Radius IAS

Forum sur la sécurité des réseaux, la configuration des firewalls, la mise en place de protections contre les attaques, de DMZ, de systèmes anti-intrusion ...

Modérateur: modos Ixus

Radius IAS

Messagepar Yoda » 25 Mars 2009 09:37

bonjour,

Actuellement je configure un server radius avec IAS.

Infra:

switch HP
vlan auth, vlan unauth, vlan server, vlan default. dans les vlan auth et unauth, je récupére bien via le dhcp les bonnes adresses ip.
le switch est correctement authentifier comme client sur IAS.

configuration des remote policy sur IAS et des groups sur l'AD.

ensuite je mets en place pour test une authentification MD5 (sur le client) tout se passe bien.

pour valider, j'utilise l'administrateur du domain et un user classic et un user non membre du domain (guest).

chaque users est authentifier en fonction de ses droits et IAS tagge correctement le vlan... bref tout fonctionne a merveille... avec MD5.

les choses se compliquent au moment ou j'essaie d'implémenter EAP-PEAP.

pour ce faire, je m'appuie sur 2 document, un document Foundry, et un document HP, plus divers petite choses trouvée sur le net. j'ai fais plusieurs check complet des différentes choses a configurées et avec ce mode de cryptage je n'arrive pas a authentifier ni l'administrateur du domain, ni un user domain, ni un user guest.

apres chaque modification, je redémarre bien IAS, j'ai aussi créer un autre user après le check de la config au cas ou...

voici le log de l'IAS, c'est l'administrateur du domain qui est en "access denied" !!!
User DOMAINLABO\Administrator was denied access.
Fully-Qualified-User-Name = DOMAINLABO\Administrator
NAS-IP-Address = 10.0.10.254
NAS-Identifier = TEST
Called-Station-Identifier = 00-18-71-92-96-20
Calling-Station-Identifier = 00-0f-b0-c8-f1-4c
Client-Friendly-Name = TEST
Client-IP-Address = 10.0.10.254
NAS-Port-Type = Ethernet
NAS-Port = 1
Proxy-Policy-Name = Use Windows authentication for all users
Authentication-Provider = Windows
Authentication-Server = <undetermined>
Policy-Name = <undetermined>
Authentication-Type = EAP
EAP-Type = <undetermined>
Reason-Code = 48
Reason = The connection attempt did not match any remote access policy.

For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.


je rencontre clairement un pb de "match policy" mais je ne vois vraiment pas ou

merci de votre aide.
J'ai les noms de ceux qui font les cons.... (M.Coluche)
Avatar de l’utilisateur
Yoda
Vice-Amiral
Vice-Amiral
 
Messages: 511
Inscrit le: 22 Avr 2003 00:00
Localisation: Luxembourg

Messagepar antolien » 25 Mars 2009 13:04

Salut,

En fait il faut que tu aie un certificat serveur, et une connexion request policy sur laquelle tu actives le peap

ça se fait en plusieurs étapes:
1- il faut ajouter une clé de registre pour que le peap apparaissent dans le profil de ta connexion request policy
HKLM\System\CurrentControlSet\Services\RemoteAccess\Policy
Nouveau DWORD
EnableWPSCompatibility 1

2-tu génère un certificat serveur en Microsoft RSA Schannel Cryptographic provider(et cocher store in local machine store)

3- tu vas dans la connexion request policy (use windows authentication for all users", edit profile.
Tu peux alors cocher PEAP, et choisir le certificat que tu as installé.

ça devrait mieux se passer ensuite :)
Avatar de l’utilisateur
antolien
Amiral
Amiral
 
Messages: 3134
Inscrit le: 31 Août 2002 00:00

Messagepar Yoda » 25 Mars 2009 13:14

bonjour antolien et merci de tes reponses

le poste 1, c'est a faire sur le server ? car sur le clientt il y a en effet des modif a faire mais je n'ai pas vue celle la.

pour le reste je vérifie, mais mon certificat a bien été généré.

+
J'ai les noms de ceux qui font les cons.... (M.Coluche)
Avatar de l’utilisateur
Yoda
Vice-Amiral
Vice-Amiral
 
Messages: 511
Inscrit le: 22 Avr 2003 00:00
Localisation: Luxembourg

Messagepar antolien » 25 Mars 2009 13:27

oui c'est a faire sur le serveur, car sinon la connexion request policy ne fait pas apparaître le PEAP
Avatar de l’utilisateur
antolien
Amiral
Amiral
 
Messages: 3134
Inscrit le: 31 Août 2002 00:00

Messagepar Yoda » 25 Mars 2009 14:47

heu
3- tu vas dans la connexion request policy (use windows authentication for all users", edit profile.
Tu peux alors cocher PEAP, et choisir le certificat que tu as installé.


je dois la faire ou cette modification ? dans la remote policy (ca m'étonnerai)

+
J'ai les noms de ceux qui font les cons.... (M.Coluche)
Avatar de l’utilisateur
Yoda
Vice-Amiral
Vice-Amiral
 
Messages: 511
Inscrit le: 22 Avr 2003 00:00
Localisation: Luxembourg

Messagepar antolien » 25 Mars 2009 15:50

Non c'est dans "Connection Request Processing" puis dans "Connection Request Policies" et enfin dans "Use Windows authentication for all users"; tu vas dans edit profile et là tu peux cocher "Protected EAP" et choisir ton certificat.

Désolé je n'ai pas de radius en français sous la main.

Une fois que ça c'est fait, tu peux te créer une remote policy avec le peap.
Avatar de l’utilisateur
antolien
Amiral
Amiral
 
Messages: 3134
Inscrit le: 31 Août 2002 00:00

Messagepar Yoda » 25 Mars 2009 15:55

mon radius est en anglais mais je ne trouve pas cette rubrique.... je cherche et te recontacte.
J'ai les noms de ceux qui font les cons.... (M.Coluche)
Avatar de l’utilisateur
Yoda
Vice-Amiral
Vice-Amiral
 
Messages: 511
Inscrit le: 22 Avr 2003 00:00
Localisation: Luxembourg

Messagepar antolien » 25 Mars 2009 16:06

Il faut que tu ais créé la clé de registre pour l'avoir
Dernière édition par antolien le 25 Mars 2009 18:45, édité 1 fois au total.
Avatar de l’utilisateur
antolien
Amiral
Amiral
 
Messages: 3134
Inscrit le: 31 Août 2002 00:00

Messagepar Yoda » 25 Mars 2009 16:12

j'ai bien créer la clé de registre comme tu me l'a indiqué. mais je ne trouve pas le chemin pour accéder a
"use windows authentication for all users"

start >> administrative tools >> en faite je ne sais pas ou se trouve cette rubrique.

merci beaucoup de ton aide.
J'ai les noms de ceux qui font les cons.... (M.Coluche)
Avatar de l’utilisateur
Yoda
Vice-Amiral
Vice-Amiral
 
Messages: 511
Inscrit le: 22 Avr 2003 00:00
Localisation: Luxembourg

Messagepar antolien » 25 Mars 2009 16:22

tu as vu ma capture d'écran ? ^^
Avatar de l’utilisateur
antolien
Amiral
Amiral
 
Messages: 3134
Inscrit le: 31 Août 2002 00:00

Messagepar Yoda » 25 Mars 2009 16:24

non, elle ne s'affiche pas... sous ff j'ai une icone par default.

regarde tes mp dans 2 mn :wink:
J'ai les noms de ceux qui font les cons.... (M.Coluche)
Avatar de l’utilisateur
Yoda
Vice-Amiral
Vice-Amiral
 
Messages: 511
Inscrit le: 22 Avr 2003 00:00
Localisation: Luxembourg

Problème IAS

Messagepar riccie_boy » 08 Oct 2009 10:41

Bonjour,

J'ai un serveur IAS qui fonctionnait trés bien jusqu'a aujourd'hui, encryption en PEAP avec MSCHAP v2.

Certificat valide jusqu'en 2010.

J'ai le retour d'erreur suivant :

La requête d'accès de l'utilisateur GAUTHIERERI a été rejetée.
Fully-Qualified-User-Name = <non déterminé>
NAS-IP-Address = <Absente>
NAS-Identifier = 0
Called-Station-Identifier = 00-22-7F-3F-03-08:groupeMRV
Calling-Station-Identifier = 00-26-BB-FB-49-AD
Client-Friendly-Name = WIFI-ERA2
Client-IP-Address = 194.0.131.28
NAS-Port-Type = Wireless - IEEE 802.11
NAS-Port = 0
Proxy-Policy-Name = Utiliser l'authentification Windows pour tous les utilisateurs
Authentication-Provider = Windows
Authentication-Server = <non déterminé>
Reason-Code = 96
Reason = La requête d'authentification n'a pas été traitée car la session a dépassé le délai d'attente.


En tant normal derriere la partie AUTHENTICATION-SERVER le serveur check la POLICY-NAME mais la il part en délai d'attente dépassé.

Quelqu'un a-t-il eu déjà le problème ?
Merci d'avance.
riccie_boy
Matelot
Matelot
 
Messages: 2
Inscrit le: 08 Oct 2009 10:35
Localisation: Joué les tours

Messagepar riccie_boy » 09 Oct 2009 08:29

Le problème change, j'ai l'impression que mon serveur Radius IAS authentifie les comptes de l'ordinateur et nom les noms des utilisateurs ?

Si quelqu'un à une idée.
riccie_boy
Matelot
Matelot
 
Messages: 2
Inscrit le: 08 Oct 2009 10:35
Localisation: Joué les tours


Retour vers Sécurité et réseaux

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité