NPS RADIUS Wireless Client Authentications
-
giovedì 24 gennaio 2013 11:20
Salve a tutti. Sto cercando di configurare un server Radius per far accedere i miei client alla rete Wireless con l' autenticazione dei profili utente di AD.
1 Ho installato i servizi: NPS e certificati AD, entrambi nel DC
2 Autorizzato il Server NPS in AD.
3 Configurato "criteri richiesta di connessione"
Nella scheda "Anteprima": Flaggato "Criterio Attivo" > Tipo Server: "Unspicified"
Nella scheda "condizioni": Tipo porta NAS: Wireless IEEE 802.11
Nella scheda "impostazioni" > Metodi di Autenticazione: "Flaggato ignora impostazione di autenticazione del criterio di rete" > Tipi EAP: Microsoft PEAP > Metodi di sicurezza inferiore: Autenticazione crittografata Microsoft v.2 (MSCHAP v.2)
4 Configurato "Criteri di rete"
Nella scheda "Anteprima": Flag su Criterio Attivo > Concedi l' accesso > Tipo server "unspecified"
Nella scheda "condizioni">Tipi EAP Consentiti: Microsoft PEP - Microsoft: Password protetta (EAP-MSCHAP-V.2)
Nella scheda "vincoli" Metodi di autenticazione: Microsoft PEAP > Metodi di sicurezza inferiore: Autenticazione crittografata Microsoft v.2 (MSCHAP v.2)
L' utente può cambiare la password dopo che è scaduta
Autenticazione MS CHAP
L' utente può cambiare la password dopo che è scaduta
Nella scheda "Impostazioni" > Attributi Radius Standard: Framed Protocol: PPP
Service Type: Framed
4 Configuarto il client in "radius client" come "RADIUS STANDARD" > Segreto condiviso manuale (123456789)
5 Configurato l' AP con il server radius (WPA2 Enterprise + SharedSecret)
6 Creato la group policy per distribuire le impostazioni della rete WiFi.
Nome profilo "Nome Profilo" Tipo di rete Infrastruttura
Connetti automaticamente alla rete specificata Abilitato Passa automaticamente a una rete con preferenza superiore Abilitato Nome di rete (SSID) La rete trasmette il proprio SSID "Nome Profilo" True Impostazioni
sicurezzanascondiAutenticazione WPA2 Crittografia AES Usa 802.1X Abilitato Memorizzazione nella cache PMK (Pairwise Master Key) Abilitato TTL PMK (minuti) 720 Numero di voci nella cache PMK 128 Numero massimo errori di preautenticazione 3
Impostazioni IEEE
802.1XnascondiMemorizza informazioni utente per successive connessioni a questa rete Abilitato Autenticazione computer Riautenticazione utente Numero massimo errori di autenticazione 1 Numero massimo messaggi di avvio EAPOL inviati Periodo di sospensione (secondi) Periodo di avvio (secondi) Periodo autenticazione (secondi) Tipo Single Sign-On preLogon
Ritardo massimo accettabile per connettività di rete 10
La rete utilizza una VLAN diversa per l'autenticazione con credenziali
utente e computerDisabilitato
Consenti finestre di dialogo aggiuntive durante Single Sign-On Abilitato 7 Aperto la porta 1812 nel FW del server.
Ogni volta che provo a collegarmi mi esce il seguente errore:
Server dei criteri di rete: negato l'accesso a un utente.
Per ulteriori informazioni, contattare l'amministratore del Server dei criteri di rete.
Utente:
ID sicurezza: NULL SID
Nome account: "DOMINIO"\gentilis
Dominio account: "DOMINIO"
Nome completo account: "DOMINIO"\gentilis
Computer client:
ID sicurezza: NULL SID
Nome account: -
Nome completo account: -
Versione-sistema operativo: -
Identificatore stazione chiamata: E0-5F-B9-0C-70-CF:DELTAPG
Identificatore stazione chiamante: C0-F8-DA-8A-AE-5E
NAS:
Indirizzo IPv4 NAS: 172.16.40.13
Indirizzo IPv6 NAS: -
Identificatore NAS: -
Tipo-porta NAS: Wireless - IEEE 802.11
Porta NAS: 0
Client RADIUS:
Nome descrittivo client: WiFi R1
Indirizzo IP client: 172.16.40.13
Dettagli autenticazione:
Nome criteri richiesta di connessione: Wireless Computer
Nome criteri di rete: -
Provider di autenticazione: Windows
Server di autenticazione: DC1.dominio.local
Tipo di autenticazione: PEAP
Tipo di EAP: -
Identificatore di sessione account: -
Risultati registrazione: Informazioni di accounting scritte nel file di registro locale.
Codice motivo: 266
Motivo: Messaggio imprevisto o in formato non corretto.
In teoria, se il server genera questo errore, significa che l' autenticazione del client viene passata dall' AP al server giusto?
Qualcuno si è mai imbattuto in un problema del genere?
Grazie
- Modificato Stefano Gentili giovedì 24 gennaio 2013 14:30
- Tipo modificato Anca PopaMicrosoft Contingent Staff, Owner giovedì 31 gennaio 2013 18:20 discussione in corso
- Tipo modificato Edoardo BenussiMVP, Moderator sabato 2 febbraio 2013 15:58 domanda
Tutte le risposte
-
giovedì 24 gennaio 2013 15:18Moderatore
abilita il logging del NPS server, prova a connetterti in wifi, vai sul server nella cartella
c:\windows\system32\logfiles
e dovresti trovare un file col nome IN[datadioggi].log, aprilo con notepad e vedi se è registrato il tentativo d'accesso.
se il file non c'è o è vuoto significa che l'AP non parla con l'NPS, altrimenti parla.
se parla usa IAS Log Viewer per analizzare il file di log e capire meglio cosa succede.
se hai bisogno riscrivi qui.
ciao.
Edoardo Benussi
Microsoft MVP
edo[at]mvps[dot]org- Proposto come risposta Edoardo BenussiMVP, Moderator giovedì 24 gennaio 2013 15:19
- Contrassegnato come risposta Anca PopaMicrosoft Contingent Staff, Owner martedì 12 febbraio 2013 12:10
-
giovedì 24 gennaio 2013 15:56
Grazie Edoardo.
Il file è pieno di log! Ho installato IAS Log Viewer e questo viene elencato ogni tanto in rosso ogni volta che provo a collegarmi:
StartDataTime: "01/24/2012 16:38"
UserName: "MioDominio\MioUtente"
StopDataTime: "01/24/2012 16:38"
Duration: "00:00:00"
UserIP: Campo vuoto
OutPut Octets: "0"
Input Octets: "0"
Connect Request: "The message received was unexpected or badly formatted"
Connect Result: "Rejected"
Appena sotto questo log se ne ripetono altri in grigietto, piu frequentemente rispetto ai primi:
StartDataTime: "01/24/2012 16:38"
UserName: "MioDominio\MioUtente"
StopDataTime: "01/24/2012 16:38"
Duration: "00:00:00"
UserIP: Campo vuoto
OutPut Octets: "0"
Input Octets: "0"
Connect Request: campo vuoto
Connect Result: "Unknown"
Ho applicato delle correzzioni al testo per meglio spiegare la situazione!
Grazie ancora.
- Modificato Stefano Gentili giovedì 24 gennaio 2013 16:29
-
venerdì 25 gennaio 2013 08:01Moderatore
l'access point non è configurato correttamente come client radius del server radius nps quindi passa a nps pacchetti sbagliati.
probabilmente è impostato il modello di client radius sbagliato sull'nps.
vedi anche qui
Edoardo Benussi
Microsoft MVP
edo[at]mvps[dot]org -
venerdì 25 gennaio 2013 09:49
ho provato il workaround aggiungendo il valore suggerito nell' articolo HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL -> here I created a REG_DWORD value namedSendTrustedIssuerList and set it to 0 (per alcuni che hanno la mia stessa situazione ha funzionato, a me no)
Sto cercando in rete ulteriori guide complete ma non ne trovo una, quelle che ho provato non hanno funzionato e sono solo parte della configurazione.
-
venerdì 25 gennaio 2013 10:34Il client RADIUS è impostato come "RADIUS Standard", non avendo il produttore nella lista credo che l' unica alternativa sia questa.
-
sabato 26 gennaio 2013 17:17Moderatorepuoi postare le immagini delle tab settings ed advanced della configurazione del clietn radius sotto nps console ?
Edoardo Benussi
Microsoft MVP
edo[at]mvps[dot]org -
domenica 27 gennaio 2013 10:19
Certo, di seguito gli screenshot
Ho provato anche a spuntare le opzioni aggiuntive ma niente da fare.
-
mercoledì 30 gennaio 2013 12:30Moderatoremi puoi dire la marca dell'ap ?
Edoardo Benussi
Microsoft MVP
edo[at]mvps[dot]org -
mercoledì 30 gennaio 2013 14:52
Eccolo qui sotto, grazie di tutto! Considera che ho tirato su un server di test e mi ha funzionato subito seguendo questo link:
Access POint
-
giovedì 31 gennaio 2013 09:47
Ciao Edoardo,
il ruolo di server radius e certificati, deve essere obbligatoriamente installato sul DC oppure posso anche installarli in un server membro?
-
giovedì 31 gennaio 2013 12:00
Sto provando in un server membro (non vorrei stuzzicare troppo il DC facendo prove su di esso).
- Installato NPS e Routing di accesso remoto > configurate le policy come nell' articolo spicework
- Installata CA (sempre nel server membro) ed aggiunto il certificato nei "Autorità certificati radice attendibile"
- Creata GPO Wireless nel DC > nelle proprietà PEAP ho spuntato "convalida certificato server" e "connetti ai server seguenti: "server membro".
Inizialmente mi dava lo stesso problema di quando entrambi i ruoli erano installati nel DC. Applicando le modifiche come nella guida che mi avevi mandato la prima volta (metodo 3) e aspettando un pò ora sembrerebbe che il messaggio d' errore sia scomparso (quello inerente a "the message received was unexpected or badly formatted")
Ora però mi esce "The certificate that the user or client computer provided to nps as proof of identity chains to an enterprise root certification authority that is not trusted by the nps server".
Non capisco perchè in ambiente di test ha funzionato immediatamente e e riportando le stesse inpostazioni su quello di produzione non funziona una mazza!
-
giovedì 31 gennaio 2013 16:25Moderatore
Ora però mi esce "The certificate that the user or client computer provided to nps as proof of identity chains to an enterprise root certification authority that is not trusted by the nps server".
il server con nps ha un suo certificato server installato ? puoi installarne anche uno per webserver usando IIS manager per generarlo.
è installato anche il certificato root della CA di dominio ?
Edoardo Benussi
Microsoft MVP
edo[at]mvps[dot]org -
giovedì 31 gennaio 2013 20:35
Nel server NPS, sotto "autorità di certificazione attendibili" sono installati i seguenti certificati
"nome server membro CA"
"nome server membro "
"nome Domain Controller CA"
"Nome Domain Controller"
Gli stessi certificati risiedono anche nel DC e nel Notebook dove faccio le prove, il tutto l' ho verificato aggiungendo nello snap-in di MMC la voce "certificati" > "Account computer locale".
Grazie di tutto.
-
venerdì 1 febbraio 2013 14:40
Nell' eventviewer del server NPS esce questo avviso con id 36885
"Quando richiede l'autenticazione del client, il server invia al client un elenco di autorità di certificazione attendibili. Il client utilizza tale elenco per scegliere un certificato client considerato attendibile dal server. A causa dell'elevato numero di autorità di certificazione attualmente ritenute attendibili dal server, l'elenco ha raggiunto una dimensione eccessiva ed è stato pertanto troncato. Richiedere all'amministratore del computer di controllare le autorità di certificazione attualmente ritenute attendibili per l'autenticazione dei client e di rimuovere quelle superflue."
seguito da questo errore con id 36888:
"Generato avviso di errore irreversibile: 20. Lo stato dell'errore interno è 960"
Entrambi da SCHANNEL.
Con IAS LogViewer invece i log di errore sono i seguenti:
"Connect Request Unexpected error. Possible error in server or client configuration" "Connect Result Rejected "
- Modificato Stefano Gentili venerdì 1 febbraio 2013 14:42
-
sabato 2 febbraio 2013 15:58Moderatore
per fortuna che l'mvp ha bloggato sul problema il 18 dicembre scorso
:-)
Edoardo Benussi
Microsoft MVP
edo[at]mvps[dot]org- Proposto come risposta Edoardo BenussiMVP, Moderator sabato 2 febbraio 2013 15:59
- Contrassegnato come risposta Anca PopaMicrosoft Contingent Staff, Owner martedì 12 febbraio 2013 12:10
-
martedì 12 febbraio 2013 12:12Proprietario
Ciao Stefano,
Ho segnato come risposte un paio degli interventi di Edoardo, che ritengo ottimi per il troubleshooting del problema specifico.
Se ci sono delle notizie, aggiornaci qui.
Saluti,
Anca Popa
Microsoft offre questo servizio gratuitamente, per aiutare gli utenti e aumentare il database dei prodotti e delle tecnologie. Il contenuto viene fornito “così come è” e non comporta alcuna responsabilità da parte dell'azienda.
-
martedì 19 febbraio 2013 08:12
Grazie Anca ed Edoardo, purtroppo ho duvuto lasciare momentaneamente l' installazione RADIUS. Appena avrò modo di ricominciarla vi aggiornerò!
Grazie,
Stefano
.png)
