich hab ein positives ergebnis durch eure hilfe erlangen können.
MAC Authentication Bypass bei 802.1x im LAN
gerd hat mir sehr geholfen.
ich hoffe ich werde auch mal so hilfreich sein können.
Danke Proxymus auch für deine mühe.
Danke Gerd (ohne dich hätte ich mehr zeit verloren).
ich hab ein positives ergebnis durch eure hilfe erlangen können.
MAC Authentication Bypass bei 802.1x im LAN
gerd hat mir sehr geholfen.
ich hoffe ich werde auch mal so hilfreich sein können.
Danke Proxymus auch für deine mühe.
Danke Gerd (ohne dich hätte ich mehr zeit verloren).
hey,
ich haette einige Fragen an deinen Thread.
Ich bin auch die 802.1x Authentifizierung mit Zertifikaten am Testen und möchte auch die Geräte die keine 802.1x können mit MAb authentifizieren.
Vorerst zu den Zertifizierung: Ich habe ein Root Ca Zertifikat auf meinem Domain Controller erstellt und dann in meinen Cisco ACS 4.2 ein "generate self signing request" angestoßen und das Zertifikat dann auch sauber von http://server/cersrv heruntergeladen und installiert. Ich habe in dem Glabalenkonfigurationsmodus PEAP aktiviert.
Kannst du mir sagen wo ich auf dem ACS Server sehe das sich meine Windows XP Clients auch wirklich mit dem Zertifikat authentifizieren ?
ich habe nähmlich unter External User Database-->Unknown user policy --> den haken bei "Check the following external User Database" gesetzt, das bedeutet ja , wenn der Benutzer kommt und nicht in der internen Datenbank ist, an die Windows Datenbank geht, wenn der Windows Xp (Computername) dann im Active Directory vorhanden ist, ist er Authentifiziert, ich weiss nur nicht wie ich das unterscheiden kann ob er jetzt auch wirklich das Zertifikat verwendet.
Was ich noch zusätzlich gemacht habe:
Ich habe das Zertifikat per Gruppenrichtlinie in die Vertrauenwürdigen Zertifizirungsstellen hinzugefügt und der CLient sieht auch die Zertifizierungssstelle.
meine Switchkonfig sieht folgendermaßen aus;
interface GigabitEthernet2/1
description PEAP
switchport access vlan 5
switchport mode access
authentication host-mode multi-domain
authentication order mab dot1x
authentication priority mab dot1x
authentication port-control auto
mab
no snmp trap link-status
dot1x pae authenticator
dot1x timeout quiet-period 50
spanning-tree portfast
spanning-tree bpduguard enable
Hast du diese Manuell auf dem Client installiert ?
Vielen Dank für deine hilfe
ich haette einige Fragen an deinen Thread.
Ich bin auch die 802.1x Authentifizierung mit Zertifikaten am Testen und möchte auch die Geräte die keine 802.1x können mit MAb authentifizieren.
Vorerst zu den Zertifizierung: Ich habe ein Root Ca Zertifikat auf meinem Domain Controller erstellt und dann in meinen Cisco ACS 4.2 ein "generate self signing request" angestoßen und das Zertifikat dann auch sauber von http://server/cersrv heruntergeladen und installiert. Ich habe in dem Glabalenkonfigurationsmodus PEAP aktiviert.
Kannst du mir sagen wo ich auf dem ACS Server sehe das sich meine Windows XP Clients auch wirklich mit dem Zertifikat authentifizieren ?
ich habe nähmlich unter External User Database-->Unknown user policy --> den haken bei "Check the following external User Database" gesetzt, das bedeutet ja , wenn der Benutzer kommt und nicht in der internen Datenbank ist, an die Windows Datenbank geht, wenn der Windows Xp (Computername) dann im Active Directory vorhanden ist, ist er Authentifiziert, ich weiss nur nicht wie ich das unterscheiden kann ob er jetzt auch wirklich das Zertifikat verwendet.
Was ich noch zusätzlich gemacht habe:
Ich habe das Zertifikat per Gruppenrichtlinie in die Vertrauenwürdigen Zertifizirungsstellen hinzugefügt und der CLient sieht auch die Zertifizierungssstelle.
meine Switchkonfig sieht folgendermaßen aus;
interface GigabitEthernet2/1
description PEAP
switchport access vlan 5
switchport mode access
authentication host-mode multi-domain
authentication order mab dot1x
authentication priority mab dot1x
authentication port-control auto
mab
no snmp trap link-status
dot1x pae authenticator
dot1x timeout quiet-period 50
spanning-tree portfast
spanning-tree bpduguard enable
Zitat von @Proxymus:
Hallo,
ich teste gerade Cisco's 802.1x Portsecurity in einer Laborumgebung mit einem 3560 (IOS 12.2(44SE)) und der ACS 4.1 für
Windows.
Firmeneigene PC's sollen über ihr zugehöriges Computerzertifikat authentifiziert werden. Nicht 802.1x fähige
Geräte sollen per MAC Authentication Bypass (MAB) authentifiziert werden. MAB möchte ich auch für den PXE-Boot
verwenden, da dieser für die Softwareverteilung benötigt wird.
Die Authentifizierung habe ich über die "Network Access Profiles" konfiguriert. Die Authentifizierung über das
Brauch man Network Access Profiles um Zertifikate zu nutzen ?Hallo,
ich teste gerade Cisco's 802.1x Portsecurity in einer Laborumgebung mit einem 3560 (IOS 12.2(44SE)) und der ACS 4.1 für
Windows.
Firmeneigene PC's sollen über ihr zugehöriges Computerzertifikat authentifiziert werden. Nicht 802.1x fähige
Geräte sollen per MAC Authentication Bypass (MAB) authentifiziert werden. MAB möchte ich auch für den PXE-Boot
verwenden, da dieser für die Softwareverteilung benötigt wird.
Die Authentifizierung habe ich über die "Network Access Profiles" konfiguriert. Die Authentifizierung über das
Computerzertifikat funktioniert bereits problemlos.
Hast du diese Manuell auf dem Client installiert ?
Mit dem MAB habe ich noch ein paar Probleme. Wenn ich die MAC-Adresse im Punkt
Authentication händisch eintrage und auf eine Gruppe binde, funktioniert der MAC Bypass (auch mit Zusatzfeatures wie
VLAN-Mapping). Nun habe ich das Problem, dass ich sehr viele Clients habe und ich diese nicht alle händisch eintragen will.
Alle MAC-Adressen stehen aber in einer ODBC Datenbank. Leider kann ich scheinbar im Access Profil nicht direkt auf die
ODBC-Datenbank zugreifen. Ich habe es, wie bei Cisco beschreiben, über die Stored Procedures versucht. Leider bislang ohne
Erfolg.
Ich habe auch schon versucht Benutzer anzulegen, die der MAC-Adresse entsprechen. Leider ebenfalls erfolglos.
Zitat von
http://www.cisco.com/en/US/products/hw/switches/ps5528/products_configu ...
When the MAC authentication bypass feature is enabled on an IEEE 802.1x port, the switch uses the MAC address as the client
identity. The authentication server has a database of client MAC addresses that are allowed network access. After detecting a
client on an IEEE 802.1x port, the switch waits for an Ethernet packet from the client. The switch sends the authentication
server a RADIUS-access/request frame with a username and password based on the MAC address. If authorization succeeds, the
switch grants the client access to the network. If authorization fails, the switch assigns the port to the guest VLAN if one is
configured.
Hat jemand bereits Erfahrungen in dem Bereich gesammelt? Ich bin für jeden Tipp dankbar.
mfg, Proxymus
Authentication händisch eintrage und auf eine Gruppe binde, funktioniert der MAC Bypass (auch mit Zusatzfeatures wie
VLAN-Mapping). Nun habe ich das Problem, dass ich sehr viele Clients habe und ich diese nicht alle händisch eintragen will.
Alle MAC-Adressen stehen aber in einer ODBC Datenbank. Leider kann ich scheinbar im Access Profil nicht direkt auf die
ODBC-Datenbank zugreifen. Ich habe es, wie bei Cisco beschreiben, über die Stored Procedures versucht. Leider bislang ohne
Erfolg.
Ich habe auch schon versucht Benutzer anzulegen, die der MAC-Adresse entsprechen. Leider ebenfalls erfolglos.
Zitat von
http://www.cisco.com/en/US/products/hw/switches/ps5528/products_configu ...
When the MAC authentication bypass feature is enabled on an IEEE 802.1x port, the switch uses the MAC address as the client
identity. The authentication server has a database of client MAC addresses that are allowed network access. After detecting a
client on an IEEE 802.1x port, the switch waits for an Ethernet packet from the client. The switch sends the authentication
server a RADIUS-access/request frame with a username and password based on the MAC address. If authorization succeeds, the
switch grants the client access to the network. If authorization fails, the switch assigns the port to the guest VLAN if one is
configured.
Hat jemand bereits Erfahrungen in dem Bereich gesammelt? Ich bin für jeden Tipp dankbar.
mfg, Proxymus
Vielen Dank für deine hilfe