Switch HP ProCurve 2530

[ADM-Vincent]

Bonjour,

 

Je travaille actuellement sur de nouveaux switchs (HP ProCurve 2530) et je souhaite effectuer du contrôle sur adresse mac ainsi que de l'attribution dynamique de VLAN en utilisant le rôle NPS fourni par Windows Serveur (dans mon cas il s'agit de WS2K12 R2 SD) mais je rencontre un problème au niveau des protocoles de chiffrement. En effet, la communication entre le switch et le serveur NPS est OK mais au niveau de la validation de l'authentification j'ai des erreurs et toute en rapport avec les protocoles de chiffrement.

 

A savoir que je ne souhaite pas chiffrer les authentifications (EX: PAP) et après une longue suite de recherches et de tests je n'ai pas du tout avancé... J'ai vraiment l'impression que ces switchs ne sont pas compatible avec ce protocole...

 

 

 

Je me tourne par conséquent vers vous pour de possibles idées.

 

Vincent 

 

 

 

 

 

[TheCyberSeb]

Bonjour,

 

A voir si ce hotfix ne corrige pas le problème.

 

https://support.microsoft.com/en-us/help/980295/no-response-to-802.1x-authentication-requests-after-authentication-fails-on-a-computer-that-is-running-windows-7-or-windows-server-2008-r2

[ADM-Vincent]

Merci pour votre réponse.

 

J'étudie la piste et je donne des nouvelles dès que possible.

 

Vincent.

[MathTek]

Bonjour,

 

ce que tu essaie de faire c'est du 802.1X, et en effet les procurve que tu utilises ne sont pas compatible avec du PAP ou SPAP à savoir les protocoles non chiffrés de NPS.

Les procurve 2530 ne sont compatible que CHAP et EAP. Et ton serveur est totalement capable de faire du chap:

Mais question, pourquoi ne pas vouloir que ça soit chiffré ? C'est fini les protocoles en clair ! (Regarde l'engouement pour l'HTTPS au détriment du HTTP).
Je te conseille fortement de chiffré tes protocoles, trop souvent dans les entreprises ce n'est pas fait, et lors d'un pentest on fait très mal !

Tiens nous au courant !

[ADM-Vincent]

Bonsoir,

 

Merci pour votre réponse.

 

Pour le pourquoi du "PAP ou SPAP" : nous avons déjà dans mon entreprise une installation avec un serveur NPS et des switchs HP mais d'une autre version et qui accepte le PAP et SPAP. L'achat de ces switchs est une "erreur" et j'essaie de rattraper cela comme je peux. De plus, nous en avons 10 et se seront les seuls. Nous avons pour projet, dans environ 1 ans, de basculer vers du CISCO. 

 

En effet, utiliser un protocole de chiffrement c'est bien mieux. Mais je souhaitais avant tout de trouver une solution me permettant de m'adapter à l'infra actuelle sans modification. 

 

J'ai déjà travaillé le sujet afin d'utiliser le protocole CHAP ou EAP mais je galère...

 

Je m'explique :

- Configuration CHAP sur le switch :

      > Dans l'observateur d’événements du SRV NPS, un msg indique que la connexion est refusé car " CHAP Challenge Handshake Authentication Protocol () est utilisé lorsque            la méthode d'authentification pour la connexion demandent, cependant CHAP n'est pas configuré pour stocker une forme cryptée réversible des mots de passe utilisateur."            Depuis mon compte utilisateur (@mac) j'ai bien coché la case pour le mot de passe réversible et j'ai bien crée une règle au niveau du groupe du compte me permettant de            stocker les mots de passes réversible donc je ne sais pas quoi faire... 

 

- Configuration EAP sur le switch :

   > Dans l’observateur d’événements j'obtiens l'erreur " Une erreur s’est produite lors de l’utilisation par le serveur NPS (Network Policy Server) du 
protocole EAP (Extensible Authentication Protocol). Recherchez les erreurs EAP". J'ai bien le service EAP de démarré sur le serveur...

 

C'est la première fois que je travaille sur cette techno et je suis dans le flou complet...

 

Vincent.

 

[MathTek]

Est-ce que tu peux montrer la configuration du switch ?
Pense à virer IP - Password et tout ce qui peut être confidentiel.

 

Après j'ai jamais fait avec du Windows mais ça doit pas bien différents des autres technos, ça reste du 802.1x, on va trouver ^^

[ADM-Vincent]

Oui, en pièce jointe la conf actuelle. (niveau confidentiel je suis sur une maquette donc ce n'est pas un problème ^^)

 

CONF-T2_2530_1.txtAller chercher des informations…

 

[MathTek]

J'ai lu ta configuration et il manque ces informations:

 

#Configuration du format de chiffrement (ce qui va faire disparaitre tes erreurs je penses)

aaa authentication port-access eap-radius

 

#Configuration l'authentification des ports spécifique
aaa port-access authenticator 1-20

 

#Assigner le VLAN 30 automatiquement une fois authentifier
aaa port-access authenticator 1-20 auth-vid 30

 

#Assigner le VLAN 1 si non identifié
aaa port-access authenticator 1-20 unauth-vid 1

 

#Activation du service

aaa port-access authenticator active

 

Dit nous si ça a avancé
A+

[ADM-Vincent]

Bonjour,

 

J'ai résolu mon problème. En réalité, il s'agissait d'un problème de couche 8 au niveau du radius... Je n'avais pas mis de mot de passe à mon compte utilisateur représentatif de l'@ MAC de mon poste... C'est pour cela que j'obtenais l'erreur :

 

  Le 27/04/2017 à 16:49, ADM-Vincent a dit :

CHAP Challenge Handshake Authentication Protocol () est utilisé lorsque            la méthode d'authentification pour la connexion demandent, cependant CHAP n'est pas configuré pour stocker une forme cryptée réversible des mots de passe utilisateur."

Expand  

 

En ce qui concerne la configuration de mon switch, 2 lignes suffisent :

- radius-serveur host xxx.xxx.xxx.xxx key x 

- aaa port-access mac-based x

 

Un peu gênant d'avoir perdu du temps juste pour ça...

 

En tout cas, merci pour l'aide apportée ! 

[MathTek]

Parfait ! content que tu ais trouvé une solution

Sujet résolu !