Hallo zusammen,
folgendes Szenario:
EAP-TLS 802.1X mit Radius funktioniert soweit, wenn ich
authentication order dot1x mab setze.
Leider dauert es beim mab dann länger weil der Switch erstmal die ganzen Retries und timeouts abwartet, bis er dem NAC dann die MAC zuspielt.
Bei anderen Herstellern gibt es daher folgende Möglichkeit:
order umdrehen, also erst mab dann dot1x:
authentication order mab dot1x
Aber dafür die priority dann
authentication priority dot1x mab
Damit wird erzieht, dass der Switch von sich aus die MAC Adresse losschickt aber sobald der Client dann von sich aus authentifizieren will, nimmt der Switch priorisiert die 802.1X authentication.
Beim Lancom funktioniert das jedoch nicht. Sobald der MAB durchgelaufen ist und vom NAC ein Accept gekommen ist, macht der Switch keine Anstalten mehr bzgl. eines darauffolgenden dot1x authentication versuchs.
Gibt es dazu irgendwelche Informationen, wie man bei Lancom damit umgehen kann?
Theoretisch möchte ich ja folgenden Workflow erreichen:
Mitarbeiter gerät fährt hoch -> MAB, Gerät ist im Loginscreen -> 802.1X MachineAuth, Gerät ist eingelogged -> 802.1X UserAuth
Ein Macbasiertes gerät -> Direkt MAB ohne großen Timeout
Viele Grüße und vielen Dank
Der_Gute
folgendes Szenario:
EAP-TLS 802.1X mit Radius funktioniert soweit, wenn ich
authentication order dot1x mab setze.
Leider dauert es beim mab dann länger weil der Switch erstmal die ganzen Retries und timeouts abwartet, bis er dem NAC dann die MAC zuspielt.
Bei anderen Herstellern gibt es daher folgende Möglichkeit:
order umdrehen, also erst mab dann dot1x:
authentication order mab dot1x
Aber dafür die priority dann
authentication priority dot1x mab
Damit wird erzieht, dass der Switch von sich aus die MAC Adresse losschickt aber sobald der Client dann von sich aus authentifizieren will, nimmt der Switch priorisiert die 802.1X authentication.
Beim Lancom funktioniert das jedoch nicht. Sobald der MAB durchgelaufen ist und vom NAC ein Accept gekommen ist, macht der Switch keine Anstalten mehr bzgl. eines darauffolgenden dot1x authentication versuchs.
Gibt es dazu irgendwelche Informationen, wie man bei Lancom damit umgehen kann?
Theoretisch möchte ich ja folgenden Workflow erreichen:
Mitarbeiter gerät fährt hoch -> MAB, Gerät ist im Loginscreen -> 802.1X MachineAuth, Gerät ist eingelogged -> 802.1X UserAuth
Ein Macbasiertes gerät -> Direkt MAB ohne großen Timeout
Viele Grüße und vielen Dank
Der_Gute
Statistik: Verfasst von Der_Gute — Gestern, 12:28
