Deutschsprachiges Forum

Reply
Occasional Contributor II

Frage zu 802.1x (client-limit 1) user-based / port-based

Hallo Leute,

 

ich habe eine Verständisfrage zu 802.1x bzgl. user-based und port-based access-control.

Hintergrund: Wir wollen alle Authentifikationen hinsichtlich wired-clients über cppm laufen lassen.

 

Unsere Windows Clients authentifizieren sich dann über ein computer-Zertifikat via 802.1x. Basierend auf den Regeln in cppm wird dem Gerät ein untagged VLAN zugewiesen.

 

Es funktioniert erst dann, wenn ich den entsprechenden port als "aaa port-access authenticator client limit 1 einrichte.

 

Bei uns hängt in dem Fall nur ein Rechner mit einem spezifischem vlan an einem Port.

 

Eigentlich sollte nach meinem verständis der Parameter für client based access überhaupt nicht gesetzt sein.

 

802.1x aruba switch.png

sobald wir das client limit mit no aaa port.... client-limit entfernen kann der client auf dem VLAN nicht mehr kommunizieren.

 

Dieses Verhalten erschließt sich mir nicht.

 

Also ... client verbindet sich und macht eap-tls auth mit cppm und bekommt vlan zugewiesen. Funktioniert...

 

nur ohne client-limit 1 geht nix... mit client limit 1 dhcp richtige vlan ip - alles gut...

 

Welchen Denkfehler mache ich?

 

Besten Gruß

 

Hecatonchires

 

Contributor II

Re: Frage zu 802.1x (client-limit 1) user-based / port-based

Hallo Hecatonchires,

 

wir haben ein vergleichbares Szenario, hier macht es keinen Unterschied, wenn ob der Port die Authentifizierung Port-based oder User-based durchführt.

 

Welche Switch Version verwendet ihr?

 

Welche Ausgabe zeigt "show port-access-clients <portnummer>" nach der jeweiligen Authentifizierung?

 

Und was zeigt "show port-access summary" für den betroffenen Port an?

 

Gruß

Occasional Contributor II

Re: Frage zu 802.1x (client-limit 1) user-based / port-based

Hallo LongIsland,

 

sorry für die Verzögerung... Ich habe fast den Verdacht, dass es an der Firmware liegt...

 

Aktuell habe ich auf meinem LAB-Switch die Firmware:

WC.16.01.0004

laufen.

 

Das Beispiel wäre:

Port Client Name MAC Address IP Address User Role Type VLAN

3 00e0c521a4c5 00e0c5-21a4c5 n/a *VLAN_666_arub... MAC 666

 

| Authenticator | Web Auth | MAC Auth | Local MAC
Port | Enable Mode Limit | Enable Limit | Enable Mode Limit | Enable Limit

3 | Yes User 1 | No 1 | Yes User 2 | No 1

 

Der Port wird also im User-Mode betrieben. :)

 

IP Adress ist in dem Falle n/a

 

Konnte allerdings auch in den Release-Notes feststellen, dass das wohl ein bekanntes Problem ist.

 

Werde mal die Firmware hoch ziehen und die "nicht" funktionierende Einstellung nochmal testen. :)

 

Gruß

Occasional Contributor II

Re: Frage zu 802.1x (client-limit 1) user-based / port-based

Sorry... Boot-Rom statt Firmware...

 

Die Firmware ist: WC.16.08.0001 - Also mit Nov. 2018 recht aktuell

Highlighted
Contributor II

Re: Frage zu 802.1x (client-limit 1) user-based / port-based

Dem Output nach wurde der Client über seine MAC Adresse authentifiziert und hat (über cppm?) eine Rolle zugewiesen bekommen. Sollte es hier nicht unter "Type" = "802.1x" sein?

 

Ist in der Config für den Port "aaa port-access authenticator client-limit" aktuell konfiguriert?

Falls möglich, poste doch bitte noch "show run int 3" (für die Config des Ports) und ein "show port-access clients 3 detailed".(für Details zur zugewiesenen Rolle)

 

VG

 

 

Occasional Contributor II

Re: Frage zu 802.1x (client-limit 1) user-based / port-based

Hallo Longisland,

 

ich scheine eine Lösung für das Problem bekommen zu haben. Ich hatte noch ein anderes Problem. Anscheinend interessiert den Switch es leidlich wenig "händisch" im port-mode zu sein.

 

https://community.arubanetworks.com/t5/Security/CPPM-downloadable-user-roles-and-PORT-based-auth/m-p/535013#M43100

 

Das scheint die Lösung zu sein. Und zwar muss ich in der DUR vom cppm den Port-Mode explizit mit angeben.

 

Das sorgt u.a. dafür, dass Wifi-Clients nicht versuchen sich an bridged aps zu verbinden und die clients, die sich an Ports mit 802.1x authentifizieren eine IP Adresse beziehen können.

 

Hatte dies nochmal im internationalen Forum geschrieben:

 

https://community.arubanetworks.com/t5/Wired-Intelligent-Edge-Campus/2930F-not-getting-ip-address-for-DUR-Role-client-on/m-p/551587/highlight/false#M6996

 

Da gab es dann den oben beschriebenen Tipp. Danke für Deine Hilfe!

 

Besten Gruß

 

Hec

Search Airheads
cancel
Showing results for 
Search instead for 
Did you mean: