====== Authentifizierung (802.1x EAP-TLS) mithilfe des OmniVista 2500(OV2500)/ UPAM======
In diesem Artikel wird beschrieben, wie ein Zertifikat in das UPAM Modul geladen wird und wie ein Client mit dem Zertifikat authentifiziert wird. In diesem Beispiel wird als Client ein Alcatel IP Telefon benutzt.
Die Zertifikate sind selbst erstellt. Wie Zertifikate mit Hilfe eines Freeradius erstellt werden, entnehmen Sie bitte aus dem folgenden Artikel:
[[omnivista-upam-freeradius-dot1x-omniswitch-stellar-wlan-ip-phone-alcatel|Authentifizierung (802.1x EAP-TLS) eines IP-Telefons mithilfe des OmniVista 2500(OV2500)/ UPAM und freeradius]]
===== Aufbau =====
{{ :dot1x-upam-radius:aufbauv2.png?direct&600 |}}
===== Zertifikat in das UPAM-Modul importieren und aktivieren =====
Im UPAM-Modul (OmniVisa2500) können unter "UPAM -> Settings -> Radius Server Certificates" Zertifikate abgelegt werden.
{{ :8021xupam:upam-radiusservercertificates.png?direct&400 |}}
{{ :8021xupam:upam_importcertificate.png?direct&400 |}}
Nach dem Importieren muss das Zertifikat aktiviert werden!!!
{{ :8021xupam:upam_activatecertificate.png?direct&400 |}}
===== Profile im OmniVista erstellen und auf die Switche ausrollen (UNP-Profiles)=====
Um mehrere Ports auf einmal umzustellen, ist es am einfachsten Profile im OV2500/ UPAM anzulegen. Dies erleichtert die Umstellung auf 802.1x.
=== AAA Server Profil (Unified Access > Unified Profile > Template) ===
Zuerst wird ein "AAA Server Profil", in dem das UPAM-Modul als AAA-Server hinterlegt ist, angelegt. Die „AAA Server Profile“ findet man unter „Unified Access → Unified Profile → Template → AAA Server Profile“.
{{ :dot1x-upam-radius:6_ov2500_aaaserverprofile.png?direct&400 |}}
=== Access Role Profile (Unified Access > Unified Profile > Template) ===
Hier werden die Profile angelegt, die die User zugewiesen bekommen. Die Access Role Profiles werden in den anderen Profilen (z.B. Access Auth Profile oder im UPAM-Modul bei der Authentication Strategy) hinterlegt.
Die Access Role Profile müssen mit "Apply to Devices" den Switchen/APs zugewiesen werden. Dabei ist darauf zu achten, dass das VLAN angegeben werden muss, in dem das Profile mappen soll.
=== Access Auth Profile (Unified Access > Unified Profile > Template) ===
In diesem Profil wird angegeben wie ein Port authentifiziert werden soll und über welchen Authentication Server die Authentifizierung laufen soll. Des Weiteren hinterlegen wir hier ein „Default Access Role Profile“, welches die Geräte zugewiesen bekommen, bei denen einen Authentifizierung fehlschlägt. In unserem Fall aktivieren wir 802.1x und wählen als „AAA Server Profile“ das oben erstellt AAA Server Profile „UPAM“ aus. Unter dem Punkt „No Auth/Failure/Alternate“ tragen wir als „Default Access Role Profile“ Dummy_VLAN10 ein.
{{ :dot1x-upam-radius:ov2500_accessauthprofile.png?direct&400 |}}
=== Authentication Strategy (UPAM > Authentication) ===
In der Authenticatino Strategy gebe ich an, mit welcher Datenbank der Client abgeglichen werden soll. in unserem Fall wollen wir mit dem UPAM abgleichen, weil dort das Zertifikat liegt. (Local Database)
Ebenfalls geben wir hier das "Default Access Role Profile" an, wo der Client landen soll, wenn er erfolgreich authentifiziert ist.
{{ :dot1x-upam-radius:upam_authenticationstrategy.png?direct&400 |}}
=== Access Policy (UPAM > Authentication) ===
In der Access Policy werden die Clients gefiltert. Dort gibt es verschiedene Möglichkeiten. Zum Beispiel kann ich nach einen Authentication Typ (802.1x oder MAC) und/oder nach dem Network Type (Wireless oder Wired) filtern. Anschließend muss noch angegeben werden, welche Authentication Strategy für die Clients mit dem entsprechenden Filter verwendet werden soll.
{{ :dot1x-upam-radius:upam_accesspolicy.png?direct&400 |}}
==== Switchkonfiguration ====
Hier ein Beispiel, wie eine Switchkonfiguration aussehen kann.
! DA-UNP:
unp profile "19_Home"
unp profile "10_Dummy"
unp profile "19_Home" map vlan 19
unp profile "10_Dummy" map vlan 10
unp port-template 802.1x_UPAM direction both aaa-profile "UPAM" default-profile "10_Dummy" ap-mode admin-state enable
unp port-template 802.1x_UPAM 802.1x-authentication
unp port 1/1/1 port-type bridge
unp port 1/1/1 port-template 802.1x_UPAM
! AAA:
aaa radius-server "UPAMRadiusServer" host 192.168.26.10 hash-key "XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX" hash-salt "XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX" retransmit 2 timeout 5 auth-port 1812 acct-port 1813 vrf-name default
aaa profile "UPAM"
aaa profile "UPAM" device-authentication mac "UPAMRadiusServer"
aaa profile "UPAM" accounting mac "UPAMRadiusServer"
aaa profile "UPAM" device-authentication 802.1x "UPAMRadiusServer"
aaa profile "UPAM" accounting 802.1x "UPAMRadiusServer"
aaa profile "UPAM" device-authentication captive-portal "UPAMRadiusServer"
aaa profile "UPAM" accounting captive-portal "UPAMRadiusServer"
==== Überprüfung der Clients====
Um zu gucken, ob die Clients richtig authentifiziert sind, kann der Authentication Record benutzt werden.
{{ :dot1x-upam-radius:upam_authenticationrecord.png?direct&400 |}}
Eine weitere Variante ist die Kontrolle auf dem Switch.
OS6360-HOME --> show unp user details
Port: 1/1/1
MAC-Address: 00:80:9f:a0:38:6a
SAP = -,
Service ID = -,
VNID = -,
VPNID = -,
ISID = -,
Access Timestamp = 10/12/2021 16:34:48,
User Name = ALCIPT,
IP-Address = -,
Vlan = 19,
Authentication Type = 802.1x,
Authentication Status = Authenticated,
Authentication Failure Reason = -,
Authentication Retry Count = 0,
Authentication Server IP Used = 192.168.26.10,
Authentication Server Used = UPAMRadiusServer,
Server Reply-Message = -,
Profile = 19_Home,
Profile Source = Auth - Pass - Server UNP,
Profile From Auth Server = 19_Home,
Session Timeout = 0,
Classification Profile Rule = -,
Role = -,
Role Source = -,
User Role Rule = -,
Restricted Access = No,
Location Policy Status = -,
Time Policy Status = -,
QMR Status = Passed,
Redirect Url = -,
SIP Call Type = Not in a call,
SIP Media Type = None,
Applications = None,
Encap Value = -,
Rule ID = 1,
Total users : 1
==== Beispiel für eine Fail-Authentication====
{{ :dot1x-upam-radius:upam_authenticationrecord_fail.png?direct&400 |}}
OS6360-HOME --> show unp user details
Port: 1/1/1
MAC-Address: 00:80:9f:a0:38:6a
SAP = -,
Service ID = -,
VNID = -,
VPNID = -,
ISID = -,
Access Timestamp = 10/12/2021 16:48:18,
User Name = ALCIPT,
IP-Address = 192.168.10.10,
Vlan = 10,
Authentication Type = 802.1x,
Authentication Status = Failed,
Authentication Failure Reason = Reason - Fail - Authentication,
Authentication Retry Count = 0,
Authentication Server IP Used = 192.168.26.10,
Authentication Server Used = UPAMRadiusServer,
Server Reply-Message = Invalid Username or Password,
Profile = 10_Dummy,
Profile Source = Auth Fail - Default UNP,
Profile From Auth Server = -,
Session Timeout = -,
Classification Profile Rule = -,
Role = -,
Role Source = -,
User Role Rule = -,
Restricted Access = No,
Location Policy Status = -,
Time Policy Status = -,
QMR Status = Passed,
Redirect Url = -,
SIP Call Type = Not in a call,
SIP Media Type = None,
Applications = None,
Encap Value = -,
Rule ID = 1,
Total users : 1