Novell client и 802.1х

[Gambler]

Проблема: в скором времени будут внедрены свичи с авторизацией на порту по протоколу 802.1х. Залогинитьса в новел в таком случае не выйдет, потому как свич не пустит дальше себя, без авторизации. Придётся в начале попасть на раб станю а потом уже в новелл.
На новеловском сайте есть решение: покупайте мол дополнительно субклиенты каторые решают проблему двойного логина. (Odyssey client)

Вопрос! Есть ли им альтернатива? или какое хитрое самопальное решение. ибо енто всё в копеечку выльеться

[PavelKHTW]

Проблема: в скором времени будут внедрены свичи с авторизацией на порту по протоколу 802.1х. Залогинитьса в новел в таком случае не выйдет, потому как свич не пустит дальше себя, без авторизации. Придётся в начале попасть на раб станю а потом уже в новелл.

Вероятно вы не так поняли процесс работы авторизации 802.1х.
- на портах свичей, авторизуются рабочие станции и другие сетевые устройства, а не клиенты, которые за ними работают.
Все ваши устройства должны быть зарегистрированы в eDir, а свичи с помощью RADIUS уже будут определять - можно или нет

[Gambler]

Хмм. Каким же образом рабочая станция авторизуеться на порту? По IP? MAC адресу? Или всётаки после того как пользователь введёт логин пароль. В виндузе есть поддержка 802.1х. Поетому после логина в виду раб станция попадает в сеть. А новеловский клиент осуществляет логин до входа в винду и тут уж ничего не остаёться кроме как логиниться workstation only, а потом уже в новел.
вот тут всё в принципе и сказано http://support.novell.com/cgi-bin/searc ... 100693.htm

Поэтому вопрос остаёться открытым.

[Андрей Тр. aka RH]

Хмм. Каким же образом рабочая станция авторизуеться на порту? По IP? MAC адресу? Или всётаки после того как пользователь введёт логин пароль.

По сертификату ? ( который устанавливается на рабочей станции ). После чего RADIUS сервер авторизует данное устройство ( в случае годности этого сертификата ). А всякие логины ( куда бы они не производились ) - уже другая история. Ну, так мне оно все представляется.

[PavelKHTW]

Хмм. Каким же образом рабочая станция авторизуеться на порту? По IP? MAC адресу? Или всётаки после того как пользователь введёт логин пароль.

Привожу цитату из документации к свичам Cisco 3750, раздел настройки аутентификации 802.1х

Код: Выделить всё

The IEEE 802.1x standard defines a client-server-based access control and authentication protocol that
prevents unauthorized clients from connecting to a LAN through publicly accessible ports unless they
are properly authenticated. The authentication server authenticates each client connected to a switch port
before making available any services offered by the switch or the LAN.
Until the client is authenticated, IEEE 802.1x access control allows only Extensible Authentication
Protocol over LAN (EAPOL), Cisco Discovery Protocol (CDP), and Spanning Tree Protocol (STP)
traffic through the port to which the client is connected. After authentication is successful, normal traffic
can pass through the port.

- как видим, ничего другого кроме EAPOL(собственно обмен между станцией и свичем данными аутентификации), CDP и STP нет.
Теперь собственно что такое клиент этой аутентификации

Код: Выделить всё

Client—the device (workstation) that requests access to the LAN and switch services and responds
to requests from the switch. The workstation must be running IEEE 802.1x-compliant client
software such as that offered in the Microsoft Windows XP operating system. (The client is the
supplicant in the IEEE 802.1x specification.)


[Алексей Волков]

Если Вас устраивает аутентификация по ключу, то проблем с клиентом-Novell не будет (пробовали на HP-свитчах + FreeRADIUS - работает).

Вы действительно должны импортнуть сертификат в хранилище самой рабочей станции, чтобы она смогла его использовать до логина пользователя.

Тут есть пара ньюансов.
1) Сертификат должен содержать расширение 802.1x EAP TLS.

Вот ссылка http://support.novell.com/cgi-bin/search/searchtid.cgi?10091489.htm

2) После логина в Windows (по крайней мере, в 2000) винда уже ищет юзеровый сертификат и переаутентифицирует себя по порту.

3) В винде есть глюк, она не выполняет действия по аутентификации по порту интерфейса и посылку DHCP-запросов последовательно. Она это делает это !!!ПАРАЛЕЛЬНО!!! Поэтому если у Вас на свитчах не будет настроено пропускать DHCP-запросы без авторазации (т.е. грубо говоря, некоторые свитчи позволяют организовывать такую себе буфферную зону, куда попадаешь до авторизации по ключу и куда может включаться DHCP-сервер), то могут быть проблемы с подключениями.

P.S. Если необходимого снапина под iManager или C1 нет, то я могу за пару пряников его написать

[Андрей Тр. aka RH]

Сертификаты еще могут быть и машинными ( точнее, способ авторизации по ним настраивается ключиком в реестре - а сертификат при этом один и тот же ). Так что аутентификация и установка соединения ( DHCP и пр. ) выполняется еще до логина пользователя ( в Винду, Новелл и т.п. ). У нас на сертификатах устроен беспроводной доступ, так что комп без сертификата дальше точки доступа не уйдет ( как мне кажется, это ситуация, до некоторой степени аналогичная свичам ).