Cisco AcessControlServer - Authentication Problem
Hallo,
Ich konfiguriere gerade einen ACS für unser Maturaprojekt und habe nun folgendes Problem:
Die Authentifizierung über den IETFRadius-server funktioniert bereits einwandfrei. doch bei der authentication von NAC(Network Admission Control) werden alle Clients in das Quarantäne-VLAN verfrachtet.. dies wird aus dem Portstatus beim switch ersichtlich und in den logs (Shared RAC:L2_1x_Quarantine_RAC).
Ich habe in "Shared Profile Components - RADIUS Authorization Components" 3 Komponenten eingerichtet:
Healthy_RAC:
IETF Session-Timeout (27) 3600
IETF Termination-Action (29) RADIUS-Request (1)
IETF Tunnel-Type (64) [T1] VLAN (13)
IETF Tunnel-Medium-Type (65) [T1] 802 (6)
IETF Tunnel-Private-Group-ID (81) [T1]secure_lan
Quarantine_RAC:
IETF Session-Timeout (27) 3600
IETF Termination-Action (29) RADIUS-Request (1)
I ETF Tunnel-Type (64) [T1] VLAN (13)
IETF Tunnel-Medium-Type (65) [T1] 802 (6)
IETF Tunnel-Private-Group-ID (81) [T1] quarantine
Transition_RAC:
IETF Session-Timeout (27) 30
IETF Termination-Action (29) RADIUS-Request (1)
Danach habe ich noch ein Network Access Profile namens nac_802.1x erstellt, jedoch zum Testen die Machinpostures unter authentifizierung ausgeschaltet.
Hier sind noch meine authoriziation rules:
*User Group: student
System Posture Token: Healthy
Deny Access: No
Shared RAC: Healthy_RAC
ACL: vorrübergehend deaktiviert
*If a condition is not defined or there is no matched condition: Quarantine_RAC
Hat jemand eine Idee woran das liegen könnte, dass die Clients immer in die Quaratäne kommen?
Beim Client habe ich bei 802.1x PEAP eingestellt und das ZErtifikiert hinzugfügt.
Authentifizierungsmethode: EAP-MSCHAPv2
Als Computer authentifizieren, wenn Computerinformationen verfügbar sind
Hier ist noch ein kleiner ausschnitt aus der Log-Datei(Passed Authentications) des ACS Servers:
http://www.datei-upload.eu/file.php?id=e532ee9671a10ba82567bd156f12ebf8
In den Logs erscheint 3 mal die Healthy_RAC, dies ist jedoch nur weil ich bei "If a condition is not defined or there is no matched condition" diese ausgewählt hatte.
Ncoh eine Frage.. wird ein CTA Client für die Postures benötigt doer nicht? Hab mich bei einigen informiert, doch jeder meint was anders.
Im Vorraus vielen Dank für Antworten
mfg
http://net08.wordpress.com/
Dani - 25.03.2008 22:34
Ich habe mir erlaubt, für die Nachwelt das Log als Code-Block einzufügen. So dass der Beitrag immer komplett ist.
Ich konfiguriere gerade einen ACS für unser Maturaprojekt und habe nun folgendes Problem:
Die Authentifizierung über den IETFRadius-server funktioniert bereits einwandfrei. doch bei der authentication von NAC(Network Admission Control) werden alle Clients in das Quarantäne-VLAN verfrachtet.. dies wird aus dem Portstatus beim switch ersichtlich und in den logs (Shared RAC:L2_1x_Quarantine_RAC).
Ich habe in "Shared Profile Components - RADIUS Authorization Components" 3 Komponenten eingerichtet:
Healthy_RAC:
IETF Session-Timeout (27) 3600
IETF Termination-Action (29) RADIUS-Request (1)
IETF Tunnel-Type (64) [T1] VLAN (13)
IETF Tunnel-Medium-Type (65) [T1] 802 (6)
IETF Tunnel-Private-Group-ID (81) [T1]secure_lan
Quarantine_RAC:
IETF Session-Timeout (27) 3600
IETF Termination-Action (29) RADIUS-Request (1)
I ETF Tunnel-Type (64) [T1] VLAN (13)
IETF Tunnel-Medium-Type (65) [T1] 802 (6)
IETF Tunnel-Private-Group-ID (81) [T1] quarantine
Transition_RAC:
IETF Session-Timeout (27) 30
IETF Termination-Action (29) RADIUS-Request (1)
Danach habe ich noch ein Network Access Profile namens nac_802.1x erstellt, jedoch zum Testen die Machinpostures unter authentifizierung ausgeschaltet.
Hier sind noch meine authoriziation rules:
*User Group: student
System Posture Token: Healthy
Deny Access: No
Shared RAC: Healthy_RAC
ACL: vorrübergehend deaktiviert
*If a condition is not defined or there is no matched condition: Quarantine_RAC
Hat jemand eine Idee woran das liegen könnte, dass die Clients immer in die Quaratäne kommen?
Beim Client habe ich bei 802.1x PEAP eingestellt und das ZErtifikiert hinzugfügt.
Authentifizierungsmethode: EAP-MSCHAPv2
Als Computer authentifizieren, wenn Computerinformationen verfügbar sind
Hier ist noch ein kleiner ausschnitt aus der Log-Datei(Passed Authentications) des ACS Servers:
http://www.datei-upload.eu/file.php?id=e532ee9671a10ba82567bd156f12ebf8
Date,Time,Message-Type,User-Name,Caller-ID,NAS-Port,NAS-IP-Address,AAA Server,Filter Information,Network Device Group,Access Device,
PEAP/EAP-FAST-Clear-Name,Logged Remotely,EAP Type,EAP Type Name,Network Access Profile Name,Outbound Class,Shared RAC,Downloadable ACL,System-Posture-Token,Application-Posture-Token,
Reason,Cisco:PA:PA-Name,Cisco:PA:PA-Version,Cisco:PA:OS-Type,Cisco:PA:OSVersion,Cisco:Host:ServicePacks,Cisco:Host:HotFixes,Cisco:Host:Package
03/25/2008,16:52:50,Authen OK,test,00-03-0D-32-D2-75,50020,192.168.200.1,DELIVERANCE1,No Filters activated.,,Any,,No,25,MS-PEAP,Lab_NAC_L2_802.1x,CACS:7/58a/c0a8c801/50020,L2_1x_Quarantine_RAC,,,,,,,,,,,
03/25/2008,16:54:11,Authen OK,test,00-03-0D-32-D2-75,50020,192.168.200.1,DELIVERANCE1,No Filters activated.,,Any,,No,25,MS-PEAP,Lab_NAC_L2_802.1x,CACS:7/58c/c0a8c801/50020,L2_1x_Quarantine_RAC,,,,,,,,,,,
03/25/2008,16:57:15,Authen OK,test,00-03-0D-32-D2-75,50020,192.168.200.1,DELIVERANCE1,No Filters activated.,,Any,,No,25,MS-PEAP,Lab_NAC_L2_802.1x,CACS:7/58f/c0a8c801/50020,L2_1x_Quarantine_RAC,,,,,,,,,,,
03/25/2008,17:11:52,Authen OK,test,00-03-0D-32-D2-75,50020,192.168.200.1,DELIVERANCE1,No Filters activated.,,Any,,No,25,MS-PEAP,Lab_NAC_L2_802.1x,CACS:7/59c/c0a8c801/50020,L2_1x_Quarantine_RAC,,,,,,,,,,,
03/25/2008,17:19:48,Authen OK,test,00-03-0D-32-D2-75,50020,192.168.200.1,DELIVERANCE1,No Filters activated.,,Any,,No,25,MS-PEAP,Lab_NAC_L2_802.1x,CACS:7/5a3/c0a8c801/50020,L2_1x_Quarantine_RAC,,,,,,,,,,,
03/25/2008,17:20:24,Authen OK,test,00-03-0D-32-D2-75,50020,192.168.200.1,DELIVERANCE1,No Filters activated.,,Any,,No,25,MS-PEAP,Lab_NAC_L2_802.1x,CACS:7/5a4/c0a8c801/50020,L2_1x_Quarantine_RAC,,,,,,,,,,,
03/25/2008,17:23:29,Authen OK,test,00-03-0D-32-D2-75,50020,192.168.200.1,DELIVERANCE1,No Filters activated.,,Any,,No,25,MS-PEAP,Lab_NAC_L2_802.1x,CACS:7/5a8/c0a8c801/50020,L2_1x_Quarantine_RAC,,,,,,,,,,,
03/25/2008,17:32:37,Authen OK,test,00-03-0D-32-D2-75,50020,192.168.200.1,DELIVERANCE1,No Filters activated.,,Any,,No,25,MS-PEAP,Lab_NAC_L2_802.1x,CACS:7/5b0/c0a8c801/50020,L2_1x_Quarantine_RAC,,,,,,,,,,,
03/25/2008,17:39:19,Authen OK,test,00-03-0D-32-D2-75,50020,192.168.200.1,DELIVERANCE1,No Filters activated.,,Any,,No,25,MS-PEAP,Lab_NAC_L2_802.1x,CACS:7/5b7/c0a8c801/50020,L2_1x_Quarantine_RAC,,,,,,,,,,,
03/25/2008,17:55:32,Authen OK,test,00-03-0D-32-D2-75,50020,192.168.200.1,DELIVERANCE1,No Filters activated.,,Any,,No,25,MS-PEAP,Lab_NAC_L2_802.1x,CACS:7/5c6/c0a8c801/50020,L2_1x_Healthy_RAC,,,,,,,,,,,
03/25/2008,18:05:02,Authen OK,test,00-03-0D-32-D2-75,50020,192.168.200.1,DELIVERANCE1,No Filters activated.,,Any,,No,25,MS-PEAP,Lab_NAC_L2_802.1x,CACS:7/5cd/c0a8c801/50020,L2_1x_Quarantine_RAC,,,,,,,,,,,
03/25/2008,18:06:44,Authen OK,test,00-03-0D-32-D2-75,50020,192.168.200.1,DELIVERANCE1,No Filters activated.,,Any,,No,25,MS-PEAP,Lab_NAC_L2_802.1x,CACS:7/5cf/c0a8c801/50020,L2_1x_Quarantine_RAC,,,,,,,,,,,
03/25/2008,18:12:50,Authen OK,test,00-03-0D-32-D2-75,50020,192.168.200.1,DELIVERANCE1,No Filters activated.,,Any,,No,25,MS-PEAP,Lab_NAC_L2_802.1x,CACS:7/5d5/c0a8c801/50020,L2_1x_Quarantine_RAC,,,,,,,,,,,
03/25/2008,18:15:20,Authen OK,test,00-03-0D-32-D2-75,50020,192.168.200.1,DELIVERANCE1,No Filters activated.,,Any,,No,25,MS-PEAP,Lab_NAC_L2_802.1x,CACS:7/5d8/c0a8c801/50020,L2_1x_Healthy_RAC,,,,,,,,,,,
03/25/2008,18:22:58,Authen OK,new,00-03-0D-32-D2-75,50020,192.168.200.1,DELIVERANCE1,No Filters activated.,,Any,,No,25,MS-PEAP,Lab_NAC_L2_802.1x,CACS:7/5e0/c0a8c801/50020,L2_1x_Healthy_RAC,,,,,,,,,,,
03/25/2008,18:26:15,Authen OK,new,00-03-0D-32-D2-75,50020,192.168.200.1,DELIVERANCE1,No Filters activated.,,Any,,No,25,MS-PEAP,Lab_NAC_L2_802.1x,CACS:7/5e4/c0a8c801/50020,L2_1x_Quarantine_RAC,,,,,,,,,,,
Ncoh eine Frage.. wird ein CTA Client für die Postures benötigt doer nicht? Hab mich bei einigen informiert, doch jeder meint was anders.
Im Vorraus vielen Dank für Antworten
mfg
http://net08.wordpress.com/
Dani - 25.03.2008 22:34
Ich habe mir erlaubt, für die Nachwelt das Log als Code-Block einzufügen. So dass der Beitrag immer komplett ist.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 83916
Url: https://administrator.de/forum/cisco-acesscontrolserver-authentication-problem-83916.html
Ausgedruckt am: 23.12.2024 um 06:12 Uhr