Se connecter avec
S'enregistrer | Connectez-vous

Config Switch Radius

Dernière réponse : dans Réseaux

Bonjour a vous, j'ai le projet de mettre en place une solution de sécurité réseaux via l'utilisation de matériel Cisco et du serveur d'authentification Radius.
Le serveur tourne sous CentOS_5.4 (RHEL donc) et nous disposons de Switch Cisco 2960 et de Routeur 1841.

En ce qui concerne le protocole, j'ai opté pour du 801.1x, j'ai configuré les fichiers de conf d serveur en précisant le clients.conf avec son ip, le secret, le nastype et son shortname, j'ai créer un utilisateurs dans users avec comme attribut 
  1. user Auth-Type := Local, User-Password == "user"




Voici ici la running-config du switch : 
  1. !
    

  2. version 12.2
    

  3. no service pad
    

  4. service timestamps debug datetime msec
    

  5. service timestamps log datetime msec
    

  6. no service password-encryption
    

  7. !
    

  8. hostname Switch
    

  9. !
    

  10. boot-start-marker
    

  11. boot-end-marker
    

  12. !
    

  13. !
    

  14. !
    

  15. !
    

  16. aaa new-model
    

  17. !
    

  18. !
    

  19. aaa authentication dot1x default group radius local
    

  20. aaa authorization exec default group radius local
    

  21. aaa authorization network default group radius local
    

  22. aaa accounting dot1x default start-stop group radius
    

  23. !
    

  24. !
    

  25. !
    

  26. aaa session-id common
    

  27. system mtu routing 1500
    

  28. authentication mac-move permit
    

  29. ip subnet-zero
    

  30. !
    

  31. !
    

  32. !
    

  33. !
    

  34. !
    

  35. dot1x system-auth-control
    

  36. !
    

  37. !
    

  38. !
    

  39. spanning-tree mode pvst
    

  40. spanning-tree etherchannel guard misconfig
    

  41. spanning-tree extend system-id
    

  42. !
    

  43. vlan internal allocation policy ascending
    

  44. !
    

  45. !
    

  46. !
    

  47. interface FastEthernet0/1
    

  48.  switchport access vlan 5
    

  49.  switchport mode access
    

  50.  authentication host-mode multi-host
    

  51.  authentication port-control auto
    

  52.  dot1x pae authenticator
    

  53. !
    

  54. interface FastEthernet0/2
    

  55.  switchport access vlan 5
    

  56.  switchport mode access
    

  57.  authentication host-mode multi-host
    

  58.  authentication port-control auto
    

  59.  dot1x pae authenticator
    

  60. !
    

  61. interface FastEthernet0/3
    

  62.  switchport access vlan 5
    

  63.  switchport mode access
    

  64.  authentication host-mode multi-host
    

  65.  authentication port-control auto
    

  66.  dot1x pae authenticator
    

  67. !
    

  68. interface FastEthernet0/4
    

  69.  switchport access vlan 5
    

  70.  switchport mode access
    

  71.  authentication host-mode multi-host
    

  72.  authentication port-control auto
    

  73.  dot1x pae authenticator
    

  74. !
    

  75. interface FastEthernet0/5
    

  76.  switchport access vlan 5
    

  77.  switchport mode access
    

  78.  authentication host-mode multi-host
    

  79.  authentication port-control auto
    

  80.  dot1x pae authenticator
    

  81. !
    

  82. interface FastEthernet0/6
    

  83.  switchport access vlan 5
    

  84.  switchport mode access
    

  85.  authentication host-mode multi-host
    

  86.  authentication port-control auto
    

  87.  dot1x pae authenticator
    

  88. !
    

  89. interface FastEthernet0/7
    

  90.  switchport access vlan 5
    

  91.  switchport mode access
    

  92.  authentication host-mode multi-host
    

  93.  authentication port-control auto
    

  94.  dot1x pae authenticator
    

  95. !
    

  96. interface FastEthernet0/8
    

  97.  switchport access vlan 5
    

  98.  switchport mode access
    

  99.  authentication host-mode multi-host
    

  100.  authentication port-control auto
    

  101.  dot1x pae authenticator
    

  102. !
    

  103. interface FastEthernet0/9
    

  104.  switchport access vlan 5
    

  105.  switchport mode access
    

  106.  authentication host-mode multi-host
    

  107.  authentication port-control auto
    

  108.  dot1x pae authenticator
    

  109. !
    

  110. interface FastEthernet0/10
    

  111.  switchport access vlan 5
    

  112.  switchport mode access
    

  113.  authentication host-mode multi-host
    

  114.  authentication port-control auto
    

  115.  dot1x pae authenticator
    

  116. !
    

  117. interface FastEthernet0/11
    

  118.  switchport access vlan 5
    

  119.  switchport mode access
    

  120.  authentication host-mode multi-host
    

  121.  authentication port-control auto
    

  122.  dot1x pae authenticator
    

  123. !
    

  124. interface FastEthernet0/12
    

  125.  switchport access vlan 5
    

  126.  switchport mode access
    

  127.  authentication host-mode multi-host
    

  128.  authentication port-control auto
    

  129.  dot1x pae authenticator
    

  130. !
    

  131. interface FastEthernet0/13
    

  132. !
    

  133. interface FastEthernet0/14
    

  134. !
    

  135. interface FastEthernet0/15
    

  136. !
    

  137. interface FastEthernet0/16
    

  138. !
    

  139. interface FastEthernet0/17
    

  140. !
    

  141. interface FastEthernet0/18
    

  142. !
    

  143. interface FastEthernet0/19
    

  144. !
    

  145. interface FastEthernet0/20
    

  146. !
    

  147. interface FastEthernet0/21
    

  148. !
    

  149. interface FastEthernet0/22
    

  150. !
    

  151. interface FastEthernet0/23
    

  152. !
    

  153. interface FastEthernet0/24
    

  154. !
    

  155. interface GigabitEthernet0/1
    

  156. !
    

  157. interface GigabitEthernet0/2
    

  158. !
    

  159. interface Vlan1
    

  160.  no ip address
    

  161.  no ip route-cache
    

  162. !
    

  163. interface Vlan5
    

  164.  ip address 192.168.0.254 255.255.255.0
    

  165.  no ip route-cache
    

  166. !
    

  167. ip http server
    

  168. ip http secure-server
    

  169. ip sla enable reaction-alerts
    

  170. radius-server host 192.168.0.1 auth-port 1812 acct-port 1813
    

  171. radius-server key cisco
    

  172. !
    

  173. line con 0
    

  174. line vty 5 15
    

  175. !
    

  176. end


Le problème étant que les clients reçoivent "Echec de l'authentification" après avoir entré leur login/mdp.

Sur le log du switch on peut voir que le serveur met un certain temps à répondre, trop peut-être parce qu'il le considère mort quelque fois.

Si vous avez une solutions à ce problème ça serait sympa, merci.

Autres pages sur : config switch radius

Lassé par la pub ? Créez un compte
Expert Réseaux

désolé pour le retard

d'après ton dessin, le serveur radius est sur ton interface Fa0/2
or, elle est configurée en 802.1x également
je pense que le problème est là

à mon avis le serveur radius devrait être dans un autre subnet, sur une interface non 802.1x (je choisirais la 24 parce que loin). et je me demande même si il ne devrait pas être dans le vlan 'admin' du swith

le site de cisco est en général très bien documenté
Lassé par la pub ? Créez un compte

Créer un nouveau sujet