salve,
dovrei realizzare una rete con gli switch configurati con le porte fastethernet in dot1x ed authenticare ed autorizzare il tutto tramite un acs cisco secure server ver4.2 che controlla le credenziali utente su di un extrnal database, in questo caso windows database (active directory).
quello che ho realizzato fino ad ora è la configurazione dello switch, che trovate sotto, la configurazione dell'ACS che, controllando le credenziali utente su database esterno, abilita o meno la porta dove viene fatta richiesta di accesso. fin qui tutto ok; il problema nasce quando devo implementare la guest vlan.
spiego meglio:
l'autenticazione per gli utenti "trustati" deve essere anche un autenticazione di "macchina" quindi serve il certificato da richiedere tramite acs ad una CA(certification authority) ed esportare poi il certificato con chiave pubblica agli utenti trustati. il client verrà poi configurato per usare oltre l'autenticazione mschapv2 anche laverifica del certificato installato.
se invece si presenta un utente guest, senza certificato, deve essere messo in guest vlan e qui non riesco più ad andare avanti.
nel menù dell'external database c'è la funzione eap-tls per abilitare restrizioni di macchina ma facendo in quella maniera non controlla il certificato in nessuna modo. inoltre nonriesco ad abilòitare la CRL (certified revocation list). l'rl del distribution point non viene raggiunta dall'acs, ma se immetto l'url nel browser dello stesso pc dove è caricato acs software, lo raggiunge.
avete suggerimenti da darmi per risolvere il problema certificati e guest vlan?
grazie,
saluti
configurazione switch:
Building configuration...
Current configuration : 2175 bytes
!
version 12.1
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname LAB
!
aaa new-model
aaa authentication dot1x default group radius
aaa authorization network default group radius
enable password cisco
!
username luca password 0 cisco
ip subnet-zero
!
vtp domain INTERCOM
vtp mode transparent
!
spanning-tree mode pvst
no spanning-tree optimize bpdu transmission
spanning-tree extend system-id
dot1x system-auth-control
!
!
!
!
vlan 2
name LAB
!
vlan 10
name guestvlan
!
interface FastEthernet0/1
switchport mode access
dot1x port-control auto
spanning-tree portfast
!
interface FastEthernet0/2
switchport mode access
dot1x port-control auto
spanning-tree portfast
!
interface FastEthernet0/3
switchport mode access
dot1x port-control auto
spanning-tree portfast
!
interface FastEthernet0/4
switchport mode access
dot1x port-control auto
spanning-tree portfast
!
interface FastEthernet0/5
switchport mode access
dot1x port-control auto
spanning-tree portfast
!
interface FastEthernet0/6
switchport mode access
dot1x port-control auto
spanning-tree portfast
!
interface FastEthernet0/7
switchport mode access
dot1x port-control auto
spanning-tree portfast
!
interface FastEthernet0/8
switchport mode access
dot1x port-control auto
spanning-tree portfast
!
interface FastEthernet0/9
!
interface FastEthernet0/10
!
interface FastEthernet0/11
!
interface FastEthernet0/12
!
interface FastEthernet0/13
!
interface FastEthernet0/14
!
interface FastEthernet0/15
!
interface FastEthernet0/16
!
interface FastEthernet0/17
!
interface FastEthernet0/18
!
interface FastEthernet0/19
!
interface FastEthernet0/20
!
interface FastEthernet0/21
spanning-tree portfast
!
interface FastEthernet0/22
!
interface FastEthernet0/23
!
interface FastEthernet0/24
!
interface FastEthernet0/25
!
interface FastEthernet0/26
!
interface Vlan1
ip address 192.168.0.65 255.255.255.0
no ip route-cache
!
ip http server
radius-server host 192.168.0.35 auth-port 1645 acct-port 1646
radius-server retransmit 3
radius-server key 1234567890
!
line con 0
line vty 0 4
password cisco
line vty 5 15
!
!
end
ACS cisco secure 4.2
Moderatore: Federico.Lagni
-
lucas975
- n00b
- Messaggi: 3
- Iscritto il: ven 20 nov , 2009 8:14 am
Riformulo la domanda:
qualcuno sa spiegarmi come configurare l'acs in modo da autenticare alcuni client con nome utente, password, dominio (external db windows) e certificato eap-tls, e altri invece solo con nome utente e password dell'internal db. Ovviamente in tutti e due i casi l'acs dovrà assegnare la vlan da asseganre all'utente.
Grazie mille a tutti
Luca
qualcuno sa spiegarmi come configurare l'acs in modo da autenticare alcuni client con nome utente, password, dominio (external db windows) e certificato eap-tls, e altri invece solo con nome utente e password dell'internal db. Ovviamente in tutti e due i casi l'acs dovrà assegnare la vlan da asseganre all'utente.
Grazie mille a tutti
Luca
-
matadorII
- n00b
- Messaggi: 1
- Iscritto il: gio 13 gen , 2011 9:28 am
Salve, io dovrei realizzare un ambiente in cui ci si logga sulle macchine (pc), tramite ACS. Oltre a questo dovrei far considerare i PC loggati a dominio tramite ACS come sicuri in modo che non venga poi chiesta l'autenticazione sugli apparati di rete e questi diciamo si loggino da soli.
grazie
Marcello
grazie
Marcello
