Problème d'authentification 802.1x de mon PC sur l'AD à travers un powerconnect 5548

Pour info, je dois implémenter la solution sur un 5548 mais pour mes tests j'utilise un 5424

Donc pas de show tech-support

USR-SW1# sh dot

802.1x is enabled

         Admin              Oper          Reauth   Reauth     Username
Port     Mode               Mode          Control  Period
-------- ------------------ ------------- -------- ---------- -----------------
g1       Force Authorized   Authorized*   Disabled 3600       n/a
g2       Force Authorized   Authorized*   Disabled 3600       n/a
g3       Force Authorized   Authorized*   Disabled 3600       n/a
g4       Force Authorized   Authorized*   Disabled 3600       n/a
g5       Auto   Authorized                        Enabled  3600       nexeya\druartx
g6       Force Authorized   Authorized*   Disabled 3600       n/a
g7       Force Authorized   Authorized*   Disabled 3600       n/a
g8       Force Authorized   Authorized*   Disabled 3600       n/a
g9       Force Authorized   Authorized*   Disabled 3600       n/a
g10      Force Authorized   Authorized*   Disabled 3600       n/a
g11      Force Authorized   Authorized    Disabled 3600       n/a
g12      Force Authorized   Authorized*   Disabled 3600       n/a
g13      Force Authorized   Authorized*   Disabled 3600       n/a
g14      Force Authorized   Authorized*   Disabled 3600       n/a
g15      Force Authorized   Authorized*   Disabled 3600       n/a
g16      Force Authorized   Authorized*   Disabled 3600       n/a
g17      Force Authorized   Authorized*   Disabled 3600       n/a
g18      Force Authorized   Authorized*   Disabled 3600       n/a
g19      Force Authorized   Authorized*   Disabled 3600       n/a
g20      Force Authorized   Authorized*   Disabled 3600       n/a
g21      Force Authorized   Authorized*   Disabled 3600       n/a
g22      Force Authorized   Authorized*   Disabled 3600       n/a
g23      Force Authorized   Authorized*   Disabled 3600       n/a
g24      Force Authorized   Authorized    Disabled 3600       n/a

* Port is down or not present

USR-SW1# sh dot ethn g5
% Wrong number of parameters or invalid range, size or characters entered
USR-SW1# sh dot eth g5

802.1x is enabled

         Admin              Oper          Reauth   Reauth     Username
Port     Mode               Mode          Control  Period
-------- ------------------ ------------- -------- ---------- -----------------
g5       Auto               Authorized    Enabled  3600       nexeya\druartx

Quiet period:            60 Seconds
Tx period:               30 Seconds
Max req:                 2
Supplicant timeout:      30 Seconds
Server timeout:          30 Seconds
Session Time (HH:MM:SS): 00:00:11
MAC Address:             d0:67:e5:eb:d5:ff
Authentication Method:   None
Termination Cause:       Not terminated yet

Authenticator State Machine
State:                   AUTHENTICATED

Backend State Machine
State:                   IDLE
Authentication success:  20
Authentication fails:    6
USR-SW1#

Bonjour,

Chaque fabricant adapte l’authentification Radius à sa manière. Il est donc possible qu’il manque quelquechose coté Serveur.

 Ce genre de solution est relativement complexe et beaucoup d’éléments entre en jeu :

-          Type d‘authentification : user AD, MAC du PC client, user/pwd…

-          Version de l’OS client

-          Version du serveur

-           ...

pourriez vous m'envoyer en privé le résultat des commandes suivantes ?

show dot1x

show dot1x ethernet x/x

show tech-support

cela va permettre de vérifier que la configuration est bien opérationnelle côté switch.

Regards,
Stéphane

le switch perd l'authentification après 2 minutes, le port de mon PC indique "Echec de l'authentification" et dans mon NPS j'ai "Un message RADIUS a été reçu de l'adresse IP 192.168.xxx.xxx du client RADIUS non valide".

Donc pour mois l'authentification n'est pas bonne

Bonjour,

je ne suis pas spécialiste mais mon collègue viens de m'indiquer que l'authentification avait bien fonctionné sur le port 5. Je vous invite à vérifier la configuration de vos serveurs

         Admin              Oper          Reauth   Reauth     Username
Port     Mode               Mode          Control  Period
-------- ------------------ ------------- -------- ---------- -----------------
g1       Force Authorized   Authorized*   Disabled 3600       n/a
g2       Force Authorized   Authorized*   Disabled 3600       n/a
g3       Force Authorized   Authorized*   Disabled 3600       n/a
g4       Force Authorized   Authorized*   Disabled 3600       n/a
g5       Auto   Authorized                        Enabled  3600       nexeya\druartx

Cordialement,
Stéphane

Bonjour,

si le switch autorise le port lors de la connexion du client, la configuration "de base" doit être correcte.

De manière générale, un changement de status du port physique, l'expiration d'un timer ou une demande du client vont relancer le processus d'authentification Radius.

Les timers du switch ne semblent pas correspondre aux 2mn que vous relevez. Il faudrait donc vérifier les autres élémens impliqués dans l'authentification : client + serveur.

Cordialement,

Joel G.

Ma configuration serveur fonctionne très bien avec des switch HP.

Normalement, les ports ou sont connecté les PC doivent être authenticator et le port allant sur le serveur Radius en supplicant

Bonjour,

Mon collègue Joël à vérifié grâce à vos logs que le problème ne viens à priori pas de votre switch PowerConnect.

Ce problème est lié à de la configuration. Si vous le souhaitez je peux faire suivre votre demande au support, sans garantie qu'il puisse résoudre votre problème (la configuration est normalement payante).

Je vous invite dans ce cas à m'envoyer en privé vos coordonnées (nom, prénom, mail et téléphone) afin de pouvoir être recontacté.

Cordialement,
Stéphane

Bonjour,

Vous pouvez effectivement avoir (selon le modèle) de l’authentification Radius (8021.X) différente sur un même port. C’est notamment le cas avec des PC connecté derrière un IP Phone.

Cordialement,
Stéphane

Nous avons certain cas où une machine, une imprimante, un téléphone n'étant pas dans le domaine doivent être authentifier par leur mac adresse.

J'ai besoin de pouvoir faire une authentification 802.1x et mac adresse sur tout les ports.

J'ai fais le test et cela ne fonctionne pas.

Y-a-t 'il une config spécifique pour cette situation ?

Cordialement

Xavier

Bonjour,

je vous invite à consulter les documentations ci-dessous :

Protocole802.1X https://fr.wikipedia.org/wiki/IEEE_802.1X
Radius http://downloads.dell.com/manuals/common/networking_nxxug_en-us.pdf
Network CLI (page 855) http://downloads.dell.com/manuals/common/networking_nxxcli_en-us.pdf

Cordialement,
Stéphane

pourquoi des docs sur des version N alors que j'utilise des powerconnect ?

Je dois pouvoir faire en sorte qu'un PC dans un Domain ou hors Domain soit authentifier.

Pour cela, le PC dans le Domain sera authentifié en 802.1x et le PC hors Domain par la Mac-address; quel que soit le port du switch utilisé.

Est-ce possible ou pas ?

d'après mon test, à partir du moment ou je configure le port de mon switch en "dot1x port-control auto", je ne peux plus faire d'autorisation de mac-address local. Dans ma situation, certains collaborateurs connectent leurs machines sur un switch supplémentaire (par manque de prises murales) et donc, si le port du dell est configuré en "dot1x port-control auto", seul les machines enregistrées dans l'AD pourront être authentifiées. Les autres ( imprimantes, téléphones, oscilloscope,...) ne pourront pas se connecter malgré la configuration d'une ACL + l'application du service ACL Input dans l'interface.

Y a-t-il une possibilité de pouvoir faire une authentification dot1x + autorisation d'une mac-address local sur un même port ?

déjà fait et cela ne fonctionne pas. Le fait de configurer le port control en auto me désactive le service-acl input de l'interface.

ci-joint la config

int eth g15
dot1x re-authentication
dot1x mac-authentication mac-and-8021x
dot1x port-control auto
service-acl input Printers
!
mac-access-list Printers
permit 00:00:aa:c3:b8:6c 00:00:00:00:00:00 any
deny any any

USR-SW1#sh dot eth g15

802.1x is enabled

         Admin              Oper          Reauth   Reauth     Username
Port     Mode               Mode          Control  Period
-------- ------------------ ------------- -------- ---------- -----------------
g15      Auto               Unauthorized  Enabled  3600       n/a

Quiet period:            60 Seconds
Tx period:               30 Seconds
Max req:                 2
Supplicant timeout:      30 Seconds
Server timeout:          30 Seconds
Session Time (HH:MM:SS): 00:00:00
MAC Address:<<<<<<<<<<<<<<<<<<<<<<<<< je ne vois pas mon imprimante de l'ACL
Authentication Method:   Remote
Termination Cause:       Reauthentication failed

Authenticator State Machine
State:                   CONNECTING

Backend State Machine
State:                   IDLE
Authentication success:  0
Authentication fails:    0