Aktuell ist das 'works as designed'. Im Multiple-Host Modus werden im nicht autorisierten Zustand alle nicht-1X-Pakete verworfen. Das ist deswegen so, weil der 1X-Authenticator die 'authentisierende MAC' irgendwie erkennen muss.Bei der Einstellung "mehrere Host" dagegen nicht?
Da ich die Konfiguration universell verwenden wollte (auch für APs), standen die Ports auf "mehrere Hosts".
Meinem Verständnis nach hätte es auch so funktionieren sollen?
Jetzt die große Frage:
"Works as designed" oder Bug?
Den MAB halte ich im Zusammenhang mit Multiple-Host, also dem 'AP-Szenario', aber nicht für allzu sinnvoll. Da soll ja der AP mit seiner MAC den Port für alle Adressen öffnen. Wenn man jetzt aber einen AP hat, der kein 1X spricht und auf den MAB setzt, dann ist es reine Glückssache, ob der 1X-Authenticator die MAC des APs als erste sieht. Im Extremfall ist so ein AP auf seinem Management-Interface komplett still und man sieht nur die MAC-Adressen der dort angemeldeten Clients. Aber die will man ja nicht alle im RADIUS eintragen, für den Fall der Fälle.
Korrekt, in der 1X-Statustabelle stehen nur Clients, die auch eine 1X-Verhandlung durchlaufen haben. Das ist nicht anders als im WLAN. WLAN-Clients, die PSK und kein 1X gemacht haben, sieht man ja auch nicht unter /Status/IEEE802.1X/Station-Table. Die MAB-Clients dort mit reinzurühren, macht m.E. keinen Sinn. Da fehlt eher das Ethernet-Äquivalent der WLAN-Stationstabelle. Das würde aber auch nur in der Betriebsart 'Multiple-Host' wirklich gebraucht, wo mehrere Clients an einem Port sich unabhängig voneinander authentisieren. In den beiden anderen Betriebsarten gibt es ja nur jeweils eine Adresse, die sich authentisiert, und die steht unter Status/LAN/IEEE802.1X/Authenticator/Interface-Status.Ergänzung: Unter /Status/IEEE802.1x/Station-Table sind die per user/pass angemeldeten Stationen aufgeführt, die per MAB angemeldeten finde ich jedoch nicht unter /Status?
Statistik: Verfasst von rotwang — vor 37 Minuten
