Hej,
taki scenariusz:.
uruchamiam 802.1X/MAB na porcie przełącznika. Na komputerze (z Windows 10) uruchamiam 802.1X. Niby wszytko jest ok, tylko pytanie:
Czy da się zrobić tak, że jak na komputerze mamy uruchomione 802.1X, a gdy nie powiedzie się 802.1X/MAB to dostaniemy CWA? (gdy na PC mam wyłączone 802.1X to CWA działa!)
Chodzi o to, że jak ktoś przyjdzie z zewnątrz(a ma włączone 802.1X) a podłączy się do LAN to powinienem dostać CWA.
ISE 2.4 WIRED , GUEST
Re: ISE 2.4 WIRED , GUEST
Tak zalezy jak zbudujesz policy, poczytaj tez o EAP Chaining gdzie mozna polaczyc/ rozdzielic machine i username authentication.
Re: ISE 2.4 WIRED , GUEST
no własnie czytam, ale jakoś idzie mi to akurat opornie strasznie:) a jeszcze Cisco nie zawsze to opisuje w "przyswajalny" sposób;)
Re: ISE 2.4 WIRED , GUEST
Authentication policy:
dot1.x Wired -if authentication failed -> Continue
Authorization policy
dot1.x wired failed authentication -> Guest portal. Tam gdzies trzeba zazacznyc w authoirzation profile zeby byl Guest portal rediret czy jakos tak. I pamietaj zeby dac ta policy pod ta ktora mowi ze authentication bylo successful;
dot1.x Wired -if authentication failed -> Continue
Authorization policy
dot1.x wired failed authentication -> Guest portal. Tam gdzies trzeba zazacznyc w authoirzation profile zeby byl Guest portal rediret czy jakos tak. I pamietaj zeby dac ta policy pod ta ktora mowi ze authentication bylo successful;
Re: ISE 2.4 WIRED , GUEST
Tak, udało się. to zrobić. Przepraszam, za spóźnione info.
A czy próbował ktoś scenariusza, że najpierw komputer jest uwierzytelniony za pomocą MAB(baza mac w ise), a jak np. system się uruchomi to jest uwierzytelnienie hosta i usera np. EAP-TLS, EAP-TTLS, czy EAP-FAST.
A czy próbował ktoś scenariusza, że najpierw komputer jest uwierzytelniony za pomocą MAB(baza mac w ise), a jak np. system się uruchomi to jest uwierzytelnienie hosta i usera np. EAP-TLS, EAP-TTLS, czy EAP-FAST.
Re: ISE 2.4 WIRED , GUEST
Hej,
wpadłem jeszcze na jeden ciekawy pomysł;)
Zrobiłem tak:
komputer(jego mac) jest dodany do ISE i leci jako MAB(potem bedzie jeszcze profiling), dostaje dostęp do sieci -częściowy,
następnie jak system się uruchomi leci 802.1X. User się autoryzuje dostaje full dostęp (czyli wszystko ok).
no i tutaj mam problem.. po czasie wygaśnięcia sesji 802.1X komputer wraca do mab.. nie ma ponownej reautoryzacji 802.1X..
ktoś ma pomysł na ten problem?
wpadłem jeszcze na jeden ciekawy pomysł;)
Zrobiłem tak:
komputer(jego mac) jest dodany do ISE i leci jako MAB(potem bedzie jeszcze profiling), dostaje dostęp do sieci -częściowy,
następnie jak system się uruchomi leci 802.1X. User się autoryzuje dostaje full dostęp (czyli wszystko ok).
no i tutaj mam problem.. po czasie wygaśnięcia sesji 802.1X komputer wraca do mab.. nie ma ponownej reautoryzacji 802.1X..
ktoś ma pomysł na ten problem?
Re: ISE 2.4 WIRED , GUEST
To troche bez sensu .
Po co ci mab sokro masz 802.1 na mab rob to co sie nie da na 802.1
Ja robie MAB np. dla starych drukarek + acl
Dla komow w domeny to dajesz jakies gpo.
Potem komp jesli jes w domenie to go autentyfikuje do jakiegos posredniego vlanu (aby mial dostep do kontrolera)
Potem jesli sie user zaloguje to go przewala do vlanu jaki mu przypisalem w AD.
Jak sie wyloguje to wpadnie spowrotem do vlannu kompa z domeny .
Generalnie mozliwosci ise ma sporo i od Ciebie zalezy co wymyslisz.
Po co ci mab sokro masz 802.1 na mab rob to co sie nie da na 802.1
Ja robie MAB np. dla starych drukarek + acl
Dla komow w domeny to dajesz jakies gpo.
Potem komp jesli jes w domenie to go autentyfikuje do jakiegos posredniego vlanu (aby mial dostep do kontrolera)
Potem jesli sie user zaloguje to go przewala do vlanu jaki mu przypisalem w AD.
Jak sie wyloguje to wpadnie spowrotem do vlannu kompa z domeny .
Generalnie mozliwosci ise ma sporo i od Ciebie zalezy co wymyslisz.