Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Cisco AcessControlServer - Authentication Problem

Mitglied: Stefan600

Stefan600 (Level 1) - Jetzt verbinden

25.03.2008, aktualisiert 31.12.2008, 3821 Aufrufe

Hallo,
Ich konfiguriere gerade einen ACS für unser Maturaprojekt und habe nun folgendes Problem:

Die Authentifizierung über den IETFRadius-server funktioniert bereits einwandfrei. doch bei der authentication von NAC(Network Admission Control) werden alle Clients in das Quarantäne-VLAN verfrachtet.. dies wird aus dem Portstatus beim switch ersichtlich und in den logs (Shared RAC:L2_1x_Quarantine_RAC).

Ich habe in "Shared Profile Components - RADIUS Authorization Components" 3 Komponenten eingerichtet:

Healthy_RAC:
IETF Session-Timeout (27) 3600
IETF Termination-Action (29) RADIUS-Request (1)
IETF Tunnel-Type (64) [T1] VLAN (13)
IETF Tunnel-Medium-Type (65) [T1] 802 (6)
IETF Tunnel-Private-Group-ID (81) [T1]secure_lan

Quarantine_RAC:
IETF Session-Timeout (27) 3600
IETF Termination-Action (29) RADIUS-Request (1)
I ETF Tunnel-Type (64) [T1] VLAN (13)
IETF Tunnel-Medium-Type (65) [T1] 802 (6)
IETF Tunnel-Private-Group-ID (81) [T1] quarantine

Transition_RAC:
IETF Session-Timeout (27) 30
IETF Termination-Action (29) RADIUS-Request (1)


Danach habe ich noch ein Network Access Profile namens nac_802.1x erstellt, jedoch zum Testen die Machinpostures unter authentifizierung ausgeschaltet.

Hier sind noch meine authoriziation rules:
*User Group: student
System Posture Token: Healthy
Deny Access: No
Shared RAC: Healthy_RAC
ACL: vorrübergehend deaktiviert

*If a condition is not defined or there is no matched condition: Quarantine_RAC


Hat jemand eine Idee woran das liegen könnte, dass die Clients immer in die Quaratäne kommen?
Beim Client habe ich bei 802.1x PEAP eingestellt und das ZErtifikiert hinzugfügt.
Authentifizierungsmethode: EAP-MSCHAPv2
Als Computer authentifizieren, wenn Computerinformationen verfügbar sind

Hier ist noch ein kleiner ausschnitt aus der Log-Datei(Passed Authentications) des ACS Servers:
http://www.datei-upload.eu/file.php?id=e532ee9671a10ba82567bd156f12ebf8
01.
Date,Time,Message-Type,User-Name,Caller-ID,NAS-Port,NAS-IP-Address,AAA Server,Filter Information,Network Device Group,Access Device,
02.
PEAP/EAP-FAST-Clear-Name,Logged Remotely,EAP Type,EAP Type Name,Network Access Profile Name,Outbound Class,Shared RAC,Downloadable ACL,System-Posture-Token,Application-Posture-Token,
03.
Reason,Cisco:PA:PA-Name,Cisco:PA:PA-Version,Cisco:PA:OS-Type,Cisco:PA:OSVersion,Cisco:Host:ServicePacks,Cisco:Host:HotFixes,Cisco:Host:Package
04.
03/25/2008,16:52:50,Authen OK,test,00-03-0D-32-D2-75,50020,192.168.200.1,DELIVERANCE1,No Filters activated.,,Any,,No,25,MS-PEAP,Lab_NAC_L2_802.1x,CACS:7/58a/c0a8c801/50020,L2_1x_Quarantine_RAC,,,,,,,,,,,
05.
03/25/2008,16:54:11,Authen OK,test,00-03-0D-32-D2-75,50020,192.168.200.1,DELIVERANCE1,No Filters activated.,,Any,,No,25,MS-PEAP,Lab_NAC_L2_802.1x,CACS:7/58c/c0a8c801/50020,L2_1x_Quarantine_RAC,,,,,,,,,,,
06.
03/25/2008,16:57:15,Authen OK,test,00-03-0D-32-D2-75,50020,192.168.200.1,DELIVERANCE1,No Filters activated.,,Any,,No,25,MS-PEAP,Lab_NAC_L2_802.1x,CACS:7/58f/c0a8c801/50020,L2_1x_Quarantine_RAC,,,,,,,,,,,
07.
03/25/2008,17:11:52,Authen OK,test,00-03-0D-32-D2-75,50020,192.168.200.1,DELIVERANCE1,No Filters activated.,,Any,,No,25,MS-PEAP,Lab_NAC_L2_802.1x,CACS:7/59c/c0a8c801/50020,L2_1x_Quarantine_RAC,,,,,,,,,,,
08.
03/25/2008,17:19:48,Authen OK,test,00-03-0D-32-D2-75,50020,192.168.200.1,DELIVERANCE1,No Filters activated.,,Any,,No,25,MS-PEAP,Lab_NAC_L2_802.1x,CACS:7/5a3/c0a8c801/50020,L2_1x_Quarantine_RAC,,,,,,,,,,,
09.
03/25/2008,17:20:24,Authen OK,test,00-03-0D-32-D2-75,50020,192.168.200.1,DELIVERANCE1,No Filters activated.,,Any,,No,25,MS-PEAP,Lab_NAC_L2_802.1x,CACS:7/5a4/c0a8c801/50020,L2_1x_Quarantine_RAC,,,,,,,,,,,
10.
03/25/2008,17:23:29,Authen OK,test,00-03-0D-32-D2-75,50020,192.168.200.1,DELIVERANCE1,No Filters activated.,,Any,,No,25,MS-PEAP,Lab_NAC_L2_802.1x,CACS:7/5a8/c0a8c801/50020,L2_1x_Quarantine_RAC,,,,,,,,,,,
11.
03/25/2008,17:32:37,Authen OK,test,00-03-0D-32-D2-75,50020,192.168.200.1,DELIVERANCE1,No Filters activated.,,Any,,No,25,MS-PEAP,Lab_NAC_L2_802.1x,CACS:7/5b0/c0a8c801/50020,L2_1x_Quarantine_RAC,,,,,,,,,,,
12.
03/25/2008,17:39:19,Authen OK,test,00-03-0D-32-D2-75,50020,192.168.200.1,DELIVERANCE1,No Filters activated.,,Any,,No,25,MS-PEAP,Lab_NAC_L2_802.1x,CACS:7/5b7/c0a8c801/50020,L2_1x_Quarantine_RAC,,,,,,,,,,,
13.
03/25/2008,17:55:32,Authen OK,test,00-03-0D-32-D2-75,50020,192.168.200.1,DELIVERANCE1,No Filters activated.,,Any,,No,25,MS-PEAP,Lab_NAC_L2_802.1x,CACS:7/5c6/c0a8c801/50020,L2_1x_Healthy_RAC,,,,,,,,,,,
14.
03/25/2008,18:05:02,Authen OK,test,00-03-0D-32-D2-75,50020,192.168.200.1,DELIVERANCE1,No Filters activated.,,Any,,No,25,MS-PEAP,Lab_NAC_L2_802.1x,CACS:7/5cd/c0a8c801/50020,L2_1x_Quarantine_RAC,,,,,,,,,,,
15.
03/25/2008,18:06:44,Authen OK,test,00-03-0D-32-D2-75,50020,192.168.200.1,DELIVERANCE1,No Filters activated.,,Any,,No,25,MS-PEAP,Lab_NAC_L2_802.1x,CACS:7/5cf/c0a8c801/50020,L2_1x_Quarantine_RAC,,,,,,,,,,,
16.
03/25/2008,18:12:50,Authen OK,test,00-03-0D-32-D2-75,50020,192.168.200.1,DELIVERANCE1,No Filters activated.,,Any,,No,25,MS-PEAP,Lab_NAC_L2_802.1x,CACS:7/5d5/c0a8c801/50020,L2_1x_Quarantine_RAC,,,,,,,,,,,
17.
03/25/2008,18:15:20,Authen OK,test,00-03-0D-32-D2-75,50020,192.168.200.1,DELIVERANCE1,No Filters activated.,,Any,,No,25,MS-PEAP,Lab_NAC_L2_802.1x,CACS:7/5d8/c0a8c801/50020,L2_1x_Healthy_RAC,,,,,,,,,,,
18.
03/25/2008,18:22:58,Authen OK,new,00-03-0D-32-D2-75,50020,192.168.200.1,DELIVERANCE1,No Filters activated.,,Any,,No,25,MS-PEAP,Lab_NAC_L2_802.1x,CACS:7/5e0/c0a8c801/50020,L2_1x_Healthy_RAC,,,,,,,,,,,
19.
03/25/2008,18:26:15,Authen OK,new,00-03-0D-32-D2-75,50020,192.168.200.1,DELIVERANCE1,No Filters activated.,,Any,,No,25,MS-PEAP,Lab_NAC_L2_802.1x,CACS:7/5e4/c0a8c801/50020,L2_1x_Quarantine_RAC,,,,,,,,,,,
In den Logs erscheint 3 mal die Healthy_RAC, dies ist jedoch nur weil ich bei "If a condition is not defined or there is no matched condition" diese ausgewählt hatte.

Ncoh eine Frage.. wird ein CTA Client für die Postures benötigt doer nicht? Hab mich bei einigen informiert, doch jeder meint was anders.

Im Vorraus vielen Dank für Antworten
mfg
http://net08.wordpress.com/
Dani - 25.03.2008 22:34
Ich habe mir erlaubt, für die Nachwelt das Log als Code-Block einzufügen. So dass der Beitrag immer komplett ist.
Ähnliche Inhalte
Verschlüsselung & Zertifikate

RSA authentication failed authentication manager

Frage von ko81roVerschlüsselung & Zertifikate2 Kommentare

Hallo zusammen, ich bekommen ob und zu immer wieder Probleme das sich die User nicht anmelden können, bei dem ...

Netzwerkgrundlagen

Mutual Authentication mit Offline CA ?

Frage von H4rdQu0r3Netzwerkgrundlagen5 Kommentare

Hallo Leute, Ich bin seit mittlerweile 2 Wochen am verzweifeln und finde einfach keine Antwort. Ich möchte einen Client ...

Windows Server

LAN Manager Authentication Level

gelöst Frage von MineralwasserWindows Server2 Kommentare

Guten Morgen Es konnten sich alle Computern nicht von extern via RemoteApp zugreifen. Nach langem suchen habe ich festgestellt, ...

Netzwerke

Cisco 886VA VPN - "Xauth authentication by pre-shared key offered but does not match policy!"

gelöst Frage von Bernhard-BNetzwerke7 Kommentare

Hallo, nachdem mein Cisco 886VA Router am Internet hängt habe ich versucht eine VPN Verbindung via IPsec einzurichten, dabei ...

Neue Wissensbeiträge
iOS
WatchChat für Whatsapp
Tipp von Criemo vor 1 TagiOS

Ziemlich coole App für WhatsApp User in Verbindung mit der Apple Watch. Gibts für iOS sowohl als auch für ...

iOS
IOS hat nen Cursor !!!
Tipp von Criemo vor 1 TagiOS5 Kommentare

Nette Funktion im iOS. iPhone-Mauszeiger aktivieren „Nichts ist nerviger, als bei einem Tippfehler zu versuchen, den iOS-Cursor an die ...

Off Topic
Avengers 4: Endgame - Erster Trailer
Information von Frank vor 3 TagenOff Topic2 Kommentare

Ich weiß es ist Off Topic, aber ich freue mich auf diesen Film und vielleicht geht es anderen hier ...

Webbrowser
Microsoft bestätigt Edge mit Chromium-Kern
Information von Frank vor 3 TagenWebbrowser5 Kommentare

Microsoft hat nun in seinem Blog bestätigt, dass die nächste Edge Version kein EdgeHTML mehr für die Darstellung benutzen ...

Heiß diskutierte Inhalte
Exchange Server
Exchange Server 2010: Keine Eingehenden E-MAils
gelöst Frage von gabeBUExchange Server17 Kommentare

Hallo Zusammen Ich habe das kurzen auf dem Exchange 2010 Server das Problem, dass ich keine externen E-Mails mehr ...

Windows Netzwerk
Kerio. Kann keine Mails empfangen aber senden. Wer ist schuld. Kerio oder Windows domäne?
gelöst Frage von frosch2Windows Netzwerk17 Kommentare

Hallo, es existiert ein Problem bei uns mit dem mailen. Alle bestehenden Nutzer können mailen. Raus wie rein. Neuen ...

LAN, WAN, Wireless
LAN Kabel plötzlich nur noch 100-10 mbps statt 1000
Frage von ScravysLAN, WAN, Wireless13 Kommentare

Guten Tag, ich habe ein Problem mit meinem Netzwerk und zwar habe ich mir ein 20m starres verlegekabel cat.7 ...

Server
Server in zwei verschiedene Netzwerke einbinden
gelöst Frage von BennyFServer13 Kommentare

Hallo zusammen, bei uns im Haus sind im Erdgeschoss die Geschäftsräume und ab dem 1. Stock sind unsere privaten ...