我有一个Cisco Catalyst 2960,我正尝试使用802.1X有线authenticationconfiguration远程办公室。 我要去的设置是Switch -> VoIP Phone via Internal Switch -> PC/Laptop (Domain Joined Win 7/8). 我们的身份validation服务器是Windows Server 2008 R2上的NPS。 我们使用支持802.1X的Snom 300手机,但是在所有的手机上configuration它并不是真的可行,所以我configuration了交换机为手机使用MAB(MAC身份validation旁路)。 这大部分工作得非常出色,手机被authentication并放入VOICE域,VLAN策略显示501,这是我们的语音VLAN。 但是,手机仍然可以完全访问数据VLAN – 我做错了什么? 这是连接端口的802.1x会话: int-remote-sw-1#show auth sessions int Fa0/9 Interface: FastEthernet0/9 MAC Address: 0004.133d.69cc IP Address: Unknown User-Name: 0004133d69cc Status: Authz Success Domain: VOICE Oper host mode: multi-domain Oper control dir: both […]
我最近深入到dynamicVLAN分配的802.1xauthentication。 我目前的设置包含: – 一个客户端 – 一个SG220 cisco交换机(申请者) – 一个基于LDAP AD的freeradius(authenticator) – 一个为防火墙而devise的防火墙,充当DHCP服务器。 至于身份validation,它的作品。 我的用户得到了authentication,并以这种forms接收到一个Access-Accept消息。 Sending Access-Accept of id 12 to xxx.xxx.xxx.xxx port 6103 Tunnel-Private-Group-Id:0 = "vlan_name" Tunnel-Medium-Type:0 = IEEE-802 Tunnel-Type:0 = VLAN MS-MPPE-Recv-Key = 0xd899b158c44adb59894a8ad4c7554010571fffe1c3ef87f74db910c482c2be82 MS-MPPE-Send-Key = 0xe094d1c3e2fb5d5153963089c533278338d655284858156b0fb2e78e72ab7060 EAP-Message = 0x03320004 Message-Authenticator = 0x00000000000000000000000000000000 User-Name = "username" 我已经添加了隧道属性到我的LDAP目录,就像之前的freeradiusdebugging信息显示它存储在radius包中。 我已经读了无数的线程,你应该添加“use_tunneled_reply = yes”到你的eap.conf文件,我已经完成了如下所示: eap { use_tunneled_reply = […]
我想configuration一个Linux作为网关(dhcp和nat),我想添加802.1x作为身份validation协议。 我的问题是,我记得在过去,它与端口(读物理端口)有很强的联系,意思是说,如果我有一个交换机连接到我的FW,第一次使用validation,这意味着所有其他用途在这个交换机(或来自这个端口的所有stream量),将被authentication。是真的吗?
我们有一些VoIP电话,我们想要融入到我们的PEAP WiFinetworking,我很关心只是创build一个标准的AD帐户,并使用它。 如果有人获得了这样的长期帐户凭证,他们就可以使用它们login主机并访问networking资源 有一些策略/设置选项用于locking本地访问,但不适用于networking访问。 例如,“login到”选项允许您限制帐户可以访问的机器,但与NPS /域控制器交谈的WiFi访问点似乎使用主机“” – 即不设置该variables。 整个解决scheme似乎只对域成员的Windows计算机工作 – 如果用户来自Unix / Mac系统(例如PEAP) 这可以扩展为关于如何使用Active Directory进行非Windows身份validation(例如LDAP)的更一般的问题。 我还没有看到任何真正的答案,所以担心这可能是不可能的 – 但你要问的权利? 🙂
我已经阅读了一些关于在KVM中不使用标记vlan的文章,因为模拟的e1000驱动程序,但是我有一个需要使用标记vlan的情况。 正因为如此,我们使用SR-IOV的机器和适配器,因为这使我们能够从英特尔安装完整的虚拟function驱动程序(这允许我们的powershell / wmi脚本来pipe理vlans)。 我不是KVM / Linuxpipe理员,我对Windows和VMWare有更多的了解,但是我们的Linux人员已经不能使用了,我必须弄清楚为什么我们不能通过标记vlan来通过KVM桥梁(是的,我知道,sr-iov意味着我们应该完全绕过桥梁或vswitches等等,但我不确定它在KVM中是如何工作的)。 在KVM主机上是否需要更改configuration以允许vlan标记通过? 我愿意研究,但不知道从哪里开始。 如果标记的vlan支持实际上是我可以在kvm中做的,我将会根据请求来configuration和必要的configuration,以便于讨论。
我已经安装了一个新的无线networking,包括Freeradius服务器。 一切工作正常,除了苹果iOS连接时提供“证书未validation”警告。 当用户接受证书时,一切正常。 我已经validation了证书链,一切正常。 OSX和Ubuntu例如在连接时做同样的检查,他们给我一个绿色的“已validation”状态。 如何在Apple iOS上获得“已validation”状态而无需为每个用户提供.mobileconfig文件。 (我不pipe每个客户)
我怎样才能看到我的RADIUS服务器正在使用的TLS(SSL)证书,以确保它发送正确的证书和链? 我正在用RADIUS服务器实现802.1xauthentication,但是我在某些请求者(客户端)上有证书接受问题 。 我想以简单的方式查看服务器发送的证书,就像您使用openssl s_clientdebuggingTCP TLSstream量一样。
我需要在实验室环境中评估使用Windows Server 2008 R2的NPS与Cisco Catalyst 3750交换机进行802.1x身份validation; 总体思路是只允许客户端连接到公司networking,如果他们能够提供有效的域login凭据,将它们放在受限制的VLAN中,而不是它们。 国家行动scheme也是一项奖励,但可以在以后进行评估。 现在的重点只有802.1xauthentication。 虽然我对Windows和Active Directory(在微软方面)有很好的了解,并且对Catalyst交换机有相当的了解(在思科方面),但我完全不了解802.1x。 我真的很喜欢一些通用的指导方针和帮助,某种实施指南也是非常有用的。
所以我正在尝试使用组策略在一堆笔记本电脑上configuration无线设置。 我们正在使用的第三方证书没有显示在受信任的根证书颁发机构列表中。 这阻止了我们configuration我们的机器使用证书进行身份validation。 有没有人知道如何在组策略编辑器中将更多受信任的根添加到此列表中? 受保护的EAP属性面板如何生成此列表?
我已经接pipe了一个服务器设置(作为我的工作的一部分),设置如下: 威胁pipe理网关(用作防火墙)的服务器设置 – 192.168.1.1 具有域控制器angular色的服务器 – 192.168.1.10 具有Radius和NAPangular色的服务器 – 192.168.1.22 我已经看过一些教程,使用802.1xauthentication来设置无线networking。 在完成设置Radius客户端的过程中,我需要提供一个IP地址。 大多数(因为我没有看到每一个教程或帮助文件)的教程链接到思科接口,但我不知道,我有点卡住了放在那里。 我需要吗? 放入Radius服务器的IP地址 放入域控制器的IP地址 – 因为那是Active Directory所在的地方? 据我所知,这似乎是皮卡在我的设置authentication用户的地方。 我在Mac OS上收到这条消息。