|
|
Страница 1 из 1
|
[ Сообщений: 10 ] |
|
Cico ISE + AD проблемы с входом юзеров
Автор |
Сообщение |
Bug$
Зарегистрирован: 17 дек 2012, 14:06 Сообщения: 44
|
Всем привет. Предполагаем внедрять у себя ISE 1.2 с аутентификацией пользователей в AD. В принципе, сделать, чтобы юзер авторизовался на ethernet-порту коммутатора, введя свои логин/пароль из AD, получается, но работает это как-то так: сначала пользователь еще не прошел авторизацию и доступа к контроллеру AD еще нет, пользователь вводит логин/пароль и система пускает его используя кэшированный пароль для учетки, а затем 802.1x supplicant используя логин/пароль (тоже, судя по всему, из кэша) авторизуется на порту и на основании атрибутов пользователя из AD получает нужный VLAN. Хуже, когда пользователь, к примеру, сменил пароль на одной машине, а потом пробует залогиниться на другой - возникает проблема т.к. вход под кэшированным паролем в систему он осуществить может, но авторизацию с этим паролем уже нет. Возможно подход в принципе неправильный и нужно сначала давать ограниченный аксесс-листом доступ для взаимодействия с контроллером, а после авторизации навешивать нужный VLAN и DACL с более широкими полномочиями, но тут я пока не могу понять возможно ли так сделать. Кто-нибудь уже имеет опыт интеграции ISE с AD ?
|
12 авг 2014, 16:45 |
|
|
P@ve1
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 2111
|
Для описанной проблемы существует специально машинная авторизация. Сделай группу для учеток компов в АД и правило отдельное на радиусе. Можно их даже в специальный VLAN терминировать. Как только пользователь залогинится на машине в AD - происходит переподключение от его учетки. Это дефолтное поведение любой винды.
|
13 авг 2014, 09:18 |
|
|
real1st
Зарегистрирован: 04 окт 2011, 19:33 Сообщения: 1314
|
Bug$ Перво наперво, делаете Authorization Rule вида: if match AD/COmputers, then ACL_AD. СЛедом правила уже для юзеров.
P.S. Pavel ответил уже.
|
13 авг 2014, 09:27 |
|
|
Bug$
Зарегистрирован: 17 дек 2012, 14:06 Сообщения: 44
|
Да, действительно с машинной авторизацией получается так как нужно. Спасибо за помощь.
|
13 авг 2014, 17:12 |
|
|
Bug$
Зарегистрирован: 17 дек 2012, 14:06 Сообщения: 44
|
Поторопился с выводами - на WinXP работает, на Win7 - нет. Почему-то на семерке при машинной авторизации получаю в логах Event 5440 Endpoint abandoned EAP session and started new Failure Reason 24441 Account not permitted to log on using the current workstation. Нагуглил несколько похожих ситуаций - но те решения не помогли. В целом отличие между логом входа XP-шки и 7-рки такие: - для XP используется EAP-FAST, для 7-ой EAP-TLS - для XP используется Username типа host/<Имя компьютера>, а для 7-ки host/<Имя компьютера>.<Имя домена> В логах коммутатора так же проскакивает сообщение %AUTHMGR-7-FAILOVER: Failing over from 'dot1x' for client (Unknown MAC) on Interface - и это только если туда включить компьютер с Win7 - на XP все работает как и задумано - авторизация происходит только если машина принадлежит домену и по атрибутам назначается номер VLAN. Служба "Проводная автонастройка" на 7-ке запущена, проверка подлинности включена. Безрезультатно бьюсь уже который день, может кто сталкивался - подскажите куда смотреть.
|
27 авг 2014, 14:41 |
|
|
real1st
Зарегистрирован: 04 окт 2011, 19:33 Сообщения: 1314
|
Цитата: This means that on the AD configuration of this user, the privileges are setup in a way that the machine has no privileges to login into that machine. This is something you have to look into the AD itself Usually a user can access to any machine and in this case one can go to "Active Directory Users and Computers" and go to User's Properties.
Select the "Account" tab and then select "Log On To". Ensure that the "All Computers" option is selected.
|
27 авг 2014, 15:06 |
|
|
Bug$
Зарегистрирован: 17 дек 2012, 14:06 Сообщения: 44
|
f@ntasist0 писал(а): Цитата: This means that on the AD configuration of this user, the privileges are setup in a way that the machine has no privileges to login into that machine. This is something you have to look into the AD itself Usually a user can access to any machine and in this case one can go to "Active Directory Users and Computers" and go to User's Properties.
Select the "Account" tab and then select "Log On To". Ensure that the "All Computers" option is selected. Находил это, но не могу понять каким боком здесь машинная авторизация т.е. авторизуется на данном этапе не пользователь, а компьютер (если я правильно все понимаю) - в AD можно запретить юзеру логиниться на конкретной машине, но в том и дело, что юзер еще не залогинился, кому и что тут запрещается в таком случае? На всякий случай проверил - всем юзерам (именно юзерам, а не компьютерам) разрешено Log on to All computers. Возможно я просто не до конца понимаю приведенный вами текст
|
27 авг 2014, 15:33 |
|
|
Bug$
Зарегистрирован: 17 дек 2012, 14:06 Сообщения: 44
|
Сегодня ни с того ни с сего аналогичная ошибка стала появляться и в случае подключения WinXP - настройки те же и на ISE и на подключаемой машине, а работает уже по-другому Уже начинаю верить в мистику
|
01 сен 2014, 11:46 |
|
|
Bug$
Зарегистрирован: 17 дек 2012, 14:06 Сообщения: 44
|
Непонятное продолжается: взял ноут с XP-шкой, вогнал в домен - для него все работает как и задумано. Выгнал из домена машину, для котрой машинная аутентификация не работает, а потом вогнал обратно в домен - теперь в логе ISE для этой машины вижу такое: 12110 PAC verification failed, а username для нее хоть убейся теперь host/anonymous, почему anonymous, она ведь в домене зарегана с другим именем?
|
01 сен 2014, 15:57 |
|
|
dana123
Зарегистрирован: 07 ноя 2023, 12:16 Сообщения: 1
|
hi
any suggestions here? i am facing the issue 5440 Endpoint abandoned EAP session and started new
br
|
07 ноя 2023, 13:53 |
|
|
|
Страница 1 из 1
|
[ Сообщений: 10 ] |
|
Кто сейчас на конференции |
Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 5 |
|
Вы не можете начинать темы Вы не можете отвечать на сообщения Вы не можете редактировать свои сообщения Вы не можете удалять свои сообщения Вы не можете добавлять вложения
|
|
|