URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 16359
[ Назад ]

Исходное сообщение
"Аутентификация 802.1x"

Отправлено Keeper , 25-Май-08 23:20 
Схема: ПК Windows подключен к порту 11 Cisco Catalyst 2950, на котором настроена аутентификация 802.1x. Порт 12 Cisco Catalyst 2950 подключен к серверу Radius. Конфигурация Каталиста:

hostname Switch
!
aaa new-model
aaa authentication dot1x default group radius
!
dot1x system-auth-control
!
interface FastEthernet0/11
switchport mode access
dot1x port-control auto
spanning-tree portfast
!
interface FastEthernet0/12
spanning-tree portfast
!
interface Vlan1
ip address 192.168.1.15 255.255.255.0
!
radius-server host 192.168.1.2 auth-port 1645 acct-port 1646 key cisco
!
end

В сетевых подключениях ПК выбираю нужное подключение, в его свойствах выбираю вкладку "Проверка подлинности", устанавливаю флажок "Включить проверку подлинности IEEE 802.1x для этой сети" и в качестве типа EAP выбираю MD—задача. В ответ на предложение Windows в правом нижнем углу экрана "Щелкните здесь, чтобы ввести пароль для данного подключения к сети" ввожу в открывшемся окне имя пользователя и пароль. В результате в анализаторе пакетов на ПК вижу следующее:
EAP Request от Каталиста
EAP Response от ПК, в котором передается только введенное имя пользователя, а пароль почему-то не передается.

Далее привожу выходные данные команды debug radius Каталиста, из которых видно, что имя пользователя Каталист передает на сервер Radius, а пароль – нет, т.к. не получил его от ПК. Из-за отсутствия пароля сервер Radius посылает сообщение Access-Reject.

04:22:36: RADIUS: ustruct sharecount=1
04:22:36: RADIUS: EAP-login: length of radius packet = 123 code = 1
04:22:36: RADIUS: Initial Transmit FastEthernet0/11 id 9 192.168.1.2:1645, Access-Request, len 123
04:22:36:         Attribute 4 6 C0A8010F (NAS-IP-Address)
04:22:36:         Attribute 5 6 0000C35B (NAS-Port)
04:22:36:         Attribute 61 6 0000000F (NAS-Port-Type)
04:22:36:         Attribute 1 6 6A6F686E (User-Name)
04:22:36:         Attribute 30 19 30302D31 (Called-Station-Id)
04:22:36:         Attribute 31 19 30302D35 (Calling-Station-Id)
04:22:36:         Attribute 6 6 00000002 (Service-Type)
04:22:36:         Attribute 12 6 000005DC (Framed-MTU)
04:22:36:         Attribute 79 11 02000009 (EAP-Message)
04:22:36:         Attribute 80 18 A8CDA7BA (Message-Authenticator)
04:22:36: RADIUS: Received from id 9 192.168.1.2:1645, Access-Reject, len 20
04:22:36: RADIUS: EAP-login: length of eap packet = 0
04:22:36: RADIUS: EAP-login: got reject from radius

Почему винда не передает пароль?


Содержание

Сообщения в этом обсуждении
"Аутентификация 802.1x"
Отправлено chocholl , 26-Май-08 11:26 
а сделай ка
debug radius verbose

тогда полный трейс общения будет.


и еще недурствпенно посмотреть логи радиуса, может там вообще запрещен такой тип аутентификации.


"Аутентификация 802.1x"
Отправлено Romych , 26-Май-08 19:08 
>а сделай ка
>debug radius verbose
>
>тогда полный трейс общения будет.
>
>
>и еще недурствпенно посмотреть логи радиуса, может там вообще запрещен такой тип
>аутентификации.

проверил у себя с этим конфигом - не работает. Поменял на EAP все заработало.


"Аутентификация 802.1x"
Отправлено Keeper , 26-Май-08 21:54 
>[оверквотинг удален]
>>debug radius verbose
>>
>>тогда полный трейс общения будет.
>>
>>
>>и еще недурствпенно посмотреть логи радиуса, может там вообще запрещен такой тип
>>аутентификации.
>
>проверил у себя с этим конфигом - не работает. Поменял на EAP
>все заработало.

А на что именно поменял? В винде на "Защищенные EAP (PEAP)"? Если да, то в свойствах что-нибудь менял?


"Аутентификация 802.1x"
Отправлено Romych , 26-Май-08 23:34 
>[оверквотинг удален]
>>>
>>>
>>>и еще недурствпенно посмотреть логи радиуса, может там вообще запрещен такой тип
>>>аутентификации.
>>
>>проверил у себя с этим конфигом - не работает. Поменял на EAP
>>все заработало.
>
>А на что именно поменял? В винде на "Защищенные EAP (PEAP)"? Если
>да, то в свойствах что-нибудь менял?

Защищенные EAP (PEAP)стоит галочка "проверять сертификат сервера"
метод проверки eap-mschap v2 и имя и пароль windows. Соответсвенно в IAS надо MD5 поменять на EAP


"Аутентификация 802.1x"
Отправлено Keeper , 27-Май-08 00:08 
>[оверквотинг удален]
>>>
>>>проверил у себя с этим конфигом - не работает. Поменял на EAP
>>>все заработало.
>>
>>А на что именно поменял? В винде на "Защищенные EAP (PEAP)"? Если
>>да, то в свойствах что-нибудь менял?
>
>Защищенные EAP (PEAP)стоит галочка "проверять сертификат сервера"
>метод проверки eap-mschap v2 и имя и пароль windows. Соответсвенно в IAS
>надо MD5 поменять на EAP

OK, спасибо, буду пробовать. Если что, еще раз обращусь.


"Аутентификация 802.1x"
Отправлено Romych , 27-Май-08 08:19 
>[оверквотинг удален]
>>>>все заработало.
>>>
>>>А на что именно поменял? В винде на "Защищенные EAP (PEAP)"? Если
>>>да, то в свойствах что-нибудь менял?
>>
>>Защищенные EAP (PEAP)стоит галочка "проверять сертификат сервера"
>>метод проверки eap-mschap v2 и имя и пароль windows. Соответсвенно в IAS
>>надо MD5 поменять на EAP
>
>OK, спасибо, буду пробовать. Если что, еще раз обращусь.

http://www.itdojo.com/synner/pdf/synner2.pdf