Re: RADIUS MAC認証について

r-man · ‎2019-04-02

現在Catalyst 2960-xにてmabのRADIUS認証設定をしております。

RADIUSサーバーはWindows Server 2008 R2のNPSを使用しております。

動作検証をしている中MACアドレスをユーザー登録している状態で、対象PCを接続すると一度認証されました。

次にそのユーザーを無効にして再接続するとMABに失敗しました。

そして再度該当ユーザーを有効にすると同様にMABの失敗になってしまいました。

質問ですが、一度登録を外すと認証が失敗してしまう原因は何が考えられるでしょうか。

登録されていたユーザーを削除して再登録しても状況が変わりません。

何かヒントになることなど何でも良いので、ご教授頂きたいです。

流れをログは以下です。

▼ユーザー登録された状態で対象PCを接続したときのCiscoログ
Apr 2 02:20:23.595: %AUTHMGR-5-START: Starting 'mab' for client (0000.1111.2222) on Interface Gi1/0/19 AuditSessionID 0A120828000001281434C46A
Apr 2 02:20:23.606: %MAB-5-SUCCESS: Authentication successful for client (0000.1111.2222) on Interface Gi1/0/19 AuditSessionID 0A120828000001281434C46A
Apr 2 02:20:23.609: %AUTHMGR-7-RESULT: Authentication result 'success' from 'mab' for client (0000.1111.2222) on Interface Gi1/0/19 AuditSessionID 0A120828000001281434C46A
Apr 2 02:20:24.228: %AUTHMGR-5-SUCCESS: Authorization succeeded for client (0000.1111.2222) on Interface Gi1/0/19 AuditSessionID 0A120828000001281434C46A

hostname#sh authentication sessions int gi1/0/19
Interface: GigabitEthernet1/0/19
MAC Address: 0000.1111.2222
IP Address: Unknown
User-Name: 000011112222
Status: Authz Success
Domain: DATA
Oper host mode: multi-auth
Oper control dir: both
Authorized By: Authentication Server
Vlan Policy: N/A
Session timeout: N/A
Idle timeout: 300s (local), Remaining: 282s
Common Session ID: 0A120828000001281434C46A
Acct Session ID: 0x00000248
Handle: 0xED000129

Runnable methods list:
Method State
mab Authc Success

▼ユーザー登録を無効状態＆再登録して対象PCを接続したときのCiscoログ
Apr 2 15:00:00.265: %AUTHMGR-5-START: Starting 'mab' for client (0000.1111.2222) on Interface Gi1/0/19 AuditSessionID 0A1208280000000D001D0271
Apr 2 15:00:00.265: %MAB-5-FAIL: Authentication failed for client (0000.1111.2222) on Interface Gi1/0/19 AuditSessionID 0A1208280000000D001D0271
Apr 2 15:00:00.265: %MAB-5-FAIL: Authentication failed for client (0000.1111.2222) on Interface Gi1/0/19 AuditSessionID 0A1208280000000D001D0271
Apr 2 15:00:00.265: %AUTHMGR-7-RESULT: Authentication result 'server dead' from 'mab' for client (0000.1111.2222) on Interface Gi1/0/19 AuditSessionID 0A1208280000000D001D0271
Apr 2 15:00:00.671: %AUTHMGR-5-SUCCESS: Authorization succeeded for client (0000.1111.2222) on Interface Gi1/0/19 AuditSessionID 0A1208280000000D001D0271

hostname#sh authentication sessions interface gi1/0/19
Interface: GigabitEthernet1/0/19
MAC Address: 0000.1111.2222
IP Address: Unknown
Status: Authz Success
Domain: DATA
Oper host mode: multi-auth
Oper control dir: both
Authorized By: Critical Auth
Vlan Policy: 42
Session timeout: N/A
Idle timeout: 300s (local), Remaining: 293s
Common Session ID: 0A1208280000000D001D0271
Acct Session ID: 0x0000000F
Handle: 0x0F00000E

Runnable methods list:
Method State
mab Authc Failed

Critical Authorization is in effect for domain(s) DATA

r-man · ‎2019-04-02

補足ですが、RADIUSサーバーとの疎通は出来ております。

kkarasak · ‎2019-07-09

こんにちは。

通常 MAB 認証は RADIUS 側にて実施し、その結果を NAD/NAS ( 今回は C2960X )
に通知してきます。その為 NAD/NAS 側の設定変更せずに NAD/NAS 側の動作が
変わる事は考えにくい状況です。

したがって、「一度登録を外すと認証が失敗してしまう原因」は RADIUS サーバー
側の動きの可能性が高いと考えており、RADIUS サーバー側の動作ログや設定を
再度ご確認頂ければと思います。

また、頂いた次のログは、RADIUS 側が Access-Reject を返さず、DROP ( 無応
答 ) となるような設定になっているために、出力していると推察しております。

%AUTHMGR-7-RESULT: Authentication result 'server dead' from 'mab' for client

状況をご確認頂くには、NAD <---> RADIUS Server 間の NAD 直近のパケットキャ
プチャーにて RADIUS 通信をご確認頂くか、下に記載する debug コマンド等を
ご利用頂き状況をご確認頂ければと思います。

- debug mab all
- debug aaa authentication
- debug radius
- debug radius authentication

これらの出力は次の資料を参考にご確認頂ければと思います。

※ ただし、資料は別の機能に対するログとなること、IOS バージョンや対象機
　器により出力が異なる事がありますので、あくまでも参考程度とお考えくだ
　さい。

- Troubleshoot Identity-Based Networking Services (IBNS) 2.0
https://www.cisco.com/c/en/us/support/docs/switches/catalyst-3750x-48pf-s-switch/200570-Troubleshoot-Identity-Based-Networking-S.html#anc6

これら情報から判断は難しい場合には、TAC SR でのお問い合わせをご検討頂け
ますでしょうか。