802.1x Port-Based Authentication

[Operator 10]

Hi,

 

ich versuche mich gerade an 802.1x auf meinem Cisco Catalyst 3550 in Verbindung mit einem Microsoft IAS Radius Server.

WLAN ist dabei kein Thema, aber dies nur vorweg.

 

Der RADIUS Server akzeptiert Anforderungen, die ich mit einem RADIUS-Test Programm generiere und erlaubt mir auch den Zugriff bei richtigen Zugangsdaten.

 

Nur leider bekomme ich mit dem Switch keine Authentifizierung hin.

Ein Sniff am RADIUS Server ergibt, daß keine Authentifizierungsanfragen ankommen und somit auch nicht beantwortet werden.

Der Switch-Port steht in dem Fall auf AUTHENTICATING und via "debug dot1x all" bekomme ich laufend TimeOut Messages.

Die angegebene Server IP Adresse stimmt aber auf jeden Fall.

Das RADIUS-Secret hab ich zum Testen auf beiden Seiten auf "cisco" gesetzt.

 

Der XP Client sendet laut Log EOPOL Packages.

 

Ich poste mal Debug LOG und Teile der Konfiguration.

 

Vielen Dank für Hilfe

 

Andre

 

-----------------------------------------------------------------------------------

aaa new-model

aaa authentication login default enable

aaa authentication dot1x default group radius

 

interface FastEthernet0/10

switchport access vlan 21

switchport mode access

no ip address

dot1x port-control auto

spanning-tree portfast

 

radius-server host 172.29.254.50 auth-port 1812 acct-port 1813 key cisco

radius-server retransmit 3

 

 

---------------------------------------------------

 

Feb 8 12:33:26.761: dot1x-core(Fa0/10): starting

Feb 8 12:33:26.761: dot1x-authsm(Fa0/10): state INITIALIZE, event CONTROL, arg 0x0

Feb 8 12:33:26.761: dot1x-authsm(Fa0/10): state INITIALIZE, event ENTRY, arg 0x0

Feb 8 12:33:26.761: dot1x-authsm(Fa0/10): state DISCONNECTED, event ENTRY, arg 0x0

Feb 8 12:33:26.761: dot1x-core(Fa0/10): deauthorized port

Feb 8 12:33:26.761: dot1x-core(Fa0/10): send EAPOL type=0, EAP code=4, id=0

Feb 8 12:33:26.765: dot1x-authsm(Fa0/10): state CONNECTING, event ENTRY, arg 0x0

Feb 8 12:33:26.765: dot1x-core(Fa0/10): send EAPOL type=0, EAP code=1, id=1

Feb 8 12:33:26.765: dot1x-authsm(Fa0/10): first connection attempt

Feb 8 12:33:26.765: dot1x-besm(Fa0/10): state IDLE, event CONTROL, arg 0x0

Feb 8 12:33:26.765: dot1x-besm(Fa0/10): state INITIALIZE, event ENTRY, arg 0x0

Feb 8 12:33:26.765: dot1x-reauthsm(Fa0/10): state INITIALIZE, event CONTROL, arg 0x0

Feb 8 12:33:26.765: dot1x-reauthsm(Fa0/10): reauth timer stopped

Feb 8 12:33:26.765: dot1x-core(Fa0/10): control event

Feb 8 12:33:26.765: dot1x-authsm(Fa0/10): state CONNECTING, event CONTROL, arg 0x0

Feb 8 12:33:26.765: dot1x-besm(Fa0/10): state INITIALIZE, event CONTROL, arg 0x0

Feb 8 12:33:26.765: dot1x-besm(Fa0/10): state IDLE, event ENTRY, arg 0x0

Feb 8 12:33:26.765: dot1x-reauthsm(Fa0/10): state INITIALIZE, event CONTROL, arg 0x0

Feb 8 12:33:26.765: dot1x-reauthsm(Fa0/10): reauth timer stopped

Feb 8 12:33:26.765: dot1x-core(Fa0/10): control event

Feb 8 12:33:26.765: dot1x-authsm(Fa0/10): state CONNECTING, event CONTROL, arg 0x0

Feb 8 12:33:26.765: dot1x-besm(Fa0/10): state IDLE, event CONTROL, arg 0x0

Feb 8 12:33:26.765: dot1x-reauthsm(Fa0/10): state INITIALIZE, event CONTROL, arg 0x0

Feb 8 12:33:26.765: dot1x-reauthsm(Fa0/10): reauth timer stopped

Feb 8 12:33:28.762: %LINK-3-UPDOWN: Interface FastEthernet0/10, changed state to up

Feb 8 12:33:56.769: dot1x-core(Fa0/10): timer TX_WHEN expired

Feb 8 12:33:56.769: dot1x-authsm(Fa0/10): state CONNECTING, event TIMEOUT, arg 0x0

Feb 8 12:33:56.769: dot1x-authsm(Fa0/10): state CONNECTING, event ENTRY, arg 0x0

Feb 8 12:33:56.769: dot1x-core(Fa0/10): send EAPOL type=0, EAP code=1, id=1

Feb 8 12:33:56.769: dot1x-authsm(Fa0/10): connection retry 1 of 2

Feb 8 12:33:56.769: dot1x-besm(Fa0/10): state IDLE, event TIMEOUT, arg 0x0

Feb 8 12:33:56.769: dot1x-reauthsm(Fa0/10): state INITIALIZE, event TIMEOUT, arg 0x0

[daking 10]

Hola,

 

solttest mal auth ohne dot1x auf dem switch versuchen:

 

switch#test aaa group radius <user> <pass> port 1812

 

klappt die auth mit user und pass dann?

 

 

ciao

[daking 10]

Hola,

 

solttest mal auth ohne dot1x auf dem switch versuchen:

 

switch#test aaa group radius <user> <pass> port 1812

 

klappt die auth mit user und pass dann?

 

 

ciao

 

 

hast du global dot1x system-auth-control aktiviert?

 

ciao

[Operator 10]

Hi,

 

danke schon mal für deine Antworten.

 

die globale Einstellung hab ich noch nicht aktiviert, was aber einfach daran liegt, daß meine IOS Version das nicht unterstützt hat. Habe jetzt man den Wechsel von c3550-i9q3l2-mz.121-9.EA1c nach c3550-i9q3l2-mz.121-19.EA1c gemacht, weil ich die hier noch rumfliegen habe.

Also werd ich's damit noch mal ausprobieren.

 

"test aaa" klingt sehr schön zum Testen, aber leider unterstützt dies mein Switch nicht. Brauch ich dafür noch irgendwas anderes? Hab "nur" die SMI Variante des Switches.

 

/edit: Man braucht 12.2(4) für "test aaa", die ich leider nicht vorliegen haben und mangels Software-Update-Vertrag auch nicht so einfach bekomme :(

 

Gruß

Andre

[mr._oiso 10]

hi Operator

 

Ich klopfe mal gearde jeden ab, der zu Deinem/unserem Probelm noch im Stoff

steht.

Grund:

Bin selber gerade an dieser Konfiguration am Bastel.

Ich setze hier jedoch nen Cat 2950 mit IOS 12.2 (22)EA2 ein.

Dies sollte jedoch nicht das Problem sein ! Habe dazu nen Cisco ACS 3.3 auf nem

W2K Server laufen mit vollfunktionfähigem Certificate Server.

Die einfache Radius Authentication local auf dem Switch ist soweit nicht das Problem.

Jetzt stehe ich hier vor genau der selben Stelle !

Jedoch sieht mein dot1x debug etwas anders aus !

 

Frage: Ist das Thema bei Dir noch aktuell ?

Könnten wir uns hier etwas ergänzen ?

Ist ja bei dir immerhin scho 8 Wochen her ?

 

mfg

 

Mr. Oiso

[Operator 10]

Hi mr. oiso,

 

nachdem ich meine IOS Version upgedatet hatte (von einem baugleichen Switch kopiert), konnte ich die globale Einstellung "dot1x system-auth-control", wie von daking beschrieben setzen.

Danach hat das ganze dann funktioniert.

Mit der älteren IOS Version (siehe oben) hab ich es allerdings nicht zum Laufen bekommen.

 

Ich glaube, daß ich mir die Konfiguration aufgeschrieben habe.

Werde am Montag mal eben nachlesen und dann noch mal posten.

 

Gruß

Andre

[Operator 10]

So da bin ich wieder...

Ich habe mir das ganze so dokumentiert:

[Operator 10]

So da bin ich wieder und hab beim ersten Versuch wohl zu schnell ENTER gedrückt :-)

 

Also, 802.1x hab ich bei mir wiefolgt konfiguriert:

 

Cisco 3550 Konfiguration für 802.1x
IOS Version 12.1(19)EA1c

Globale Konfiguration

! Neue Mechanismen für Authentication, Authorization und Accounting aktivieren
aaa new-model

! Aktivieren von 802.1x
dot1x system-auth-control

! Standardlogin via Telnet/HTTP über Enable-Kennwort durchführen
aaa authentication login default enable

! 802.1x Authentifizierung über RADIUS Server durchführen
aaa authentication dot1x default group radius

! 802.1x das Ändern der Netzwerkkonfiguration zu erlauben (VLAN Membership)
aaa authorization network default group radius

! Radius Server mit IP, Ports und Key definieren
radius-server host ww.xx.yy.zz auth-port 1812 acct-port 1813 key cisco

! Interface Konfiguration

interface FastEthernet0/10
switchport mode access
switchport access vlan 21
dot1x port-control auto

 

Viel Erfolg

 

Andre

[AndreasWeller 10]

Hallo Operator,

 

wie du vielleicht schon in anderen Beiträgen gelesen hast, arbeite ich mit Mr._Oiso zusammen an dem Problem.

Vielen Dank für die Konfiguration, aber wir denken das ist leider nicht unser Problem, da der ganze Aufbau mit einem IAS von Microsoft problemlos läuft...

Der Ärger fängt erst an, wenn der IAS ausgestellt wird und der ACS die Rolle des Radius Servers übernehemn soll.

Wir bekommen dabei jedesmal folgenede Fehlermeldung:

"Windows dialin permission requiered"

Ich habe bereits nachgeschaut bei den Eigenschaften der Benutzer in der AD. Dort ist unter "Einwählen" das Feld "Zugriff über RAS-Richtlinien steuern" aktiviert.

Gibt es da noch weitere Einstellungen die gemacht werden müssen???

 

Ach ja, wir haben den ACS und den Zertifikatsdienst(CA) auf einem Server zusammen laufen, könnte es damit Probleme geben???

[Operator 10]

Hi Andreas,

 

wenn die DialIn Permission erwartet wird gib ihm die doch einfach.

Später kannst Du das immer noch über die RAS Richtlinien machen.

 

Also einfach im Userprofile die Dialin Erlaubnis erteilen.

 

Gruß

Andre

[AndreasWeller 10]

Haben wir leider auch schon versucht und ihm einfach im Userprofil gesagt "Zugriff gestatten" unter "RAS-Berechtigungen". Daraufhin läuft nichteinmal eine Fehlermeldung im ACS-Log auf, von der Authentifizierung ganz abgesehn.

Oder befinden wir uns da evtl. gerad auf dem falschen Dampfer....?

 

Ich kann halt nicht ganz nachvollziehen, dass die ganze Sache problemlos mit dem IAS läuft aber mit dem ACS nur Probleme auflaufen...

[Operator 10]

Hi,

 

das scheint ja wirklich nur noch an dem ACS zu scheitern.

Leider kenne ich mich mit dem Softwarepaket nicht wirklich aus und übergebe dann mal an die anderen Kollegen im Board.

 

Vielleicht helfen da ein paar Debug-Log-Einträge für uns?

 

Gruß

Andre

[AndreasWeller 10]

so wie ich in einem anderen Thread schon gepostet habe, scheint das Problem am Client zu liegen...

Benutzen wir den AEGIS-Client läuft alles problemlos, kommt der XP-Client ins Spiel dann ist Schluss ist lustig...

Kann mir da evtl jamand was zu sagen oder muss ich jetzt auf den XP Client verzichten???

[tinsel 10]

hätte noch mal eine Frage

habt ihr mit dem Windows Client einen Auth bei boot erreicht oder immer erst nach dem vollständigen hochfahren

[AndreasWeller 10]

da muss ich dich leider entäuschen, beim hochfahren klappt es bei uns auch nicht richtig. Liegt bei uns daran womit und wohin man sich einloggt. Mit nem WLan Adapter von Cisco und ner Aironet klappt es meistens mit dem XP Client beim Hochfahren. Beim Anmelden am Cat 2950 geht es regelmäßig in die Hose, egal ob mit WinXP Client oder AEGIS.

Wie oft schaffst du es denn und in welcher Kombination?