5
802.1x RADIUS Authentifizierung Windows IAS AD
Hallo Forum,
bin noch ein ziemlicher Anfänger in dem Thema. Ich möchte eine ganz primitive 802.1x RADIUS Authentifizierung realisieren.
Ich habe:
-Windows Server 2003
-Cisco Switch 2960
-Testsupplicant Windows Laptop
Ich habe bisher den Switch konfiguriert:
aaa-Konfig:
conf t
aaa new-model
dot1x system-auth-control
aaa authentication login default enable
aaa authentication dot1x default group radius
aaa authorization network default group radius
end
show dot1x
Zugangssicherung Terminal/ Telnet:
conf t
line con 0
password xxxx
enable secret yyyy
exit
conf t
line vty 0 4
password zzzz
end
Radius-Konfig:
conf t
radius-server host 192.168.126.149 auth-port 1645 acct-port 1646 key xxxxxxxx
end
show running-config
Interface-Konfig:
conf t
interface FastEthernet 0/10
switchport mode access
switchport access vlan 21
dot1x port-control auto
end
Übernehmen als geltende Konfig:
show running-config
copy running-config startup-config
Dann habe ich bisher noch den IAS soweit eingerichtet. Meiner Meinung nach richtige RAS-Richtlinien erstellt und auch nen Testuser im AD eingerichtet.
Mein Ziel ist es ganz einfach nur meinen Testlaptop am Switch anzuschließen und dann entweder anhand der IP-Adresse eine Verweigerung oder eine
Erlaubnis zu bekommen. Ich habe aber keine Zertifikate erstellt. Brauche ich das unbedingt?
Ich möchte wirklich nur diese einfache Sache realisieren. Kann mir jemand helfen? Anleitung gibt es ja genug, aber irgendwie hilft nichts wirklich.
Grüße
bin noch ein ziemlicher Anfänger in dem Thema. Ich möchte eine ganz primitive 802.1x RADIUS Authentifizierung realisieren.
Ich habe:
-Windows Server 2003
-Cisco Switch 2960
-Testsupplicant Windows Laptop
Ich habe bisher den Switch konfiguriert:
aaa-Konfig:
conf t
aaa new-model
dot1x system-auth-control
aaa authentication login default enable
aaa authentication dot1x default group radius
aaa authorization network default group radius
end
show dot1x
Zugangssicherung Terminal/ Telnet:
conf t
line con 0
password xxxx
enable secret yyyy
exit
conf t
line vty 0 4
password zzzz
end
Radius-Konfig:
conf t
radius-server host 192.168.126.149 auth-port 1645 acct-port 1646 key xxxxxxxx
end
show running-config
Interface-Konfig:
conf t
interface FastEthernet 0/10
switchport mode access
switchport access vlan 21
dot1x port-control auto
end
Übernehmen als geltende Konfig:
show running-config
copy running-config startup-config
Dann habe ich bisher noch den IAS soweit eingerichtet. Meiner Meinung nach richtige RAS-Richtlinien erstellt und auch nen Testuser im AD eingerichtet.
Mein Ziel ist es ganz einfach nur meinen Testlaptop am Switch anzuschließen und dann entweder anhand der IP-Adresse eine Verweigerung oder eine
Erlaubnis zu bekommen. Ich habe aber keine Zertifikate erstellt. Brauche ich das unbedingt?
Ich möchte wirklich nur diese einfache Sache realisieren. Kann mir jemand helfen? Anleitung gibt es ja genug, aber irgendwie hilft nichts wirklich.
Grüße
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 151249
Url: https://administrator.de/contentid/151249
Printed on: April 19, 2024 at 17:04 o'clock
5 Comments
Latest comment
Mit der IP Adresse ist das bei .1x technisch nicht möglich ! Lies dir dazu den 802.1x Standard durch, denn da hast du wohl ganz falsche Vorstellungen !
http://de.wikipedia.org/wiki/IEEE_802.1X
Wenn, dann geht es nur mit Mac Adresse, User/Passwort oder Zertifikat !
Ansonsten findest du hier ein HowTo um das im Handumdrehen zum Laufen zu bringen:
http://www.root.sg/?view=article&catid=40:switched-network-security ...
http://de.wikipedia.org/wiki/IEEE_802.1X
Wenn, dann geht es nur mit Mac Adresse, User/Passwort oder Zertifikat !
Ansonsten findest du hier ein HowTo um das im Handumdrehen zum Laufen zu bringen:
http://www.root.sg/?view=article&catid=40:switched-network-security ...
Ja gut, ok mit IP geht nicht. Mir geht es jetzt hier erstmal hauptsächlich darum ob die Switch-Config soweit stimmt, oder sieht da jemand aufn ersten Blick nen Fehler?
Nöö, die sieht OK aus. Den Radius kannst du auch mit dem NTradping Tool vorab testen:
http://www.novell.com/coolsolutions/tools/14377.html
FreeRadius Beispiel findest du u.a. hier:
Dynamisches Vlan bei Freeradius mit Alcatel switch
http://www.novell.com/coolsolutions/tools/14377.html
FreeRadius Beispiel findest du u.a. hier:
Dynamisches Vlan bei Freeradius mit Alcatel switch
Hallo,
die Konfig dürfte soweit passen wobei ich immer einen SSH Zugsng mit konifguriere:
line con 0
login local
logging synchronous
line vty 0 4
login local
transport input ssh
transport output ssh
transport preferred ssh
logging synchronous
line vty 5 15
logging synchronous
login local
transport input ssh
transport output ssh
transport preferred ssh
brammer
die Konfig dürfte soweit passen wobei ich immer einen SSH Zugsng mit konifguriere:
line con 0
login local
logging synchronous
line vty 0 4
login local
transport input ssh
transport output ssh
transport preferred ssh
logging synchronous
line vty 5 15
logging synchronous
login local
transport input ssh
transport output ssh
transport preferred ssh
brammer
Hallo,
vielen Dank erstmal. Hab jetzt schon so einiges hinbekommen u.a. mit Hilfe dieses Forums.
Ich habe noch eine konkrete Frage. Ich möchte noch immer die MAC-Adressen-Authentifizierung machen. Bis jetzt gehen nur alle möglichen
Arten der User Authentifizierung. Kann mir dazu jemand Tipps geben. Und ganz konkret, geht die MAC-Authentifizierung nur mit EAP-TLS oder auch mit EAP-MD5 oder PEAP? Weil bei diesen beiden Verfahren muss man sich ja immer mit Username, Kennwort anmelden.
Vielen Dank schonmal im Vorraus!
vielen Dank erstmal. Hab jetzt schon so einiges hinbekommen u.a. mit Hilfe dieses Forums.
Ich habe noch eine konkrete Frage. Ich möchte noch immer die MAC-Adressen-Authentifizierung machen. Bis jetzt gehen nur alle möglichen
Arten der User Authentifizierung. Kann mir dazu jemand Tipps geben. Und ganz konkret, geht die MAC-Authentifizierung nur mit EAP-TLS oder auch mit EAP-MD5 oder PEAP? Weil bei diesen beiden Verfahren muss man sich ja immer mit Username, Kennwort anmelden.
Vielen Dank schonmal im Vorraus!
