Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
2775 connectés 

  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Sécurité

  802.1X Authentication

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

802.1X Authentication

n°118504
Flow01
Posté le 12-02-2014 à 14:29:53  profilanswer
 

Bonjour  
 
Je suis en train de mettre en place du 802.1X (projet pour un stage). J'utilise un serveur 2008 R2 virtuelle, un switch HP 2610 et un Windows XP.
 
Tous les paramètres sont faits.
 
Mais quand j'active l'authentification sur le switch mon XP ne s'authentifie pas alors que quand je le desactive il s'authentifie parfaitement selon mes paramatres.
 
Des idées ? Car la je bloque.

mood
Publicité
Posté le 12-02-2014 à 14:29:53  profilanswer
 

n°118517
Je@nb
Modérateur
Kindly give dime
Posté le 12-02-2014 à 17:29:29  profilanswer
 

il s'authentifie pas si tu le désactives :o
 
des idées ? regarder les traces réseaux ouais, les échanges entre le switch et le serveur radius, entre le serveur radius et l'ad pour avoir tous les messages EAP qui vont bien.
 
Après là comme ça avec leu peu d'infos que tu donnes tu vas pas pouvoir avoir beaucoup d'aide

n°118533
Flow01
Posté le 13-02-2014 à 09:00:01  profilanswer
 

Si justement il s'authentifie parfaitement quand je le désactive sur le switch. En revanche il ne me dirige pas vers un autre VLAN en cas d'échec d'authentification.
 
Je suis en train de regarder ça. Je vois plusieurs trames que je ne connais pas (Kerberos). EAP sur mon client demande une connexion puis reçois une connexion en tant que Guest.
 
Quoi d'autres comme infos ? Pas de soucis je peux vous préciser.  
 
Sur mon switch:  
 
radius-server host 192.168.169.100 acct-port 1813 key "Password1"
radius-server timeout 15
aaa authentication port-access eap-radius authorized
aaa port-access authenticator 9
aaa port-access authenticator 9 auth-vid 109
aaa port-access authenticator 9 unauth-vid 110
 
Sur le client l'authentification EAP activé
 
Sur mon serveur j'ai suivi ce tuto :
 
http://www.labo-microsoft.org/arti [...] 08-ADCS/1/
http://www.labo-microsoft.org/arti [...] 08-ADCS/2/
http://www.labo-microsoft.org/arti [...] 08-ADCS/3/
 
J'ai au préalablement fais un nouveau certificat dupliqué du certificat "Ordinateur".  
 
Voila

n°118534
Flow01
Posté le 13-02-2014 à 10:00:00  profilanswer
 

J'ai l'impression que le client demande une connexion et que le switch ne transmet rien au serveur et refuse automatiquement l'authentication de l'XP. J'ai une trame EAPOL puis EAP Request identity et une response Identity puis plus rien. Pendant ce temps sur le serveur rien ..

n°118537
Je@nb
Modérateur
Kindly give dime
Posté le 13-02-2014 à 11:19:06  profilanswer
 

Euh là tu parles de PKI sur ton serveur, pas de 802.1X et en plus un guide à la con :/

n°118538
Flow01
Posté le 13-02-2014 à 11:20:50  profilanswer
 

J'ai bien besoin d'un certificat pour authentifier mon XP ?
J'ai suivi plusieurs tuto et ai refait 3 fois la conf de mon switch et ai refait deux fois WS2008. J'ai pas uniquement suivi ce tuto ;)


Message édité par Flow01 le 13-02-2014 à 11:21:54
n°118539
Je@nb
Modérateur
Kindly give dime
Posté le 13-02-2014 à 11:35:28  profilanswer
 

On sait même pas quel type de 802.1x tu fais, ce que tu veux authentifier (la machine ? l'utilisateur ?)
 
tu montres pas ta conf de ton serveur radius
bref c'est vide :/

n°118541
Flow01
Posté le 13-02-2014 à 11:42:57  profilanswer
 

Je voudrais identifier la machine qui se connecte au switch.
 
Je suis désolé c'est un peu (très) flou pour moi. Vous avez besoin de quoi ?

n°118623
Flow01
Posté le 18-02-2014 à 08:56:39  profilanswer
 

IAS  
*** installer IAS , puis l'enregister sur active directory  
*** ajouter un client RADIUS c'est mon switch  
*** ajouter une strategie d'accee distant , j'ai choisi comme methode PEAP  
 
Active Directory  
*** cree un user  
*** cree un group nomé "utilisateur radius"  
*** integrer les users dans le group  
 
sur mon Poste utilisateur  
*** sur propriete carte reseaux +authetification , j'ai choisi la meme methode PEAP  
 
 
 
Mon switch ne communique absolument pas avec mon serveur après analyse de trame avec Wireshark. Jai les 3 premieres trame PC - Switch -PC puis plus rien ..

n°118633
Flow01
Posté le 18-02-2014 à 16:25:46  profilanswer
 

log de mon switch :  
 
I 02/18/14 16:20:40 ports: port 9 is now off-line
I 02/18/14 16:20:42 ports: port 9 is Blocked by AAA
I 02/18/14 16:20:42 ports: port 9 is Blocked by STP
I 02/18/14 16:20:44 ports: port 9 is now off-line
I 02/18/14 16:20:47 ports: port 9 is Blocked by AAA
I 02/18/14 16:20:47 ports: port 9 is Blocked by STP
I 02/18/14 16:20:49 ports: port 9 is now on-line
I 02/18/14 16:20:50 ports: port 9 is Blocked by AAA
I 02/18/14 16:20:50 ports: port 9 is Blocked by STP
I 02/18/14 16:20:52 ports: port 9 is now on-line
I 02/18/14 16:21:28 radius: Can't reach RADIUS server 192.168.169.100
----  Bottom of Log : Events Listed = 1000  ----

mood
Publicité
Posté le 18-02-2014 à 16:25:46  profilanswer
 

n°118634
Misssardon​ik
prévisible a posteriori
Posté le 18-02-2014 à 16:46:14  profilanswer
 

c'est assez clair du coup, non ? il n'arrive pas à joindre ton serveur radius, vérifie ton routage, firewall, acl au niveau du radius.


---------------
Que va-t-il se passer cette gelgamar ? vous le découvrirez janamont à 20h
n°118636
Flow01
Posté le 18-02-2014 à 17:01:12  profilanswer
 

Tout d'abord merci de la réponse.
 
Oui mais je ne vois pas pourquoi ..
 
Je suis en connexion direct :  PC ---- Switch ----- Serveur  
 
Pare Feu désactivé sur serveur.
Le client Radius (Switch HP) est bien renseigné.


Message édité par Flow01 le 18-02-2014 à 17:05:22
n°118663
Flow01
Posté le 19-02-2014 à 11:24:59  profilanswer
 

En utilisant Zenmap j'ai reussi a atteindre le serveur. Le port est bien ouvert du coup.  
De plus on peut voir apparaître les premiers logs Dans C:\Windows\System32\LogFiles

n°118738
Flow01
Posté le 20-02-2014 à 14:53:33  profilanswer
 

Personne ?

n°118860
still_at_w​ork
Posté le 24-02-2014 à 16:13:22  profilanswer
 

Tu peux nous mettre la configuration complète du switch ?
 
Sur la console du switch, essai de pinguer le serveur.


Message édité par still_at_work le 24-02-2014 à 16:14:35

---------------
In my bed, but still_at_work.
n°118891
Flow01
Posté le 25-02-2014 à 14:52:00  profilanswer
 

hostname "SW-WIFI"
interface 15
   speed-duplex 100-half
exit
interface 26
   speed-duplex 100-half
exit
ip default-gateway 192.168.13.254
ip routing
snmp-server community "public" Unrestricted
vlan 1
   name "equipement"
   untagged 12,15-21,23-28
   ip address 192.168.13.253 255.255.255.0
   no untagged 1-11,13-14,22
   exit
vlan 2
   name "private"
   untagged 13
   ip address 192.168.16.253 255.255.255.0
   tagged 23-24
   exit
vlan 254
   name "ap"
   untagged 1-8
   ip address 192.168.254.254 255.255.255.0
   exit
vlan 3
   name "public"
   untagged 14
   ip address 192.168.17.253 255.255.255.0
   tagged 23-24
   exit
vlan 12
   name "livebox"
   untagged 22
   tagged 25
   exit
vlan 13
   name "test_dell"
   untagged 11
   exit
vlan 109
   name "Auth"
   untagged 9-10
   ip address 192.168.169.102 255.255.255.0
   exit
vlan 110
   name "UnAuth"
   exit
ip route 0.0.0.0 0.0.0.0 192.168.13.254
radius-server host 192.168.169.100 acct-port 1813 key "password"
aaa accounting exec start-stop radius
aaa accounting network start-stop radius
aaa accounting system start-stop radius
aaa authentication ssh login radius local
aaa authentication ssh enable radius local
aaa authentication port-access eap-radius authorized
aaa port-access authenticator 9
aaa port-access authenticator 9 auth-vid 109
aaa port-access authenticator 9 unauth-vid 109
aaa port-access authenticator active
spanning-tree
ip ssh
password manager
 
 
Ça ping parfaitement, j'ai désormais accès au serveur mais le retour ne se fait pas.
Les première trames sont présentes sur le XP puis la demande suit son court et atteint le serveur il y a présence d'une réponse mais elle n'atteint pas le XP.


Message édité par Flow01 le 25-02-2014 à 15:22:05
n°118912
Flow01
Posté le 26-02-2014 à 09:14:30  profilanswer
 

En analysant la trame retour du Serveur j'ai pu voir qu'il y avait une erreur de cheksum je ne suis pas trop calé sur ce sujet. Je ne vois pas si ça peut venir de ça et comment le réparer.


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Sécurité

  802.1X Authentication

 

Sujets relatifs
Windows Server 2008 et Trunk 802.1q802.3ad sur 2 liens 10Gb
Routage intervlan + vlan dynamiques 802.1xauthentificition 802.1x avec squid(proxy)
Authentification Radius 802.1xVmware ESX et le 802.1Q
REGEDIT - paramétrage carte réseau / 802.1x 
Plus de sujets relatifs à : 802.1X Authentication


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR