Ar0w4n4
Nouveau membre
Bonjour a vous, j'ai le projet de mettre en place une solution de sécurité réseaux via l'utilisation de matériel Cisco et du serveur d'authentification Radius.
Le serveur tourne sous CentOS_5.4 (RHEL donc) et nous disposons de Switch Cisco 2960 et de Routeur 1841.
En ce qui concerne le protocole, j'ai opté pour du 801.1x, j'ai configuré les fichiers de conf d serveur en précisant le clients.conf avec son ip, le secret, le nastype et son shortname, j'ai créer un utilisateurs dans users avec comme attribut
[cpp]user Auth-Type := Local, User-Password == "user"[/cpp]
Voici ici la running-config du switch :
[cpp]!
version 12.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Switch
!
boot-start-marker
boot-end-marker
!
!
!
!
aaa new-model
!
!
aaa authentication dot1x default group radius local
aaa authorization exec default group radius local
aaa authorization network default group radius local
aaa accounting dot1x default start-stop group radius
!
!
!
aaa session-id common
system mtu routing 1500
authentication mac-move permit
ip subnet-zero
!
!
!
!
!
dot1x system-auth-control
!
!
!
spanning-tree mode pvst
spanning-tree etherchannel guard misconfig
spanning-tree extend system-id
!
vlan internal allocation policy ascending
!
!
!
interface FastEthernet0/1
switchport access vlan 5
switchport mode access
authentication host-mode multi-host
authentication port-control auto
dot1x pae authenticator
!
interface FastEthernet0/2
switchport access vlan 5
switchport mode access
authentication host-mode multi-host
authentication port-control auto
dot1x pae authenticator
!
interface FastEthernet0/3
switchport access vlan 5
switchport mode access
authentication host-mode multi-host
authentication port-control auto
dot1x pae authenticator
!
interface FastEthernet0/4
switchport access vlan 5
switchport mode access
authentication host-mode multi-host
authentication port-control auto
dot1x pae authenticator
!
interface FastEthernet0/5
switchport access vlan 5
switchport mode access
authentication host-mode multi-host
authentication port-control auto
dot1x pae authenticator
!
interface FastEthernet0/6
switchport access vlan 5
switchport mode access
authentication host-mode multi-host
authentication port-control auto
dot1x pae authenticator
!
interface FastEthernet0/7
switchport access vlan 5
switchport mode access
authentication host-mode multi-host
authentication port-control auto
dot1x pae authenticator
!
interface FastEthernet0/8
switchport access vlan 5
switchport mode access
authentication host-mode multi-host
authentication port-control auto
dot1x pae authenticator
!
interface FastEthernet0/9
switchport access vlan 5
switchport mode access
authentication host-mode multi-host
authentication port-control auto
dot1x pae authenticator
!
interface FastEthernet0/10
switchport access vlan 5
switchport mode access
authentication host-mode multi-host
authentication port-control auto
dot1x pae authenticator
!
interface FastEthernet0/11
switchport access vlan 5
switchport mode access
authentication host-mode multi-host
authentication port-control auto
dot1x pae authenticator
!
interface FastEthernet0/12
switchport access vlan 5
switchport mode access
authentication host-mode multi-host
authentication port-control auto
dot1x pae authenticator
!
interface FastEthernet0/13
!
interface FastEthernet0/14
!
interface FastEthernet0/15
!
interface FastEthernet0/16
!
interface FastEthernet0/17
!
interface FastEthernet0/18
!
interface FastEthernet0/19
!
interface FastEthernet0/20
!
interface FastEthernet0/21
!
interface FastEthernet0/22
!
interface FastEthernet0/23
!
interface FastEthernet0/24
!
interface GigabitEthernet0/1
!
interface GigabitEthernet0/2
!
interface Vlan1
no ip address
no ip route-cache
!
interface Vlan5
ip address 192.168.0.254 255.255.255.0
no ip route-cache
!
ip http server
ip http secure-server
ip sla enable reaction-alerts
radius-server host 192.168.0.1 auth-port 1812 acct-port 1813
radius-server key cisco
!
line con 0
line vty 5 15
!
end[/cpp]
Le problème étant que les clients reçoivent "Echec de l'authentification" après avoir entré leur login/mdp.
Sur le log du switch on peut voir que le serveur met un certain temps à répondre, trop peut-être parce qu'il le considère mort quelque fois.
Si vous avez une solutions à ce problème ça serait sympa, merci.
Le serveur tourne sous CentOS_5.4 (RHEL donc) et nous disposons de Switch Cisco 2960 et de Routeur 1841.
En ce qui concerne le protocole, j'ai opté pour du 801.1x, j'ai configuré les fichiers de conf d serveur en précisant le clients.conf avec son ip, le secret, le nastype et son shortname, j'ai créer un utilisateurs dans users avec comme attribut
[cpp]user Auth-Type := Local, User-Password == "user"[/cpp]
Vous devez être connecté pour voir les images.
Voici ici la running-config du switch :
[cpp]!
version 12.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Switch
!
boot-start-marker
boot-end-marker
!
!
!
!
aaa new-model
!
!
aaa authentication dot1x default group radius local
aaa authorization exec default group radius local
aaa authorization network default group radius local
aaa accounting dot1x default start-stop group radius
!
!
!
aaa session-id common
system mtu routing 1500
authentication mac-move permit
ip subnet-zero
!
!
!
!
!
dot1x system-auth-control
!
!
!
spanning-tree mode pvst
spanning-tree etherchannel guard misconfig
spanning-tree extend system-id
!
vlan internal allocation policy ascending
!
!
!
interface FastEthernet0/1
switchport access vlan 5
switchport mode access
authentication host-mode multi-host
authentication port-control auto
dot1x pae authenticator
!
interface FastEthernet0/2
switchport access vlan 5
switchport mode access
authentication host-mode multi-host
authentication port-control auto
dot1x pae authenticator
!
interface FastEthernet0/3
switchport access vlan 5
switchport mode access
authentication host-mode multi-host
authentication port-control auto
dot1x pae authenticator
!
interface FastEthernet0/4
switchport access vlan 5
switchport mode access
authentication host-mode multi-host
authentication port-control auto
dot1x pae authenticator
!
interface FastEthernet0/5
switchport access vlan 5
switchport mode access
authentication host-mode multi-host
authentication port-control auto
dot1x pae authenticator
!
interface FastEthernet0/6
switchport access vlan 5
switchport mode access
authentication host-mode multi-host
authentication port-control auto
dot1x pae authenticator
!
interface FastEthernet0/7
switchport access vlan 5
switchport mode access
authentication host-mode multi-host
authentication port-control auto
dot1x pae authenticator
!
interface FastEthernet0/8
switchport access vlan 5
switchport mode access
authentication host-mode multi-host
authentication port-control auto
dot1x pae authenticator
!
interface FastEthernet0/9
switchport access vlan 5
switchport mode access
authentication host-mode multi-host
authentication port-control auto
dot1x pae authenticator
!
interface FastEthernet0/10
switchport access vlan 5
switchport mode access
authentication host-mode multi-host
authentication port-control auto
dot1x pae authenticator
!
interface FastEthernet0/11
switchport access vlan 5
switchport mode access
authentication host-mode multi-host
authentication port-control auto
dot1x pae authenticator
!
interface FastEthernet0/12
switchport access vlan 5
switchport mode access
authentication host-mode multi-host
authentication port-control auto
dot1x pae authenticator
!
interface FastEthernet0/13
!
interface FastEthernet0/14
!
interface FastEthernet0/15
!
interface FastEthernet0/16
!
interface FastEthernet0/17
!
interface FastEthernet0/18
!
interface FastEthernet0/19
!
interface FastEthernet0/20
!
interface FastEthernet0/21
!
interface FastEthernet0/22
!
interface FastEthernet0/23
!
interface FastEthernet0/24
!
interface GigabitEthernet0/1
!
interface GigabitEthernet0/2
!
interface Vlan1
no ip address
no ip route-cache
!
interface Vlan5
ip address 192.168.0.254 255.255.255.0
no ip route-cache
!
ip http server
ip http secure-server
ip sla enable reaction-alerts
radius-server host 192.168.0.1 auth-port 1812 acct-port 1813
radius-server key cisco
!
line con 0
line vty 5 15
!
end[/cpp]
Le problème étant que les clients reçoivent "Echec de l'authentification" après avoir entré leur login/mdp.
Sur le log du switch on peut voir que le serveur met un certain temps à répondre, trop peut-être parce qu'il le considère mort quelque fois.
Si vous avez une solutions à ce problème ça serait sympa, merci.
