Radius-Server mit dynamischer VLAN Zuordnung mit 802.1X
Moin,
ich versuche gerade einen Radius-Server aufzusetzen, und anhand der Domänenanmeldung und einer 802.1X Authentifizierung entsprechend das VLAN auf dem Switch zu ändern, und Zugang zum Netz zu gewähren.
Soweit läuft das auch alles ganz gut. Ein Benutzer einer Gruppe, die in den Netzwerkrichtlinien eingetragen ist, meldet sich an, und wird in das richtige VLAN gepackt.
Wenn ich nun den Benutzer abmelde, und einen anderen Benutzer einlogge, blockt der Switch den Port. Es kommt nicht mal eine Anfrage an den Radius.
Wenn ich das Netzwerkkabel ziehe, funktioniert es sofort und der Benutzer wird authorisiert.
Nun zu meiner Frage:
Ist es möglich, dass der DC bei Abmeldung des Benutzers, dem Radius-Server sagt, dass dieser Benutzer sich abgemeldet hat und dieser dem Switch dann anhand eines Attributes sagt, dass die Sitzung beendet ist?
Oder gibt es andere Möglichkeiten?
Der Switch ist ein Cisco Catalyst 3550, und der Radius Server läuft auf Windows Server 2008.
edit:
So, das Problem ist vorerst "mehr oder weniger" gelöst.
Der Rechner, auf dem Vista installiert ist, schickt wohl nicht die Information an den Switch, dass die Session beendet ist, der XP Client tut dies aber problemlos.
Nun tut sich aber ein anderes Problem auf.
Wenn ich einen neuen Benutzer auf einem PC an der Domäne anmelden will, der noch nicht lokal hinterlegt ist, meldet der Rechner nur die Fehlermeldung, dass die domäne nicht verfügbar ist, und es werden auch keine Informationen an den Radius geschickt, dass dieser User authorisiert ist.
Hat dafür jemand eine Lösungsmöglichkeit?
Vielen Dank im vorraus.
ich versuche gerade einen Radius-Server aufzusetzen, und anhand der Domänenanmeldung und einer 802.1X Authentifizierung entsprechend das VLAN auf dem Switch zu ändern, und Zugang zum Netz zu gewähren.
Soweit läuft das auch alles ganz gut. Ein Benutzer einer Gruppe, die in den Netzwerkrichtlinien eingetragen ist, meldet sich an, und wird in das richtige VLAN gepackt.
Wenn ich nun den Benutzer abmelde, und einen anderen Benutzer einlogge, blockt der Switch den Port. Es kommt nicht mal eine Anfrage an den Radius.
Wenn ich das Netzwerkkabel ziehe, funktioniert es sofort und der Benutzer wird authorisiert.
Nun zu meiner Frage:
Ist es möglich, dass der DC bei Abmeldung des Benutzers, dem Radius-Server sagt, dass dieser Benutzer sich abgemeldet hat und dieser dem Switch dann anhand eines Attributes sagt, dass die Sitzung beendet ist?
Oder gibt es andere Möglichkeiten?
Der Switch ist ein Cisco Catalyst 3550, und der Radius Server läuft auf Windows Server 2008.
edit:
So, das Problem ist vorerst "mehr oder weniger" gelöst.
Der Rechner, auf dem Vista installiert ist, schickt wohl nicht die Information an den Switch, dass die Session beendet ist, der XP Client tut dies aber problemlos.
Nun tut sich aber ein anderes Problem auf.
Wenn ich einen neuen Benutzer auf einem PC an der Domäne anmelden will, der noch nicht lokal hinterlegt ist, meldet der Rechner nur die Fehlermeldung, dass die domäne nicht verfügbar ist, und es werden auch keine Informationen an den Radius geschickt, dass dieser User authorisiert ist.
Hat dafür jemand eine Lösungsmöglichkeit?
Vielen Dank im vorraus.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 111827
Url: https://administrator.de/contentid/111827
Ausgedruckt am: 22.11.2024 um 16:11 Uhr
2 Kommentare
Neuester Kommentar
Hallo,
also das Problem mit der Abmeldung und Neuanmeldung eines anderen Users ist normal. Da müsstest du den timeout für die Re-Authentisierung heruntersetzen, was allerdings immer mehr Traffic im LAN verursacht da die Switche ständig Infos an den RADIUS senden aber das Problem hatest du ja schon irgendwie erkannt bzw. gelöst oder?
Wie meinst du das mit dem Benutzer anmelden der lokal hinterlegt ist? Ich dachte du meldest dich über die ADS an?
Ich sehe das so, dass der Client sich nicht anmelden kann da er keinen Kontakt zur Domäne hat weil er eben noch nicht authorisiert ist. Ich mache das ganze mit so genanten Guest-VLAN. Clients, die nicht authentifiziert bzw. authorisiert wurden, kommen in ein Guest VLAN wo sie nur Zugang zum Internet bekommen. Das Problem ist, dass ein User erst authorisiert wird nachdem er sich angemeldet hat und so lange ist der Client im Guest-VLAN. Also muss man dem Guest-VLAN auch Zugriff auf den Domain-Controller gewähren.
also das Problem mit der Abmeldung und Neuanmeldung eines anderen Users ist normal. Da müsstest du den timeout für die Re-Authentisierung heruntersetzen, was allerdings immer mehr Traffic im LAN verursacht da die Switche ständig Infos an den RADIUS senden aber das Problem hatest du ja schon irgendwie erkannt bzw. gelöst oder?
Wie meinst du das mit dem Benutzer anmelden der lokal hinterlegt ist? Ich dachte du meldest dich über die ADS an?
Ich sehe das so, dass der Client sich nicht anmelden kann da er keinen Kontakt zur Domäne hat weil er eben noch nicht authorisiert ist. Ich mache das ganze mit so genanten Guest-VLAN. Clients, die nicht authentifiziert bzw. authorisiert wurden, kommen in ein Guest VLAN wo sie nur Zugang zum Internet bekommen. Das Problem ist, dass ein User erst authorisiert wird nachdem er sich angemeldet hat und so lange ist der Client im Guest-VLAN. Also muss man dem Guest-VLAN auch Zugriff auf den Domain-Controller gewähren.
Hallo!
Ich hätte ne Frage zu dieser Zeile:
Könntest du mir DA ein bisschen mehr Infos geben? ;)
Da häng ich nämlich grad und komm net weiter.
Wie muss ich wo/was im AD bzw. FreeRadius einstellen/eintragen, dass der Radius-Server anhand der Logindaten das richtige VLAN zurück gibt.
(Bei mir an HP ProCurve Switche)
Danke schön!
Ich hätte ne Frage zu dieser Zeile:
Soweit läuft das auch alles ganz gut. Ein Benutzer einer Gruppe, die in den Netzwerkrichtlinien eingetragen ist, meldet sich an, und wird in das richtige VLAN gepackt.
Könntest du mir DA ein bisschen mehr Infos geben? ;)
Da häng ich nämlich grad und komm net weiter.
Wie muss ich wo/was im AD bzw. FreeRadius einstellen/eintragen, dass der Radius-Server anhand der Logindaten das richtige VLAN zurück gibt.
(Bei mir an HP ProCurve Switche)
Danke schön!