Lancom GS-4530XP 802.1X und Mac Authentication: MAB dauert zu lange

[Der_Gute]

Hallo zusammen,

folgendes Szenario:
EAP-TLS 802.1X mit Radius funktioniert soweit, wenn ich
authentication order dot1x mab setze.
Leider dauert es beim mab dann länger weil der Switch erstmal die ganzen Retries und timeouts abwartet, bis er dem NAC dann die MAC zuspielt.
Bei anderen Herstellern gibt es daher folgende Möglichkeit:
order umdrehen, also erst mab dann dot1x:
authentication order mab dot1x

Aber dafür die priority dann
authentication priority dot1x mab

Damit wird erzieht, dass der Switch von sich aus die MAC Adresse losschickt aber sobald der Client dann von sich aus authentifizieren will, nimmt der Switch priorisiert die 802.1X authentication.

Beim Lancom funktioniert das jedoch nicht. Sobald der MAB durchgelaufen ist und vom NAC ein Accept gekommen ist, macht der Switch keine Anstalten mehr bzgl. eines darauffolgenden dot1x authentication versuchs.

Gibt es dazu irgendwelche Informationen, wie man bei Lancom damit umgehen kann?

Theoretisch möchte ich ja folgenden Workflow erreichen:
Mitarbeiter gerät fährt hoch -> MAB, Gerät ist im Loginscreen -> 802.1X MachineAuth, Gerät ist eingelogged -> 802.1X UserAuth
Ein Macbasiertes gerät -> Direkt MAB ohne großen Timeout

Viele Grüße und vielen Dank
Der_Gute

[lna]

Hallo zurück,
ausprobiert habe ich es noch nicht, aber du hast unter Security > Authentication Manager > Authentication Tiering je Port die Möglichkeit, Reihenfolge und Priorität der Authentifizierungsmethoden einzustellen.

Wenn ich das richtig interpretiere ist der Re-Authentication Timer in diesem Menü dafür da, dass ein Client der mit einer niedrig priorisierten Methode authentifiziert wurde, reauthentifiziert wird.
Also Einstellung:
Configured Method Order: 1. MAB, 2. Dot1X
Configured Method Priority: 1. Dot1x, 2. MAB
Re-Authentication Timer: 30 Sec.

Sorgt dafür dass jemand, der mit MAB authentifiziert wurde nach 30 Sekunden nochmal ein EAP-Start bekommt. oder?

Use this page to configure the sequence and priority of the authentication methods for the interfaces on the device. When Authentication Manager is enabled globally, the authentication methods configured on an interface are executed in the order configured as the device attempts to authenticate clients on that interface. The default method order is Dot1x, MAC Authentication Bypass (MAB). To configure the settings for one or more interfaces, select each entry to modify and click Edit. The settings are applied to all selected interfaces.

Interface
The interface associated with the rest of the data in the row. When editing information for one or more interfaces, this field identifies the interfaces that are being configured.

Configured Order
The order in which the authentication methods are used to authenticate a client connected to an interface, which can be one or more of the following:
Dot1x – The port-based authentication method.
MAB – MAC Authentication Bypass method that uses the MAC address of the client to determine the kind of network access to provide.

Enabled Order
The methods from the list of authentication methods configured on an interface which are administratively enabled in the device.

Configured Priority
The priority of the authentication methods. The default priority of a method is equivalent to its position in the order of the authentication list configured per interface. If the priority of the methods is changed, all clients authenticated using a lower priority method are forced to re-authenticate.

Enabled Priority
The methods from the list of authentication method priorities configured on an interface which are administratively enabled in the device.

Re-Authentication Timer
Interval, in seconds, after which an attempt is made to authenticate an unauthorized port.

[Der_Gute]

Hallo Lukas,

zunächst vielen Dank für deine Rückmeldung. Während du im Webinterface unterwegs bist, war ich es im CLI
Daraus ergibt sich jedoch, dass mein Interface genauso gesetzt ist (siehe Screenshot).
Das Problem sehe ich jedoch in der Tatsache, dass für den Switch der Port via MAB authentifiziert wurde (beispielsweise guest, da unknown und somit aber nicht REJECT) und der Switch daher EAPOL, die danach vom Client ausgehen, nicht mehr annimmt. Der Reauthentication Timeout scheint hier nicht mehr zu greifen, da der Port ja authorized ist.
Der Switch ist quasi nach dem MAB fertig, obwohl die Dot1x Priorität höher ist .

Hat jemand dazu Input für mich?

Viele Grüße
Dennis

[lna]

Hi Dennis,
ich nutze das Webinterface immer dann, wenn ich etwas mehr Prosa zu den Konfig-Optionen brauche, als in der CLI-Referenz vorhanden ist.
Oben rechts in der Ecke gibts das ( ? ) Menü, da wird kontextabhängig die Hilfe eingeblendet - daher kommt auch die Beschreibung die ich zitiert habe.

Hatte gehofft dass das auf dein Problem zutrifft, es gibt ja noch einen zweiten Reauthentifizierungs-Timeout, der nach erfolgreicher Anmeldung das "darf ich immernoch" nach einer festgelegten Zeit abfragt.

Je öfter ich die Inline-Hilfe lese desto weniger glaube ich dass das geht was du vor hast.
Das kann auch heißen "wenn du die Configured Priority manuell änderst, dann wird reauthentifiziert..

Configured Priority
The priority of the authentication methods. The default priority of a method is equivalent to its position in the order of the authentication list configured per interface. If the priority of the methods is changed, all clients authenticated using a lower priority method are forced to re-authenticate.

Holzhammer-Methode: CoA vom Radius-Server periodisch nach erfolgreicher MAB, dadurch Session killen und reauth erzwingen?
oder über den lokalen reauth timer spielen. wenn der kurz gesetzt ist, sorgt aber ein Ausfall des Radius-Servers schnell für Chaos.

Code: Alles auswählen

(SW-Core)(Interface 1/0/4)#authentication timer ?

reauthenticate           Time period after which an automatic
                         re-authentication is intiated.
restart                  Time period after which try to authenticate an
                         unauthorized port.