innovaphone Forum

You are here

Help with Search (new window)
Picture of Daniel 4850
Registered 4 years 298 days
Daniel 4850 Monday, 27 July 2020, 06:47 PM
Cisco ISE und 802.1X
Hallo zusammen,

ich bin gerade dabei bei einem Kunden eine frische Inno Anlage zu bauen. Der Kunde verwendet Cisco Switche und hat 802.1X in der Cisco ISE aktiviert.

Nun schlägt die ganze Zeit die Authentifizierung bei EAP-MD5 fehl -> Wrong Credentials. Wird hier bereits etwas gehashed?

Die Inno How-To's mit Freeradius und der im Artikel beschriebenen Cisco Konfiguration wurde auch schon ausprobiert.

Korrigiert mich wenn ich hier auf den Holzweg bin:
1. Dem muss Telefon bei 802.1X ein Username/PW vergeben werden, damit es überhaupt 802.1X aktiviert.

2. Die ISE gleicht die EAP-MD5 Credentials mit ihrer Datenbank ab.

3. Nach erfolgreicher Authentifizierung präsentiert das Telefon sein Zertifikat, und möchte EAP-TLS sprechen, richtig?
(Beide Inno Zertifikate [Device Authority / 2] wurden in die ISE geladen)

4. Die ISE prüft das präsentierte Zertifikat (Alternative Name wird überprüft) mit den Device Authority Zertifikat ab.

5. Der alternative Name Matched, der Zugang wird gewährt.

Auf dem Telefon läuft die V13SR12.

Ich nehme mal an, das 802.1X mit der Cisco ISE keine ungewöhnliche Konstellation darstellt. Kann hier jemand unter die Arme greifen? smile

Gruß,
Daniel

Picture of Karl Pennings Kally (innovaphone)
Moderator Registered 7 years 296 days
Karl Pennings Kally (innovaphone) Friday, 31 July 2020, 01:37 PM
Re: Cisco ISE und 802.1X
Hi Daniel,

Leider habe ich keine praktisch Erfahrung damit gesammelt.
Die wichtige wiki's zu diesem Thema hasst du vielleicht schon gefunden, werde Sie aber trotzdem mal listen.

Concept 802.1x

Refenrence11R1:Interface/ETH/802.1x

Howto:802.1x

Punkt 1. Stimmt es muss ein User eingetragen werden und das Kennwort (nur als on-switch)
EAP-TLS

The EAP-MD5 settings are going to reused for EAP-TLS needs. I.e. there's currently no extra setting for EAP-TLS.

User Enter the user/identity[1] to be sent within the EAP Identity request.[2]

  1. EAP-TLS doesn't mandate that identity to necessarily be the same as the certificates subject/CN
  2. 2.0 2.1 A non-empty user/password just serves as an "on"-switch

Wenn sich hier keiner meldet kannst du gerne ein Presales fall erstellen.

Grüsse,
Karl
← You can define your color theme preference here