7
CISCO Mobility Express - RADIUS OTHER - Nicht Authentifiziert
Hallo liebe Community,
Ich bin leicht enttäuscht ... Ich habe unsere alten Aps gegen neue Cisco AP 1832i ausgetauscht und Mobility-Express aktiviert. Alles schön und gut ABER -> Ich habe Mac-Authentifizierung über Windows-NPS zusätzlich für das Interne WLAN aktiviert und soweit "funktioniert" es jedoch die Authentifizierung auf den Windows-NPS läuft OHNE einer "Authentifizierungsverschlüsselung" durch!
Als Radius Typ musste ich beim Mobility-Express OTHER (KEIN FREE RADIUS, KEIN CISCO ACS) nehmen damit dies über NPS klappt. Das GROßE PROBLEM: Die Anfrage an den NPS wird als "Nicht Authentifiziert" weitergeleitet! Nicht einmal PAP oder SPAP ist hier möglich (PAP wird nur genommen wenn ich FREE RADIUS auswähle, aber dann klappt die Anforderung über NPS nicht)! Übersehe ich hier eine Einstellung oder ist das von Cisco ernstgemeint, dass bei OTHER nicht einmal PAP aktiviert werden kann??? Dies haben meine 7-8 Jahre alten Accesspoints ohne Probleme können ...
Bitte um kurze Feedbacks ob ich damit leben muss wenn ich die Sache über Windows-NPS abwickeln will?
Danke!
lg Samet
Ich bin leicht enttäuscht ... Ich habe unsere alten Aps gegen neue Cisco AP 1832i ausgetauscht und Mobility-Express aktiviert. Alles schön und gut ABER -> Ich habe Mac-Authentifizierung über Windows-NPS zusätzlich für das Interne WLAN aktiviert und soweit "funktioniert" es jedoch die Authentifizierung auf den Windows-NPS läuft OHNE einer "Authentifizierungsverschlüsselung" durch!
Als Radius Typ musste ich beim Mobility-Express OTHER (KEIN FREE RADIUS, KEIN CISCO ACS) nehmen damit dies über NPS klappt. Das GROßE PROBLEM: Die Anfrage an den NPS wird als "Nicht Authentifiziert" weitergeleitet! Nicht einmal PAP oder SPAP ist hier möglich (PAP wird nur genommen wenn ich FREE RADIUS auswähle, aber dann klappt die Anforderung über NPS nicht)! Übersehe ich hier eine Einstellung oder ist das von Cisco ernstgemeint, dass bei OTHER nicht einmal PAP aktiviert werden kann??? Dies haben meine 7-8 Jahre alten Accesspoints ohne Probleme können ...
Bitte um kurze Feedbacks ob ich damit leben muss wenn ich die Sache über Windows-NPS abwickeln will?
Danke!
lg Samet
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1392344112
Url: https://administrator.de/contentid/1392344112
Printed on: April 27, 2024 at 08:04 o'clock
7 Comments
Latest comment
Ich habe unsere alten Switche gegen neue Cisco AP 1832i ausgetauscht
LAN Switches gegen APs tauschen ?? Äpfel mit Birnen ?? Du sprichst in Rätseln...Normal macht Cisco PEAP wie alle anderen Hersteller auch. Ggf. hast du dort etwas falsch konfiguriert im Setup. Zudem ist der Radius Request selber durch ein Passwort gesichert.
Die klassischen_Cisco_APs (und alle anderen Hersteller auch) machen das wenigstens fehlerfrei. Egal ob man MBP (Mac Bypass) oder 802.1x User Credentials verwendet mit dem Radius.
Was sagt denn ein Wireshark Trace zwischen AP und Radius bei der Client Anmeldung ?? Den solltest du einmal posten um das o.a. Verhalten einmal sehen und nachvollziehen zu können
Hallo Aqui,
ja da hast du recht ich habe mich verschrieben :D Wir haben unsere alten APs ausgetauscht ...
also so sieht die Informationsübergabe im Eventlog aus:
CISCO:
Der Netzwerkrichtlinienserver hat einem Benutzer den Zugriff gewährt.
Benutzer:
Sicherheits-ID: XXXXXXXX\a8817eXXXXX
Kontoname: a8817e48XXXX
Kontodomäne: XXXX
Vollqualifizierter Kontoname: XXX\a8817e48XXXX
Clientcomputer:
Sicherheits-ID: NULL SID
Kontoname: -
Vollqualifizierter Kontoname: -
ID der Empfangsstation: 84-f1-47-9XXXX:XX-INTERN
ID der Anrufstation: a8-81-7e-48XXXX
NAS:
NAS-IPv4-Adresse: 192.168.0.180
NAS-IPv6-Adresse: -
NAS-ID: SLCISAP01
NAS-Porttyp: Drahtlos (IEEE 802.11)
NAS-Port: 1
RADIUS-Client:
Clientanzeigename: SLCISAPME
Client-IP-Adresse: 192.168.0.180
Authentifizierungsdetails:
Name der Verbindungsanforderungsrichtlinie: Sichere Drahtlosverbindungen
Netzwerkrichtlinienname: WLAN-INTERN
Authentifizierungsanbieter: Windows
Authentifizierungsserver: SLDC03.XXXXX
Authentifizierungstyp: Nicht authentifiziert
EAP-Typ: -
Kontositzungs-ID: 36313639353966652F61383A38313A37653A34383A65323A32632F313335
Protokollierungsergebnisse: Die Kontoinformationen wurden in die lokale Protokolldatei geschrieben.
Die alten APs:
Der Netzwerkrichtlinienserver hat einem Benutzer den Zugriff gewährt.
Benutzer:
Sicherheits-ID: XXXXX\a8817e4XXXX
Kontoname: a8817e4XXXX
Kontodomäne: XXXXX
Vollqualifizierter Kontoname: XXXX\a8817e48XXX
Clientcomputer:
Sicherheits-ID: NULL SID
Kontoname: -
Vollqualifizierter Kontoname: -
ID der Empfangsstation: 02-20-A6-FXXXX
ID der Anrufstation: A8-81-7E-4XXX;SL-INTERN
NAS:
NAS-IPv4-Adresse: -
NAS-IPv6-Adresse: -
NAS-ID: -
NAS-Porttyp: Drahtlos (IEEE 802.11)
NAS-Port: -
RADIUS-Client:
Clientanzeigename: SLAP12
Client-IP-Adresse: 192.168.0.192
Authentifizierungsdetails:
Name der Verbindungsanforderungsrichtlinie: Sichere Drahtlosverbindungen
Netzwerkrichtlinienname: WLAN-INTERN
Authentifizierungsanbieter: Windows
Authentifizierungsserver: SLDC03.XXXXXX
Authentifizierungstyp: PAP
EAP-Typ: -
Kontositzungs-ID: -
Protokollierungsergebnisse: Die Kontoinformationen wurden in die lokale Protokolldatei geschrieben.
Damit die Authentifizierung mit CISCO über NPS klappt habe ich Beim NPS folgendes aktivieren müssen:
"Clientverbindungen ohne Aushandlung einer Authentifizierungsmethode zulassen". -> Warum ich es aktivieren musste ist leider im Eventlog ersichtlich : Authentifizierungstyp: Nicht authentifiziert ...
ja da hast du recht ich habe mich verschrieben :D Wir haben unsere alten APs ausgetauscht ...
also so sieht die Informationsübergabe im Eventlog aus:
CISCO:
Der Netzwerkrichtlinienserver hat einem Benutzer den Zugriff gewährt.
Benutzer:
Sicherheits-ID: XXXXXXXX\a8817eXXXXX
Kontoname: a8817e48XXXX
Kontodomäne: XXXX
Vollqualifizierter Kontoname: XXX\a8817e48XXXX
Clientcomputer:
Sicherheits-ID: NULL SID
Kontoname: -
Vollqualifizierter Kontoname: -
ID der Empfangsstation: 84-f1-47-9XXXX:XX-INTERN
ID der Anrufstation: a8-81-7e-48XXXX
NAS:
NAS-IPv4-Adresse: 192.168.0.180
NAS-IPv6-Adresse: -
NAS-ID: SLCISAP01
NAS-Porttyp: Drahtlos (IEEE 802.11)
NAS-Port: 1
RADIUS-Client:
Clientanzeigename: SLCISAPME
Client-IP-Adresse: 192.168.0.180
Authentifizierungsdetails:
Name der Verbindungsanforderungsrichtlinie: Sichere Drahtlosverbindungen
Netzwerkrichtlinienname: WLAN-INTERN
Authentifizierungsanbieter: Windows
Authentifizierungsserver: SLDC03.XXXXX
Authentifizierungstyp: Nicht authentifiziert
EAP-Typ: -
Kontositzungs-ID: 36313639353966652F61383A38313A37653A34383A65323A32632F313335
Protokollierungsergebnisse: Die Kontoinformationen wurden in die lokale Protokolldatei geschrieben.
Die alten APs:
Der Netzwerkrichtlinienserver hat einem Benutzer den Zugriff gewährt.
Benutzer:
Sicherheits-ID: XXXXX\a8817e4XXXX
Kontoname: a8817e4XXXX
Kontodomäne: XXXXX
Vollqualifizierter Kontoname: XXXX\a8817e48XXX
Clientcomputer:
Sicherheits-ID: NULL SID
Kontoname: -
Vollqualifizierter Kontoname: -
ID der Empfangsstation: 02-20-A6-FXXXX
ID der Anrufstation: A8-81-7E-4XXX;SL-INTERN
NAS:
NAS-IPv4-Adresse: -
NAS-IPv6-Adresse: -
NAS-ID: -
NAS-Porttyp: Drahtlos (IEEE 802.11)
NAS-Port: -
RADIUS-Client:
Clientanzeigename: SLAP12
Client-IP-Adresse: 192.168.0.192
Authentifizierungsdetails:
Name der Verbindungsanforderungsrichtlinie: Sichere Drahtlosverbindungen
Netzwerkrichtlinienname: WLAN-INTERN
Authentifizierungsanbieter: Windows
Authentifizierungsserver: SLDC03.XXXXXX
Authentifizierungstyp: PAP
EAP-Typ: -
Kontositzungs-ID: -
Protokollierungsergebnisse: Die Kontoinformationen wurden in die lokale Protokolldatei geschrieben.
Damit die Authentifizierung mit CISCO über NPS klappt habe ich Beim NPS folgendes aktivieren müssen:
"Clientverbindungen ohne Aushandlung einer Authentifizierungsmethode zulassen". -> Warum ich es aktivieren musste ist leider im Eventlog ersichtlich : Authentifizierungstyp: Nicht authentifiziert ...
Hi
ich würde WLAN nicht über Mac Adresse authentifizieren sondern über 802.1x mit Zertifikaten ( EAP-TLS / PEAP-TLS)
LG
ich würde WLAN nicht über Mac Adresse authentifizieren sondern über 802.1x mit Zertifikaten ( EAP-TLS / PEAP-TLS)
LG
Hallo, danke für deine antwort. Um über mobility express eap-tls peap-tls einrichten zu können muss ich mir CISCO ISE installieren/kaufen. Aus dem Grund wollte ich die mac authentifizierung und es wäre super wenn wenigstens PAP zum Einsatz kommen würde... finde ich komisch... wenn ich free raidus nämlich auswähle, so handelt er sich PAP aus...
Wie kommst du da drauf dass du eine ISE brauchst ?
Aha und wie kann man das bei Mobility Express ohne ISE lösen? soweit mir bekannt geht dies nur über ISE ... und im Internet habe ich auch nichts darüber gefunden ... kannst du einen Link mit einer Beschreibung?
... Wichtiger Hinweis: Ich habe keinen WLAN Controller sondern verwende Mobility Express (der Interne Wlan-Controller vom AP).
Danke!
lg
Hi
in der Cisco Doku findest du natürlich die ISE weil das ihr eigener Radius Server ist. Geht aber mit NPS und Freeradius genau so.
Mobility Express config:
https://www.cisco.com/c/en/us/support/docs/wireless/mobility-express/213 ...
NPS: https://documentation.meraki.com/MR/Encryption_and_Authentication/Creati ...
LG
in der Cisco Doku findest du natürlich die ISE weil das ihr eigener Radius Server ist. Geht aber mit NPS und Freeradius genau so.
Mobility Express config:
https://www.cisco.com/c/en/us/support/docs/wireless/mobility-express/213 ...
NPS: https://documentation.meraki.com/MR/Encryption_and_Authentication/Creati ...
LG