Configuração de 802.1x no S25N

Ananda, bom dia!

Saberia me informar uma forma de testar a conexão da stack com o radius server?

Existe algum comando para validar?

Olá, tenho mais uma duvida com relação a configuração de autenticação nas interfaces via 802.1x.

Só é possível realizar a autenticação usando uma conta (usuário e senha) ou através do MAB?

Gostaria de fazer autenticação por hostname de equipamento, uma vez que os mesmos estão registrados em meu AD. Isso facilitaria a primeira autenticação de um usuário em um equipamento, tendo em vista que a atribuição da rede é somente feita após o "logon" do usuário.

Olá, carloshsilva!

Sim, você pode autenticar o dispositivo conectado a uma interface através da conta de computador no AD. Como eu costumo brincar: “Computador também é gente!” ;) Veja: no AD tudo são objetos de rede que são gerenciados pelo domínio. Um dos tipos de objeto é a conta de computador (computer account). Toda vez que você adiciona uma máquina ao domínio, o Windows da máquina cria uma conta de computador muito semelhante a conta de usuário, pois também possui nome de logon (no caso, o hostname) e senha (que ninguém fica sabendo mas o AD sincroniza). Prova disso é que se a máquina passar muito tempo sem entrar no domínio ela não consegue mais entrar, sendo necessário remover e adicionar no domínio de novo (reset computer account). Isso ocorre por que a máquina sincroniza a sua senha com o AD periodicamente. Caso isso não aconteça, o AD a considera não confiável e a mensagem de que não há relação de confiança para validar o logon é exibida.

Portanto, meu caro, se você quiser verificar a conta de computador isso é transparente do ponto de vista dos switches. Para o switch 802.1X o que quer que se conecte na interface deverá saber responder ao pedido de autenticação de acordo com as regras do servidor RADIUS. Isso significa que você precisa configurar o servidor RADIUS e os computadores adequadamente pois o switch é um “mero intermediário” entre a estação na interface e o servidor de autenticação (RADIUS Server).

Para o caso de a máquina conectada na interface não rodar Windows, como uma impressora IP, por exemplo, você pode autenticar este host usando como “nome de usuário” o MAC address do dispositivo e a “senha” é igual ao nome de usuário. Na realidade é um bypass (MAB = Mac Authentication Bypass).

Na documentação do switch “FTOS Configuration Guide” (veja o arquivo com a sua versão de firmware), nas páginas 128 e 129 (do FTOS 8.4.2.7) você encontra os detalhes de como o servidor RADIUS deve fazer o tratamento dos atributos RADIUS. Uma opção interessante é usar o comando “dot1x auth-type mab-only” nas interfaces que você sabe que receberão um dispositivo não Windows.

Um exemplo de como o servidor RADIUS (usando NPS da Microsoft) deve tratar a regra de autenticação pode ser encontrada nesta documentação da Microsoft: https://technet.microsoft.com/en-us/library/dd197535%28v=ws.10%29.aspx

Espero ter ajudado.

Tenho mais um questionamento.

Tenho aparelhos IP Phones, e configurei a autenticação deles via MAB. Além disso, alterei as configurações do Dot1x para MULTI_AUTH, pois os nesse aparelho existem mais uma porta LAN que permite a conexão de outros equipamento, no meu caso eu conecto um notebook.

Só que ao verificar os logs do Radius Server, vejo que esse notebook tenta se autenticar via MAB, porem desejo que ele se autentique via 802.1x.

Porque isso acontece, como posso forçar esse segundo equipamento usar o EAP como método de autenticação?