Verfügbare Informationen zu "Cisco und Radius-Server einrichten"
Qualität des Beitrags: Beteiligte Poster: Michael - crisirius - jmiller Forum: Achtung !!!!!!!!!!!!! Forenbeschreibung: Umzug auf www.cisco-forum.net !!!!! aus dem Unterforum: Cisco Switche Antworten: 15 Forum gestartet am: Mittwoch 02.02.2005 Sprache: deutsch Link zum Originaltopic: Cisco und Radius-Server einrichten Letzte Antwort: vor 18 Jahren, 8 Monaten, 7 Tagen, 20 Stunden, 38 Minuten
Alle Beiträge und Antworten zu "Cisco und Radius-Server einrichten"
Re: Cisco und Radius-Server einrichten
Michael - 30.06.2005, 11:31Cisco und Radius-Server einrichten
Hi,
ich mal wieder. ;)
Wenn ich auf dem Switch (192.68.0.3) :
show running-config ausführe
dann zeigt er folgendes an:
aaa authentication dot1x default frauop radius
radius-server host IP auth-port 1812 acct-port 1813 key MeinKey
So in dem Config-File des Servers steht und clients.conf
client 192.168.0.0/24{
secret = MeinKey
shortname = lab
}
Meinkey ist der selbe wie der der bei dem switch eingestellt ist. Dennoch sagt mir der Radiusserver dass das shared secret falsch ist. Woran kann das liegen? Habe ich etwas nicht richtig konfiguriert?
Re: Cisco und Radius-Server einrichten
crisirius - 30.06.2005, 22:37
Hi Michael,
hier mal eine kurze Beschreibung zum Aktivueren des dot1x
Globale Konfiguration
! Neue Mechanismen für Authentication, Authorization und Accounting aktivieren
aaa new-model
! Aktivieren von 802.1x
dot1x system-auth-control
! Standardlogin via Telnet/HTTP über Enable-Kennwort durchführen
aaa authentication login default enable
! 802.1x Authentifizierung über RADIUS Server durchführen
aaa authentication dot1x default group radius
! 802.1x das Ändern der Netzwerkkonfiguration zu erlauben (VLAN Membership)
aaa authorization network default group radius
! Radius Server mit IP, Ports und Key definieren
radius-server host ww.xx.yy.zz auth-port 1812 acct-port 1813 key cisco
! Interface Konfiguration
interface FastEthernet0/10
switchport mode access
switchport access vlan 21
dot1x port-control auto
Probier mal die Konfig so zu übernehmen dann sollte auch dein Radius Server angesprochen werden.
Grüße
Crisirius
Re: Cisco und Radius-Server einrichten
Michael - 01.07.2005, 11:06
Danke!
Eine Frage habe ich noch. key cisco ist das fest? ich dachte an Stelle von cisco kommt das secret was ich bei dem Radius Server eingestellt habe?
Denn wo trage ich das sonst ein? Das muss doch der Switch an den Radius Server übergeben!
Re: Cisco und Radius-Server einrichten
crisirius - 01.07.2005, 12:16
Hi Micha,
cisco ist natürlich zu wechseln auf deinen Key der im Radius Server eingetragen ist.
Grüße
Crisirius
Re: Cisco und Radius-Server einrichten
Michael - 04.07.2005, 11:36
Hm also es scheint nicht direkt am Radius-Server oder switch zu liegen. Irgendwie geht das Passwort des Benutzers verloren.
Unter Windows 2000 habe ich folgendes eingestellt:
Netzwerkzugriffsteuerung mit IEEE 802.1x aktivieren : ja
EAP-Type: Geschütztes-EAP (PEAP)
und unter Eigenschaften dann:
Sicheres Kennwort (EAP-MSCHAP v2)
In der User Datei des Radius Server steht:
Zitat:
test Auth-Type := Local, User-Passwort == "xxx"
Service-Type = Framed-User
Starte ich nun den Radius-Server im Debugmodus so erhalte ich:
Zitat:
rad_recv: Access-Request packet from host 192.168.1.3:1812, id=6, length=98
NAS-IP-Address = 192.168.1.3
NAS-Port = 50010
NAS-Port-Type = Ethernet
User-Name = "test"
Calling-Station-Id = "00-04-75-DA-4C-C8"
Service-Type = Framed-User
EAP-Message = 0x020100090174657374
Message-Authenticator = 0x05ada6b6c1de489b42a378805df01aac
Processing the authorize section of radiusd.conf
modcall: entering group authorize for request 1
modcall[authorize]: module "preprocess" returns ok for request 1
modcall[authorize]: module "chap" returns noop for request 1
modcall[authorize]: module "mschap" returns noop for request 1
rlm_realm: No '@' in User-Name = "test", looking up realm NULL
rlm_realm: No such realm "NULL"
modcall[authorize]: module "suffix" returns noop for request 1
rlm_eap: EAP packet type response id 1 length 9
rlm_eap: No EAP Start, assuming it's an on-going EAP conversation
modcall[authorize]: module "eap" returns updated for request 1
users: Matched entry test at line 54
modcall[authorize]: module "files" returns ok for request 1
modcall: group authorize returns updated for request 1
rad_check_password: Found Auth-Type Local
auth: type Local
auth: No User-Password or CHAP-Password attribute in the request
auth: Failed to validate the user.
Aber in dem Fenster wo ich die dot1x Informationen eintragen muss, trage ich ein Benutzernamen und ein Passwort ein
Re: Cisco und Radius-Server einrichten
crisirius - 04.07.2005, 22:25
Hi Micha,
ist es dir noch mal möglich die neue config vom Cisco hier zu posten??
Da ich sonst nicht weiter komme.
Grüße
Crisirius
:)
Re: Cisco und Radius-Server einrichten
Michael - 05.07.2005, 16:08
Building configuration...
Current configuration : 2183 bytes
!
version 12.1
no service pad
service timestamps debug uptime
service timestamps log datetime
no service password-encryption
service sequence-numbers
!
hostname ids-switch
!
aaa new-model
aaa authentication login default enable
aaa authentication dot1x default group radius
aaa authorization network default group radius
enable secret 5 xxx!
username admin secret 5 xxx
username root secret 5 xxx
ip subnet-zero
!
spanning-tree extend system-id
!
!
interface FastEthernet0/1
no ip address
!
interface FastEthernet0/2
no ip address
!
interface FastEthernet0/3
no ip address
!
interface FastEthernet0/4
no ip address
!
interface FastEthernet0/5
no ip address
!
interface FastEthernet0/6
no ip address
!
interface FastEthernet0/7
no ip address
!
interface FastEthernet0/8
no ip address
!
interface FastEthernet0/9
no ip address
!
interface FastEthernet0/10
switchport access vlan 21
switchport mode access
no ip address
dot1x port-control auto
!
interface FastEthernet0/11
no ip address
!
interface FastEthernet0/12
no ip address
!
interface FastEthernet0/13
switchport mode access
no ip address
dot1x port-control auto
!
interface FastEthernet0/14
switchport mode access
no ip address
dot1x port-control auto
!
interface FastEthernet0/15
switchport mode access
no ip address
dot1x port-control auto
!
interface FastEthernet0/16
switchport mode access
no ip address
dot1x port-control auto
!
interface FastEthernet0/17
no ip address
!
interface FastEthernet0/18
no ip address
!
interface FastEthernet0/19
no ip address
!
interface FastEthernet0/20
no ip address
!
interface FastEthernet0/21
no ip address
!
interface FastEthernet0/22
no ip address
!
interface FastEthernet0/23
no ip address
!
interface FastEthernet0/24
no ip address
!
interface GigabitEthernet0/1
no ip address
!
interface GigabitEthernet0/2
no ip address
!
interface Vlan1
ip address 192.168.1.3 255.255.255.0
no ip route-cache
!
ip http server
radius-server host 192.168.1.4 auth-port 1812 acct-port 1813 key xxx
radius-server retransmit 3
!
line con 0
exec-timeout 0 0
line vty 5 15
!
end
Re: Cisco und Radius-Server einrichten
crisirius - 06.07.2005, 22:27
Hi Micha,
was für einen Radiusserver benutzt du??
Die besten Erfahrungen haben die meisten Leute mit dem ISA gemacht.
Ist wichtig um deinen Fehler ein zu grenzen
Grüße
Crisirius
Re: Cisco und Radius-Server einrichten
Michael - 07.07.2005, 10:38
Hi,
wir greifen hier auf einen OpenSource Server zurück: FreeRadius
(www.freeradius.org)
Wenn du möchtest kann ich dir auch einen Teil der Konfig schicken!?
mfg
Re: Cisco und Radius-Server einrichten
crisirius - 07.07.2005, 22:09
Hi Micha,
hast du das mal mit dem ISA ausprobiert??
Da ich in anderen Foren gelesen habe das Sie mit anderen Radiusservern viele probleme haben und ich leider nicht so tief im Thema stecke.
Grüße
Crisirius
:oops:
Re: Cisco und Radius-Server einrichten
Michael - 12.07.2005, 09:29
Hm der ISA kostet, und das wollten wir vermeiden ;)
Ich find es auch komisch das scheinbar viele die Konfiguration fahren, aber kaum Dokumentation zu Problemen existiert. Selbst in der Mailinglist.
Wobei wenn man schon Geld ausgibt, ist dann nicht der Radius-Server von Cisco besser als der ISA? Zu mindenstens die Abstimmung Server-Switch sollte dann recht einfach (standard) sein!?
Re: Cisco und Radius-Server einrichten
jmiller - 23.07.2005, 12:40
Hallo,
welche verschiedenen Authentifizierungstypen hast du bei deiner Server-Config zur Auswahl? Hast du die User alle in die Gruppe "Radius" gepackt? Wie lautet die Fehlermeldung auf deinem Cisco-Switch, wenn du dich bsp. per Telnet einloggst? Hat dein Server ne Art "Test"-Funktion, mit welcher er sich eigene Requests senden kann?
Oder hat sich dein Problem gelöst, is ja schon etwas länger her... :-)
Mfg - JENS
Re: Cisco und Radius-Server einrichten
Michael - 31.07.2005, 20:42
Hi,
sry das es so lange gedauert hat! Ich habe das Problem teilweise gelöst bzw. mich anderen Aufgaben gewittmet.
Also Auth-Typen: md5, peap, tls (ich hoffe das wolltest du wissen)
Die User stehen derzeit in einer Datei (ala: Name - Passwort) , bzw. bei Zertifikaten werden ja keine Nutzer gebaucht.
Die Testfunktion des Server gibt es, leider geht die nur für md5, welches ich auch zum laufen gebracht habe.
Fehlermeldungen der Switchs, welche DEBUG Option? Ich muss ehrlich sagen das ich da kaum durch sehe da entweder keine Meldungen kommen oder gleich so viele das man daraus, aus meiner Sicht, nichts erlkennen kann.
Das Problem habe ich teilweise gelöst. Ich kann nun 802.1x mittels md5 nutzen. Bei PEAP sieht es aus m einer Sicht so aus, dass der TLS Tunnel con der SErver Seite aufgebaut wird, dann aber beim 'Challenge keine Nachrichten vom Switch mehr kommen. Das PEAP ist kein muss, wäre aber sehr schon wenn ich das noch zum laufen bekommen würde.
mfg Mcihael
Re: Cisco und Radius-Server einrichten
jmiller - 31.07.2005, 22:00
Hallo,
hast du dir die Meldungen von
- debug radius
- debug aaa autho
schon angeschaut? besonders debug radius finde ich sehr informativ, weil du dir dort die gesetzten radius attribute anschauen kannst. eine komplette liste findest du in der passenden rfc. vielleicht setzt der server attribute die der switch net versteht (hatte ich letzte woche) bzw. wenn du glück hast gibt der switch ne fehlermeldung aus, z.b. "unknown authorization method" oder ähnliches...
wäre tacacs+ keine alternative für dich?
mfg - jens
Re: Cisco und Radius-Server einrichten
Michael - 09.08.2005, 11:51
Die Ausgaben hatte ich mir angeschaut und nichts gefunden (ist schon eine weile her, kann nicht genau sagen was da stand)
tacacs ist keine Alternative. Das Problem hat sich nun (leider) auch erledigt da ich neue Aufgaben bekommen habe.
Ich danke für die Hilfe!
mfg Michael Langer
Mit folgendem Code, können Sie den Beitrag ganz bequem auf ihrer Homepage verlinken
Weitere Beiträge aus dem Forum Achtung !!!!!!!!!!!!!
Ähnliche Beiträge wie "Cisco und Radius-Server einrichten"
Teamspeak Server - Maers (Samstag 23.06.2007)
Server!! - shaize (Montag 02.07.2007)
Server IPs - [rkd]MalcomX (Freitag 15.09.2006)
Mitgliederliste server 2 - jayjay (Mittwoch 11.04.2007)
Der Server ist down oder ich komm nicht drauf... - Boigar (Freitag 19.01.2007)
Server-Update - possibly spam inside... - psycko (Dienstag 20.12.2005)
server wechsel - eazyberny (Dienstag 01.02.2005)
TS-Server - dragonlord (Freitag 06.07.2007)
Forum zieht auf einen anderen Server - WorldTra.de (Donnerstag 24.06.2004)
Allianz-Bereich - Server 4 ..::Werbt für euren Clan usw::.. - missy116 (Samstag 11.08.2007)