Ce message a plus de 5 ans
11 messages
0
9529
Problème d'authentification 802.1x de mon PC sur l'AD à travers un powerconnect 5548
Bonjour,
J'ai configuré le NPS de Windows server 2008 R2 qui servira de serveur Radius et un switch Dell Powerconnect 5548 comme Radius Client. L'authentification de mon PC sur l'AD à travers le radius ne fonctionne pas. Il est à noté qu'avec la configuration du NPS actuelle sur un switch HP configuré en Radius Client, tiout fonctionne je n'ai donc pas de problème de serveur mais plutôt de config de switch.
Schéma du test
PC --> g5 5548P g24 --> f18 HP2530 f6 --> NPS
Est-ce que quelqu'un aurait une idée ?
voici la configuration de mon Dell:
USR-SW1# sh run
interface ethernet g1/0/5
spanning-tree portfast
exit
interface ethernet g1/0/5
switchport mode general
exit
dot1x system-auth-control
interface ethernet g1/0/5
dot1x re-authentication
exit
interface ethernet g1/0/5
dot1x port-control auto
exit
interface vlan 1
ip address 192.168.xxx.xxx 255.255.255.0
exit
hostname USR-SW1
radius-server host 192.168.xxx.xxxkey xxxxxx
aaa authentication dot1x default radius
Default settings:
SW version 4.1.0.15 (date 20-Oct-2013 time 10:23:39)
Gigabit Ethernet Ports
=============================
no shutdown
speed 1000
duplex full
negotiation
flow-control on
mdix auto
no back-pressure
interface vlan 1
interface port-channel 1 - 32
spanning-tree
spanning-tree mode RSTP
druartx
11 messages
0
24 octobre 2017 03:00
bonjour,
J'ai résolu mon problème.
Maintenant, mon server NPS me remonte bien les connexions autorisée par l'AD.
druartx
11 messages
0
17 octobre 2017 08:00
Pour info, je dois implémenter la solution sur un 5548 mais pour mes tests j'utilise un 5424
Donc pas de show tech-support
USR-SW1# sh dot
802.1x is enabled
Admin Oper Reauth Reauth Username
Port Mode Mode Control Period
-------- ------------------ ------------- -------- ---------- -----------------
g1 Force Authorized Authorized* Disabled 3600 n/a
g2 Force Authorized Authorized* Disabled 3600 n/a
g3 Force Authorized Authorized* Disabled 3600 n/a
g4 Force Authorized Authorized* Disabled 3600 n/a
g5 Auto Authorized Enabled 3600 nexeya\druartx
g6 Force Authorized Authorized* Disabled 3600 n/a
g7 Force Authorized Authorized* Disabled 3600 n/a
g8 Force Authorized Authorized* Disabled 3600 n/a
g9 Force Authorized Authorized* Disabled 3600 n/a
g10 Force Authorized Authorized* Disabled 3600 n/a
g11 Force Authorized Authorized Disabled 3600 n/a
g12 Force Authorized Authorized* Disabled 3600 n/a
g13 Force Authorized Authorized* Disabled 3600 n/a
g14 Force Authorized Authorized* Disabled 3600 n/a
g15 Force Authorized Authorized* Disabled 3600 n/a
g16 Force Authorized Authorized* Disabled 3600 n/a
g17 Force Authorized Authorized* Disabled 3600 n/a
g18 Force Authorized Authorized* Disabled 3600 n/a
g19 Force Authorized Authorized* Disabled 3600 n/a
g20 Force Authorized Authorized* Disabled 3600 n/a
g21 Force Authorized Authorized* Disabled 3600 n/a
g22 Force Authorized Authorized* Disabled 3600 n/a
g23 Force Authorized Authorized* Disabled 3600 n/a
g24 Force Authorized Authorized Disabled 3600 n/a
* Port is down or not present
USR-SW1# sh dot ethn g5
% Wrong number of parameters or invalid range, size or characters entered
USR-SW1# sh dot eth g5
802.1x is enabled
Admin Oper Reauth Reauth Username
Port Mode Mode Control Period
-------- ------------------ ------------- -------- ---------- -----------------
g5 Auto Authorized Enabled 3600 nexeya\druartx
Quiet period: 60 Seconds
Tx period: 30 Seconds
Max req: 2
Supplicant timeout: 30 Seconds
Server timeout: 30 Seconds
Session Time (HH:MM:SS): 00:00:11
MAC Address: d0:67:e5:eb:d5:ff
Authentication Method: None
Termination Cause: Not terminated yet
Authenticator State Machine
State: AUTHENTICATED
Backend State Machine
State: IDLE
Authentication success: 20
Authentication fails: 6
USR-SW1#
Dell-Stephane T
4 Operator
4 Operator
•
3.7K messages
1
17 octobre 2017 08:00
Bonjour,
Chaque fabricant adapte l’authentification Radius à sa manière. Il est donc possible qu’il manque quelquechose coté Serveur.
Ce genre de solution est relativement complexe et beaucoup d’éléments entre en jeu :
- Type d‘authentification : user AD, MAC du PC client, user/pwd…
- Version de l’OS client
- Version du serveur
- ...
pourriez vous m'envoyer en privé le résultat des commandes suivantes ?
show dot1x
show dot1x ethernet x/x
show tech-support
cela va permettre de vérifier que la configuration est bien opérationnelle côté switch.
Regards,
Stéphane
druartx
11 messages
0
17 octobre 2017 09:00
le switch perd l'authentification après 2 minutes, le port de mon PC indique "Echec de l'authentification" et dans mon NPS j'ai "Un message RADIUS a été reçu de l'adresse IP 192.168.xxx.xxx du client RADIUS non valide".
Donc pour mois l'authentification n'est pas bonne
Dell-Stephane T
4 Operator
4 Operator
•
3.7K messages
0
17 octobre 2017 09:00
Bonjour,
je ne suis pas spécialiste mais mon collègue viens de m'indiquer que l'authentification avait bien fonctionné sur le port 5. Je vous invite à vérifier la configuration de vos serveurs
Admin Oper Reauth Reauth Username
Port Mode Mode Control Period
-------- ------------------ ------------- -------- ---------- -----------------
g1 Force Authorized Authorized* Disabled 3600 n/a
g2 Force Authorized Authorized* Disabled 3600 n/a
g3 Force Authorized Authorized* Disabled 3600 n/a
g4 Force Authorized Authorized* Disabled 3600 n/a
g5 Auto Authorized Enabled 3600 nexeya\druartx
Cordialement,
Stéphane
Dell-Joel G
5 Practitioner
5 Practitioner
•
15 messages
0
18 octobre 2017 03:00
Bonjour,
si le switch autorise le port lors de la connexion du client, la configuration "de base" doit être correcte.
De manière générale, un changement de status du port physique, l'expiration d'un timer ou une demande du client vont relancer le processus d'authentification Radius.
Les timers du switch ne semblent pas correspondre aux 2mn que vous relevez. Il faudrait donc vérifier les autres élémens impliqués dans l'authentification : client + serveur.
Cordialement,
Joel G.
druartx
11 messages
0
19 octobre 2017 09:00
Ma configuration serveur fonctionne très bien avec des switch HP.
Normalement, les ports ou sont connecté les PC doivent être authenticator et le port allant sur le serveur Radius en supplicant
Dell-Stephane T
4 Operator
4 Operator
•
3.7K messages
0
24 octobre 2017 03:00
Bonjour,
Mon collègue Joël à vérifié grâce à vos logs que le problème ne viens à priori pas de votre switch PowerConnect.
Ce problème est lié à de la configuration. Si vous le souhaitez je peux faire suivre votre demande au support, sans garantie qu'il puisse résoudre votre problème (la configuration est normalement payante).
Je vous invite dans ce cas à m'envoyer en privé vos coordonnées (nom, prénom, mail et téléphone) afin de pouvoir être recontacté.
Cordialement,
Stéphane
druartx
11 messages
0
30 octobre 2017 08:00
est-il possible de faire une authentification 802.1x sur un port, et sur ce même port un service-acl input ?
Je veux dire authentifier une machine sur le NPS et en même temps une simple machine hors NPS comme une imprimante par exemple ?
Cordialement
Dell-Stephane T
4 Operator
4 Operator
•
3.7K messages
0
9 novembre 2017 07:00
Bonjour,
Vous pouvez effectivement avoir (selon le modèle) de l’authentification Radius (8021.X) différente sur un même port. C’est notamment le cas avec des PC connecté derrière un IP Phone.
Cordialement,
Stéphane
druartx
11 messages
0
10 novembre 2017 00:00
Nous avons certain cas où une machine, une imprimante, un téléphone n'étant pas dans le domaine doivent être authentifier par leur mac adresse.
J'ai besoin de pouvoir faire une authentification 802.1x et mac adresse sur tout les ports.
J'ai fais le test et cela ne fonctionne pas.
Y-a-t 'il une config spécifique pour cette situation ?
Cordialement
Xavier
Dell-Stephane T
4 Operator
4 Operator
•
3.7K messages
0
10 novembre 2017 09:00
Bonjour,
je vous invite à consulter les documentations ci-dessous :
Protocole802.1X https://fr.wikipedia.org/wiki/IEEE_802.1X
Radius http://downloads.dell.com/manuals/common/networking_nxxug_en-us.pdf
Network CLI (page 855) http://downloads.dell.com/manuals/common/networking_nxxcli_en-us.pdf
Cordialement,
Stéphane
druartx
11 messages
0
21 novembre 2017 07:00
pourquoi des docs sur des version N alors que j'utilise des powerconnect ?
Je dois pouvoir faire en sorte qu'un PC dans un Domain ou hors Domain soit authentifier.
Pour cela, le PC dans le Domain sera authentifié en 802.1x et le PC hors Domain par la Mac-address; quel que soit le port du switch utilisé.
Est-ce possible ou pas ?
druartx
11 messages
0
22 novembre 2017 02:00
d'après mon test, à partir du moment ou je configure le port de mon switch en "dot1x port-control auto", je ne peux plus faire d'autorisation de mac-address local. Dans ma situation, certains collaborateurs connectent leurs machines sur un switch supplémentaire (par manque de prises murales) et donc, si le port du dell est configuré en "dot1x port-control auto", seul les machines enregistrées dans l'AD pourront être authentifiées. Les autres ( imprimantes, téléphones, oscilloscope,...) ne pourront pas se connecter malgré la configuration d'une ACL + l'application du service ACL Input dans l'interface.
Y a-t-il une possibilité de pouvoir faire une authentification dot1x + autorisation d'une mac-address local sur un même port ?
druartx
11 messages
0
22 novembre 2017 03:00
déjà fait et cela ne fonctionne pas. Le fait de configurer le port control en auto me désactive le service-acl input de l'interface.
ci-joint la config
int eth g15
dot1x re-authentication
dot1x mac-authentication mac-and-8021x
dot1x port-control auto
service-acl input Printers
!
mac-access-list Printers
permit 00:00:aa:c3:b8:6c 00:00:00:00:00:00 any
deny any any
USR-SW1#sh dot eth g15
802.1x is enabled
Admin Oper Reauth Reauth Username
Port Mode Mode Control Period
-------- ------------------ ------------- -------- ---------- -----------------
g15 Auto Unauthorized Enabled 3600 n/a
Quiet period: 60 Seconds
Tx period: 30 Seconds
Max req: 2
Supplicant timeout: 30 Seconds
Server timeout: 30 Seconds
Session Time (HH:MM:SS): 00:00:00
MAC Address:<<<<<<<<<<<<<<<<<<<<<<<<< je ne vois pas mon imprimante de l'ACL
Authentication Method: Remote
Termination Cause: Reauthentication failed
Authenticator State Machine
State: CONNECTING
Backend State Machine
State: IDLE
Authentication success: 0
Authentication fails: 0