Certificat 802.1x HP Procurve 2650

Fermé
jeremy - 5 août 2008 à 15:34
brupala Messages postés 106115 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 28 mars 2023 - 7 août 2008 à 19:46
Bonjour,

Je dispose actuellement d'un switch HP Procurve 2650.
J'aimerais faire une authentification des utilisateurs avant qu'ils aient au réseau.
Pour cela, je me suis dirigé vers une authentification 802.1x en utilisant les utilisateurs locaux du switch.
Je n'utilise pas de serveur Radius extérieur ( pas d'utilité dans mon besoin)

Pour configurer mon switch,J'ai utiliser les commandes suivantes:

aaa port-access authenticator 9-15 # port 9 à 15 nécessitent une authentification
aaa port-access authenticator 9 control unauthorized # Le port 9 nécessite une authentification avant d'accéder au réseau.
aaa port-access authenticator 10 control authorized # Le port 10 a accès au réseau sans etre obliger à s'authentifier.

Les autres ports sont en auto.

J'active ensuite ma méthode d'authentification locale avec la commande suivante:
aaa authentication port-access local
Puis j'active l'authentification avec cette commande: aaa port-access authenticator active

Mon soucis est le suivant, je n'arrive pas à m'authentifier de mon poste avec mon utilisateur test (en operator ou manager).

Mes questions:
- Peux on générer un certificat d'authentification à partir du switch?
- Quel Protocole utilise le switch pour l'authentification ( EAP-MD5, CHAP, PAP, ...) ?

Pour m'authentifier, j'utilises actuellement XSupplicant sur mon poste.
La confiuration est:
- utilisateur: test
- Protocole: EAP-MD5 avec user credential
- Attribution de l'IP et des DNS automatiquement

J'espere avoir été clair dans mes explications et que quelqu'un vienne à mon secours.
merci der votre aide.
A voir également:

3 réponses

brupala Messages postés 106115 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 28 mars 2023 13 804
5 août 2008 à 16:29
Salut,
je vais essayer de t'aider , bien que ne disposant pas de matériel pour expérimenter ce que je te dis .
1- je ne pense pas que l'on puisse utiliser de certificat en authentification locale .
2- essaie mettre juste le minimum de paramètres (en fait aucun) à récupérer par xsupplicant .
1
Bonjour,

Tu avais raison, le switch ne peut pas générer de certificat.
Avec xsupplicant, j'ai créé des profils par défaut.
Le choix du protocole est obligatoire.
A premiere vue, le protocole à utiliser est bien EAP-MD5. Avec les autres, j'obtiens dans les logs de XSupplicant que la réponse à la trame émise ne correspond pas au protocole utilisée ( Bad Id Request)

As-tu une idée sur les autres tests que je puisse effectuer afin de résoudre mon problème?
0
brupala Messages postés 106115 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 28 mars 2023 13 804
6 août 2008 à 11:47
le(s) clients xsupplicant sont linux ou windows ?
si c'est sous windows,
as tu essayé avec l'authentification 802.1x de windows ?
0
Bonjour,

Le Pb avec l'authentification Windows, c'est que je n'ai pas générer de certificats donc l'authentification échoue.
Apparement, mon soucis viendrais d'un "bug"
J'ai posté un message sur le forum HP, un modérateur a testé la config et il obtient la même erreur avec un switch Layer 3 (Procurve 5300).

L'authentification semble bien s'effectuer au niveau du switch (en capture de trames) mais le switch ne laisse pas l'accès au réseau.

Je pense me tourner vers une authentification forte avec serveur radius même, ce que je ne souhaitais pas à la base.

Merci tout de même pr ton aide
0
brupala Messages postés 106115 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 28 mars 2023 13 804
7 août 2008 à 19:46
un bug ?
à ce niveau là .... étrange , mais bon ... je n'ai rien pour vérifier .
en principe,
l'authentification EAP MD5 ne nécéssite aucun certificat du serveur sous windows comme ailleurs .
d'ailleurs quand on la configure dans l'onglet authentification de la connexion réseau, le bouton avancé pour configurer les paramètres de certificats n'est plus actif (sous windows xp SP2) .
0