Deutschsprachiges Forum

Reply
M7
Occasional Contributor I

MAC-Adressen Freischaltung bei Reihenfolge: 802.1X, mab

Hallo zusammen,

 

wir sind gerade dabei ein Testumfeld mit der Aruba Clearpass Lösung aufzubauen. Bisher sind wir sehr gut mit der Konsole etc. klargekommen.

Nun stellt sich jedoch für uns die Frage welche Reihenfolge wir für die Authentisierungsmethoden wählen sollen.

Wir setzen aktuelle Cisco-Switche ein.

 

Wir stellen uns das zum derzeitigen Stand so vor:


Reihenfolge: 802.1X (EAP-TLS), mab.

Info: Die MAC-Adressen von EAP fähigen Geräten sind nicht freigegeben, bzw. würden abgelehnt werden.

 

Wenn sich ein Gerät authentisieren möchte, welches keinen 802.1X Supplicant installiert hat, wird es den 802.1X Timout durchlaufen, und wir im Anschluss per mab authentisiert.

Wenn sich ein Gerät authentisieren möchte, weches einen funktionierenden 802.1X Supplicant installiert hat, würde es in die "Aushandlung" gehen, und entweder accepted oder rejected werden.

Soweit kein Problem.

 

Nun zur eigenlichten Frage:

Wenn wir ein Gerät haben, welches sich aufgrund eines revoked etc. Zertifikats in der Quarantänezone befindet (eigenes VLAN), und somit keinen Zugriff mehr auf interene Ressourcen hat, möchten wir das Gerät theoretisch per MAC-Adresse temporär freischalten und es somit in das "produktive" VLAN lassen. Da bei einem Re-Auth jedoch wieder zuerst 802.1X EAP-TLS versucht wird, und der Prozess der Authentisierung erfolgreich ist (mit Ergebnis "Reject") wird die MAC-Adresse vom RADIUS garnicht erst geprüft.

 

Gibt es für diesen Fall eine Lösung?

Z.B. einen "Service" auf der Clearpass einrichten welcher beider Auth Mehoden enthält? Funktioniert soetwas?

LG

Search Airheads
cancel
Showing results for 
Search instead for 
Did you mean: