DokuWiki

Benutzer-Werkzeuge

Webseiten-Werkzeuge

Zuletzt angesehen:
omnivista-upam-zertifikate-authentifizierung-eap-tls

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen RevisionVorhergehende Überarbeitung
Nächste Überarbeitung		Vorhergehende Überarbeitung
omnivista-upam-zertifikate-authentifizierung-eap-tls [2021/10/11 11:11] simonomnivista-upam-zertifikate-authentifizierung-eap-tls [2024/06/09 10:29] (aktuell) – Externe Bearbeitung 127.0.0.1
Zeile 36: Zeile 36:
  
 <WRAP center round tip 60%> <WRAP center round tip 60%>
-Die Access Role Profile müssen mit "Apply to Devices" den Switchen/APs zugewiesen werden. Dabei ist darauf zu achten, dass das VLAN angegeben werden muss, in dem das Profile gemapt werden soll.+Die Access Role Profile müssen mit "Apply to Devices" den Switchen/APs zugewiesen werden. Dabei ist darauf zu achten, dass das VLAN angegeben werden muss, in dem das Profile mappen soll.
 </WRAP> </WRAP>
  
Zeile 43: Zeile 43:
  
 {{ :dot1x-upam-radius:ov2500_accessauthprofile.png?direct&400 |}} {{ :dot1x-upam-radius:ov2500_accessauthprofile.png?direct&400 |}}
 +
 +
 +=== Authentication Strategy (UPAM > Authentication) ===
 +In der Authenticatino Strategy gebe ich an, mit welcher Datenbank der Client abgeglichen werden soll. in unserem Fall wollen wir mit dem UPAM abgleichen, weil dort das Zertifikat liegt. (Local Database)
 +Ebenfalls geben wir hier das "Default Access Role Profile" an, wo der Client landen soll, wenn er erfolgreich authentifiziert ist.
 +
 +{{ :dot1x-upam-radius:upam_authenticationstrategy.png?direct&400 |}}
 +
 +
 +=== Access Policy (UPAM > Authentication) ===
 +In der Access Policy werden die Clients gefiltert. Dort gibt es verschiedene Möglichkeiten. Zum Beispiel kann ich nach einen Authentication Typ (802.1x oder MAC) und/oder nach dem Network Type (Wireless oder Wired) filtern. Anschließend muss noch angegeben werden, welche Authentication Strategy für die Clients mit dem entsprechenden Filter verwendet werden soll.
 +
 +
 +{{ :dot1x-upam-radius:upam_accesspolicy.png?direct&400 |}}
 +
 +
 +==== Switchkonfiguration ====
 +Hier ein Beispiel, wie eine Switchkonfiguration aussehen kann.
 +<code>
 +! DA-UNP:
 +unp profile "19_Home"
 +unp profile "10_Dummy"
 +unp profile "19_Home" map vlan 19
 +unp profile "10_Dummy" map vlan 10
 +unp port-template 802.1x_UPAM direction both aaa-profile "UPAM" default-profile "10_Dummy" ap-mode admin-state enable
 +unp port-template 802.1x_UPAM 802.1x-authentication
 +unp port 1/1/1 port-type bridge
 +unp port 1/1/1 port-template 802.1x_UPAM
 +
 +! AAA:
 +aaa radius-server "UPAMRadiusServer" host 192.168.26.10 hash-key "XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX" hash-salt "XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX" retransmit 2 timeout 5 auth-port 1812 acct-port 1813 vrf-name default
 +aaa profile "UPAM"
 +aaa profile "UPAM" device-authentication mac "UPAMRadiusServer"
 +aaa profile "UPAM" accounting mac "UPAMRadiusServer"
 +aaa profile "UPAM" device-authentication 802.1x "UPAMRadiusServer"
 +aaa profile "UPAM" accounting 802.1x "UPAMRadiusServer"
 +aaa profile "UPAM" device-authentication captive-portal "UPAMRadiusServer"
 +aaa profile "UPAM" accounting captive-portal "UPAMRadiusServer"
 +</code>
 +
 +
 +==== Überprüfung der Clients====
 +Um zu gucken, ob die Clients richtig authentifiziert sind, kann der Authentication Record benutzt werden.
 +
 +{{ :dot1x-upam-radius:upam_authenticationrecord.png?direct&400 |}}
 +
 +Eine weitere Variante ist die Kontrolle auf dem Switch.
 +
 +<code>
 +OS6360-HOME --> show unp user details
 +Port: 1/1/1
 +    MAC-Address: 00:80:9f:a0:38:6a
 +      SAP                             = -,
 +      Service ID                      = -,
 +      VNID                            = -,
 +      VPNID                           = -,
 +      ISID                            = -,
 +      Access Timestamp                = 10/12/2021 16:34:48,
 +      User Name                       = ALCIPT,
 +      IP-Address                      = -,
 +      Vlan                            = 19,
 +      Authentication Type             = 802.1x,
 +      Authentication Status           = Authenticated,
 +      Authentication Failure Reason   = -,
 +      Authentication Retry Count      = 0,
 +      Authentication Server IP Used   = 192.168.26.10,
 +      Authentication Server Used      = UPAMRadiusServer,
 +      Server Reply-Message            = -,
 +      Profile                         = 19_Home,
 +      Profile Source                  = Auth - Pass - Server UNP,
 +      Profile From Auth Server        = 19_Home,
 +      Session Timeout                 = 0,
 +      Classification Profile Rule     = -,
 +      Role                            = -,
 +      Role Source                     = -,
 +      User Role Rule                  = -,
 +      Restricted Access               = No,
 +      Location Policy Status          = -,
 +      Time Policy Status              = -,
 +      QMR Status                      = Passed,
 +      Redirect Url                    = -,
 +      SIP Call Type                   = Not in a call,
 +      SIP Media Type                  = None,
 +      Applications                    = None,
 +      Encap Value                     = -,
 +      Rule ID                         = 1,
 +
 +Total users : 1
 +</code>
 +
 +
 +==== Beispiel für eine Fail-Authentication====
 +
 +{{ :dot1x-upam-radius:upam_authenticationrecord_fail.png?direct&400 |}}
 +
 +<code>
 +OS6360-HOME --> show unp user details
 +Port: 1/1/1
 +    MAC-Address: 00:80:9f:a0:38:6a
 +      SAP                             = -,
 +      Service ID                      = -,
 +      VNID                            = -,
 +      VPNID                           = -,
 +      ISID                            = -,
 +      Access Timestamp                = 10/12/2021 16:48:18,
 +      User Name                       = ALCIPT,
 +      IP-Address                      = 192.168.10.10,
 +      Vlan                            = 10,
 +      Authentication Type             = 802.1x,
 +      Authentication Status           = Failed,
 +      Authentication Failure Reason   = Reason - Fail - Authentication,
 +      Authentication Retry Count      = 0,
 +      Authentication Server IP Used   = 192.168.26.10,
 +      Authentication Server Used      = UPAMRadiusServer,
 +      Server Reply-Message            = Invalid Username or Password,
 +      Profile                         = 10_Dummy,
 +      Profile Source                  = Auth Fail - Default UNP,
 +      Profile From Auth Server        = -,
 +      Session Timeout                 = -,
 +      Classification Profile Rule     = -,
 +      Role                            = -,
 +      Role Source                     = -,
 +      User Role Rule                  = -,
 +      Restricted Access               = No,
 +      Location Policy Status          = -,
 +      Time Policy Status              = -,
 +      QMR Status                      = Passed,
 +      Redirect Url                    = -,
 +      SIP Call Type                   = Not in a call,
 +      SIP Media Type                  = None,
 +      Applications                    = None,
 +      Encap Value                     = -,
 +      Rule ID                         = 1,
 +
 +Total users : 1
 +</code>
  
omnivista-upam-zertifikate-authentifizierung-eap-tls.1633950695.txt.gz · Zuletzt geändert: 2024/06/09 10:29 (Externe Bearbeitung)
Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki