2
IAS und HP IDM - 802.1x Authentifizierung
Hallo ans Forum,
das ist mein erster Beitrag heute
Ich möchte eine Radius Authentifizierung mit Accounting in eine Testumgebung implementieren. Ich nutze 2 DCs 2003 einen englisches IAS Server und einen PC auf dem HP Identity Drivn Management ausgeführt wird. Das ist eine Port Security Software von HP.
Ich hänge allerdings schon bei dem IAS. Bisher habe ich verschiedene Anleitungen gefolgt und den IAS konfiguriet.
Als Radius Client habe ich unseren Test Router und die beiden DCs? hinzugefügt. Ich habe eine Remote Access Policy erstellt indem ich die Gruppe Domänen-Benutzer hinzugefügt habe. In den Eigenschaften steht noch: NAS-Port-Type matches "Ethernet", was automatisch erstellt wurde. Als Authentifizierungsprotokolle habe ich erstmal alle! ausgewählt, ich habe noch keine PKI und möchte erstmal das überhaupt die Anmeldung über den IAS möglich ist.
Zusätzlich habe ich eine Connection Request Policie erstellt mit dem NAS Identifier=router. Seitdem tritt diese Meldung nicht! mehr im eventviewer auf:
Accounting request for user <not present> was discarded.
Fully-Qualified-User-Name = <undetermined>
NAS-IP-Address = 10.10.5.254
NAS-Identifier = router
Called-Station-Identifier = <not present>
Calling-Station-Identifier = 01-80-C2-00-00-03
Client-Friendly-Name = router-5
Client-IP-Address = 10.10.5.254
NAS-Port-Type = <not present>
NAS-Port = 10
Proxy-Policy-Name = <none>
Accounting-Provider = <undetermined>
Accounting-Server = <undetermined>
Reason-Code = 49
Reason = The connection attempt did not match any connection request policy.
Die Default Connection Request Policie "Use Windows authentication for all users" ist in der Rangfolge auf Platz 2 hinter der router policie. Hier verbiete ich allen Domain Benutzern den Zugriff.
Der IAS ist im AD registriert.
Allerdings kann ich mich immer noch erfolgreich im AD anmelden obwohl das laut Policy verboten ist. Was habe ich übersehen?
Gruß,
Dirk
Ich weiß nicht ob die Switch Konfig an dieser Stelle schon wichtig ist. Aber ich habe folgendes Konfig:
aaa authentication port-access eap-radius
aaa accounting update periodic 2
aaa accounting network radius
aaa accounting exec radius
aaa accounting system radius
aaa accounting commands stop-only radius
radius-server host 10.10.5.4
aaa port-access authenticator 10
Es ist ein HP 3400cl. Die config sollte der zu Cisco sehr ähnlich sein.
das ist mein erster Beitrag heute
Ich möchte eine Radius Authentifizierung mit Accounting in eine Testumgebung implementieren. Ich nutze 2 DCs 2003 einen englisches IAS Server und einen PC auf dem HP Identity Drivn Management ausgeführt wird. Das ist eine Port Security Software von HP.
Ich hänge allerdings schon bei dem IAS. Bisher habe ich verschiedene Anleitungen gefolgt und den IAS konfiguriet.
Als Radius Client habe ich unseren Test Router und die beiden DCs? hinzugefügt. Ich habe eine Remote Access Policy erstellt indem ich die Gruppe Domänen-Benutzer hinzugefügt habe. In den Eigenschaften steht noch: NAS-Port-Type matches "Ethernet", was automatisch erstellt wurde. Als Authentifizierungsprotokolle habe ich erstmal alle! ausgewählt, ich habe noch keine PKI und möchte erstmal das überhaupt die Anmeldung über den IAS möglich ist.
Zusätzlich habe ich eine Connection Request Policie erstellt mit dem NAS Identifier=router. Seitdem tritt diese Meldung nicht! mehr im eventviewer auf:
Accounting request for user <not present> was discarded.
Fully-Qualified-User-Name = <undetermined>
NAS-IP-Address = 10.10.5.254
NAS-Identifier = router
Called-Station-Identifier = <not present>
Calling-Station-Identifier = 01-80-C2-00-00-03
Client-Friendly-Name = router-5
Client-IP-Address = 10.10.5.254
NAS-Port-Type = <not present>
NAS-Port = 10
Proxy-Policy-Name = <none>
Accounting-Provider = <undetermined>
Accounting-Server = <undetermined>
Reason-Code = 49
Reason = The connection attempt did not match any connection request policy.
Die Default Connection Request Policie "Use Windows authentication for all users" ist in der Rangfolge auf Platz 2 hinter der router policie. Hier verbiete ich allen Domain Benutzern den Zugriff.
Der IAS ist im AD registriert.
Allerdings kann ich mich immer noch erfolgreich im AD anmelden obwohl das laut Policy verboten ist. Was habe ich übersehen?
Gruß,
Dirk
Ich weiß nicht ob die Switch Konfig an dieser Stelle schon wichtig ist. Aber ich habe folgendes Konfig:
aaa authentication port-access eap-radius
aaa accounting update periodic 2
aaa accounting network radius
aaa accounting exec radius
aaa accounting system radius
aaa accounting commands stop-only radius
radius-server host 10.10.5.4
aaa port-access authenticator 10
Es ist ein HP 3400cl. Die config sollte der zu Cisco sehr ähnlich sein.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 55622
Url: https://administrator.de/contentid/55622
Ausgedruckt am: 25.11.2024 um 23:11 Uhr
2 Kommentare
Neuester Kommentar
Also ich habe heute nochmal nachgeforscht, aber mir ist immer noch nicht klar wo der Fehler liegt. Muss ich um den IAS zu Nutzen wirklich die Routing und Ras Komponente installieren?
Ich möchte den IAS nur lokal über Ethernet ansprechen. Da finde ich die Bezeichung Routing und Ras missverständlich.
Aus den bisherigen Posts werde ich nicht schlau.
Grüße und schönen Arbeitstag,
dalthaus
Ich möchte den IAS nur lokal über Ethernet ansprechen. Da finde ich die Bezeichung Routing und Ras missverständlich.
Aus den bisherigen Posts werde ich nicht schlau.
Grüße und schönen Arbeitstag,
dalthaus
Hey habe das Gleiche Problem bei mir schreibt der IAS ins log "Did not match connection request Policies" Keine Ahnung warum Meine Authentifizierung läuft per MAC-Adresse.
