Procurve HP IDM et identification MAC

Procurve HP IDM et identification MAC - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 09-12-2008 à 10:51:32    

Bonjour,
 
Je suis à l'heure actuelle en stage, et comme sujet, je dois mettre en place l'identification MAC gérer par l'IDM de HP.
 
A l'heure actuelle, il y a un serveur radius (Microsoft), un serveur IDM et un ensemble de matériel HP  Procurve (dans ce cas l'utilisation de l'identification se fera surtout via des Switch 2650)
 
Mon but avec ce Vlan dynamique, est, lors d'une connection d'une périphérique sur un switch est:
 - adresse MAC reconnue => envoi dans le Vlan 1.
 - adresse MAC non-reconnue => envoi dans le Vlan2 puis identification via web pour un accès au net.
 
 
Jusque là, si la MAC est bien inscrite dans l'annuaire AD j'arrive à gérer les règles d'IDM pour l'envoyer dans le Vlan1.
Mais:
 - Normalement on peut assigner des adresses MAC à des utilisateurs, cela ne fonctionne pas, ça ne marche que si l'utilisateur à comme nom l'adresse MAC en elle même. (par exemple l'utilisateur smiley avec la MAC allouée xyz ne passera pas, alors que l'utilisateur xyz passera.)
 
En cas de non-reconnaissance, hélas, le switch ferme le port, et je n'ai aucun accès à rien, car le radius ne l'authentifie pas.
 
L'intérêt de l'IDM est la gestion des endpoints integrity, ainsi j'ai plusieurs options possible comme pass, failed, unknow..
 
le problème, est que je n'ai aucun retour des ces informations, l'idéal serai de faire une règle disant que si l'endpoint = failed alors redirection sur Vlan2.
 
Je suis en train de mettre en place un freeradius sur une etch (afin de ne pas toucher au radius actuel forcement)
à mon sens l'autre solution serai de paramétrer le radius, pour que si la MAC n'est pas reconnue, alors la périphérique deviant un "invité" ainsi l'IDM pourrai prendre le relais pour l'envoyer dans le VLan2.
 
Si je m'adresse à vous, c'est que j'espère qu'avec un peu de chance quelqu'un est déjà passé par la mise en place de ce système de sécurité,et que l'on puisse m'aider à régler ce problème de endpoint integrity, ou sinon de pouvoir m'aider à paramétrer le freeradius, parce que ce que je veux en faire est bien jolie, mais à mon avie plus facile à dire qu'à faire....  :(  
 
 
 
voilà, si 'jamais j'ai raté une réponse à mes recherches dans d'autre topic, navré, n'hésitez pas à me réorienter si vous le voulez bien!!
 
;)
 
merci d'avance!

Reply

Marsh Posté le 09-12-2008 à 10:51:32   

Reply

Marsh Posté le 10-02-2009 à 17:48:53    

Hello
 
pour permettre à ton utilisateur de tomber dans le VLAN2 si son authentification échoue tu dois passer la commande sur le switch:
aaa port-access mac-based "numport" unauth-vid 2
 
voilou
 

smiley2 a écrit :

Bonjour,
 
Je suis à l'heure actuelle en stage, et comme sujet, je dois mettre en place l'identification MAC gérer par l'IDM de HP.
 
A l'heure actuelle, il y a un serveur radius (Microsoft), un serveur IDM et un ensemble de matériel HP  Procurve (dans ce cas l'utilisation de l'identification se fera surtout via des Switch 2650)
 
Mon but avec ce Vlan dynamique, est, lors d'une connection d'une périphérique sur un switch est:
 - adresse MAC reconnue => envoi dans le Vlan 1.
 - adresse MAC non-reconnue => envoi dans le Vlan2 puis identification via web pour un accès au net.
 
 
Jusque là, si la MAC est bien inscrite dans l'annuaire AD j'arrive à gérer les règles d'IDM pour l'envoyer dans le Vlan1.
Mais:
 - Normalement on peut assigner des adresses MAC à des utilisateurs, cela ne fonctionne pas, ça ne marche que si l'utilisateur à comme nom l'adresse MAC en elle même. (par exemple l'utilisateur smiley avec la MAC allouée xyz ne passera pas, alors que l'utilisateur xyz passera.)
 
En cas de non-reconnaissance, hélas, le switch ferme le port, et je n'ai aucun accès à rien, car le radius ne l'authentifie pas.
 
L'intérêt de l'IDM est la gestion des endpoints integrity, ainsi j'ai plusieurs options possible comme pass, failed, unknow..
 
le problème, est que je n'ai aucun retour des ces informations, l'idéal serai de faire une règle disant que si l'endpoint = failed alors redirection sur Vlan2.
 
Je suis en train de mettre en place un freeradius sur une etch (afin de ne pas toucher au radius actuel forcement)
à mon sens l'autre solution serai de paramétrer le radius, pour que si la MAC n'est pas reconnue, alors la périphérique deviant un "invité" ainsi l'IDM pourrai prendre le relais pour l'envoyer dans le VLan2.
 
Si je m'adresse à vous, c'est que j'espère qu'avec un peu de chance quelqu'un est déjà passé par la mise en place de ce système de sécurité,et que l'on puisse m'aider à régler ce problème de endpoint integrity, ou sinon de pouvoir m'aider à paramétrer le freeradius, parce que ce que je veux en faire est bien jolie, mais à mon avie plus facile à dire qu'à faire....  :(  
 
 
 
voilà, si 'jamais j'ai raté une réponse à mes recherches dans d'autre topic, navré, n'hésitez pas à me réorienter si vous le voulez bien!!
 
;)
 
merci d'avance!


Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed