802.1x Hp Procurve

Avendo gia preparato un server radius per l'autenticazione in una rete wi-fi con WPA2-Enterprise ho provato ad utilizzarlo anche per l'autentica port-based di uno swtich hp procurve.

Per effettuare le prove ho lavorato su una sola porta dello switch (la 36) e mi son poi preoccupato di configurare il client operante su quella porta per utilizzare il protocollo 802.1x.

Ho un server radius gia configurato dai precedenti articoli, con un db degli utenti estremamente ridotto e l'ip dello switch procurve elencato fra quelli autorizzati in /etc/raddb/clients.conf

client ip_switch{
secret = testing123
shortname = procurve
nastype = other
}

Mi collego via telnet allo switch hp, do le mie credenziali e configuro come segue:

-> Entro in modalità configurazione
configure

-> Specifico il server radius
radius-server host IP_RADIUS key testing123

-> Specifico il tipo di autentica che voglio
aaa authentication port-access eap-radius

-> Specifico che lavoro solo sulla porta 36, quindi setto la porta 36 come authenticator
aaa port-access authenticator 36

-> Attivo l'autenticazione port-based sulle porte precedentemente configurate
aaa port-access authenticator active

 

Questi i comandi per eliminare le configurazioni di cui sopra

->Elimina il server radius
no radius-server host IP_RADIUS

-> Rende la porta 36 "normale" e non authenticator
no aaa port-access authenticator 36

->Disattiva l'autenticazione port-based
no aaa port-access authenticator active

 

Questi i comandi per mostrare lo stato delle connession/configurazioni

-> Mostra il server radius
show radius

-> Mostra le porte che abbiamo settato come authenticator (se poi hai attivato l'autentica port-based vedrai scritto "closed" altrimenti vedrai scritto "open")
show port-access authenticator

-> Mostra le statistiche di autenticazione
show radius authentication

-> Mostra i client che si stanno connettendo sulla porta 36
show port-access supplicant 36

Nei log di sistema poi vedrai gli eventuali problemi

 

Fatto questo poi sul client (ubuntu) con network manager, nelle wired connection andrò a settare la sicurezza 802.1x provando prima di tutto EAP_MD5, ma anche gli altri metodi eap supportati dal server radius.

N.B: Chiaramente questa è solo una prova. In realtà settando così lo switch anche se sul client non usi il protocollo 802.1x  il traffico passa ugualmente. Un' idea sarebbe quella di creare 2 VLAN sullo switch, una a cui accedono i client autenticati (e a cui è permesso tutto), l'altra a cui accedono quelli non autenticati o che non hanno manco provato ad autenticarsi.

Print Friendly, PDF & Email