Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Windows Server 2012/2012 R2 (http://forum.oszone.net/forumdisplay.php?f=117)
-   -   [решено] Radius server (http://forum.oszone.net/showthread.php?t=322704)

xaker829 12-01-2017 22:42 2703068
Radius server
 
Здравствуйте,
столкнулся с такой проблемой, У нас есть RADIUS-сервер Microsoft Windows Server 2012 и коммутатор Cisco, задача сделать так чтоб не один пользователь не смог получить доступ без аутентификации в сети по LAN(Ethernet),На сервере RADIUS, который мы имеем мы также имеем Active directory , Certificate Authority. Мы добавили группу из AD на сервер RADIUS и настроен на проверку подлинности на основе порта.
Но при вводе учетных данных пользователя из указанной группы пользователь не проходит аутентификацию ,На коммутаторe имеются Debugi : access-reject from the server,
RADIUS: Received from id 1645/6
192.168.100.110:1812,
Access-Reject, len 44

Появляется окно для аутентификации но учетные записи не проходят, а также нашел лог на сервере Radius:

Network Policy Server denied access to a user.

Contact the Network Policy Server administrator for more information.

User:
Security ID: IDRAK\wireduser
Account Name: idrak\wireduser
Account Domain:
IDRAK
Fully Qualified Account Name:
IDRAK\wireduser

Client Machine:
Security ID: NULL SID
Account Name: -
Fully Qualified Account Name:
-
OS-Version: -
Called Station Identifier:
BC-16-F5-D6-22-0E
Calling Station Identifier:
00-23-54-CE-49-94

NAS:
NAS IPv4 Address:
192.168.100.2
NAS IPv6 Address:
-
NAS Identifier:
-
NAS Port-Type:
Ethernet
NAS Port: 50014

RADIUS Client:
Client Friendly Name:
Core_Idrak
Client IP Address:
192.168.100.2

Authentication Details:
Connection Request Policy Name:
Secure Wired (Ethernet) Connections 2
Network Policy Name:
Secure Wired (Ethernet) Connections 2
Authentication Provider:
Windows
Authentication Server:
AD2.IDRAK.LOCAL
Authentication Type:
EAP
EAP Type: -
Account Session Identifier:
-
Logging Results:
Accounting information was written to the local log file.
Reason Code: 22
Reason: The client could not be authenticated because the Extensible Authentication Protocol (EAP) Type cannot be processed by the server

буду признателен за помощь.

ko4evneg 13-01-2017 17:30 2703313
Как настроена аутентификация на клиенте и какая аутентификация разрешена на NPS сервере? Судя по сообщению они не совпадают.

xaker829 13-01-2017 19:48 2703356
Вложений: 3
Файл 142665

xaker829 13-01-2017 19:51 2703358
вы можете увидеть настройку аутентификации в скриншотах

ko4evneg 14-01-2017 09:59 2703474
А внутри EAP на радиусе?

xaker829 14-01-2017 16:37 2703564
Вложений: 1
внутри вот

ko4evneg 15-01-2017 22:39 2703804
А клиент доверяет сертификату сервера?

xaker829 16-01-2017 01:38 2703821
а как это узнать? экспортировать и установить этот сертификат на клиента?

ko4evneg 16-01-2017 10:01 2703872
Клиент и сервер должны доверять одному и тому же рутовому CA

xaker829 16-01-2017 21:01 2704015
спасибо тебе за помощь проблема правда была в сертификатe ниже я описал решение:
1. На сервере NPS я создал self-signed сертификат.
2. Этот сертификат я выбрал в свойствах EAP.
3. В консоли MMC экспортировал этот X.509 сертификат.
4. На клиенте я установил этот сертификат X.509 в 3 контейнера: Personal, Enterprise trust , trusted root certification authorities.

Другой способ: На NPS серверe из персонального контейнера запросить сертификат с сервера сертификатов, а затем импортировать этот сертификат на клиентских компьютерах.

спасибо ты мне очень помог с наилучшими пожеланиями

Фарид.

P.S. Еще Прочитал тут https://technet.microsoft.com/en-us/...(v=ws.10).aspx

https://social.technet.microsoft.com...m=winserverNAP


Время: 20:33.

Время: 20:33.
© OSzone.net 2001-