- 802.1x,
 tetst, 13:58 , 13-Апр-15 (1)в логах такая запись присутствует
AAA/AUTHEN/START (2793293335): port='FastEthernet0/19' list='Dot1x Acc List' action=LOGIN service=802.1x
AAA/AUTHEN/START (2793293335): non console login - defaults to local database
AAA/AUTHEN/START (2793293335): Method=LOCAL
AAA/AUTHEN (2793293335): User not found, end of method list
00:05:06: AAA/AUTHEN (2793293335): status = FAIL
00:05:06: dot1x-err:Dot1x Authentication failed (AAA_AUTHEN_STATUS_FAIL)
Я так понимаю циска за парой логин/пароль не на радиус лезет, а ищет у себя локально?
Почему? если указано aaa authentication dot1x group group radius
- 802.1x, cant, 17:15 , 13-Апр-15 (2)
> Почему? если указано aaa authentication dot1x group group radius ... group group ... А это как синтаксисом команды истолковывается?
И оно так съедает?
- 802.1x, ShyLion, 06:45 , 14-Апр-15 (3)
>> Почему? если указано aaa authentication dot1x group group radius
> ... group group ... А это как синтаксисом команды истолковывается?
> И оно так съедает?У него два отдельных метода аторизации, один с именем "group"
- 802.1x, tetst, 09:42 , 14-Апр-15 (5)
> ... group group ... А это как синтаксисом команды истолковывается?
> И оно так съедает?если не указывать default оно само в такой вид приходит
- 802.1x, ShyLion, 06:46 , 14-Апр-15 (4)
> aaa authentication dot1x group group radius тут ошибка.
нужно:
aaa authentication dot1x default group radius
- 802.1x, tetst, 10:58 , 14-Апр-15 (6)
ошибку с методом исправил (как писали выше). теперь в логах видно обращение к радиус серверу, но аутентификация не проходит.статус порта
S1(config)#do sh dot1x int f0/21
Supplicant MAC <Not Applicable>
AuthSM State = CONNECTING
BendSM State = IDLE
Posture = N/A
PortStatus = UNAUTHORIZED
MaxReq = 2
MaxAuthReq = 2
HostMode = Single
Port Control = Auto
ControlDirection = Both
QuietPeriod = 60 Seconds
Re-authentication = Disabled
ReAuthPeriod = 3 Seconds
ServerTimeout = 30 Seconds
SuppTimeout = 30 Seconds
TxPeriod = 10 Seconds
Guest-Vlan = 150
AuthFail-Vlan = 0
AuthFail-Max-Attempts = 3
- 802.1x, VolanD, 11:41 , 14-Апр-15 (7)
>[оверквотинг удален]
> ServerTimeout = 30 Seconds
> SuppTimeout =
> 30 Seconds
> TxPeriod
> = 10 Seconds
> Guest-Vlan
> = 150
> AuthFail-Vlan = 0
> AuthFail-Max-Attempts = 3
> А что радиус то говорит?
- 802.1x, tetst, 12:28 , 14-Апр-15 (8)
> А что радиус то говорит?Auth: Login incorrect: [test/<no User-Password attribute>] (from client test-network port 50021 cli 18-03-73-A6-0B-81) настройки users
test<-->User-Password := "test"
<------>Framed-IP-Address = 192.168.2.5,
<------>Framed-IP-Netmask = 255.255.255.0,
<------>NAS-IP-Address = 10.95.46.230 (адрес циски)
<------>Tunnel-Type = 13,
<------>Tunnel-Medium-Type = 6,
<------>Tunnel-Private-Group-Id = 1
- 802.1x, ShyLion, 12:58 , 14-Апр-15 (9)
> test<-->User-Password := "test"
> <------>Framed-IP-Address = 192.168.2.5,
> <------>Framed-IP-Netmask = 255.255.255.0,
> <------>NAS-IP-Address = 10.95.46.230 (адрес циски)
> На кой болт эта инфа каталисту, интересно? radiusd -X
- 802.1x, tetst, 13:09 , 14-Апр-15 (10)
>> test<-->User-Password := "test"
>> <------>Framed-IP-Address = 192.168.2.5,
>> <------>Framed-IP-Netmask = 255.255.255.0,
>> <------>NAS-IP-Address = 10.95.46.230 (адрес циски)
>>
> На кой болт эта инфа каталисту, интересно?
> radiusd -X ну с NAS-IP-Address = 10.95.46.230 - это в качестве экспериметна добавлено. А Framed-IP-Address - сообщает адрес, который будит настроен у пользователя. Разве нет?
- 802.1x, VolanD, 13:23 , 14-Апр-15 (11)
>>> test<-->User-Password := "test"
>>> <------>Framed-IP-Address = 192.168.2.5,
>>> <------>Framed-IP-Netmask = 255.255.255.0,
>>> <------>NAS-IP-Address = 10.95.46.230 (адрес циски)
>>>
>> На кой болт эта инфа каталисту, интересно?
>> radiusd -X
> ну с NAS-IP-Address = 10.95.46.230 - это в качестве экспериметна добавлено.
> А Framed-IP-Address - сообщает адрес, который будит настроен у пользователя. Разве нет? dot1x и настройка адреса?
- 802.1x, tetst, 13:37 , 14-Апр-15 (12)
>>>> test<-->User-Password := "test"
>>>> <------>Framed-IP-Address = 192.168.2.5,
>>>> <------>Framed-IP-Netmask = 255.255.255.0,
>>>> <------>NAS-IP-Address = 10.95.46.230 (адрес циски)
>>>>
>>> На кой болт эта инфа каталисту, интересно?
>>> radiusd -X
>> ну с NAS-IP-Address = 10.95.46.230 - это в качестве экспериметна добавлено.
>> А Framed-IP-Address - сообщает адрес, который будит настроен у пользователя. Разве нет?
> dot1x и настройка адреса?А что разве радиус не может передать ip адрес?
Удаление этих строк никакого эффекта не дает
- 802.1x, ShyLion, 15:37 , 14-Апр-15 (20)
> А что разве радиус не может передать ip адрес?
> Удаление этих строк никакого эффекта не дает Каталисту глубоко фиолетово на IP адрес, он L2 устройтво. Клиенту радиус ответ в 802х не передается никак.
- 802.1x, tetst, 15:55 , 14-Апр-15 (21)
> Клиенту радиус ответ в 802х не передается никак. Вот этого предложения не понял
- 802.1x, ShyLion, 18:08 , 14-Апр-15 (23)
>> Клиенту радиус ответ в 802х не передается никак.
> Вот этого предложения не понял саппликант только предоставляет информацию для прохождения процедур аутентификации и авторизации. При этом радиус аттрибуты ходят между каталистом и радиусом. Каталист свитч, ему информация о IP адресе не нужна, это не PPP соединение.
- 802.1x, tetst, 09:50 , 15-Апр-15 (26)
>>> Клиенту радиус ответ в 802х не передается никак.
>> Вот этого предложения не понял
> саппликант только предоставляет информацию для прохождения процедур аутентификации и
> авторизации. При этом радиус аттрибуты ходят между каталистом и радиусом. Каталист
> свитч, ему информация о IP адресе не нужна, это не PPP
> соединение.Даже если убрать эти сторчки, аутентификация проходит неудачно
- 802.1x, fantom, 13:54 , 14-Апр-15 (13)
>> А что радиус то говорит?
> Auth: Login incorrect: [test/<no User-Password attribute>] (from client test-network
> port 50021 cli 18-03-73-A6-0B-81) т.е. " Login incorrect:.... " вас не настораживает??
- 802.1x, tetst, 14:40 , 14-Апр-15 (15)
>>> А что радиус то говорит?
>> Auth: Login incorrect: [test/<no User-Password attribute>] (from client test-network
>> port 50021 cli 18-03-73-A6-0B-81)
> т.е. " Login incorrect:.... " вас не настораживает??настрораживает, но я что-то не понимаю, где делаются настройки это затрагивающие. Cisco ведь получается NASом?
- 802.1x, fantom, 14:42 , 14-Апр-15 (17)
>>>> А что радиус то говорит?
>>> Auth: Login incorrect: [test/<no User-Password attribute>] (from client test-network
>>> port 50021 cli 18-03-73-A6-0B-81)
>> т.е. " Login incorrect:.... " вас не настораживает??
> настрораживает, но я что-то не понимаю, где делаются настройки это затрагивающие. Cisco
> ведь получается NASом?Password - на радиусе должен быть, ему же надо с чем-то сверять то, что прилетит с клиента....
- 802.1x, tetst, 14:45 , 14-Апр-15 (18)
>>>>> А что радиус то говорит?
>>>> Auth: Login incorrect: [test/<no User-Password attribute>] (from client test-network
>>>> port 50021 cli 18-03-73-A6-0B-81)
>>> т.е. " Login incorrect:.... " вас не настораживает??
>> настрораживает, но я что-то не понимаю, где делаются настройки это затрагивающие. Cisco
>> ведь получается NASом?
> Password - на радиусе должен быть, ему же надо с чем-то сверять
> то, что прилетит с клиента....да понятно, что на радиусе. в каком конкретно конфигурационном файле?
- 802.1x, VolanD, 13:58 , 14-Апр-15 (14)
Ну и, кстати, на WinXP клиентах напляшетесь вы с этой авторизацией...
- 802.1x, tetst, 14:42 , 14-Апр-15 (16)
> Ну и, кстати, на WinXP клиентах напляшетесь вы с этой авторизацией...Пока идет процесс вникания в технологию (изучение). Клиент под вин7
- 802.1x, ShyLion, 15:35 , 14-Апр-15 (19)
>> Ну и, кстати, на WinXP клиентах напляшетесь вы с этой авторизацией...
> Пока идет процесс вникания в технологию (изучение). Клиент под вин7 С точки зрения технологии, каталист самое простое, он просто посредник в EAP.
Через него суппликант (клиентское устройство) общается с радиусом.
Протоколов авторизации через EAP - херова гора.
В твоем случае EAP-PEAP с MSCHAPv2.
как я написал выше - дебаж на радиусе "radiusd -X", там будет ВСЕ написано.
- 802.1x, tetst, 15:59 , 14-Апр-15 (22)
>>> Ну и, кстати, на WinXP клиентах напляшетесь вы с этой авторизацией...
>> Пока идет процесс вникания в технологию (изучение). Клиент под вин7
> С точки зрения технологии, каталист самое простое, он просто посредник в EAP.
> Через него суппликант (клиентское устройство) общается с радиусом.
> Протоколов авторизации через EAP - херова гора.
> В твоем случае EAP-PEAP с MSCHAPv2.
> как я написал выше - дебаж на радиусе "radiusd -X", там будет
> ВСЕ написано.вот дебаг радиуса.
++[auth_log] returns ok
ERROR: No authenticate method (Auth-Type) found for the request: Rejecting the user
Failed to authenticate the user.
Login incorrect: [test/<no User-Password attribute>] (from client test-network port 50019 cli 18-03-73-A6-0B-81)
Using Post-Auth-Type Reject
Но в нем больше вопросов, чем ответов (пока). Вопрос:Циска, как аутентификатор, в настройках радиуса никаким образом не присутствует? UPD
radtest нормально отрабатывает # radtest -x -t mschap test test 10.95.46.227 1812 testing123
Sending Access-Request of id 106 to 10.95.46.227 port 1812
User-Name = "test"
NAS-IP-Address = 127.0.1.1
NAS-Port = 1812
Message-Authenticator = 0x00000000000000000000000000000000
MS-CHAP-Challenge = 0x8a5694309810f31d
MS-CHAP-Response = 0x00010000000000000000000000000000000000000000000000004e69814c48e29a469e45bc9028072a0da64d65cc95cfb668
rad_recv: Access-Accept packet from host 10.95.46.227 port 1812, id=106, length=111
Tunnel-Type:0 = VLAN
Tunnel-Medium-Type:0 = IEEE-802
Tunnel-Private-Group-Id:0 = "1"
Framed-IP-Address = 192.168.2.5
Framed-IP-Netmask = 255.255.255.0
MS-CHAP-MPPE-Keys = 0x01fc5a6be7bc69292066656e05c22f3a995ad9ecfed913d60000000000000000
MS-MPPE-Encryption-Policy = 0x00000002
MS-MPPE-Encryption-Types = 0x00000004
- 802.1x, ShyLion, 18:09 , 14-Апр-15 (24)
freeradius вываливает тонны информации. ты хочешь чтобы тебе тут по трем строчкам причину нашли?
телепатов не бывает
- 802.1x, tetst, 09:03 , 15-Апр-15 (25)
> freeradius вываливает тонны информации. ты хочешь чтобы тебе тут по трем строчкам
> причину нашли?
> телепатов не бывает Он выдал не сильно больше, относительно гото что я привел. Я указал, на то что явно указывает на проблему. Впринципе могу привестиполный вывод.
- 802.1x, tetst, 16:34 , 15-Апр-15 (27)
Проблему с аутентификацией решил так
authorize {
<------>eap {
<------><------>ok = return
<------>}
<------>files
<------>auth_log
}
и убрал mschap.Порт теперь в аутентифицированном состоянии, но влан остался первым. Можно ли изменить vlan аутентифицированного порта?
- 802.1x, ShyLion, 06:59 , 16-Апр-15 (28)
>[оверквотинг удален]
> authorize {
> <------>eap {
> <------><------>ok = return
> <------>}
> <------>files
> <------>auth_log
> }
> и убрал mschap.
> Порт теперь в аутентифицированном состоянии, но влан остался первым. Можно ли изменить
> vlan аутентифицированного порта?ты же делал уже: rad_recv: Access-Accept packet from host 10.95.46.227 port 1812, id=106, length=111
Tunnel-Type:0 = VLAN
Tunnel-Medium-Type:0 = IEEE-802
Tunnel-Private-Group-Id:0 = "1"
- 802.1x, tetst, 08:04 , 16-Апр-15 (29)
>[оверквотинг удален]
>> <------>auth_log
>> }
>> и убрал mschap.
>> Порт теперь в аутентифицированном состоянии, но влан остался первым. Можно ли изменить
>> vlan аутентифицированного порта?
> ты же делал уже:
> rad_recv: Access-Accept packet from host 10.95.46.227 port 1812, id=106, length=111
> Tunnel-Type:0 = VLAN
> Tunnel-Medium-Type:0 = IEEE-802
> Tunnel-Private-Group-Id:0 = "1" я потом поменял Tunnel-Private-Group-Id:0 = "101", но порт все равно в первый влан назначается
- 802.1x, ShyLion, 11:17 , 16-Апр-15 (30)
>[оверквотинг удален]
>>> и убрал mschap.
>>> Порт теперь в аутентифицированном состоянии, но влан остался первым. Можно ли изменить
>>> vlan аутентифицированного порта?
>> ты же делал уже:
>> rad_recv: Access-Accept packet from host 10.95.46.227 port 1812, id=106, length=111
>> Tunnel-Type:0 = VLAN
>> Tunnel-Medium-Type:0 = IEEE-802
>> Tunnel-Private-Group-Id:0 = "1"
> я потом поменял Tunnel-Private-Group-Id:0 = "101", но порт все равно в первый
> влан назначается а вилан такой есть вообще на свиче?
и как ты проверяешь назначение вилана?
- 802.1x, tetst, 13:14 , 16-Апр-15 (31)
>[оверквотинг удален]
>>>> vlan аутентифицированного порта?
>>> ты же делал уже:
>>> rad_recv: Access-Accept packet from host 10.95.46.227 port 1812, id=106, length=111
>>> Tunnel-Type:0 = VLAN
>>> Tunnel-Medium-Type:0 = IEEE-802
>>> Tunnel-Private-Group-Id:0 = "1"
>> я потом поменял Tunnel-Private-Group-Id:0 = "101", но порт все равно в первый
>> влан назначается
> а вилан такой есть вообще на свиче?
> и как ты проверяешь назначение вилана?sh vlan id 101VLAN Name Status Ports
---- -------------------------------- --------- -------------------------------
101 test_802.1x active
- 802.1x, ShyLion, 14:58 , 16-Апр-15 (32)
>[оверквотинг удален]
> sh vlan id 101
> VLAN Name
>
> Status
> Ports
> ---- -------------------------------- --------- -------------------------------
> 101 test_802.1x
>
> active
> не уверен что вывод этой команды покажет динамическое назначение в вилан
по траффику проверял?
- 802.1x, tetst, 15:08 , 16-Апр-15 (33)
>[оверквотинг удален]
>>
>> Status
>> Ports
>> ---- -------------------------------- --------- -------------------------------
>> 101 test_802.1x
>>
>> active
>>
> не уверен что вывод этой команды покажет динамическое назначение в вилан
> по траффику проверял?а почему нет? по крайней мере назначение в гостевой влан показывает.
Да трафик проходит, по крайней мере могу пинговать хосты в первом влане
|
Версия для распечатки
802.1x, 
