Highlighted
druartx
Bronze

Problème d'authentification 802.1x de mon PC sur l'AD à travers un powerconnect 5548

Accéder à la solution

Bonjour,

J'ai configuré le NPS de Windows server 2008 R2 qui servira de serveur Radius et un switch Dell Powerconnect 5548 comme Radius Client. L'authentification de mon PC sur l'AD à travers le radius ne fonctionne pas. Il est à noté qu'avec la configuration du NPS actuelle sur un switch HP configuré en Radius Client, tiout fonctionne je n'ai donc pas de problème de serveur mais plutôt de config de switch.

Schéma du test

PC --> g5 5548P g24 --> f18 HP2530 f6 --> NPS

Est-ce que quelqu'un aurait une idée ?

voici la configuration de mon Dell:

USR-SW1# sh run
interface ethernet g1/0/5
spanning-tree portfast
exit
interface ethernet g1/0/5
switchport mode general
exit
dot1x system-auth-control
interface ethernet g1/0/5
dot1x re-authentication
exit
interface ethernet g1/0/5
dot1x port-control auto
exit
interface vlan 1
ip address 192.168.xxx.xxx 255.255.255.0
exit
hostname USR-SW1
radius-server host 192.168.xxx.xxxkey xxxxxx
aaa authentication dot1x default radius

Default settings:
Service tag: FNT9VS1

SW version 4.1.0.15 (date  20-Oct-2013 time  10:23:39)

Gigabit Ethernet Ports
=============================
no shutdown
speed 1000
duplex full
negotiation
flow-control on
mdix auto
no back-pressure

interface vlan 1
interface port-channel 1 - 32

spanning-tree
spanning-tree mode RSTP

0 Compliments
17 RÉPONSES
Community Manager
Community Manager

RE: Problème d'authentification 802.1x de mon PC sur l'AD à travers un powerconnect 5548

Accéder à la solution

Bonjour,

Chaque fabricant adapte l’authentification Radius à sa manière. Il est donc possible qu’il manque quelquechose coté Serveur.

 Ce genre de solution est relativement complexe et beaucoup d’éléments entre en jeu :

-          Type d‘authentification : user AD, MAC du PC client, user/pwd…

-          Version de l’OS client

-          Version du serveur

-           ...

pourriez vous m'envoyer en privé le résultat des commandes suivantes ?

show dot1x

show dot1x ethernet x/x

show tech-support

cela va permettre de vérifier que la configuration est bien opérationnelle côté switch.

Regards,
Stéphane

druartx
Bronze

RE: Problème d'authentification 802.1x de mon PC sur l'AD à travers un powerconnect 5548

Accéder à la solution

Pour info, je dois implémenter la solution sur un 5548 mais pour mes tests j'utilise un 5424

Donc pas de show tech-support

USR-SW1# sh dot

802.1x is enabled

         Admin              Oper          Reauth   Reauth     Username
Port     Mode               Mode          Control  Period
-------- ------------------ ------------- -------- ---------- -----------------
g1       Force Authorized   Authorized*   Disabled 3600       n/a
g2       Force Authorized   Authorized*   Disabled 3600       n/a
g3       Force Authorized   Authorized*   Disabled 3600       n/a
g4       Force Authorized   Authorized*   Disabled 3600       n/a
g5       Auto   Authorized                        Enabled  3600       nexeya\druartx
g6       Force Authorized   Authorized*   Disabled 3600       n/a
g7       Force Authorized   Authorized*   Disabled 3600       n/a
g8       Force Authorized   Authorized*   Disabled 3600       n/a
g9       Force Authorized   Authorized*   Disabled 3600       n/a
g10      Force Authorized   Authorized*   Disabled 3600       n/a
g11      Force Authorized   Authorized    Disabled 3600       n/a
g12      Force Authorized   Authorized*   Disabled 3600       n/a
g13      Force Authorized   Authorized*   Disabled 3600       n/a
g14      Force Authorized   Authorized*   Disabled 3600       n/a
g15      Force Authorized   Authorized*   Disabled 3600       n/a
g16      Force Authorized   Authorized*   Disabled 3600       n/a
g17      Force Authorized   Authorized*   Disabled 3600       n/a
g18      Force Authorized   Authorized*   Disabled 3600       n/a
g19      Force Authorized   Authorized*   Disabled 3600       n/a
g20      Force Authorized   Authorized*   Disabled 3600       n/a
g21      Force Authorized   Authorized*   Disabled 3600       n/a
g22      Force Authorized   Authorized*   Disabled 3600       n/a
g23      Force Authorized   Authorized*   Disabled 3600       n/a
g24      Force Authorized   Authorized    Disabled 3600       n/a

* Port is down or not present

USR-SW1# sh dot ethn g5
% Wrong number of parameters or invalid range, size or characters entered
USR-SW1# sh dot eth g5

802.1x is enabled

         Admin              Oper          Reauth   Reauth     Username
Port     Mode               Mode          Control  Period
-------- ------------------ ------------- -------- ---------- -----------------
g5       Auto               Authorized    Enabled  3600       nexeya\druartx

Quiet period:            60 Seconds
Tx period:               30 Seconds
Max req:                 2
Supplicant timeout:      30 Seconds
Server timeout:          30 Seconds
Session Time (HH:MMSmiley frustréS): 00:00:11
MAC Address:             d0:67:e5:eb:d5:ff
Authentication Method:   None
Termination Cause:       Not terminated yet

Authenticator State Machine
State:                   AUTHENTICATED

Backend State Machine
State:                   IDLE
Authentication success:  20
Authentication fails:    6
USR-SW1#

0 Compliments
Community Manager
Community Manager

RE: Problème d'authentification 802.1x de mon PC sur l'AD à travers un powerconnect 5548

Accéder à la solution

Bonjour,

je ne suis pas spécialiste mais mon collègue viens de m'indiquer que l'authentification avait bien fonctionné sur le port 5. Je vous invite à vérifier la configuration de vos serveurs

         Admin              Oper          Reauth   Reauth     Username
Port     Mode               Mode          Control  Period
-------- ------------------ ------------- -------- ---------- -----------------
g1       Force Authorized   Authorized*   Disabled 3600       n/a
g2       Force Authorized   Authorized*   Disabled 3600       n/a
g3       Force Authorized   Authorized*   Disabled 3600       n/a
g4       Force Authorized   Authorized*   Disabled 3600       n/a
g5       Auto   Authorized                        Enabled  3600       nexeya\druartx

Cordialement,
Stéphane

0 Compliments
druartx
Bronze

RE: Problème d'authentification 802.1x de mon PC sur l'AD à travers un powerconnect 5548

Accéder à la solution

le switch perd l'authentification après 2 minutes, le port de mon PC indique "Echec de l'authentification" et dans mon NPS j'ai "Un message RADIUS a été reçu de l'adresse IP 192.168.xxx.xxx du client RADIUS non valide".

Donc pour mois l'authentification n'est pas bonne

0 Compliments
Modérateur
Modérateur

RE: Problème d'authentification 802.1x de mon PC sur l'AD à travers un powerconnect 5548

Accéder à la solution

Bonjour,

si le switch autorise le port lors de la connexion du client, la configuration "de base" doit être correcte.

De manière générale, un changement de status du port physique, l'expiration d'un timer ou une demande du client vont relancer le processus d'authentification Radius.

Les timers du switch ne semblent pas correspondre aux 2mn que vous relevez. Il faudrait donc vérifier les autres élémens impliqués dans l'authentification : client + serveur.

Cordialement,

Joel G.

0 Compliments
druartx
Bronze

RE: Problème d'authentification 802.1x de mon PC sur l'AD à travers un powerconnect 5548

Accéder à la solution

Ma configuration serveur fonctionne très bien avec des switch HP.

Normalement, les ports ou sont connecté les PC doivent être authenticator et le port allant sur le serveur Radius en supplicant

0 Compliments
Community Manager
Community Manager

RE: Problème d'authentification 802.1x de mon PC sur l'AD à travers un powerconnect 5548

Accéder à la solution

Bonjour,

Mon collègue Joël à vérifié grâce à vos logs que le problème ne viens à priori pas de votre switch PowerConnect.

Ce problème est lié à de la configuration. Si vous le souhaitez je peux faire suivre votre demande au support, sans garantie qu'il puisse résoudre votre problème (la configuration est normalement payante).

Je vous invite dans ce cas à m'envoyer en privé vos coordonnées (nom, prénom, mail et téléphone) afin de pouvoir être recontacté.

Cordialement,
Stéphane

0 Compliments
druartx
Bronze

RE: Problème d'authentification 802.1x de mon PC sur l'AD à travers un powerconnect 5548

Accéder à la solution

bonjour,

J'ai résolu mon problème.

Maintenant, mon server NPS me remonte bien les connexions autorisée par l'AD.

0 Compliments
druartx
Bronze

RE: Problème d'authentification 802.1x de mon PC sur l'AD à travers un powerconnect 5548

Accéder à la solution

est-il possible de faire une authentification 802.1x sur un port, et sur ce même port un service-acl input ?

Je veux dire authentifier une machine sur le NPS et en même temps une simple machine hors NPS comme une imprimante par exemple ?

Cordialement

0 Compliments