Radius IAS

[Yoda]

bonjour,

Actuellement je configure un server radius avec IAS.

Infra:

switch HP
vlan auth, vlan unauth, vlan server, vlan default. dans les vlan auth et unauth, je récupére bien via le dhcp les bonnes adresses ip.
le switch est correctement authentifier comme client sur IAS.

configuration des remote policy sur IAS et des groups sur l'AD.

ensuite je mets en place pour test une authentification MD5 (sur le client) tout se passe bien.

pour valider, j'utilise l'administrateur du domain et un user classic et un user non membre du domain (guest).

chaque users est authentifier en fonction de ses droits et IAS tagge correctement le vlan... bref tout fonctionne a merveille... avec MD5.

les choses se compliquent au moment ou j'essaie d'implémenter EAP-PEAP.

pour ce faire, je m'appuie sur 2 document, un document Foundry, et un document HP, plus divers petite choses trouvée sur le net. j'ai fais plusieurs check complet des différentes choses a configurées et avec ce mode de cryptage je n'arrive pas a authentifier ni l'administrateur du domain, ni un user domain, ni un user guest.

apres chaque modification, je redémarre bien IAS, j'ai aussi créer un autre user après le check de la config au cas ou...

voici le log de l'IAS, c'est l'administrateur du domain qui est en "access denied" !!!

User DOMAINLABO\Administrator was denied access.
Fully-Qualified-User-Name = DOMAINLABO\Administrator
NAS-IP-Address = 10.0.10.254
NAS-Identifier = TEST
Called-Station-Identifier = 00-18-71-92-96-20
Calling-Station-Identifier = 00-0f-b0-c8-f1-4c
Client-Friendly-Name = TEST
Client-IP-Address = 10.0.10.254
NAS-Port-Type = Ethernet
NAS-Port = 1
Proxy-Policy-Name = Use Windows authentication for all users
Authentication-Provider = Windows
Authentication-Server = <undetermined>
Policy-Name = <undetermined>
Authentication-Type = EAP
EAP-Type = <undetermined>
Reason-Code = 48
Reason = The connection attempt did not match any remote access policy.

For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.

je rencontre clairement un pb de "match policy" mais je ne vois vraiment pas ou

merci de votre aide.

[antolien]

Salut,

En fait il faut que tu aie un certificat serveur, et une connexion request policy sur laquelle tu actives le peap

ça se fait en plusieurs étapes:
1- il faut ajouter une clé de registre pour que le peap apparaissent dans le profil de ta connexion request policy
HKLM\System\CurrentControlSet\Services\RemoteAccess\Policy
Nouveau DWORD
EnableWPSCompatibility 1

2-tu génère un certificat serveur en Microsoft RSA Schannel Cryptographic provider(et cocher store in local machine store)

3- tu vas dans la connexion request policy (use windows authentication for all users", edit profile.
Tu peux alors cocher PEAP, et choisir le certificat que tu as installé.

ça devrait mieux se passer ensuite

[Yoda]

bonjour antolien et merci de tes reponses

le poste 1, c'est a faire sur le server ? car sur le clientt il y a en effet des modif a faire mais je n'ai pas vue celle la.

pour le reste je vérifie, mais mon certificat a bien été généré.

+

[antolien]

oui c'est a faire sur le serveur, car sinon la connexion request policy ne fait pas apparaître le PEAP

[Yoda]

heu

3- tu vas dans la connexion request policy (use windows authentication for all users", edit profile.
Tu peux alors cocher PEAP, et choisir le certificat que tu as installé.

je dois la faire ou cette modification ? dans la remote policy (ca m'étonnerai)

+

[antolien]

Non c'est dans "Connection Request Processing" puis dans "Connection Request Policies" et enfin dans "Use Windows authentication for all users"; tu vas dans edit profile et là tu peux cocher "Protected EAP" et choisir ton certificat.

Désolé je n'ai pas de radius en français sous la main.

Une fois que ça c'est fait, tu peux te créer une remote policy avec le peap.

[Yoda]

mon radius est en anglais mais je ne trouve pas cette rubrique.... je cherche et te recontacte.

[antolien]

Il faut que tu ais créé la clé de registre pour l'avoir

[Yoda]

j'ai bien créer la clé de registre comme tu me l'a indiqué. mais je ne trouve pas le chemin pour accéder a
"use windows authentication for all users"

start >> administrative tools >> en faite je ne sais pas ou se trouve cette rubrique.

merci beaucoup de ton aide.

[antolien]

tu as vu ma capture d'écran ? ^^

[Yoda]

non, elle ne s'affiche pas... sous ff j'ai une icone par default.

regarde tes mp dans 2 mn

[riccie_boy]

Bonjour,

J'ai un serveur IAS qui fonctionnait trés bien jusqu'a aujourd'hui, encryption en PEAP avec MSCHAP v2.

Certificat valide jusqu'en 2010.

J'ai le retour d'erreur suivant :

La requête d'accès de l'utilisateur GAUTHIERERI a été rejetée.
Fully-Qualified-User-Name = <non déterminé>
NAS-IP-Address = <Absente>
NAS-Identifier = 0
Called-Station-Identifier = 00-22-7F-3F-03-08:groupeMRV
Calling-Station-Identifier = 00-26-BB-FB-49-AD
Client-Friendly-Name = WIFI-ERA2
Client-IP-Address = 194.0.131.28
NAS-Port-Type = Wireless - IEEE 802.11
NAS-Port = 0
Proxy-Policy-Name = Utiliser l'authentification Windows pour tous les utilisateurs
Authentication-Provider = Windows
Authentication-Server = <non déterminé>
Reason-Code = 96
Reason = La requête d'authentification n'a pas été traitée car la session a dépassé le délai d'attente.

En tant normal derriere la partie AUTHENTICATION-SERVER le serveur check la POLICY-NAME mais la il part en délai d'attente dépassé.

Quelqu'un a-t-il eu déjà le problème ?
Merci d'avance.

[riccie_boy]

Le problème change, j'ai l'impression que mon serveur Radius IAS authentifie les comptes de l'ordinateur et nom les noms des utilisateurs ?

Si quelqu'un à une idée.