Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- omnivista-upam-zertifikate-authentifizierung-eap-tls [2021/10/11 10:37] – simon
+++ omnivista-upam-zertifikate-authentifizierung-eap-tls [2024/06/09 10:29] (aktuell) – Externe Bearbeitung 127.0.0.1
@@ Zeile 31: / Zeile 31: @@
 {{ :dot1x-upam-radius:6_ov2500_aaaserverprofile.png?direct&400 |}}
 === Access Role Profile (Unified Access > Unified Profile > Template) ===
+Hier werden die Profile angelegt, die die User zugewiesen bekommen. Die Access Role Profiles werden in den anderen Profilen (z.B. Access Auth Profile oder im UPAM-Modul bei der Authentication Strategy) hinterlegt.
+<WRAP center round tip 60%>
+Die Access Role Profile müssen mit "Apply to Devices" den Switchen/APs zugewiesen werden. Dabei ist darauf zu achten, dass das VLAN angegeben werden muss, in dem das Profile mappen soll.
+</WRAP>
+=== Access Auth Profile (Unified Access > Unified Profile > Template) ===
+In diesem Profil wird angegeben wie ein Port authentifiziert werden soll und über welchen Authentication Server die Authentifizierung laufen soll. Des Weiteren hinterlegen wir hier ein „Default Access Role Profile“, welches die Geräte zugewiesen bekommen, bei denen einen Authentifizierung fehlschlägt. In unserem Fall aktivieren wir 802.1x und wählen als „AAA Server Profile“ das oben erstellt AAA Server Profile „UPAM“ aus. Unter dem Punkt „No Auth/Failure/Alternate“ tragen wir als „Default Access Role Profile“ Dummy_VLAN10 ein.
+{{ :dot1x-upam-radius:ov2500_accessauthprofile.png?direct&400 |}}
+=== Authentication Strategy (UPAM > Authentication) ===
+In der Authenticatino Strategy gebe ich an, mit welcher Datenbank der Client abgeglichen werden soll. in unserem Fall wollen wir mit dem UPAM abgleichen, weil dort das Zertifikat liegt. (Local Database)
+Ebenfalls geben wir hier das "Default Access Role Profile" an, wo der Client landen soll, wenn er erfolgreich authentifiziert ist.
+{{ :dot1x-upam-radius:upam_authenticationstrategy.png?direct&400 |}}
+=== Access Policy (UPAM > Authentication) ===
+In der Access Policy werden die Clients gefiltert. Dort gibt es verschiedene Möglichkeiten. Zum Beispiel kann ich nach einen Authentication Typ (802.1x oder MAC) und/oder nach dem Network Type (Wireless oder Wired) filtern. Anschließend muss noch angegeben werden, welche Authentication Strategy für die Clients mit dem entsprechenden Filter verwendet werden soll.
+{{ :dot1x-upam-radius:upam_accesspolicy.png?direct&400 |}}
+==== Switchkonfiguration ====
+Hier ein Beispiel, wie eine Switchkonfiguration aussehen kann.
+<code>
+! DA-UNP:
+unp profile "19_Home"
+unp profile "10_Dummy"
+unp profile "19_Home" map vlan 19
+unp profile "10_Dummy" map vlan 10
+unp port-template 802.1x_UPAM direction both aaa-profile "UPAM" default-profile "10_Dummy" ap-mode admin-state enable
+unp port-template 802.1x_UPAM 802.1x-authentication
+unp port 1/1/1 port-type bridge
+unp port 1/1/1 port-template 802.1x_UPAM
+! AAA:
+aaa radius-server "UPAMRadiusServer" host 192.168.26.10 hash-key "XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX" hash-salt "XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX" retransmit 2 timeout 5 auth-port 1812 acct-port 1813 vrf-name default
+aaa profile "UPAM"
+aaa profile "UPAM" device-authentication mac "UPAMRadiusServer"
+aaa profile "UPAM" accounting mac "UPAMRadiusServer"
+aaa profile "UPAM" device-authentication 802.1x "UPAMRadiusServer"
+aaa profile "UPAM" accounting 802.1x "UPAMRadiusServer"
+aaa profile "UPAM" device-authentication captive-portal "UPAMRadiusServer"
+aaa profile "UPAM" accounting captive-portal "UPAMRadiusServer"
+</code>
+==== Überprüfung der Clients====
+Um zu gucken, ob die Clients richtig authentifiziert sind, kann der Authentication Record benutzt werden.
+{{ :dot1x-upam-radius:upam_authenticationrecord.png?direct&400 |}}
+Eine weitere Variante ist die Kontrolle auf dem Switch.
+<code>
+OS6360-HOME --> show unp user details
+Port: 1/1/1
+    MAC-Address: 00:80:9f:a0:38:6a
+      SAP                             = -,
+      Service ID                      = -,
+      VNID                            = -,
+      VPNID                           = -,
+      ISID                            = -,
+      Access Timestamp                = 10/12/2021 16:34:48,
+      User Name                       = ALCIPT,
+      IP-Address                      = -,
+      Vlan                            = 19,
+      Authentication Type             = 802.1x,
+      Authentication Status           = Authenticated,
+      Authentication Failure Reason   = -,
+      Authentication Retry Count      = 0,
+      Authentication Server IP Used   = 192.168.26.10,
+      Authentication Server Used      = UPAMRadiusServer,
+      Server Reply-Message            = -,
+      Profile                         = 19_Home,
+      Profile Source                  = Auth - Pass - Server UNP,
+      Profile From Auth Server        = 19_Home,
+      Session Timeout                 = 0,
+      Classification Profile Rule     = -,
+      Role                            = -,
+      Role Source                     = -,
+      User Role Rule                  = -,
+      Restricted Access               = No,
+      Location Policy Status          = -,
+      Time Policy Status              = -,
+      QMR Status                      = Passed,
+      Redirect Url                    = -,
+      SIP Call Type                   = Not in a call,
+      SIP Media Type                  = None,
+      Applications                    = None,
+      Encap Value                     = -,
+      Rule ID                         = 1,
+Total users : 1
+</code>
+==== Beispiel für eine Fail-Authentication====
+{{ :dot1x-upam-radius:upam_authenticationrecord_fail.png?direct&400 |}}
+<code>
+OS6360-HOME --> show unp user details
+Port: 1/1/1
+    MAC-Address: 00:80:9f:a0:38:6a
+      SAP                             = -,
+      Service ID                      = -,
+      VNID                            = -,
+      VPNID                           = -,
+      ISID                            = -,
+      Access Timestamp                = 10/12/2021 16:48:18,
+      User Name                       = ALCIPT,
+      IP-Address                      = 192.168.10.10,
+      Vlan                            = 10,
+      Authentication Type             = 802.1x,
+      Authentication Status           = Failed,
+      Authentication Failure Reason   = Reason - Fail - Authentication,
+      Authentication Retry Count      = 0,
+      Authentication Server IP Used   = 192.168.26.10,
+      Authentication Server Used      = UPAMRadiusServer,
+      Server Reply-Message            = Invalid Username or Password,
+      Profile                         = 10_Dummy,
+      Profile Source                  = Auth Fail - Default UNP,
+      Profile From Auth Server        = -,
+      Session Timeout                 = -,
+      Classification Profile Rule     = -,
+      Role                            = -,
+      Role Source                     = -,
+      User Role Rule                  = -,
+      Restricted Access               = No,
+      Location Policy Status          = -,
+      Time Policy Status              = -,
+      QMR Status                      = Passed,
+      Redirect Url                    = -,
+      SIP Call Type                   = Not in a call,
+      SIP Media Type                  = None,
+      Applications                    = None,
+      Encap Value                     = -,
+      Rule ID                         = 1,
+Total users : 1
+</code>