Новые ответы

Аутентификация 802.1x,

Keeper, 25-Май-08, 23:20 [смотреть все]

Схема: ПК Windows подключен к порту 11 Cisco Catalyst 2950, на котором настроена аутентификация 802.1x. Порт 12 Cisco Catalyst 2950 подключен к серверу Radius. Конфигурация Каталиста:
hostname Switch
!
aaa new-model
aaa authentication dot1x default group radius
!
dot1x system-auth-control
!
interface FastEthernet0/11
switchport mode access
dot1x port-control auto
spanning-tree portfast
!
interface FastEthernet0/12
spanning-tree portfast
!
interface Vlan1
ip address 192.168.1.15 255.255.255.0
!
radius-server host 192.168.1.2 auth-port 1645 acct-port 1646 key cisco
!
end
В сетевых подключениях ПК выбираю нужное подключение, в его свойствах выбираю вкладку "Проверка подлинности", устанавливаю флажок "Включить проверку подлинности IEEE 802.1x для этой сети" и в качестве типа EAP выбираю MD—задача. В ответ на предложение Windows в правом нижнем углу экрана "Щелкните здесь, чтобы ввести пароль для данного подключения к сети" ввожу в открывшемся окне имя пользователя и пароль. В результате в анализаторе пакетов на ПК вижу следующее:
EAP Request от Каталиста
EAP Response от ПК, в котором передается только введенное имя пользователя, а пароль почему-то не передается.
Далее привожу выходные данные команды debug radius Каталиста, из которых видно, что имя пользователя Каталист передает на сервер Radius, а пароль – нет, т.к. не получил его от ПК. Из-за отсутствия пароля сервер Radius посылает сообщение Access-Reject.
04:22:36: RADIUS: ustruct sharecount=1
04:22:36: RADIUS: EAP-login: length of radius packet = 123 code = 1
04:22:36: RADIUS: Initial Transmit FastEthernet0/11 id 9 192.168.1.2:1645, Access-Request, len 123
04:22:36:         Attribute 4 6 C0A8010F (NAS-IP-Address)
04:22:36:         Attribute 5 6 0000C35B (NAS-Port)
04:22:36:         Attribute 61 6 0000000F (NAS-Port-Type)
04:22:36:         Attribute 1 6 6A6F686E (User-Name)
04:22:36:         Attribute 30 19 30302D31 (Called-Station-Id)
04:22:36:         Attribute 31 19 30302D35 (Calling-Station-Id)
04:22:36:         Attribute 6 6 00000002 (Service-Type)
04:22:36:         Attribute 12 6 000005DC (Framed-MTU)
04:22:36:         Attribute 79 11 02000009 (EAP-Message)
04:22:36:         Attribute 80 18 A8CDA7BA (Message-Authenticator)
04:22:36: RADIUS: Received from id 9 192.168.1.2:1645, Access-Reject, len 20
04:22:36: RADIUS: EAP-login: length of eap packet = 0
04:22:36: RADIUS: EAP-login: got reject from radius
Почему винда не передает пароль?

Ответить | Сообщить модератору

Аутентификация 802.1x, chocholl, 11:26 , 26-Май-08 (1)
а сделай ка
debug radius verbose
тогда полный трейс общения будет.

и еще недурствпенно посмотреть логи радиуса, может там вообще запрещен такой тип аутентификации.
Ответить | Сообщить модератору

Аутентификация 802.1x, Romych, 19:08 , 26-Май-08 (2)
>а сделай ка
>debug radius verbose
>
>тогда полный трейс общения будет.
>
>
>и еще недурствпенно посмотреть логи радиуса, может там вообще запрещен такой тип
>аутентификации.
проверил у себя с этим конфигом - не работает. Поменял на EAP все заработало.
Ответить | Сообщить модератору

Аутентификация 802.1x, Keeper, 21:54 , 26-Май-08 (3)
>[оверквотинг удален]
>>debug radius verbose
>>
>>тогда полный трейс общения будет.
>>
>>
>>и еще недурствпенно посмотреть логи радиуса, может там вообще запрещен такой тип
>>аутентификации.
>
>проверил у себя с этим конфигом - не работает. Поменял на EAP
>все заработало.
А на что именно поменял? В винде на "Защищенные EAP (PEAP)"? Если да, то в свойствах что-нибудь менял?
Ответить | Сообщить модератору

Аутентификация 802.1x, Romych, 23:34 , 26-Май-08 (4)
>[оверквотинг удален]
>>>
>>>
>>>и еще недурствпенно посмотреть логи радиуса, может там вообще запрещен такой тип
>>>аутентификации.
>>
>>проверил у себя с этим конфигом - не работает. Поменял на EAP
>>все заработало.
>
>А на что именно поменял? В винде на "Защищенные EAP (PEAP)"? Если
>да, то в свойствах что-нибудь менял?
Защищенные EAP (PEAP)стоит галочка "проверять сертификат сервера"
метод проверки eap-mschap v2 и имя и пароль windows. Соответсвенно в IAS надо MD5 поменять на EAP
Ответить | Сообщить модератору

Аутентификация 802.1x, Keeper, 00:08 , 27-Май-08 (5)
>[оверквотинг удален]
>>>
>>>проверил у себя с этим конфигом - не работает. Поменял на EAP
>>>все заработало.
>>
>>А на что именно поменял? В винде на "Защищенные EAP (PEAP)"? Если
>>да, то в свойствах что-нибудь менял?
>
>Защищенные EAP (PEAP)стоит галочка "проверять сертификат сервера"
>метод проверки eap-mschap v2 и имя и пароль windows. Соответсвенно в IAS
>надо MD5 поменять на EAP
OK, спасибо, буду пробовать. Если что, еще раз обращусь.
Ответить | Сообщить модератору

Аутентификация 802.1x, Romych, 08:19 , 27-Май-08 (6)
>[оверквотинг удален]
>>>>все заработало.
>>>
>>>А на что именно поменял? В винде на "Защищенные EAP (PEAP)"? Если
>>>да, то в свойствах что-нибудь менял?
>>
>>Защищенные EAP (PEAP)стоит галочка "проверять сертификат сервера"
>>метод проверки eap-mschap v2 и имя и пароль windows. Соответсвенно в IAS
>>надо MD5 поменять на EAP
>
>OK, спасибо, буду пробовать. Если что, еще раз обращусь.
http://www.itdojo.com/synner/pdf/synner2.pdf
Ответить | Сообщить модератору