none
Netzwerkrichtlinienserver Behandlung für Authentifizierung fehlgeschlagen RRS feed

  • Frage

  • Hallo Leute,

    Ich habe einen lauffähigen  NPS konfiguriert. Dieser unterstützt 802.1x (PEAP)- und MAC- Authentifizierung. Dies läuft alles reibungslos. Nun besteht aber folgendes Problem:

    Wenn sich ein unbekannter Client am Switchport befindet, wird die Authentifizierung mit Sicherheit fehlschlagen (Bsp. 802.1x wird vom Client nicht unterstützt und der Switch startet eine MAC- Auth). Gibt es eine Möglichkeit im NPS, dass genau solche Clients (genauer der Switch) kein ACCESS-REJECT erhalten, sondern eine VLAN-ID (für das Gästenetz)?

    Im FreeRADIUS besteht die Möglichkeit, welche über eine DEFAULT POLICY abgewickelt wird. Im wesentlichen sollen nichtauthentifizierte Clients ins Gästenetz geschoben werden. Dies habe ich versucht über das Switch zu realisieren, jedoch beziehen die Clients schon vor der Authentifizierung eine IP vom DHCP, obwohl dies erst nach einer fehlerhaften Authentifizierung geschehen soll. Microsoft muss doch an eine Lösung im NPS gedacht haben...

    Montag, 1. Februar 2016 12:46

Antworten

  • Hallo ikke,

    Entweder löst du das eine Ebene höher mit NAP (was mittlerweile abgekündigt ist und dein VLAN Problem nicht löst) oder du löst es über den Switch. Da bei 802.1x die dynamische VLAN Zuweisung über das Tunnel-Pvt-Group-ID RADIUS Element funktioniert, kommst du hier mit dem NPS nicht weiter. Der normale Weg wäre, auf dem Switch ein VLAN für fehlgeschlagene Authentifizierungen zu hinterlegen. Auf Cisco Switchen würde das so aussehen:

    dot1x guest-vlan 100

    (keine 802.1x Kompatibilität)

    dot1x auth-fail vlan 110

    (Authentifizierung fehlgeschlagen)

    Ich hoffe das hat die geholfen.

    MfG

    Jan-Henrik

    Dienstag, 2. Februar 2016 06:24

Alle Antworten

  • Hallo ikke,

    Entweder löst du das eine Ebene höher mit NAP (was mittlerweile abgekündigt ist und dein VLAN Problem nicht löst) oder du löst es über den Switch. Da bei 802.1x die dynamische VLAN Zuweisung über das Tunnel-Pvt-Group-ID RADIUS Element funktioniert, kommst du hier mit dem NPS nicht weiter. Der normale Weg wäre, auf dem Switch ein VLAN für fehlgeschlagene Authentifizierungen zu hinterlegen. Auf Cisco Switchen würde das so aussehen:

    dot1x guest-vlan 100

    (keine 802.1x Kompatibilität)

    dot1x auth-fail vlan 110

    (Authentifizierung fehlgeschlagen)

    Ich hoffe das hat die geholfen.

    MfG

    Jan-Henrik

    Dienstag, 2. Februar 2016 06:24
  • Hallo Jan-Henrik,

    Vielen Dank für deine Antwort. Deinen Lösungsvorschlag sehe ich momentan auch als einzigen Weg. Habe jedoch gehofft, dass es eine versteckte Möglichkeit gegeben hätte (irgendwo einen Registrierungseintrag oder so). Im anderen Fall bieten die Switche nicht ohne Grund die Option, ein Gäste- VLAN einzurichten. Muss mal schauen ob ein Enterasys- switch B5 auch diese Option bereitstellt (also nach einen Authentifizierungsfehlschlag). Falls jemand doch noch ein Ass im Ärmel hat, würde ich mich über jede Antwort freuen.

    Beste Grüße

    ikke

    Dienstag, 2. Februar 2016 08:07