форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение		[ Отслеживать ]

"Аутентификация 802.1x"

Сообщение от Keeper (??) on 25-Май-08, 23:20

Схема: ПК Windows подключен к порту 11 Cisco Catalyst 2950, на котором настроена аутентификация 802.1x. Порт 12 Cisco Catalyst 2950 подключен к серверу Radius. Конфигурация Каталиста: hostname Switch ! aaa new-model aaa authentication dot1x default group radius ! dot1x system-auth-control ! interface FastEthernet0/11 switchport mode access dot1x port-control auto spanning-tree portfast ! interface FastEthernet0/12 spanning-tree portfast ! interface Vlan1 ip address 192.168.1.15 255.255.255.0 ! radius-server host 192.168.1.2 auth-port 1645 acct-port 1646 key cisco ! end В сетевых подключениях ПК выбираю нужное подключение, в его свойствах выбираю вкладку "Проверка подлинности", устанавливаю флажок "Включить проверку подлинности IEEE 802.1x для этой сети" и в качестве типа EAP выбираю MD—задача. В ответ на предложение Windows в правом нижнем углу экрана "Щелкните здесь, чтобы ввести пароль для данного подключения к сети" ввожу в открывшемся окне имя пользователя и пароль. В результате в анализаторе пакетов на ПК вижу следующее: EAP Request от Каталиста EAP Response от ПК, в котором передается только введенное имя пользователя, а пароль почему-то не передается. Далее привожу выходные данные команды debug radius Каталиста, из которых видно, что имя пользователя Каталист передает на сервер Radius, а пароль – нет, т.к. не получил его от ПК. Из-за отсутствия пароля сервер Radius посылает сообщение Access-Reject. 04:22:36: RADIUS: ustruct sharecount=1 04:22:36: RADIUS: EAP-login: length of radius packet = 123 code = 1 04:22:36: RADIUS: Initial Transmit FastEthernet0/11 id 9 192.168.1.2:1645, Access-Request, len 123 04:22:36:         Attribute 4 6 C0A8010F (NAS-IP-Address) 04:22:36:         Attribute 5 6 0000C35B (NAS-Port) 04:22:36:         Attribute 61 6 0000000F (NAS-Port-Type) 04:22:36:         Attribute 1 6 6A6F686E (User-Name) 04:22:36:         Attribute 30 19 30302D31 (Called-Station-Id) 04:22:36:         Attribute 31 19 30302D35 (Calling-Station-Id) 04:22:36:         Attribute 6 6 00000002 (Service-Type) 04:22:36:         Attribute 12 6 000005DC (Framed-MTU) 04:22:36:         Attribute 79 11 02000009 (EAP-Message) 04:22:36:         Attribute 80 18 A8CDA7BA (Message-Authenticator) 04:22:36: RADIUS: Received from id 9 192.168.1.2:1645, Access-Reject, len 20 04:22:36: RADIUS: EAP-login: length of eap packet = 0 04:22:36: RADIUS: EAP-login: got reject from radius Почему винда не передает пароль?

Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Аутентификация 802.1x"

Сообщение от chocholl (??) on 26-Май-08, 11:26

а сделай ка debug radius verbose тогда полный трейс общения будет. и еще недурствпенно посмотреть логи радиуса, может там вообще запрещен такой тип аутентификации.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "Аутентификация 802.1x"
	Сообщение от Romych (ok) on 26-Май-08, 19:08
	>а сделай ка >debug radius verbose > >тогда полный трейс общения будет. > > >и еще недурствпенно посмотреть логи радиуса, может там вообще запрещен такой тип >аутентификации. проверил у себя с этим конфигом - не работает. Поменял на EAP все заработало.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "Аутентификация 802.1x"
	Сообщение от Keeper (??) on 26-Май-08, 21:54
	>[оверквотинг удален] >>debug radius verbose >> >>тогда полный трейс общения будет. >> >> >>и еще недурствпенно посмотреть логи радиуса, может там вообще запрещен такой тип >>аутентификации. > >проверил у себя с этим конфигом - не работает. Поменял на EAP >все заработало. А на что именно поменял? В винде на "Защищенные EAP (PEAP)"? Если да, то в свойствах что-нибудь менял?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "Аутентификация 802.1x"
	Сообщение от Romych (ok) on 26-Май-08, 23:34
	>[оверквотинг удален] >>> >>> >>>и еще недурствпенно посмотреть логи радиуса, может там вообще запрещен такой тип >>>аутентификации. >> >>проверил у себя с этим конфигом - не работает. Поменял на EAP >>все заработало. > >А на что именно поменял? В винде на "Защищенные EAP (PEAP)"? Если >да, то в свойствах что-нибудь менял? Защищенные EAP (PEAP)стоит галочка "проверять сертификат сервера" метод проверки eap-mschap v2 и имя и пароль windows. Соответсвенно в IAS надо MD5 поменять на EAP
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	5. "Аутентификация 802.1x"
	Сообщение от Keeper (??) on 27-Май-08, 00:08
	>[оверквотинг удален] >>> >>>проверил у себя с этим конфигом - не работает. Поменял на EAP >>>все заработало. >> >>А на что именно поменял? В винде на "Защищенные EAP (PEAP)"? Если >>да, то в свойствах что-нибудь менял? > >Защищенные EAP (PEAP)стоит галочка "проверять сертификат сервера" >метод проверки eap-mschap v2 и имя и пароль windows. Соответсвенно в IAS >надо MD5 поменять на EAP OK, спасибо, буду пробовать. Если что, еще раз обращусь.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	6. "Аутентификация 802.1x"
	Сообщение от Romych (ok) on 27-Май-08, 08:19
	>[оверквотинг удален] >>>>все заработало. >>> >>>А на что именно поменял? В винде на "Защищенные EAP (PEAP)"? Если >>>да, то в свойствах что-нибудь менял? >> >>Защищенные EAP (PEAP)стоит галочка "проверять сертификат сервера" >>метод проверки eap-mschap v2 и имя и пароль windows. Соответсвенно в IAS >>надо MD5 поменять на EAP > >OK, спасибо, буду пробовать. Если что, еще раз обращусь. http://www.itdojo.com/synner/pdf/synner2.pdf
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]