locked
mise en place 802.1x filaire avec WIN2K3 et switch HP procurve RRS feed

  • Question

  • Bonjour à tous,

    je suis stagiaire en contrat pro par alternance dans le service informatique d'une entreprise. J'ai pour projet de mettre en place de la sécurité réseau en mettant au point une solution VLAN et une solution d'authentification lorsque l'on se branche sur le réseau.

    Pour combler les 2, j'ai donc pensé qu'utiliser le 802.1x serait une bonne chose seulement, je m'y perds un peu entre les certificats, la configuration du switch, la mise en place des vlans dynamiques en fonction de la réponse du 2003 serveur. Théoriquement et à force de lire des réponses sur internet, je sais que c'est possible de cumuler tout ca seulement je tombe souvent sur des tutos pour solution sans fil où le controleur wifi sert d' "authenticator"  802.1X.

    Dans mon cas, c'est le switch HP qui fait la liaison entre le client 802.1x et le 2003 serveur sur lequel j'ai installé DNS, AD et donc Serveur IAS.

    Partie 2003 serveur:

    Dans un premier temps, j'oublie la mise en place des vlans et me concentre uniquement sur l'authentification radius. J'ai crée un groupe grpradiustest contenant 2 utilisateurs radiususer1 et radiususer2. Le tout étant placé dans une OU nommée GPOIAS. j'ai suivi le tuto suivant pour préparer le 2003 serveur, sauf qu'au lieu de cocher la case "sans fil", j'ai coché la case "ethernet". J'ai obtenu un certificat que j'ai installé sur mon pc client.

    Partie Switch HP Procurve 2824:

    j'ai configuré certains ports de mon switchs pour qu'ils aillent consulter un serveur IAS si qqn se branche dessus. En fonction de la réponse du 2003 serveur, le port ouvre ou non l'accès au réseau. les ports concernés sont les ports 1 à 8. voici la partie de la configuration du switch:

    aaa authentication port-access eap-radius

    radius-server host <ip du 2003 serveur> key cleradius

    aaa port-access authenticator 1-8

    aaa port-access authenticator active

    Personnellement je ne pense pas que le problème vienne de la mais bon on sait jamais.

    Partie Client (windows xp pro sp3)

    Ce pc portable n'est pas tout jeune et sa carte réseau ne supporte pas 802.1x. J'ai donc installé Xsupplicant en guise de client radius. j'ai mis les paramètres qu'il fallait du moins je pense.

     

    Le problème:

    le switch est raccordé au serveur 2003 et lorsque je branche le client sur un des 8 ports, le réseau est inaccessible, (ce qui montre que la restriction appliquée au switch est prise en compte) seulement, quand je clique sur "connecter" sur xsupplicant, la connexion échoue au bout de qq secondes. Je ne sais pas quoi faire comme test ou quelle autre méthode appliquer pour arriver à un résultat.

    je suis ouvert à toute proposition et sollicite grandement votre aide

    D'avance merci à tous.

    manu

     

     

    jeudi 1 avril 2010 13:13

Toutes les réponses

  • Bonjour, il faudrait commencer à analyser les logs au plus haut niveau donc au niveau du client xsupplicant.

    Quel message d'erreur as-tu lors de l'échec de la connexion ?

    Si tu n'as pas beaucoup de log, active le "verbose debugging" sur ton xsupplicant pour voir à quel endroit la connexion échoue selon lui.

    A bientôt


    Freddy ELMALEH aka "bigstyle" -- Consultant Freelance pour Active IT -- MVP Windows Server - Directory Services
    dimanche 4 avril 2010 12:04
  • Bonjour, merci pour ta réponse. Voici les logs au niveau de l'application Xsupplicant :

    Sans le mode verbose :

    --- Start of log entries ---


    2010-04-06  15:03:05.074 - Xsupplicant has defaulted to authenticated state on interface 'Intel(R) 82567LM Gigabit Network Connection - Packet Scheduler Miniport', due to the inability to successfully start/complete an EAP conversation.  It is likely that this authenticator doesn't support 802.1X, or that 802.1X isn't configured correctly on the authenticator or RADIUS server.
    2010-04-06  15:03:05.074 - Requesting DHCP information for 'Intel(R) 82567LM Gigabit Network Connection - Packet Scheduler Miniport'.
    2010-04-06  15:04:04.011 - Requesting DHCP information for 'Intel(R) 82567LM Gigabit Network Connection - Packet Scheduler Miniport'.
    2010-04-06  15:04:35.292 - Packet discarded because it didn't trigger proper state options.
    2010-04-06  15:04:35.292 - Interface : Intel(R) 82567LM Gigabit Network Connection - Packet Scheduler Miniport --- Starting Authentication (Phase 1) ---
    2010-04-06  15:04:35.308 - Your authenticator sent an incorrect ID value for the failure response.
    2010-04-06  15:04:35.308 - We received ID 3, when we should have received ID 2.
    2010-04-06  15:04:35.308 - Please ask your vendor to fix this!
    2010-04-06  15:05:41.027 - IP renew failed on interface 'Intel(R) 82567LM Gigabit Network Connection - Packet Scheduler Miniport'.  (Error : 121)
    2010-04-06  15:06:04.886 - Your authenticator sent an incorrect ID value for the failure response.
    2010-04-06  15:06:04.886 - We received ID 5, when we should have received ID 4.
    2010-04-06  15:06:04.886 - Please ask your vendor to fix this!
    2010-04-06  15:06:04.917 - Your authenticator sent an incorrect ID value for the failure response.
    2010-04-06  15:06:04.917 - We received ID 7, when we should have received ID 6.
    2010-04-06  15:06:04.917 - Please ask your vendor to fix this!

     

    avec le mode verbose:

    XSupplicant 2.2.0.710

    2010-04-07  9:32:28.609 - Packet discarded because it didn't trigger proper state options.
    2010-04-07  9:32:28.609 - Interface : Intel(R) 82567LM Gigabit Network Connection - Packet Scheduler Miniport --- Starting Authentication (Phase 1) ---
    2010-04-07  9:32:28.625 - Your authenticator sent an incorrect ID value for the failure response.
    2010-04-07  9:32:28.625 - We received ID 44, when we should have received ID 43.
    2010-04-07  9:32:28.625 - Please ask your vendor to fix this!
    2010-04-07  9:33:30.187 - IP renew failed on interface 'Intel(R) 82567LM Gigabit Network Connection - Packet Scheduler Miniport'.  (Error : 121)
    2010-04-07  9:33:58.078 - Your authenticator sent an incorrect ID value for the failure response.
    2010-04-07  9:33:58.078 - We received ID 46, when we should have received ID 45.
    2010-04-07  9:33:58.078 - Please ask your vendor to fix this!
    2010-04-07  9:33:58.109 - Your authenticator sent an incorrect ID value for the failure response.
    2010-04-07  9:33:58.109 - We received ID 48, when we should have received ID 47.
    2010-04-07  9:33:58.109 - Please ask your vendor to fix this!
    2010-04-07  9:34:58.140 - Your authenticator sent an incorrect ID value for the failure response.
    2010-04-07  9:34:58.140 - We received ID 50, when we should have received ID 49.
    2010-04-07  9:34:58.140 - Please ask your vendor to fix this!
    2010-04-07  9:34:58.140 - Interface : Intel(R) 82567LM Gigabit Network Connection - Packet Scheduler Miniport --- Authentication Failed (Phase 1) ---
    2010-04-07  9:35:00.187 - IP renew failed on interface 'Intel(R) 82567LM Gigabit Network Connection - Packet Scheduler Miniport'.  (Error : 121)
    2010-04-07  9:35:58.187 - Interface : Intel(R) 82567LM Gigabit Network Connection - Packet Scheduler Miniport --- Authentication Failed (Phase 1) ---
    2010-04-07  9:35:58.187 - Interface : Intel(R) 82567LM Gigabit Network Connection - Packet Scheduler Miniport --- Starting Authentication (Phase 1) ---
    2010-04-07  9:35:58.187 - Your authenticator sent an incorrect ID value for the failure response.
    2010-04-07  9:35:58.187 - We received ID 53, when we should have received ID 52.
    2010-04-07  9:35:58.187 - Please ask your vendor to fix this!
    2010-04-07  9:35:58.187 - Interface : Intel(R) 82567LM Gigabit Network Connection - Packet Scheduler Miniport --- Authentication Failed (Phase 1) ---
    2010-04-07  9:36:04.187 - IP renew failed on interface 'Intel(R) 82567LM Gigabit Network Connection - Packet Scheduler Miniport'.  (Error : 121)
    2010-04-07  9:36:58.234 - Interface : Intel(R) 82567LM Gigabit Network Connection - Packet Scheduler Miniport --- Starting Authentication (Phase 1) ---
    2010-04-07  9:36:58.250 - Your authenticator sent an incorrect ID value for the failure response.
    2010-04-07  9:36:58.250 - We received ID 55, when we should have received ID 54.
    2010-04-07  9:36:58.250 - Please ask your vendor to fix this!
    2010-04-07  9:36:58.250 - Interface : Intel(R) 82567LM Gigabit Network Connection - Packet Scheduler Miniport --- Authentication Failed (Phase 1) ---
    2010-04-07  9:37:06.187 - IP renew failed on interface 'Intel(R) 82567LM Gigabit Network Connection - Packet Scheduler Miniport'.  (Error : 121)

     

    J'espère que cela t'inspirera car moi pas tellement, le but étant de s'authentifier avec le nom de machine (cliradius) et de se voir attribuer une adresse ip automatiquement. Le serveur Radius faisait également office de serveur DNS et DHCP. Ces 2 services ont été testés indépendemment, le problème ne doit pas venir de la.

    Si ca peut t'aider, j'utilise le mode de tunnelling mschapv2

    Merci d'avance de ta réponse.

    manu

    mercredi 7 avril 2010 07:51
  • J'ai finalement isolé les problemes :

    Le logiciel supplicant ne veut toujours pas m'inicier la connexion comme il se doit. En grattant un peu, j'ai cependant trouvé un service nommé Wired Autoconfig désactivé par défaut sur xp sp3, mais qui permet de voir aparaitre l'onglet "authentification" dans la carte réseau, et donc de permettre le 802.1x. J'ai donc configuré cette partie en mettant de côté xsupplicant et ca ne fonctionnait toujours pas.

    En analysant les trames qui circulent entre le switch et le serveur, j'ai constaté que mon nom d'utilisateur etait coupé !

    "radiususer1" devenait "radiususe", il manque 2 lettres.

    J'ai donc essayé de créer un utilisateur plus court "rad3" et la : BINGO !! la session 802.1x a fonctionné, validation du certificat, authentification correcte, accès au réseau.

    J'ai réessayé xsupplicant avec ce nouvel utilisateur mais aucun résultat.

    Je profite de cette avancée pour ré-upper ce topic important pour moi.

    La nouvelle question: qqn pourrait m'expliquer pourquoi le nom d'utilisateur est trop long pour 802.1x? y a t-il une limite? si oui peut on l'agrandir?

    Merci d'avance.

    PS: voici l'extrait de la trame qui a attiré mon attention:

     

    Image hébergée par servimg.com
    mercredi 21 avril 2010 07:57
  • Bonjour, étant de retour en entreprise et n'ayant pas eu de réponse depuis mon dernier post, je me permets de réactualiser ce topic. Mon problème étant la longueur du login, en effet, lors de la transaction radius, celui ci est tronqué s'il est trop long. Un login court comme "rad3" fonctionne parfaitement. Est il possible de régler la taille max d'un login, ou du moins de l'élargir? car ca me parait bizarre de devoir avoir un login court pour utiliser pleinement le 802.1x. merci d'avance
    mardi 1 juin 2010 07:07
  • J'ai pu me re pencher sur mon probleme, et je sais d'ou vient ce probleme de login trop long. Il ne vient pas du serveur ni du client mais bien du switch 2510 Hp procurve. En testant avec un switch 2824, le nom n'était pas tronqué donc ce problème est mis de coté pour le moment.

    J'ai cependant une autre question et j'espere que vous pourrez m'aider cette fois, je souhaite tester l'authentification radius a travers 2 switchs jouant un rôle différent:

    Le premier switch joue le rôle d'authenticator, c'est lui qui est directement raccordé au serveur radius, qui déclare les Vlans et les ports concernés par l'authentification

    Le second switch joue le rôle de supplicant.Le but de la nouvelle maquette étant de relier mon pc client au switch supplicant, lui même relié au switch authenticator, ce dernier étant relié au serveur radius.

    Mes questions:

    que faut il mettre en place comme configuration sur le switch supplicant? je trouve très peu d'informations sur le net mais j'ai trouvé une ligne de config : "aaa port-access supplicant <n°_port>" seulement je ne sais pas vraiment comment l'utiliser

    Faut il déclarer les Vlans comme sur le switch authenticator? je pense que oui mais je préfere demander.

    Faut il déclarer les ports comme ports radius avec la commande suivante: "aaa port-access authenticator 1-8" ?

    Faut il relié le switch supplicant sur un port radius du switch authenticator ou un port neutre ?

     

    Merci d'avances de vos réponse, je trouve beaucoup d'informations sur les solutions sans-fil sur internet mais très peu dans le domaine filaire.


     

    vendredi 18 juin 2010 08:44
  • salut manu,

    ton sujet m'interesse grandement parce que je dois mettre en place un service d'authentification RADIUS pour mon entreprise au niveau de l'accès réseau. Ta config est très similaire à la mienne mais moi rien ne marche:

    je m'explique, sur machines virtuelles j'ai deux serveur Win 2003 (AD+DNS et Serveur RADIUS), un switch HP Procurve 2626 et un client XP. En bref j'aimerai connaitre les config de ton RADIUS et de ton switch pour les comparer aux miennes et voir où je me suis planté.

    Merci d'avance

    mercredi 20 octobre 2010 09:08