Problème d'authentification 802.1x de mon PC sur l'AD à travers un powerconnect 5548

Switchs et réseau

Switchs et réseau
Rejoignez les conversations dédiés aux switchs et réseaux Dell

Problème d'authentification 802.1x de mon PC sur l'AD à travers un powerconnect 5548

Cette question a été répondue par druartx

Bonjour,

J'ai configuré le NPS de Windows server 2008 R2 qui servira de serveur Radius et un switch Dell Powerconnect 5548 comme Radius Client. L'authentification de mon PC sur l'AD à travers le radius ne fonctionne pas. Il est à noté qu'avec la configuration du NPS actuelle sur un switch HP configuré en Radius Client, tiout fonctionne je n'ai donc pas de problème de serveur mais plutôt de config de switch.

Schéma du test

PC --> g5 5548P g24 --> f18 HP2530 f6 --> NPS

Est-ce que quelqu'un aurait une idée ?

voici la configuration de mon Dell:

USR-SW1# sh run
interface ethernet g1/0/5
spanning-tree portfast
exit
interface ethernet g1/0/5
switchport mode general
exit
dot1x system-auth-control
interface ethernet g1/0/5
dot1x re-authentication
exit
interface ethernet g1/0/5
dot1x port-control auto
exit
interface vlan 1
ip address 192.168.xxx.xxx 255.255.255.0
exit
hostname USR-SW1
radius-server host 192.168.xxx.xxxkey xxxxxx
aaa authentication dot1x default radius

Default settings:
Service tag: FNT9VS1

SW version 4.1.0.15 (date  20-Oct-2013 time  10:23:39)

Gigabit Ethernet Ports
=============================
no shutdown
speed 1000
duplex full
negotiation
flow-control on
mdix auto
no back-pressure

interface vlan 1
interface port-channel 1 - 32

spanning-tree
spanning-tree mode RSTP

Réponse vérifiée
  • bonjour,

    J'ai résolu mon problème.

    Maintenant, mon server NPS me remonte bien les connexions autorisée par l'AD.

Toutes les réponses
  • Bonjour,

    Chaque fabricant adapte l’authentification Radius à sa manière. Il est donc possible qu’il manque quelquechose coté Serveur.

     Ce genre de solution est relativement complexe et beaucoup d’éléments entre en jeu :

    -          Type d‘authentification : user AD, MAC du PC client, user/pwd…

    -          Version de l’OS client

    -          Version du serveur

    -           ...

    pourriez vous m'envoyer en privé le résultat des commandes suivantes ?

    show dot1x

    show dot1x ethernet x/x

    show tech-support

    cela va permettre de vérifier que la configuration est bien opérationnelle côté switch.

    Regards,
    Stéphane

  • Pour info, je dois implémenter la solution sur un 5548 mais pour mes tests j'utilise un 5424

    Donc pas de show tech-support

    USR-SW1# sh dot

    802.1x is enabled

             Admin              Oper          Reauth   Reauth     Username
    Port     Mode               Mode          Control  Period
    -------- ------------------ ------------- -------- ---------- -----------------
    g1       Force Authorized   Authorized*   Disabled 3600       n/a
    g2       Force Authorized   Authorized*   Disabled 3600       n/a
    g3       Force Authorized   Authorized*   Disabled 3600       n/a
    g4       Force Authorized   Authorized*   Disabled 3600       n/a
    g5       Auto   Authorized                        Enabled  3600       nexeya\druartx
    g6       Force Authorized   Authorized*   Disabled 3600       n/a
    g7       Force Authorized   Authorized*   Disabled 3600       n/a
    g8       Force Authorized   Authorized*   Disabled 3600       n/a
    g9       Force Authorized   Authorized*   Disabled 3600       n/a
    g10      Force Authorized   Authorized*   Disabled 3600       n/a
    g11      Force Authorized   Authorized    Disabled 3600       n/a
    g12      Force Authorized   Authorized*   Disabled 3600       n/a
    g13      Force Authorized   Authorized*   Disabled 3600       n/a
    g14      Force Authorized   Authorized*   Disabled 3600       n/a
    g15      Force Authorized   Authorized*   Disabled 3600       n/a
    g16      Force Authorized   Authorized*   Disabled 3600       n/a
    g17      Force Authorized   Authorized*   Disabled 3600       n/a
    g18      Force Authorized   Authorized*   Disabled 3600       n/a
    g19      Force Authorized   Authorized*   Disabled 3600       n/a
    g20      Force Authorized   Authorized*   Disabled 3600       n/a
    g21      Force Authorized   Authorized*   Disabled 3600       n/a
    g22      Force Authorized   Authorized*   Disabled 3600       n/a
    g23      Force Authorized   Authorized*   Disabled 3600       n/a
    g24      Force Authorized   Authorized    Disabled 3600       n/a

    * Port is down or not present

    USR-SW1# sh dot ethn g5
    % Wrong number of parameters or invalid range, size or characters entered
    USR-SW1# sh dot eth g5

    802.1x is enabled

             Admin              Oper          Reauth   Reauth     Username
    Port     Mode               Mode          Control  Period
    -------- ------------------ ------------- -------- ---------- -----------------
    g5       Auto               Authorized    Enabled  3600       nexeya\druartx

    Quiet period:            60 Seconds
    Tx period:               30 Seconds
    Max req:                 2
    Supplicant timeout:      30 Seconds
    Server timeout:          30 Seconds
    Session Time (HH:MM:SS): 00:00:11
    MAC Address:             d0:67:e5:eb:d5:ff
    Authentication Method:   None
    Termination Cause:       Not terminated yet

    Authenticator State Machine
    State:                   AUTHENTICATED

    Backend State Machine
    State:                   IDLE
    Authentication success:  20
    Authentication fails:    6
    USR-SW1#

  • Bonjour,

    je ne suis pas spécialiste mais mon collègue viens de m'indiquer que l'authentification avait bien fonctionné sur le port 5. Je vous invite à vérifier la configuration de vos serveurs

             Admin              Oper          Reauth   Reauth     Username
    Port     Mode               Mode          Control  Period
    -------- ------------------ ------------- -------- ---------- -----------------
    g1       Force Authorized   Authorized*   Disabled 3600       n/a
    g2       Force Authorized   Authorized*   Disabled 3600       n/a
    g3       Force Authorized   Authorized*   Disabled 3600       n/a
    g4       Force Authorized   Authorized*   Disabled 3600       n/a
    g5       Auto   Authorized                        Enabled  3600       nexeya\druartx

    Cordialement,
    Stéphane

  • le switch perd l'authentification après 2 minutes, le port de mon PC indique "Echec de l'authentification" et dans mon NPS j'ai "Un message RADIUS a été reçu de l'adresse IP 192.168.xxx.xxx du client RADIUS non valide".

    Donc pour mois l'authentification n'est pas bonne

  • Bonjour,

    si le switch autorise le port lors de la connexion du client, la configuration "de base" doit être correcte.

    De manière générale, un changement de status du port physique, l'expiration d'un timer ou une demande du client vont relancer le processus d'authentification Radius.

    Les timers du switch ne semblent pas correspondre aux 2mn que vous relevez. Il faudrait donc vérifier les autres élémens impliqués dans l'authentification : client + serveur.

    Cordialement,

    Joel G.

  • Ma configuration serveur fonctionne très bien avec des switch HP.

    Normalement, les ports ou sont connecté les PC doivent être authenticator et le port allant sur le serveur Radius en supplicant

  • Bonjour,

    Mon collègue Joël à vérifié grâce à vos logs que le problème ne viens à priori pas de votre switch PowerConnect.

    Ce problème est lié à de la configuration. Si vous le souhaitez je peux faire suivre votre demande au support, sans garantie qu'il puisse résoudre votre problème (la configuration est normalement payante).

    Je vous invite dans ce cas à m'envoyer en privé vos coordonnées (nom, prénom, mail et téléphone) afin de pouvoir être recontacté.

    Cordialement,
    Stéphane

  • bonjour,

    J'ai résolu mon problème.

    Maintenant, mon server NPS me remonte bien les connexions autorisée par l'AD.

  • est-il possible de faire une authentification 802.1x sur un port, et sur ce même port un service-acl input ?

    Je veux dire authentifier une machine sur le NPS et en même temps une simple machine hors NPS comme une imprimante par exemple ?

    Cordialement

  • Bonjour,

    Vous pouvez effectivement avoir (selon le modèle) de l’authentification Radius (8021.X) différente sur un même port. C’est notamment le cas avec des PC connecté derrière un IP Phone.

    Cordialement,
    Stéphane

  • Nous avons certain cas où une machine, une imprimante, un téléphone n'étant pas dans le domaine doivent être authentifier par leur mac adresse.

    J'ai besoin de pouvoir faire une authentification 802.1x et mac adresse sur tout les ports.

    J'ai fais le test et cela ne fonctionne pas.

    Y-a-t 'il une config spécifique pour cette situation ?

    Cordialement

    Xavier

  • Bonjour,

    je vous invite à consulter les documentations ci-dessous :

    Protocole802.1X https://fr.wikipedia.org/wiki/IEEE_802.1X
    Radius http://downloads.dell.com/manuals/common/networking_nxxug_en-us.pdf
    Network CLI (page 855) http://downloads.dell.com/manuals/common/networking_nxxcli_en-us.pdf

    Cordialement,
    Stéphane

  • pourquoi des docs sur des version N alors que j'utilise des powerconnect ?

    Je dois pouvoir faire en sorte qu'un PC dans un Domain ou hors Domain soit authentifier.

    Pour cela, le PC dans le Domain sera authentifié en 802.1x et le PC hors Domain par la Mac-address; quel que soit le port du switch utilisé.

    Est-ce possible ou pas ?

  • d'après mon test, à partir du moment ou je configure le port de mon switch en "dot1x port-control auto", je ne peux plus faire d'autorisation de mac-address local. Dans ma situation, certains collaborateurs connectent leurs machines sur un switch supplémentaire (par manque de prises murales) et donc, si le port du dell est configuré en "dot1x port-control auto", seul les machines enregistrées dans l'AD pourront être authentifiées. Les autres ( imprimantes, téléphones, oscilloscope,...) ne pourront pas se connecter malgré la configuration d'une ACL + l'application du service ACL Input dans l'interface.

    Y a-t-il une possibilité de pouvoir faire une authentification dot1x + autorisation d'une mac-address local sur un même port ?

  • Bonjour,

    il vous faut utiliser une authentification Dot1x et Mac-Based.

    Ceci devrait etre possible avec la commande :

    dot1x mac-authentication mac-and-802.1x

    (Enables authentication based on the station’s MAC address.)

    Pour plus de détails, je vous recommande de vérifier dans le User Guide du produit.

    Ex. pour le PC5548P : http://www.dell.com/support/home/us/en/04/product-support/product/powerconnect-5548p/manuals

      

    Joel G.