0
PacketFence MAC-Authentifizierung
Hallo,
bin neu in einem Unternehmen und möchte sehr gerne ein NAC-System implementieren, erstmalig nur für MAC-Authentifizierung und dynamische VLAN-Zuweisung.
Gesagt - getan.
Geworden ist es bei mir PacketFence auf Basis einer Debian 12 Maschine. Netzwerk besteht aus einigen Aruba 2930F und Aruba 2540.
Die VLAN's haben ich gemäß Anleitung als Roles im PacketFence definiert, Switches wurden auch angelegt.
Am ersten Switch habe ich Testweise folgende Config eingespielt:
Der Test ergab folgende Erkenntnis:
Genau das selbe Spiel wenn ich die Role eines Devices ändere, es wird erst bei ab- und anstecken ein neuer Discover geschickt.
Habe herausgefunden, dass es auch die Option am Switch aaa port-access mac-based 38 reauth-period gibt.
Diese Option gibt an, nach welcher Zeit das Device sich wieder beim Radius-Server melden muss.
Nun meine Frage, gibt es eine Möglichkeit es so einzustellen, das Role-Changes direkt durchgeführt werden und nicht erst nach ab- und anstecken oder ablaufen einer Zeitspanne?
Klar ich könnte einfach die Reauth-period auf einen sehr kleinen Wert stellen, könnte mir jedoch vorstellen das Packetfence oder die Switches selber dies nichtmehr handlen könnten (Stichwort "Paketbombardierung").
Wäre toll wenn sich hier im Forum der ein oder andere befinden würde der mir weiterhelfen kann!
Gruß
bin neu in einem Unternehmen und möchte sehr gerne ein NAC-System implementieren, erstmalig nur für MAC-Authentifizierung und dynamische VLAN-Zuweisung.
Gesagt - getan.
Geworden ist es bei mir PacketFence auf Basis einer Debian 12 Maschine. Netzwerk besteht aus einigen Aruba 2930F und Aruba 2540.
Die VLAN's haben ich gemäß Anleitung als Roles im PacketFence definiert, Switches wurden auch angelegt.
Am ersten Switch habe ich Testweise folgende Config eingespielt:
radius-server host X.X.X.X key "key"
radius-server host X.X.X.X dyn-authorization
radius-server host X.X.X.X time-window 0
aaa server-group radius "PacketFence" host X.X.X.X
aaa accounting network start-stop radius server-group "PacketFence"
aaa authentication mac-based chap-radius server-group "PacketFence"
aaa port-access mac-based 37-38
aaa port-access mac-based 37 addr-moves
aaa port-access mac-based 38 addr-movesDer Test ergab folgende Erkenntnis:
- Stecke ein Gerät an --> Status unregistriert --> Kriege eine APIPA zugewiesen
- Ändere Status im PacketFence auf registriert und vergebe eine Role --> tut sich nichts
Genau das selbe Spiel wenn ich die Role eines Devices ändere, es wird erst bei ab- und anstecken ein neuer Discover geschickt.
Habe herausgefunden, dass es auch die Option am Switch aaa port-access mac-based 38 reauth-period gibt.
Diese Option gibt an, nach welcher Zeit das Device sich wieder beim Radius-Server melden muss.
Nun meine Frage, gibt es eine Möglichkeit es so einzustellen, das Role-Changes direkt durchgeführt werden und nicht erst nach ab- und anstecken oder ablaufen einer Zeitspanne?
Klar ich könnte einfach die Reauth-period auf einen sehr kleinen Wert stellen, könnte mir jedoch vorstellen das Packetfence oder die Switches selber dies nichtmehr handlen könnten (Stichwort "Paketbombardierung").
Wäre toll wenn sich hier im Forum der ein oder andere befinden würde der mir weiterhelfen kann!
Gruß
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 669798
Url: https://administrator.de/contentid/669798
Ausgedruckt am: 27.11.2024 um 08:11 Uhr
