SME - RADIUS - VISTA

[Titofe]

Bonjour,

Voici mon souci, je mais actuellement en place un point d'accès Netgear WG302 v2 dans un réseau ou ce trouve une SME 7.3 en serveur seul, je voudrais utiliser le serveur RADIUS de la SME, pour ça j'ai suivi le ce tuto :

Code: Tout sélectionner

Problème : Utilisation du serveur FreeRADIUS en mode MSCHAPv2.
Solution : Suivre ce tutorial.

ETAPE 1 : Un framework est deja en place pour la configuration du serveur FreeRADIUS. Pour l'utiliser, il faut d'abord définir le nom d'hôte du client RADIUS (AP) et son adresse IP dans le serveur SME.

ETAPE 2 : Définir ensuite la clé RADIUS partagée pour ce nom d'hôte.

wifi.libertalia-test.info est un client AP et la clé RADIUS est une chaîne de caractères aléatoires.
[root@radio root]# db hosts setprop wifi.libertalia-test.info RadiusKey abcdefg123456789
[root@radio root]# signal-event remoteaccess-update

ETAPE 3 : Configurez le point d'accès (AP)

Indiquez l'adresse IP du serveur RADIUS ainsi que la clé définie à l'étape précédente.

ETAPE 4 : Ouvrir les ports 1812 et 1813 dans votre pare-feu.
[root@radio root]# config setprop radiusd access private TCPPort 1812
[root@radio root]# config set radius-acct service status enabled access private TCPPort 1813
[root@radio root]# signal-event remoteaccess-update

Après j'ai indiquer au Netgear WG302 v2 le serveur RADIUS :

Authentification/Acces Control Radius Server Login
Primary IP Address : IP de la SME
Port Number : 1812
Shared Secret : abcdefg123456789

Accounting Radius Server Login
Primary IP Address : IP de la SME
Port Number : 1813
Shared Secret : abcdefg123456789

Pour Network Authentication : WPA2 with Radius
Et pour Data Encrytion : AES

Pour le client j'utilise Vista Ultimate et je choisi pour le Type de sécurité : WPA2 – Entreprise et pour le Type de chiffrement : AES

Et si je vous parle de tout ça, c'est parce que l'authentification ne fonctionne pas.

Je voudrais savoir si dans ce que j'ai écris si quelqu'un voit une erreur, ou peut être que je n'utilise pas la bonne méthode ?

Et je voudrais quelque conseille pour essayer de faire une sécurité correcte.

Merci.


Titofe

[vanvan]

Bonjour.

Si j'ai bien compris tu utilises vista pour tester ta connexion ?

Te serait-il possible de le tester avec un XP ?

Vista pose plusieurs problèmes selon la configuration de ta passerelle wifi.

1. Au niveau de la récupération du certificat d'autorité de la passerelle wifi
2. ou selon les cas avec le niveau de sécurité d'internet explorer.

De plus quelle est la marque de ta carte wifi ? Les cartes Atheros posent certains problèmes avec le wifi.

[Titofe]

Oui j’essaye avec Vista; ce matin j’ai eu la même idée pour XP et j’ai donc commencé à faire quelque test avec, mais pas plus concluant …

Pour la carte wifi du Vista : Intel Pro/Wireless 3945ABG
Pour la carte wifi du XP : Siemens Gigaset PC Gard 54

L’un comme l’autre ça bloque au niveau de l’authentification car pendant cette phase je vois bien leur adresse mac sur le WG302 v2.

Si le problème vient du certificat, y a-t-il un moyen de le savoir ?

Merci pour ton aide.


Titofe

[Titofe]

Bon, je me suis remi un peut dessus, et en cherchant encore une fois, la 20eme au moin sur ce Forum , je suis tombé sur ce tuto qui est le meme que celui que j'ai trouvé au debut mais un p'tit peut plus complet puisque là il explique comment faire avec XP (je veux dire comment le parametrer), donc demain à la 1er heure j'essaye.

Il me semble que je n'ai pas decoher « Valider le certificat du serveur », possible que je les fait à un moment, mais avoir mi autre chose dans d'autre parametre, donc je test tout ça demain avec mon PC sous XP et si ça Marche je retente avec mon PC sous VISTA.

Sinon si j'ai bien compris avec cette methode ce qui fait la securité du Wifi c'est le mot de passe de l'utilisateur sur la SME, si je veux compliquer la chose avec un certificat par la suite on peut le faire avec le Serveur Radius de SME ?

Merci.

[Titofe]

Donc aucun souci avec XP, ça marche très bien, mais avec Vista Zéro, va falloir que je cherche pourquoi.
Si quelqu’un à une idée au passage je suis preneur …

[trixel]

même problème que toi. Je n'avais aucun problême sous XP et la j'ai un PC Vista et rien à faire. Si tu as trouvé qqch fais moi signe

[Titofe]

Pour le moment je n'ai pas encore trouver de solution, et je pense que ce problème ne ce produit qu'avec SME, j'ai vue beaucoup de doc sur internet sur des connexion WPA ou WPA2 Radius (Serveur Radius autre que SME)est à ce que j'ai pu lire, tous si prenne comme moi et pour eux ça fonctionne, je ne vois pas encore ou est le souci et je ne sais pas si je vais réussir à le trouvais, car j'ai déjà lu sur Ixus ou autres Forum, des personne qui on eu des problème à connecté des Vista sur le Domaine du serveur SME7, et pourtant moi j'en ai déjà connecté plus d'une dizaine jusqu'à maintenant sur le même serveur SME7 et je n'ai jamais rencontrer de souci ou de modification à effectué.
A suivre ...


Titofe

[trixel]

j'ai peut-être trouvé une piste. Apparemment lorsque Vista envoie les infos d'identification, il l'envoie sous la forme DOMAINE\USER au lieu de USER tout court et SME ne doit pas accepter ça. J'ai remarqué ça en me connectant en TSE ou il le fait et ça provoque des soucis. En gros, si je me connecte à distance en TSE sur une ip 82.82.82.82 avec l'utilisateur "administrateur", vista mets en nom d'utilisateur "82.82.82.82\Administrateur" et l'ordi distant ne le reconnait pas. J'ai vu un truc qui s'appelle nt_domain_hack qui corrigerait ça mais je sais pas comment ça marche

[trixel]

voici mes logs windows, mio j'ai du mal à decrypter tout ça mais ça fera ptet avancer notre affaire :

Code: Tout sélectionner

[3564] 02-05 12:04:14:054: PeapReadConnectionData
[3564] 02-05 12:04:14:054: PeapReadUserData
[3564] 02-05 12:04:14:054: No Credentails passed
[3564] 02-05 12:04:14:054: RasEapGetInfo
[3564] 02-05 12:04:21:870: EapPeapBegin
[3564] 02-05 12:04:21:870: EapPeapBegin - flags(0x40080)
[3564] 02-05 12:04:21:870: PeapReadConnectionData
[3564] 02-05 12:04:21:870: PeapReadUserData
[3564] 02-05 12:04:21:870:
[3564] 02-05 12:04:21:870: EapTlsBegin(TRIXEL\trixel)
[3564] 02-05 12:04:21:870: SetupMachineChangeNotification
[3564] 02-05 12:04:21:870: State change to Initial
[3564] 02-05 12:04:21:870: EapTlsBegin: Detected 8021X authentication
[3564] 02-05 12:04:21:870: EapTlsBegin: Detected PEAP authentication
[3564] 02-05 12:04:21:870: MaxTLSMessageLength is now 16384
[3564] 02-05 12:04:21:870: CRYPT_E_NO_REVOCATION_CHECK will not be ignored
[3564] 02-05 12:04:21:870: Force IgnoreRevocationOffline on client
[3564] 02-05 12:04:21:870: CRYPT_E_REVOCATION_OFFLINE will be ignored
[3564] 02-05 12:04:21:870: The root cert will not be checked for revocation
[3564] 02-05 12:04:21:870: The cert will be checked for revocation
[3564] 02-05 12:04:21:870: EapPeapBegin done
[3564] 02-05 12:04:21:870: EapPeapMakeMessage
[3564] 02-05 12:04:21:870: EapPeapCMakeMessage, flags(0x500)
[3564] 02-05 12:04:21:870: Cloned PPP_EAP_PACKET packet
[3564] 02-05 12:04:21:870: PEAP:PEAP_STATE_INITIAL
[3564] 02-05 12:04:21:870: EapTlsCMakeMessage, state(0)
[3564] 02-05 12:04:21:870: >> Received Request (Code: 1) packet: Id: 1, Length: 6, Type: 13, TLS blob length: 0. Flags: S
[3564] 02-05 12:04:21:870: EapTlsReset
[3564] 02-05 12:04:21:870: State change to Initial
[3564] 02-05 12:04:21:870: EapGetCredentials
[3564] 02-05 12:04:21:870: Flag is Client and Store is Current User
[3564] 02-05 12:04:21:870: GetCachedCredentials Flags = 0x5060
[3564] 02-05 12:04:21:870: FindNodeInCachedCredList, flags(0x5060), default cached creds(0), check thread token(1)
[3564] 02-05 12:04:21:870: pNode->dwCredFlags = 0xa
[3564] 02-05 12:04:21:870: GetCachedCredentials: Using Cached Credentials
[3564] 02-05 12:04:21:870: GetCachedCredentials: Hash of the cert in the cache is

0 0   0 0   0 0   0 0   0 0   0 0   0 0   0 0   0 0   0 0   0 0   0 0   0 0   0 0   0 0   0 0   | . . . . . . . . . . . . . . . . |

0 0   0 0   0 0   0 0   0 0   0 0   0 0   0 0   0 0   0 0   0 0   0 0   0 0   0 0   0 0   0 0   | . . . . . . . . . . . . . . . . |
[3564] 02-05 12:04:21:870: MakeReplyMessage
[3564] 02-05 12:04:21:870: SecurityContextFunction
[3564] 02-05 12:04:21:870: InitializeSecurityContext returned 0x90312
[3564] 02-05 12:04:21:870: State change to SentHello
[3564] 02-05 12:04:21:870: BuildPacket
[3564] 02-05 12:04:21:870: << Sending Response (Code: 2) packet: Id: 1, Length: 124, Type: 13, TLS blob length: 114. Flags: L
[3564] 02-05 12:04:21:870: EapPeapCMakeMessage done
[3564] 02-05 12:04:21:870: EapPeapMakeMessage done
[3564] 02-05 12:04:21:885: EapPeapMakeMessage
[3564] 02-05 12:04:21:885: EapPeapCMakeMessage, flags(0x500)
[3564] 02-05 12:04:21:885: Cloned PPP_EAP_PACKET packet
[3564] 02-05 12:04:21:885: PEAP:PEAP_STATE_TLS_INPROGRESS
[3564] 02-05 12:04:21:885: EapTlsCMakeMessage, state(2)
[3564] 02-05 12:04:21:885: >> Received Request (Code: 1) packet: Id: 2, Length: 1034, Type: 13, TLS blob length: 1048. Flags: LM
[3564] 02-05 12:04:21:885: MakeReplyMessage
[3564] 02-05 12:04:21:885: Reallocating input TLS blob buffer
[3564] 02-05 12:04:21:885: BuildPacket
[3564] 02-05 12:04:21:885: << Sending Response (Code: 2) packet: Id: 2, Length: 6, Type: 13, TLS blob length: 0. Flags:
[3564] 02-05 12:04:21:885: EapPeapCMakeMessage done
[3564] 02-05 12:04:21:885: EapPeapMakeMessage done
[3564] 02-05 12:04:21:901: EapPeapMakeMessage
[3564] 02-05 12:04:21:901: EapPeapCMakeMessage, flags(0x500)
[3564] 02-05 12:04:21:901: Cloned PPP_EAP_PACKET packet
[3564] 02-05 12:04:21:901: PEAP:PEAP_STATE_TLS_INPROGRESS
[3564] 02-05 12:04:21:901: EapTlsCMakeMessage, state(2)
[3564] 02-05 12:04:21:901: >> Received Request (Code: 1) packet: Id: 3, Length: 30, Type: 13, TLS blob length: 0. Flags:
[3564] 02-05 12:04:21:901: MakeReplyMessage
[3564] 02-05 12:04:21:901: SecurityContextFunction
[3564] 02-05 12:04:21:901: InitializeSecurityContext returned 0x90312
[3564] 02-05 12:04:21:901: State change to SentFinished
[3564] 02-05 12:04:21:901: BuildPacket
[3564] 02-05 12:04:21:901: << Sending Response (Code: 2) packet: Id: 3, Length: 208, Type: 13, TLS blob length: 198. Flags: L
[3564] 02-05 12:04:21:901: EapPeapCMakeMessage done
[3564] 02-05 12:04:21:901: EapPeapMakeMessage done
[3564] 02-05 12:04:21:916: EapPeapMakeMessage
[3564] 02-05 12:04:21:916: EapPeapCMakeMessage, flags(0x500)
[3564] 02-05 12:04:21:916: Cloned PPP_EAP_PACKET packet
[3564] 02-05 12:04:21:916: PEAP:PEAP_STATE_TLS_INPROGRESS
[3564] 02-05 12:04:21:916: EapTlsCMakeMessage, state(3)
[3564] 02-05 12:04:21:916: >> Received Request (Code: 1) packet: Id: 4, Length: 65, Type: 13, TLS blob length: 0. Flags:
[3564] 02-05 12:04:21:916: MakeReplyMessage
[3564] 02-05 12:04:21:916: SecurityContextFunction
[3564] 02-05 12:04:21:916: InitializeSecurityContext returned 0x0
[3564] 02-05 12:04:21:916: AuthenticateServer
[3564] 02-05 12:04:21:916: CreateMPPEKeyAttributes
[3564] 02-05 12:04:21:916: State change to RecdFinished
[3564] 02-05 12:04:21:916: BuildPacket
[3564] 02-05 12:04:21:916: << Sending Response (Code: 2) packet: Id: 4, Length: 6, Type: 13, TLS blob length: 0. Flags:
[3564] 02-05 12:04:21:916: EapPeapCMakeMessage done
[3564] 02-05 12:04:21:916: EapPeapMakeMessage done
[3564] 02-05 12:04:21:932: EapPeapMakeMessage
[3564] 02-05 12:04:21:932: EapPeapCMakeMessage, flags(0x500)
[3564] 02-05 12:04:21:932: Cloned PPP_EAP_PACKET packet
[3564] 02-05 12:04:21:932: PEAP:PEAP_STATE_TLS_INPROGRESS
[3564] 02-05 12:04:21:932: EapTlsCMakeMessage, state(4)
[3564] 02-05 12:04:21:932: >> Received Request (Code: 1) packet: Id: 5, Length: 80, Type: 13, TLS blob length: 0. Flags:
[3564] 02-05 12:04:21:932: Negotiation successful
[3564] 02-05 12:04:21:932: PeapGetTunnelProperties
[3564] 02-05 12:04:21:932: Successfully negotiated TLS with following parametersdwProtocol = 0x80, Cipher= 0x6611, CipherStrength=0x80, Hash=0x8004
[3564] 02-05 12:04:21:932: PeapGetTunnelProperties done
[3564] 02-05 12:04:21:932: PEAP_STATE_FAST_ROAMING_IDENTITY_REQUEST
[3564] 02-05 12:04:21:932: PeapClientDecryptTunnelData
[3564] 02-05 12:04:21:932: IsDuplicatePacket
[3564] 02-05 12:04:21:932: PeapDecryptTunnelData dwSizeofData = 74, pData = 0x1a45aae
[3564] 02-05 12:04:21:932: Blob length 74
[3564] 02-05 12:04:21:932: PeapDecryptTunnelData completed with status 0x0
[3564] 02-05 12:04:21:932: IsMsEapTlvPacket
[3564] 02-05 12:04:21:932: IsEapTLVInsidePEAP
[3564] 02-05 12:04:21:932: Got unexpected packet when expecting PEAP identity request.  Silently discarding packet.
[3564] 02-05 12:04:21:932: EapPeapCMakeMessage done
[3564] 02-05 12:04:21:932: EapPeapMakeMessage done
[3688] 02-05 12:04:39:941: EapPeapEnd
[3688] 02-05 12:04:39:941: EapTlsEnd
[3688] 02-05 12:04:39:941: EapTlsEnd(trixel\trixel)
[3688] 02-05 12:04:39:941: EapPeapEnd done
[3688] 02-05 12:04:39:941: PeapReadConnectionData
[3688] 02-05 12:04:39:941: PeapReadUserData
[3688] 02-05 12:04:39:941: No Credentails passed
[3688] 02-05 12:04:39:941: RasEapGetInfo
[3688] 02-05 12:04:43:435: PeapReadConnectionData
[3688] 02-05 12:04:43:435: PeapReadUserData
[3688] 02-05 12:04:43:435: No Credentails passed
[3688] 02-05 12:04:43:435: RasEapGetInfo

[Titofe]

Je vois qu'on avance à la même vitesse, j'en suis au même point que toi pour le moment.
J'étais entraient de lire ce post qui parle de la meme chose que toi :
http://www.nantes-wireless.org/forum/vi ... 246ecd793e

Je continue ma lecture et en même temps je vais me faire un serveur SME de Test car la ou je suis en ce moment j'en ai pas, j'ai un portable qui devrais faire l'affaire ...

[Titofe]

Je ne pense pas que notre souci soit dans ce que tu à pu lire, je dit ceci avec des pincettes, car pour ma part j'utilise SME en controleur de domaine pour le reseau et j'ai plusieur vista dans ce reseau et je n'ai jamais rencontrer de souci de ce coté, mais je pensse avoir une autre piste :
http://blas.phemo.us/articles/2007/03/2 ... entication

[Titofe]

J'ai vu que SME 7.3 avait la version 1.0.1 de FreeRadius et que pour régler le souci il fallait la version 1.1.4 de freeRadius, et pour le moment la version 8 de SME à la 1.1.3 ...

[trixel]

j'ai vu pareil que toi ...

Je cherche une version 1.1.4 FC4 pour voir si compatible