Teknologisk videncenter - User contributions [en]

BGP til OSPF redistribution Cisco IO

2012-09-03T13:36:55Z

SFarsø:

For at distribuere bgp router ind i ospf, så brug redistribute bgp kommandoen, husk at sætte metric og subnets på, ellers så virker det ikke!

router ospf 10
log-adjacency-changes
'''redistribute bgp 64512 metric 1500 subnets'''
network 10.1.0.0 0.0.255.255 area 0

BGP til OSPF redistribution Cisco IO

2012-09-03T13:36:34Z

SFarsø:

BGP til OSPF redistribution Cisco IO

2012-09-03T13:36:17Z

SFarsø: Created page with "For at distribuere bgp router ind i ospf, så brug redistribute bgp kommandoen, husk at sætte metric og subnets på, ellers så virker det ikke! router ospf 10 log-adjacency-c..."

Linux AD intergration

2011-12-22T14:03:07Z

SFarsø: Known issues

Denne side indeholder alle de kommandoer, der skal bruges til at melde en Ubuntu maskine ind i et AD og jeg har bruge en Ubuntu 10.04 server til opsætningen. 
'''Alt fed tekst repræsentere kommandoer som jeg har tastet ind.''' 
Dette gjort så man kan kende forskel på kommentarer og kommandoer. 
<pre>Alt tekst som jeg har sat ind i konfigurations filer ser sådan her ud</pre>
For det meste er der anden konfiguration i filerne, så led dem igennem for at finde de rigtige steder. Særligt smb.conf er slem, men her kan man bruge '''testparm''' kommandoen til at få vist konfigurationen uden kommentarer. 

'''vi /etc/hostname '''
Her retter jeg hostname til på maskinen, hvad end der bliver skrevet i denne fil bliver til hostname. Dog skal der genstartes før ændringerne tager effekt, dette gøres med '''shutdown -r now''' 

<pre>SRFSamba</pre>

'''vi /etc/resolv.conf '''
Her retter jeg til hvilke DNS server vi skal spørge, da vi bruger pr. default bruger DHCP til at sætte IP med, så skal vi huske at skifte væk fra det. Ellers så ændre DHCP klienten denne fil hver gang den fornyer lease. 
<pre>nameserver 172.16.4.130

domain itdervirker.dk
search itdervirker.dk</pre>

'''vi /etc/hosts '''
Vi skal også rette vores hosts fil til, ellers så brokker den sig over at vi ikke kan slå os selv op, når vi prøver at melde os ind i domænet. Man kunne også blot oprette vores server i DNS. 

<pre>127.0.0.1 localhost
127.0.1.1 SRFSamba.itdervirker.dk</pre>

'''vi /etc/network/interfaces '''
Her skifter vi væk fra DHCP, som vi bliver nød til hvis vi vil beholde vores resolv.conf. 

<pre># The primary network interface
auto eth0
iface eth0 inet static
address 172.16.4.147
netmask 255.255.255.0
gateway 172.16.4.19</pre>

'''/etc/init.d/networking restart '''
Genstart netværks servicen for at ændringerne tager effekt. 
'''apt-get install samba '''
Installer Samba som vi skal bruge til at melde os ind i domænet. 
'''vi /etc/samba/smb.conf '''
Her er de indstillinger der skal til for at melde os ind, det letteste er at slå disse options op i man smb.conf. 

<pre>workgroup = ITDERVIRKER
realm = ITDERVIRKER.DK
security = ADS
os level = 0
local master = No
domain master = No
idmap uid = 10000-20000
idmap gid = 10000-20000
template shell = /bin/bash
winbind enum users = Yes
winbind enum groups = Yes</pre>

'''vi /etc/nsswitch.conf '''
Så skal vi have rettet til, sådan at Ubuntu bruger winbind til at slå brugere op med. Denne opsætning betyder dog at den først slår op lokalt og derefter så bruger den winbind, dette er gjort sådan at vi ikke kan lukke os selv ude. 

<pre>passwd: compat winbind
group: compat winbind
shadow: compat</pre>

'''apt-get install winbind '''
Installer winbind 
'''apt-get install krb5-kdc '''
Installer keberus, her blev jeg bedt om at skrive domæne navn efter installationen, jeg trykkede bare enter uden at skrive noget. 
'''service smbd stop '''
Vi bliver nød til at stoppe Samba før vi kan melde os ind i domænet. 
'''apt-get install ntp '''
Kerberus kræver at tiden på vores DC og vores klient er indstillet inden for 5min af hinanden, så derfor så bliver vi NTP til at synkronisere. 
'''vi /etc/ntp.conf '''
Her benytter jeg mars.tekkom.dk til at sætte tiden, hvilken server der bliver brugt betyder ikke så meget, så længe vi bruger den samme på alle maskiner. 

<pre># You do need to talk to an NTP server or two (or three).
server mars.tekkom.dk</pre>

'''service ntp restart '''
Genstart NTP for at ændringerne tager effekt. 
'''service winbind stop '''
Husk også at stoppe winbind før vi melder os ind i domænet. 
'''kinit administrator@ITDERVIRKER.DK '''
Her henter vi vores Kerberus token, den skal vi bruge for at kunne melde os ind. Husk at skrive domænet med stort ellers så virker det ikke. 
'''net ads join -S SRFDC.itdervirker.dk -U administrator '''
Så melder vi os endeligt ind i domænet 
'''service smbd start '''
'''service winbind start '''
Start smbd og winbind igen. 
'''wbinfo -u '''
'''wbinfo -g '''
Her tester vi om det virker og hvis det virker så skulle vi se noget i den her stil: 
wbinfo -u 
<pre>SRFSAMBA\sfa
SRFSAMBA\user2
SRFSAMBA\user1
SRFSAMBA\user3
ITDERVIRKER\administrator
ITDERVIRKER\guest
ITDERVIRKER\krbtgt
ITDERVIRKER\badass
</pre>
Eller hvis vi bruger wbinfo -g 
<pre>ITDERVIRKER\domain computers
ITDERVIRKER\domain controllers
ITDERVIRKER\schema admins
ITDERVIRKER\enterprise admins
ITDERVIRKER\cert publishers
ITDERVIRKER\domain admins
ITDERVIRKER\domain users
ITDERVIRKER\domain guests
ITDERVIRKER\group policy creator owners
ITDERVIRKER\ras and ias servers
ITDERVIRKER\allowed rodc password replication group
ITDERVIRKER\denied rodc password replication group
ITDERVIRKER\read-only domain controllers
ITDERVIRKER\enterprise read-only domain controllers
ITDERVIRKER\dnsadmins
ITDERVIRKER\dnsupdateproxy
</pre>

Her er et eksempel på et login med en AD bruger 
[[File:SambaADLogin.png ]]

Hvis der automatisk skal oprettes et home directory, til den bruger som logger ind, så skal følgende gøres: 
'''''FOR GUDS SKYLD TAG EN BACKUP ELLER SNAPSHOT FØR DU PILLER VED pam.d! NU ER DU ADVARET!'''''

'''vi /etc/pam.d/sshd'''
<pre># Auto create /home/ folder for AD user logging in
session required pam_mkhomedir.so skel=/etc/skel/ umaske=0022</pre>

'''vi /etc/samba/smb.conf '''
%D er domæne navn og %U er username
<pre>template homedir = /home/%D/%U</pre>

Nu vil vi gerne have login begrænset på AD grupper og samtidigt give en gruppe adgang til at bruge sudo. 
Først skal vi ind i pam og have det rettet til, sådan at vi kan bruge access.conf

'''vi /etc/pam.d/sshd'''
<pre>
# Uncomment and edit /etc/security/access.conf if you need to set complex
# access limits that are hard to express in sshd_config.
account required pam_access.so</pre>

'''vi /etc/security/access.conf'''
Så er det tid til at rette access.conf til, du kan enten bruge min til reference eller læse de eksempler der står igennem. Vær dog opmærksom på at vi ikke gør forskel på brugere og gruppe, så der kan komme nogle problemer, hvis jeg nogensinde opretter en bruger ved navn linux. 
<pre>+ : root : ALL
+ : ITDERVIRKER\linux : ALL
+ : ITDERVIRKER\linux-admin : ALL
- : ALL : ALL</pre>

'''visudo'''
Tilføj gruppen til sudoers filen, husk at bruge en ekstra \ som escape char for \ 
<pre>%ITDERVIRKER\\linux-admin ALL=(ALL) ALL</pre>

'''''Known Issues'''''
*Hvis forbindelsen til ADet pludseligt bliver smidt, så kan det være DHCP som har overskrevet resolv.conf, dette kan ske også selvom man har bedt maskinen om at bruge statisk IP. 
*Man må ikke navngive ens samba server, det samme som man har navngivet domænet.

Linux AD intergration

2011-12-22T13:34:17Z

SFarsø:

Linux AD intergration

2011-12-22T11:57:32Z

SFarsø:

Denne side indeholder alle de kommandoer, der skal bruges til at melde en Ubuntu maskine ind i et AD og jeg har bruge en Ubuntu 10.04 server til opsætningen. 
'''Alt fed tekst repræsentere kommandoer som jeg har tastet ind.''' 
Dette gjort så man kan kende forskel på kommentarer og kommandoer. 
<pre>Alt tekst som jeg har sat ind i konfigurations filer ser sådan her ud</pre>
For det meste er der anden konfiguration i filerne, så led dem igennem for at finde de rigtige steder. Særligt smb.conf er slem, men her kan man bruge '''testparm''' kommandoen til at få vist konfigurationen uden kommentarer. 

'''vi /etc/hostname '''
Her retter jeg hostname til på maskinen, hvad end der bliver skrevet i denne fil bliver til hostname. Dog skal der genstartes før ændringerne tager effekt, dette gøres med '''shutdown -r now''' 

<pre>SRFSamba</pre>

'''vi /etc/resolv.conf '''
Her retter jeg til hvilke DNS server vi skal spørge, da vi bruger pr. default bruger DHCP til at sætte IP med, så skal vi huske at skifte væk fra det. Ellers så ændre DHCP klienten denne fil hver gang den fornyer lease. 
<pre>nameserver 172.16.4.130

domain itdervirker.dk
search itdervirker.dk</pre>

'''vi /etc/hosts '''
Vi skal også rette vores hosts fil til, ellers så brokker den sig over at vi ikke kan slå os selv op, når vi prøver at melde os ind i domænet. Man kunne også blot oprette vores server i DNS. 

<pre>127.0.0.1 localhost
127.0.1.1 SRFSamba.itdervirker.dk</pre>

'''vi /etc/network/interfaces '''
Her skifter vi væk fra DHCP, som vi bliver nød til hvis vi vil beholde vores resolv.conf. 

<pre># The primary network interface
auto eth0
iface eth0 inet static
address 172.16.4.147
netmask 255.255.255.0
gateway 172.16.4.19</pre>

'''/etc/init.d/networking restart '''
Genstart netværks servicen for at ændringerne tager effekt. 
'''apt-get install samba '''
Installer Samba som vi skal bruge til at melde os ind i domænet. 
'''vi /etc/samba/smb.conf '''
Her er de indstillinger der skal til for at melde os ind, det letteste er at slå disse options op i man smb.conf. 

<pre>workgroup = ITDERVIRKER
realm = ITDERVIRKER.DK
security = ADS
os level = 0
local master = No
domain master = No
idmap uid = 10000-20000
idmap gid = 10000-20000
template shell = /bin/bash
winbind enum users = Yes
winbind enum groups = Yes</pre>

'''vi /etc/nsswitch.conf '''
Så skal vi have rettet til, sådan at Ubuntu bruger winbind til at slå brugere op med. Denne opsætning betyder dog at den først slår op lokalt og derefter så bruger den winbind, dette er gjort sådan at vi ikke kan lukke os selv ude. 

<pre>passwd: compat winbind
group: compat winbind
shadow: compat</pre>

'''apt-get install winbind '''
Installer winbind 
'''apt-get install krb5-kdc '''
Installer keberus, her blev jeg bedt om at skrive domæne navn efter installationen, jeg trykkede bare enter uden at skrive noget. 
'''service smbd stop '''
Vi bliver nød til at stoppe Samba før vi kan melde os ind i domænet. 
'''apt-get install ntp '''
Kerberus kræver at tiden på vores DC og vores klient er indstillet inden for 5min af hinanden, så derfor så bliver vi NTP til at synkronisere. 
'''vi /etc/ntp.conf '''
Her benytter jeg mars.tekkom.dk til at sætte tiden, hvilken server der bliver brugt betyder ikke så meget, så længe vi bruger den samme på alle maskiner. 

<pre># You do need to talk to an NTP server or two (or three).
server mars.tekkom.dk</pre>

'''service ntp restart '''
Genstart NTP for at ændringerne tager effekt. 
'''service winbind stop '''
Husk også at stoppe winbind før vi melder os ind i domænet. 
'''kinit administrator@ITDERVIRKER.DK '''
Her henter vi vores Kerberus token, den skal vi bruge for at kunne melde os ind. Husk at skrive domænet med stort ellers så virker det ikke. 
'''net ads join -S SRFDC.itdervirker.dk -U administrator '''
Så melder vi os endeligt ind i domænet 
'''service smbd start '''
'''service winbind start '''
Start smbd og winbind igen. 
'''wbinfo -u '''
'''wbinfo -g '''
Her tester vi om det virker og hvis det virker så skulle vi se noget i den her stil: 
wbinfo -u 
<pre>SRFSAMBA\sfa
SRFSAMBA\user2
SRFSAMBA\user1
SRFSAMBA\user3
ITDERVIRKER\administrator
ITDERVIRKER\guest
ITDERVIRKER\krbtgt
ITDERVIRKER\badass
</pre>
Eller hvis vi bruger wbinfo -g 
<pre>ITDERVIRKER\domain computers
ITDERVIRKER\domain controllers
ITDERVIRKER\schema admins
ITDERVIRKER\enterprise admins
ITDERVIRKER\cert publishers
ITDERVIRKER\domain admins
ITDERVIRKER\domain users
ITDERVIRKER\domain guests
ITDERVIRKER\group policy creator owners
ITDERVIRKER\ras and ias servers
ITDERVIRKER\allowed rodc password replication group
ITDERVIRKER\denied rodc password replication group
ITDERVIRKER\read-only domain controllers
ITDERVIRKER\enterprise read-only domain controllers
ITDERVIRKER\dnsadmins
ITDERVIRKER\dnsupdateproxy
</pre>

Her er et eksempel på et login med en AD bruger 
[[File:SambaADLogin.png ]]

Hvis der automatisk skal oprettes et home directory, til den bruger som logger ind, så skal følgende gøres:

'''vi /etc/pam.d/sshd'''
<pre># Auto create /home/ folder for AD user logging in
session required pam_mkhomedir.so skel=/etc/skel/ umaske=0022</pre>

'''vi /etc/samba/smb.conf '''
%D er domæne navn og %U er username
<pre>template homedir = /home/%D/%U</pre>

Linux AD intergration

2011-12-22T11:30:13Z

SFarsø:

File:SambaADLogin.png

2011-12-22T11:28:43Z

SFarsø: Putty billede af et succesfuldt login med en AD bruger

Putty billede af et succesfuldt login med en AD bruger

Linux AD intergration

2011-12-22T11:24:27Z

SFarsø:

Linux AD intergration

2011-12-22T11:20:19Z

SFarsø: rettede mellemrum til, sådan at dokumentet ser bedre ud

Denne side indeholder alle de kommandoer, der skal bruges til at melde en Ubuntu maskine ind i et AD og jeg har bruge en Ubuntu 10.04 server til opsætningen. 
'''Alt fed tekst repræsentere kommandoer som jeg har tastet ind.''' 
Dette gjort så man kan kende forskel på kommentarer og kommandoer. 
<pre>Alt tekst som jeg har sat ind i konfigurations filer ser sådan her ud</pre>
For det meste er der anden konfiguration i filerne, så led dem igennem for at finde de rigtige steder. Særligt smb.conf er slem, men her kan man bruge '''testparm''' kommandoen til at få vist konfigurationen uden kommentarer. 

'''vi /etc/hostname '''
Her retter jeg hostname til på maskinen, hvad end der bliver skrevet i denne fil bliver til hostname. Dog skal der genstartes før ændringerne tager effekt, dette gøres med '''shutdown -r now''' 

<pre>SRFSamba</pre>

'''vi /etc/resolv.conf '''
Her retter jeg til hvilke DNS server vi skal spørge, da vi bruger pr. default bruger DHCP til at sætte IP med, så skal vi huske at skifte væk fra det. Ellers så ændre DHCP klienten denne fil hver gang den fornyer lease. 
<pre>nameserver 172.16.4.130

domain itdervirker.dk
search itdervirker.dk</pre>

'''vi /etc/hosts '''
Vi skal også rette vores hosts fil til, ellers så brokker den sig over at vi ikke kan slå os selv op, når vi prøver at melde os ind i domænet. Man kunne også blot oprette vores server i DNS. 

<pre>127.0.0.1 localhost
127.0.1.1 SRFSamba.itdervirker.dk</pre>

'''vi /etc/network/interfaces '''
Her skifter vi væk fra DHCP, som vi bliver nød til hvis vi vil beholde vores resolv.conf. 

<pre># The primary network interface
auto eth0
iface eth0 inet static
address 172.16.4.147
netmask 255.255.255.0
gateway 172.16.4.19</pre>

'''/etc/init.d/networking restart '''
Genstart netværks servicen for at ændringerne tager effekt. 
'''apt-get install samba '''
Installer Samba som vi skal bruge til at melde os ind i domænet. 
'''vi /etc/samba/smb.conf '''
Her er de indstillinger der skal til for at melde os ind, det letteste er at slå disse options op i man smb.conf. 

<pre>workgroup = ITDERVIRKER
realm = ITDERVIRKER.DK
security = ADS
os level = 0
local master = No
domain master = No
idmap uid = 10000-20000
idmap gid = 10000-20000
template shell = /bin/bash
winbind enum users = Yes
winbind enum groups = Yes</pre>

'''vi /etc/nsswitch.conf '''
Så skal vi have rettet til, sådan at Ubuntu bruger winbind til at slå brugere op med. Denne opsætning betyder dog at den først slår op lokalt og derefter så bruger den winbind, dette er gjort sådan at vi ikke kan lukke os selv ude. 

<pre>passwd: compat winbind
group: compat winbind
shadow: compat</pre>

'''apt-get install winbind '''
Installer winbind 
'''apt-get install krb5-kdc '''
Installer keberus 
'''service smbd stop '''
Vi bliver nød til at stoppe Samba før vi kan melde os ind i domænet. 
'''apt-get install ntp '''
Kerberus kræver at tiden på vores DC og vores klient er indstillet inden for 5min af hinanden, så derfor så bliver vi NTP til at synkronisere. 
'''vi /etc/ntp.conf '''
Her benytter jeg mars.tekkom.dk til at sætte tiden, hvilken server der bliver brugt betyder ikke så meget, så længe vi bruger den samme på alle maskiner. 

<pre># You do need to talk to an NTP server or two (or three).
server mars.tekkom.dk</pre>

'''service ntp restart '''
Genstart NTP for at ændringerne tager effekt. 
'''service winbind stop '''
Husk også at stoppe winbind før vi melder os ind i domænet. 
'''kinit administrator@ITDERVIRKER.DK '''
Her henter vi vores Kerberus token, den skal vi bruge for at kunne melde os ind. Husk at skrive domænet med stort ellers så virker det ikke. 
'''net ads join -S SRFDC.itdervirker.dk -U administrator '''
Så melder vi os endeligt ind i domænet 
'''service smbd start '''
'''service winbind start '''
Start smbd og winbind igen. 
'''wbinfo -u '''
'''wbinfo -g '''
Her tester vi om det virker og hvis det virker så skulle vi se noget i den her stil: 
wbinfo -u 
<pre>SRFSAMBA\sfa
SRFSAMBA\user2
SRFSAMBA\user1
SRFSAMBA\user3
ITDERVIRKER\administrator
ITDERVIRKER\guest
ITDERVIRKER\krbtgt
ITDERVIRKER\badass
</pre>
Eller hvis vi bruger wbinfo -g 
<pre>ITDERVIRKER\domain computers
ITDERVIRKER\domain controllers
ITDERVIRKER\schema admins
ITDERVIRKER\enterprise admins
ITDERVIRKER\cert publishers
ITDERVIRKER\domain admins
ITDERVIRKER\domain users
ITDERVIRKER\domain guests
ITDERVIRKER\group policy creator owners
ITDERVIRKER\ras and ias servers
ITDERVIRKER\allowed rodc password replication group
ITDERVIRKER\denied rodc password replication group
ITDERVIRKER\read-only domain controllers
ITDERVIRKER\enterprise read-only domain controllers
ITDERVIRKER\dnsadmins
ITDERVIRKER\dnsupdateproxy
</pre>

Linux AD intergration

2011-12-22T11:16:50Z

SFarsø: mere fordi det manglede

Denne side indeholder alle de kommandoer, der skal bruges til at melde en Ubuntu maskine ind i et AD og jeg har bruge en Ubuntu 10.04 server til opsætningen. 
'''Alt fed tekst repræsentere kommandoer som jeg har tastet ind.''' 
Dette gjort så man kan kende forskel på kommentarer og kommandoer. 
<pre>Alt tekst som jeg har sat ind i konfigurations filer ser sådan her ud</pre>
For det meste er der anden konfiguration i filerne, så led dem igennem for at finde de rigtige steder. Særligt smb.conf er slem, men her kan man bruge '''testparm''' kommandoen til at få vist konfigurationen uden kommentarer. 

'''vi /etc/hostname '''
Her retter jeg hostname til på maskinen, hvad end der bliver skrevet i denne fil bliver til hostname. Dog skal der genstartes før ændringerne tager effekt, dette gøres med '''shutdown -r now''' 

<pre>SRFSamba</pre>

'''vi /etc/resolv.conf '''
Her retter jeg til hvilke DNS server vi skal spørge, da vi bruger pr. default bruger DHCP til at sætte IP med, så skal vi huske at skifte væk fra det. Ellers så ændre DHCP klienten denne fil hver gang den fornyer lease. 

<pre>nameserver 172.16.4.130
domain itdervirker.dk
search itdervirker.dk</pre>

'''vi /etc/hosts '''
Vi skal også rette vores hosts fil til, ellers så brokker den sig over at vi ikke kan slå os selv op, når vi prøver at melde os ind i domænet. Man kunne også blot oprette vores server i DNS. 

<pre>127.0.0.1 localhost
127.0.1.1 SRFSamba.itdervirker.dk</pre>

'''vi /etc/network/interfaces '''
Her skifter vi væk fra DHCP, som vi bliver nød til hvis vi vil beholde vores resolv.conf. 

<pre># The primary network interface
auto eth0
iface eth0 inet static
address 172.16.4.147
netmask 255.255.255.0
gateway 172.16.4.19</pre>

'''/etc/init.d/networking restart '''
Genstart netværks servicen for at ændringerne tager effekt. 
'''apt-get install samba '''
Installer Samba som vi skal bruge til at melde os ind i domænet. 
'''vi /etc/samba/smb.conf '''
Her er de indstillinger der skal til for at melde os ind, det letteste er at slå disse options op i man smb.conf. 

<pre>workgroup = ITDERVIRKER
realm = ITDERVIRKER.DK
security = ADS
os level = 0
local master = No
domain master = No
idmap uid = 10000-20000
idmap gid = 10000-20000
template shell = /bin/bash
winbind enum users = Yes
winbind enum groups = Yes</pre>

'''vi /etc/nsswitch.conf '''
Så skal vi have rettet til, sådan at Ubuntu bruger winbind til at slå brugere op med. Denne opsætning betyder dog at den først slår op lokalt og derefter så bruger den winbind, dette er gjort sådan at vi ikke kan lukke os selv ude. 

<pre>passwd: compat winbind
group: compat winbind
shadow: compat</pre>

'''apt-get install winbind '''
Installer winbind 
'''apt-get install krb5-kdc '''
Installer keberus 
'''service smbd stop '''
Vi bliver nød til at stoppe Samba før vi kan melde os ind i domænet. 
'''apt-get install ntp '''
Kerberus kræver at tiden på vores DC og vores klient er indstillet inden for 5min af hinanden, så derfor så bliver vi NTP til at synkronisere. 
'''vi /etc/ntp.conf '''
Her benytter jeg mars.tekkom.dk til at sætte tiden, hvilken server der bliver brugt betyder ikke så meget, så længe vi bruger den samme på alle maskiner. 

<pre># You do need to talk to an NTP server or two (or three).
server mars.tekkom.dk</pre>

'''service ntp restart '''
Genstart NTP for at ændringerne tager effekt. 
'''service winbind stop '''
Husk også at stoppe winbind før vi melder os ind i domænet. 
'''kinit administrator@ITDERVIRKER.DK '''
Her henter vi vores Kerberus token, den skal vi bruge for at kunne melde os ind. Husk at skrive domænet med stort ellers så virker det ikke. 
'''net ads join -S SRFDC.itdervirker.dk -U administrator '''
Så melder vi os endeligt ind i domænet 
'''service smbd start '''
'''service winbind start '''
Start smbd og winbind igen. 
'''wbinfo -u '''
'''wbinfo -g '''
Her tester vi om det virker og hvis det virker så skulle vi se noget i den her stil: 
wbinfo -u 
<pre>SRFSAMBA\sfa
SRFSAMBA\user2
SRFSAMBA\user1
SRFSAMBA\user3
ITDERVIRKER\administrator
ITDERVIRKER\guest
ITDERVIRKER\krbtgt
ITDERVIRKER\badass
</pre>
Eller hvis vi bruger wbinfo -g 
<pre>ITDERVIRKER\domain computers
ITDERVIRKER\domain controllers
ITDERVIRKER\schema admins
ITDERVIRKER\enterprise admins
ITDERVIRKER\cert publishers
ITDERVIRKER\domain admins
ITDERVIRKER\domain users
ITDERVIRKER\domain guests
ITDERVIRKER\group policy creator owners
ITDERVIRKER\ras and ias servers
ITDERVIRKER\allowed rodc password replication group
ITDERVIRKER\denied rodc password replication group
ITDERVIRKER\read-only domain controllers
ITDERVIRKER\enterprise read-only domain controllers
ITDERVIRKER\dnsadmins
ITDERVIRKER\dnsupdateproxy
</pre>

Linux AD intergration

2011-12-22T11:07:25Z

SFarsø: rettede til sådan at det virkede

Denne side indeholder alle de kommandoer, der skal bruges til at melde en Ubuntu maskine ind i et AD og jeg har bruge en Ubuntu 10.04 server til opsætningen. 
'''Alt fed tekst repræsentere kommandoer som jeg har tastet ind.''' 
Dette gjort så man kan kende forskel på kommentarer og kommandoer. 
<pre>Alt tekst som jeg har sat ind i konfigurations filer ser sådan her ud</pre>
For det meste er der anden konfiguration i filerne, så led dem igennem for at finde de rigtige steder. Særligt smb.conf er slem, men her kan man bruge '''testparm''' kommandoen til at få vist konfigurationen uden kommentarer.

'''vi /etc/hostname '''
Her retter jeg hostname til på maskinen, hvad end der bliver skrevet i denne fil bliver til hostname. Dog skal der genstartes før ændringerne tager effekt, dette gøres med '''shutdown -r now'''

<pre>SRFSamba</pre>

'''vi /etc/resolv.conf '''
Her retter jeg til hvilke DNS server vi skal spørge, da vi bruger pr. default bruger DHCP til at sætte IP med, så skal vi huske at skifte væk fra det. Ellers så ændre DHCP klienten denne fil hver gang den fornyer lease.

<pre>nameserver 172.16.4.130
domain itdervirker.dk
search itdervirker.dk</pre>

'''vi /etc/hosts '''
Vi skal også rette vores hosts fil til, ellers så brokker den sig over at vi ikke kan slå os selv op, når vi prøver at melde os ind i domænet. Man kunne også blot oprette vores server i DNS.

<pre>127.0.0.1 localhost
127.0.1.1 SRFSamba.itdervirker.dk</pre>

'''vi /etc/network/interfaces '''
Her skifter vi væk fra DHCP, som vi bliver nød til hvis vi vil beholde vores resolv.conf.

<pre># The primary network interface
auto eth0
iface eth0 inet static
address 172.16.4.147
netmask 255.255.255.0
gateway 172.16.4.19</pre>

'''/etc/init.d/networking restart '''
Genstart netværks servicen for at ændringerne tager effekt.
'''apt-get install samba '''
Installer Samba som vi skal bruge til at melde os ind i domænet.
'''vi /etc/samba/smb.conf '''
Her er de indstillinger der skal til for at melde os ind, det letteste er at slå disse options op i man smb.conf.

<pre>workgroup = ITDERVIRKER
realm = ITDERVIRKER.DK
security = ADS
os level = 0
local master = No
domain master = No
idmap uid = 10000-20000
idmap gid = 10000-20000
template shell = /bin/bash
winbind enum users = Yes
winbind enum groups = Yes</pre>

'''vi /etc/nsswitch.conf '''
Så skal vi have rettet til, sådan at Ubuntu bruger winbind til at slå brugere op med. Denne opsætning betyder dog at den først slår op lokalt og derefter så bruger den winbind, dette er gjort sådan at vi ikke kan lukke os selv ude.

<pre>passwd: compat winbind
group: compat winbind
shadow: compat</pre>

'''apt-get install winbind '''
Installer winbind
'''apt-get install krb5-kdc '''
Installer keberus
'''service smbd stop '''
Vi bliver nød til at stoppe Samba før vi kan melde os ind i domænet.
'''apt-get install ntp '''
Kerberus kræver at tiden på vores DC og vores klient er indstillet inden for 5min af hinanden, så derfor så bliver vi NTP til at synkronisere.
'''vi /etc/ntp.conf '''
Her benytter jeg mars.tekkom.dk til at sætte tiden, hvilken server der bliver brugt betyder ikke så meget, så længe vi bruger den samme på alle maskiner.

<pre># You do need to talk to an NTP server or two (or three).
server mars.tekkom.dk</pre>

'''service ntp restart '''
Genstart NTP for at ændringerne tager effekt.
'''service winbind stop '''
Husk også at stoppe winbind før vi melder os ind i domænet.
'''kinit administrator@ITDERVIRKER.DK '''
Her henter vi vores Kerberus token, den skal vi bruge for at kunne melde os ind. Husk at skrive domænet med stort ellers så virker det ikke..
'''net ads join -S SRFDC.itdervirker.dk -U administrator '''
Så melder vi os endeligt ind i domænet
'''service smbd start '''
'''service winbind start '''
Start smbd og winbind igen.
'''wbinfo -u '''
'''wbinfo -g '''
Her tester vi om det virker og hvis det virker så skulle vi se noget i den her stil: 
wbinfo -u
<pre>SRFSAMBA\sfa
SRFSAMBA\user2
SRFSAMBA\user1
SRFSAMBA\user3
ITDERVIRKER\administrator
ITDERVIRKER\guest
ITDERVIRKER\krbtgt
ITDERVIRKER\badass
</pre>
Eller hvis vi bruger wbinfo -g
<pre>ITDERVIRKER\domain computers
ITDERVIRKER\domain controllers
ITDERVIRKER\schema admins
ITDERVIRKER\enterprise admins
ITDERVIRKER\cert publishers
ITDERVIRKER\domain admins
ITDERVIRKER\domain users
ITDERVIRKER\domain guests
ITDERVIRKER\group policy creator owners
ITDERVIRKER\ras and ias servers
ITDERVIRKER\allowed rodc password replication group
ITDERVIRKER\denied rodc password replication group
ITDERVIRKER\read-only domain controllers
ITDERVIRKER\enterprise read-only domain controllers
ITDERVIRKER\dnsadmins
ITDERVIRKER\dnsupdateproxy
</pre>

Linux AD intergration

2011-12-22T11:06:33Z

SFarsø:

Denne side indeholder alle de kommandoer, der skal bruges til at melde en Ubuntu maskine ind i et AD og jeg har bruge en Ubuntu 10.04 server til opsætningen. 
'''Alt fed tekst repræsentere kommandoer som jeg har tastet ind.''' 
Dette gjort så man kan kende forskel på kommentarer og kommandoer. 
<pre>Alt tekst som jeg har sat ind i konfigurations filer ser sådan her ud</pre>
For det meste er der anden konfiguration i filerne, så led dem igennem for at finde de rigtige steder. Særligt smb.conf er slem, men her kan man bruge '''testparm''' kommandoen til at få vist konfigurationen uden kommentarer.

'''vi /etc/hostname '''
Her retter jeg hostname til på maskinen, hvad end der bliver skrevet i denne fil bliver til hostname. Dog skal der genstartes før ændringerne tager effekt, dette gøres med '''shutdown -r now'''

<pre>SRFSamba</pre>

'''vi /etc/resolv.conf '''
Her retter jeg til hvilke DNS server vi skal spørge, da vi bruger pr. default bruger DHCP til at sætte IP med, så skal vi huske at skifte væk fra det. Ellers så ændre DHCP klienten denne fil hver gang den fornyer lease.

<pre>nameserver 172.16.4.130
domain itdervirker.dk
search itdervirker.dk</pre>

'''vi /etc/hosts '''
Vi skal også rette vores hosts fil til, ellers så brokker den sig over at vi ikke kan slå os selv op, når vi prøver at melde os ind i domænet. Man kunne også blot oprette vores server i DNS.

<pre>127.0.0.1 localhost
127.0.1.1 SRFSamba.itdervirker.dk</pre>

'''vi /etc/network/interfaces '''
Her skifter vi væk fra DHCP, som vi bliver nød til hvis vi vil beholde vores resolv.conf.

<pre># The primary network interface
auto eth0
iface eth0 inet static
address 172.16.4.147
netmask 255.255.255.0
gateway 172.16.4.19</pre>

'''/etc/init.d/networking restart '''
Genstart netværks servicen for at ændringerne tager effekt.
'''apt-get install samba '''
Installer Samba som vi skal bruge til at melde os ind i domænet.
'''vi /etc/samba/smb.conf '''
Her er de indstillinger der skal til for at melde os ind, det letteste er at slå disse options op i man smb.conf.

<pre>workgroup = ITDERVIRKER
realm = ITDERVIRKER.DK
security = ADS
os level = 0
local master = No
domain master = No
idmap uid = 10000-20000
idmap gid = 10000-20000
template shell = /bin/bash
winbind enum users = Yes
winbind enum groups = Yes</pre>

'''vi /etc/nsswitch.conf '''
Så skal vi have rettet til, sådan at Ubuntu bruger winbind til at slå brugere op med. Denne opsætning betyder dog at den først slår op lokalt og derefter så bruger den winbind, dette er gjort sådan at vi ikke kan lukke os selv ude.

<pre>passwd: compat winbind
group: compat winbind
shadow: compat</pre>

'''apt-get install winbind '''
Installer winbind
'''apt-get install krb5-kdc '''
Installer keberus
'''service smbd stop '''
Vi bliver nød til at stoppe Samba før vi kan melde os ind i domænet.
'''apt-get install ntp '''
Kerberus kræver at tiden på vores DC og vores klient er indstillet inden for 5min af hinanden, så derfor så bliver vi NTP til at synkronisere.
'''vi /etc/ntp.conf '''
Her benytter jeg mars.tekkom.dk til at sætte tiden, hvilken server der bliver brugt betyder ikke så meget, så længe vi bruger den samme på alle maskiner.

<pre># You do need to talk to an NTP server or two (or three).
server mars.tekkom.dk</pre>

'''service ntp restart '''
Genstart NTP for at ændringerne tager effekt.
'''service winbind stop '''
Husk også at stoppe winbind før vi melder os ind i domænet.
'''kinit administrator@ITDERVIRKER.DK '''
Her henter vi vores Kerberus token, den skal vi bruge for at kunne melde os ind. Husk at skrive domænet med stort ellers så virker det ikke..
'''net ads join -S SRFDC.itdervirker.dk -U administrator '''
Så melder vi os endeligt ind i domænet
'''service smbd start '''
'''service winbind start '''
Start smbd og winbind igen.
'''wbinfo -u '''
'''wbinfo -g '''
Her tester vi om det virker og hvis det virker så skulle vi se noget i den her stil:
wbinfo -u
<pre>SRFSAMBA\sfa
SRFSAMBA\user2
SRFSAMBA\user1
SRFSAMBA\user3
ITDERVIRKER\administrator
ITDERVIRKER\guest
ITDERVIRKER\krbtgt
ITDERVIRKER\badass
</pre>
Eller hvis vi bruger wbinfo -g
<pre>ITDERVIRKER\domain computers
ITDERVIRKER\domain controllers
ITDERVIRKER\schema admins
ITDERVIRKER\enterprise admins
ITDERVIRKER\cert publishers
ITDERVIRKER\domain admins
ITDERVIRKER\domain users
ITDERVIRKER\domain guests
ITDERVIRKER\group policy creator owners
ITDERVIRKER\ras and ias servers
ITDERVIRKER\allowed rodc password replication group
ITDERVIRKER\denied rodc password replication group
ITDERVIRKER\read-only domain controllers
ITDERVIRKER\enterprise read-only domain controllers
ITDERVIRKER\dnsadmins
ITDERVIRKER\dnsupdateproxy
</pre>

Linux AD intergration

2011-12-22T11:05:42Z

SFarsø: Created page with "Denne side indeholder alle de kommandoer, der skal bruges til at melde en Ubuntu maskine ind i et AD og jeg har bruge en Ubuntu 10.04 server til opsætningen. '''Alt fed tek..."

Denne side indeholder alle de kommandoer, der skal bruges til at melde en Ubuntu maskine ind i et AD og jeg har bruge en Ubuntu 10.04 server til opsætningen. 
'''Alt fed tekst repræsentere kommandoer som jeg har tastet ind.''' 
Dette gjort så man kan kende forskel på kommentarer og kommandoer. 
<pre>Alt tekst som jeg har sat ind i konfigurations filer ser sådan her ud</pre>
For det meste er der anden konfiguration i filerne, så led dem igennem for at finde de rigtige steder. Særligt smb.conf er slem, men her kan man bruge '''testparm''' kommandoen til at få vist konfigurationen uden kommentarer.

'''vi /etc/hostname '''
Her retter jeg hostname til på maskinen, hvad end der bliver skrevet i denne fil bliver til hostname. Dog skal der genstartes før ændringerne tager effekt, dette gøres med '''shutdown -r now'''

<pre>SRFSamba</pre>

'''vi /etc/resolv.conf '''
Her retter jeg til hvilke DNS server vi skal spørge, da vi bruger pr. default bruger DHCP til at sætte IP med, så skal vi huske at skifte væk fra det. Ellers så ændre DHCP klienten denne fil hver gang den fornyer lease.

<pre>nameserver 172.16.4.130
domain itdervirker.dk
search itdervirker.dk</pre>

'''vi /etc/hosts '''
Vi skal også rette vores hosts fil til, ellers så brokker den sig over at vi ikke kan slå os selv op, når vi prøver at melde os ind i domænet. Man kunne også blot oprette vores server i DNS.

<pre>127.0.0.1 localhost
127.0.1.1 SRFSamba.itdervirker.dk</pre>

'''vi /etc/network/interfaces '''
Her skifter vi væk fra DHCP, som vi bliver nød til hvis vi vil beholde vores resolv.conf.

<pre># The primary network interface
auto eth0
iface eth0 inet static
address 172.16.4.147
netmask 255.255.255.0
gateway 172.16.4.19</pre>

'''/etc/init.d/networking restart '''
Genstart netværks servicen for at ændringerne tager effekt.
'''apt-get install samba '''
Installer Samba som vi skal bruge til at melde os ind i domænet.
'''vi /etc/samba/smb.conf '''
Her er de indstillinger der skal til for at melde os ind, det letteste er at slå disse options op i man smb.conf.

<pre>workgroup = ITDERVIRKER
realm = ITDERVIRKER.DK
security = ADS
os level = 0
local master = No
domain master = No
idmap uid = 10000-20000
idmap gid = 10000-20000
template shell = /bin/bash
winbind enum users = Yes
winbind enum groups = Yes</pre>

'''vi /etc/nsswitch.conf '''
Så skal vi have rettet til, sådan at Ubuntu bruger winbind til at slå brugere op med. Denne opsætning betyder dog at den først slår op lokalt og derefter så bruger den winbind, dette er gjort sådan at vi ikke kan lukke os selv ude.

<pre>passwd: compat winbind
group: compat winbind
shadow: compat</pre>

'''apt-get install winbind '''
Installer winbind
'''apt-get install krb5-kdc '''
Installer keberus
'''service smbd stop '''
Vi bliver nød til at stoppe Samba før vi kan melde os ind i domænet.
'''apt-get install ntp '''
Kerberus kræver at tiden på vores DC og vores klient er indstillet inden for 5min af hinanden, så derfor så bliver vi NTP til at synkronisere.
'''vi /etc/ntp.conf '''
Her benytter jeg mars.tekkom.dk til at sætte tiden, hvilken server der bliver brugt betyder ikke så meget, så længe vi bruger den samme på alle maskiner.

<pre># You do need to talk to an NTP server or two (or three).
server mars.tekkom.dk</pre>

'''service ntp restart '''
Genstart NTP for at ændringerne tager effekt.
'''service winbind stop '''
Husk også at stoppe winbind før vi melder os ind i domænet.
'''kinit administrator@ITDERVIRKER.DK '''
Her henter vi vores Kerberus token, den skal vi bruge for at kunne melde os ind. Husk at skrive domænet med stort ellers så virker det ikke..
'''net ads join -S SRFDC.itdervirker.dk -U administrator '''
Så melder vi os endeligt ind i domænet
'''service smbd start '''
'''service winbind start '''
Start smbd og winbind igen.
'''wbinfo -u '''
'''wbinfo -g '''
Her tester vi om det virker og hvis det virker så skulle vi se noget i den her stil:
wbinfo -u
<pre>SRFSAMBA\sfa
SRFSAMBA\user2
SRFSAMBA\user1
SRFSAMBA\user3
ITDERVIRKER\administrator
ITDERVIRKER\guest
ITDERVIRKER\krbtgt
ITDERVIRKER\badass
</pre>
Eller hvis vi bruger wbinfo -g
<pre>ITDERVIRKER\domain computers
ITDERVIRKER\domain controllers
ITDERVIRKER\schema admins
ITDERVIRKER\enterprise admins
ITDERVIRKER\cert publishers
ITDERVIRKER\domain admins
ITDERVIRKER\domain users
ITDERVIRKER\domain guests
ITDERVIRKER\group policy creator owners
ITDERVIRKER\ras and ias servers
ITDERVIRKER\allowed rodc password replication group
ITDERVIRKER\denied rodc password replication group
ITDERVIRKER\read-only domain controllers
ITDERVIRKER\enterprise read-only domain controllers
ITDERVIRKER\dnsadmins
ITDERVIRKER\dnsupdateproxy
</pre>

CCDP-Campus Viborg/Opgave 4/Gruppe1

2011-09-08T12:47:58Z

SFarsø: Created page with "WAN: • Beskriv hvorfor virksomheder gerne vil have en ethernet baseret WAN løsning. Fordi de allerede kører ethernet i deres netværk og derfor er der ingen gru..."

WAN: 
• Beskriv hvorfor virksomheder gerne vil have en ethernet baseret WAN løsning. 
Fordi de allerede kører ethernet i deres netværk og derfor er der ingen grund til at de skaffer nyt udstyr, hvis der er en ethernet baseret WAN løsning. Det betyder også at de ansvarlige teknikere har erfaring med at fejlfinde på systemet. 
 • Undersøg hvor langt man idag kan trække et MM og et SM fiber uden forstærkning. 
SM uden for mange splices er i dag 80km med 80Gbit rate og MM er 550m med 10Gbit 
 • Undersøg og beskriv hvorfor Sonet/SDH var meget populær engang med nu er ved at blive erstattet af Ethernet baserede WAN? 
Fordi det er en protokol uafhængelig måde at transportere data på, den giver også en bandwith garanti og gav derfor god mening, hvis man ønskede at flytte voice og data på samme fiber. Denne rolle har ethernet dog overtaget i dag og derfor giver det bedre mening blot at køre det. 
Sonet er også meget uflexible, da den bruger containers af en fast størrelse til at transportere data, så det er ret meget spild at køre en 100mbit/s ethernet igennem 155mbit/s contrainer. 
 • Hvorfor er det vigtigt at vide om det Ethernet WAN man bestiller er ethernet over sonet eller EoMPLS? 
Sonet er ikke oversubscriped med mindre infrastrukturen ikke går hele vejen i ISPens netværk, så kan der være dele som er oversubscribed. EoMPLS har ingen QoS med det specifikt bliver leveret. 
 • Hvad kunne man gøre i en multipoint WAN sky for at opretholde QoS hvis ens Service Provider ikke tilbyder det? 
Hvis ISP ikke er med på QoS, så er der ikke så meget at gøre, den skrabet løsning er at, få garanteret den båndbrede man har. Også bruge ens eget udstyr i begge ender, til at køre QoS og sørge for at alt båndbrede ikke bliver brugt. En bedre løsning er at finde en ISP som rent faktisk gerne vil have proffesionelle kunder. 
 • Besvar spørgsmålene omkring customer considerations på side 163. Husk at begrunde jeres svar. 
'''Who does the routing?''' 
Vi router selv, da vi ønsker at bruge en L2 MPLS eller tilsvarende også behøver ISP ikke blande sig. Jeg forstiller mig at vi kører BGP i mellem de store afdelinger og OSPF op imod de mindre fillialer. 
'''Who manages the CE devices?''' 
Med mindre vi får et godt tilbud, så gør vi det selv, det er hurtigere rent tids mæssigt og giver en pæn besparelse. De store lokalisioner skal have 2 CEs, da vi ikke ønsker nogen SPOF. 
'''Should one or two MPLS providers be used?''' 
Vi ønsker to ISPer hvis det er muligt, men vi skal være opmærksomme på at de bruger forskellige netværk! Dette er valgt da vi ønsker SPOF, men et alternetiv kunne være at bruge en IPsec backup VPN i stedet for. Kommer an på prisen! 
Til de andre store locations (århus, blah blah) benytter vi to gange MPLS, til de filialer vi selv har benytter vi en også en backup VPN til de større. 
'''Is QoS needed?''' 
QoS skal bruges, vi benytter det til IP telefoni og til at sørge for at administration og lærer har mere prioritet end elever. 
'''Is IP multicast supported?''' 
Dette er ikke så vigtigt for os i øjeblikket, lige nu er der ikke så meget at bruge det til og her skal der undersøges om det er noget man ønsker at bruge i fremtiden. Bedste løsning vil være at finde en ISP der kan levere det, så man altid kan bestille det hvis det bliver nødvendigt. 
 • Campus Viborg ønsker ikke at have routere til at stå på de små 10 personer filialer. Hvilken WAN løsning skal de vælge for at de bare skal koble en L2 switch til i filialen, men stadig har Data og Voice adskildt. 
Alt andet end L3 MPLS og Ipsec VPN, eller rettere alt hvis der giver os L2 forbindelse, hvis vi har en L2 forbindelse så kan vi bare køre VLANs ligesom vi gør på LAN. 
 • Vælg en WAN teknologi til at forbide de 5 filialer med Campus Viborg og begrund jeres valg. 
Hvad end L2 point-to-point teknologi der er billigst og har den påkrævet båndbrede, måske Ethernet Relay Service? Vi har blot brug for en billig L2 forbindelse ind til Viborg, som har den relavante båndbrede. Vi regner ikke med at de forskellige filialer skal snakke så meget direkte med hinanden, så de kan sagtens leve med at sende deres data igennem Viborg. 
 • Lav et udkast til nogle af de ting en WAN SLA skal indeholde for en virksomhed som Campus Viborg. 
Vi skal bruge en oppetids garanti på 99% 
Packet loss, Lantency og Jitter skal være inden for acceptabelt IP telefoni grænser 
Er der andet? Vi tager os selv af CE, så her er det os der skal sørge for reserve dele osv.

Dot1x authentication

2011-02-23T12:32:44Z

SFarsø:

Denne side indeholder en radius dot1x opsætning, i mellem en server 2008 med network policy server og Cisco 2960 switch.

----

Cisco 2960 opsætning:

Global commands:
aaa new-model
dot1x system-auth-control
radius-server host 172.16.3.10 auth-port 1812 acct-port 1813 key cisco

aaa group server radius access
server 172.16.3.10 auth-port 1812 acct-port 1813
ip radius source-interface Vlan49

For Switch login:

config mode:
aaa authentication login networkacces group radius local enable
aaa authorization exec default group access if-authenticated

line VTY 0 15
login authentication networkacces

For port authentication:

config mode:
aaa authentication dot1x default group radius local
aaa authorization network default group radius

interface FastEthernet0/23
authentication port-control auto
dot1x pae authenticator

Hvis der bruges en ældre switch så kan kommandoen til interfacet være dot1x port-control auto

----

Windows client setup

For at kunne benytte dot1x authentication på en windows maskine, så skal man benytte en fuldt opdateret winXP, vista eller windows 7.
Da vi benytter dot1x på normal ethernet, så skal vi ind og starte den service som styrer dot1x, da dette ikke er slået til default på alm. ethernet.
Dette gøres inde under services eller tjenester hvis man har den danske udgave.

[[Image:Dot1xservices.png]]

Når dette er gjort, så skal man ind på egenskaber på interfacet, her er der kommet et nyt faneblad: Godkendelse

[[Image:Dot1xwininterface1.png]] [[Image:Dot1xwininterface2.png]]

Her aktivere man dot1x, mener at den er aktiveret som default når man har startet servicen.
Klik indstillinger, her opsætter man de forskellige godkendelsesmetoder, i vores tilfælde EAP-MSCHAPv2 og vi har valgt ikke at validere servercertifikat, da maskinen vi logger på med, ikke er medlem af domænet og derfor ikke kan validere det.
Husk at klik konfigurer og fjern fluebenet hvis du ikke er i domænet.

[[Image:Dot1xwininterface3.png]]

File:Dot1xservices.png

2011-02-23T12:26:39Z

SFarsø: uploaded a new version of "Image:Dot1xservices.png"

File:Dot1xwininterface1.png

2011-02-23T12:26:39Z

SFarsø: uploaded a new version of "Image:Dot1xwininterface1.png"

File:Dot1xwininterface2.png

2011-02-23T12:26:39Z

SFarsø: uploaded a new version of "Image:Dot1xwininterface2.png"

File:Dot1xwininterface3.png

2011-02-23T12:26:39Z

SFarsø: uploaded a new version of "Image:Dot1xwininterface3.png"

File:Dot1xwininterface2.png

2011-02-23T12:24:55Z

SFarsø:

File:Dot1xwininterface3.png

2011-02-23T12:24:55Z

SFarsø:

File:Dot1xservices.png

2011-02-23T12:24:54Z

SFarsø:

File:Dot1xwininterface1.png

2011-02-23T12:24:54Z

SFarsø:

Dot1x authentication

2011-02-23T10:29:09Z

SFarsø:

Dot1x authentication

2011-02-23T10:27:28Z

SFarsø:

Denne side indeholder en radius dot1x opsætning, i mellem en server 2008 med network policy server og Cisco 2960 switch.

----

Cisco opsætning:
Global commands:
aaa new-model
dot1x system-auth-control
radius-server host 172.16.3.10 auth-port 1812 acct-port 1813 key cisco

aaa group server radius access
server 172.16.3.10 auth-port 1812 acct-port 1813
ip radius source-interface Vlan49

For Switch login:
config mode:
aaa authentication login networkacces group radius local enable
aaa authorization exec default group access if-authenticated

line VTY 0 15
login authentication networkacces

For port authentication:
config mode:
aaa authentication dot1x default group radius local
aaa authorization network default group radius

interface FastEthernet0/23
authentication port-control auto
dot1x pae authenticator

Hvis der bruges en ældre switch så kan kommandoen til interfacet være dot1x port-control auto

Dot1x authentication

2011-02-23T10:25:32Z

SFarsø: New page: Denne side indeholder en radius dot1x opsætning, i mellem en server 2008 med network policy server og Cisco 2960 switch. ---- Cisco opsætning: **********Global commands********** aaa n...

Denne side indeholder en radius dot1x opsætning, i mellem en server 2008 med network policy server og Cisco 2960 switch.

----

Cisco opsætning:
**********Global commands**********
aaa new-model
dot1x system-auth-control
radius-server host 172.16.3.10 auth-port 1812 acct-port 1813 key cisco

aaa group server radius access
server 172.16.3.10 auth-port 1812 acct-port 1813
ip radius source-interface Vlan49

*********For Switch login*********
config mode:
aaa authentication login networkacces group radius local enable
aaa authorization exec default group access if-authenticated

line VTY 0 15
login authentication networkacces

**********For port authentication***********
config mode:
aaa authentication dot1x default group radius local
aaa authorization network default group radius

interface FastEthernet0/23
authentication port-control auto
dot1x pae authenticator

Hvis der bruges en ældre switch så kan kommandoen til interfacet være dot1x port-control auto