Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
4945 connectés 

  FORUM HardWare.fr
  Linux et OS Alternatifs
  réseaux et sécurité

  Procurve HP IDM et identification MAC

 
 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Procurve HP IDM et identification MAC

n°1095954
smiley2
Posté le 09-12-2008 à 10:51:32  profilanswer
 

Bonjour,
 
Je suis à l'heure actuelle en stage, et comme sujet, je dois mettre en place l'identification MAC gérer par l'IDM de HP.
 
A l'heure actuelle, il y a un serveur radius (Microsoft), un serveur IDM et un ensemble de matériel HP  Procurve (dans ce cas l'utilisation de l'identification se fera surtout via des Switch 2650)
 
Mon but avec ce Vlan dynamique, est, lors d'une connection d'une périphérique sur un switch est:
 - adresse MAC reconnue => envoi dans le Vlan 1.
 - adresse MAC non-reconnue => envoi dans le Vlan2 puis identification via web pour un accès au net.
 
 
Jusque là, si la MAC est bien inscrite dans l'annuaire AD j'arrive à gérer les règles d'IDM pour l'envoyer dans le Vlan1.
Mais:
 - Normalement on peut assigner des adresses MAC à des utilisateurs, cela ne fonctionne pas, ça ne marche que si l'utilisateur à comme nom l'adresse MAC en elle même. (par exemple l'utilisateur smiley avec la MAC allouée xyz ne passera pas, alors que l'utilisateur xyz passera.)
 
En cas de non-reconnaissance, hélas, le switch ferme le port, et je n'ai aucun accès à rien, car le radius ne l'authentifie pas.
 
L'intérêt de l'IDM est la gestion des endpoints integrity, ainsi j'ai plusieurs options possible comme pass, failed, unknow..
 
le problème, est que je n'ai aucun retour des ces informations, l'idéal serai de faire une règle disant que si l'endpoint = failed alors redirection sur Vlan2.
 
Je suis en train de mettre en place un freeradius sur une etch (afin de ne pas toucher au radius actuel forcement)
à mon sens l'autre solution serai de paramétrer le radius, pour que si la MAC n'est pas reconnue, alors la périphérique deviant un "invité" ainsi l'IDM pourrai prendre le relais pour l'envoyer dans le VLan2.
 
Si je m'adresse à vous, c'est que j'espère qu'avec un peu de chance quelqu'un est déjà passé par la mise en place de ce système de sécurité,et que l'on puisse m'aider à régler ce problème de endpoint integrity, ou sinon de pouvoir m'aider à paramétrer le freeradius, parce que ce que je veux en faire est bien jolie, mais à mon avie plus facile à dire qu'à faire....  :(  
 
 
 
voilà, si 'jamais j'ai raté une réponse à mes recherches dans d'autre topic, navré, n'hésitez pas à me réorienter si vous le voulez bien!!
 
;)
 
merci d'avance!

Message cité 1 fois
mood
Publicité
Posté le 09-12-2008 à 10:51:32  profilanswer
 

n°1111898
gege_31
Posté le 10-02-2009 à 17:48:53  profilanswer
 

Hello
 
pour permettre à ton utilisateur de tomber dans le VLAN2 si son authentification échoue tu dois passer la commande sur le switch:
aaa port-access mac-based "numport" unauth-vid 2
 
voilou
 

smiley2 a écrit :

Bonjour,
 
Je suis à l'heure actuelle en stage, et comme sujet, je dois mettre en place l'identification MAC gérer par l'IDM de HP.
 
A l'heure actuelle, il y a un serveur radius (Microsoft), un serveur IDM et un ensemble de matériel HP  Procurve (dans ce cas l'utilisation de l'identification se fera surtout via des Switch 2650)
 
Mon but avec ce Vlan dynamique, est, lors d'une connection d'une périphérique sur un switch est:
 - adresse MAC reconnue => envoi dans le Vlan 1.
 - adresse MAC non-reconnue => envoi dans le Vlan2 puis identification via web pour un accès au net.
 
 
Jusque là, si la MAC est bien inscrite dans l'annuaire AD j'arrive à gérer les règles d'IDM pour l'envoyer dans le Vlan1.
Mais:
 - Normalement on peut assigner des adresses MAC à des utilisateurs, cela ne fonctionne pas, ça ne marche que si l'utilisateur à comme nom l'adresse MAC en elle même. (par exemple l'utilisateur smiley avec la MAC allouée xyz ne passera pas, alors que l'utilisateur xyz passera.)
 
En cas de non-reconnaissance, hélas, le switch ferme le port, et je n'ai aucun accès à rien, car le radius ne l'authentifie pas.
 
L'intérêt de l'IDM est la gestion des endpoints integrity, ainsi j'ai plusieurs options possible comme pass, failed, unknow..
 
le problème, est que je n'ai aucun retour des ces informations, l'idéal serai de faire une règle disant que si l'endpoint = failed alors redirection sur Vlan2.
 
Je suis en train de mettre en place un freeradius sur une etch (afin de ne pas toucher au radius actuel forcement)
à mon sens l'autre solution serai de paramétrer le radius, pour que si la MAC n'est pas reconnue, alors la périphérique deviant un "invité" ainsi l'IDM pourrai prendre le relais pour l'envoyer dans le VLan2.
 
Si je m'adresse à vous, c'est que j'espère qu'avec un peu de chance quelqu'un est déjà passé par la mise en place de ce système de sécurité,et que l'on puisse m'aider à régler ce problème de endpoint integrity, ou sinon de pouvoir m'aider à paramétrer le freeradius, parce que ce que je veux en faire est bien jolie, mais à mon avie plus facile à dire qu'à faire....  :(  
 
 
 
voilà, si 'jamais j'ai raté une réponse à mes recherches dans d'autre topic, navré, n'hésitez pas à me réorienter si vous le voulez bien!!
 
;)
 
merci d'avance!



Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Linux et OS Alternatifs
  réseaux et sécurité

  Procurve HP IDM et identification MAC

 

Sujets relatifs
MAC vers Linux copie de fichier contenant des "/"Problème doc xls sauvegardé sous Mac OS pour ouverture sous Windows
Gestionnaire de lyrics/covers sur Linux/Mac ?[MAC] tableau à idées
Probleme Mac os 10.5 et wifi? (freebox)Gestion de l'identification par curl
C'est facile d'ouvrir un fichier .pps avec un Mac ?Créer une fichier d'aide sous MAC OS
DD externe NTFS sur Mac (Tiger) : copie ou lecture impossibleJe fais aveuglément confiance à la sécurité de Mac OS X...c'est mal ?
Plus de sujets relatifs à : Procurve HP IDM et identification MAC

Forum MesDiscussions.Net, Version 2010.2
(c) 2000-2011 Doctissimo
Page générée en 0.036 secondes

Copyright © 1997-2025 Groupe LDLC (Signaler un contenu illicite / Données personnelles)