none
NPS - RADIUS - PEAP

    Dotaz

  • Ahoj,
    mam neustale problem zrejme s nespravnym postupem ohledne certifikacni autority a certifikatu .. ..

    Rozchodil jsem NPS server, nakonfiguroval APcko, pokud vypnu na klientu (w7) ve vlastnostech PEAPu overovat certifikat serveru, jede to
    Pokud ot mam zaple, vetsinou nejede.

    Dotaz zni - jak vytvorim korektne certifikat, ktery nastavuju na serveru ve vlastnostech PEAPu .. ?

    Vim ze odpoved a reseni asi bude trivial, ale ja uz sem nak zmaten :-)

    BTW: certifikacni autoritu na serveru mam, pokud chci na stanici/serveru vyzadat certifikat uzivatele v certmgr.msc tak to jede, takze uplne blbe autorita neni, spis to bude o tom mem dotazu vyse..

    Dik
    Honza
    úterý 20. října 2009 8:14

Odpovědi

Všechny reakce

  • Ahoj,

    postupoval jsi podle nejakeho step-by-step navodu? Ja jsem to mel 100% rozchozene cca pred pul rokem. Predevcirem jsem to konfiguroval znovu:

    1. konfigurace RADIUS clienta
    2. konfigurace wifi AP
    3. vytvoreni Connection Request policy (NAS PORT TYPE)
    4. vytvoreni Network Policy (NAS PORT TYPE, a treba windowd grupa)

    Nicmene stejne mi to nefunguje...

    Kuba
    úterý 20. října 2009 8:27
  • Ahoj,

    jj, postupoval, dokonce mi to i Xkrat fungovalo, ale problem je nyni i podle chybovych hlasek nekde v certifikatu (nastaveni PEAPu, ZASADY SITE->ZABEZPECENA BEZDRATOVA SPOJENI)
    úterý 20. října 2009 8:38
  • Muzes sem prosim hodit link, rad bych si to vyzkousel na virtualu a porovnal s mou konfiguraci NPS a konfiguraci CA.

    Diky
    úterý 20. října 2009 9:21
  • Jakej link ? nechapu :)
    úterý 20. října 2009 9:41
  • link na ten step-by-step :) ja jsem to potom kontroloval podle postupu primo od MS a stejne se mi client nepripoji

    jedina vec v logu je:

    An Access-Request message was received from RADIUS client 10.100.1.222 with a Message-Authenticator attribute that is not valid.

    nicmene s timto AP mi to v minulosti fungovalo, ale nyni ne

    úterý 20. října 2009 11:19
  • Zdravím

    Mám taky pár dotazů.

    chtěl bych zkusit RADIUS server na windows 2003 (IAS) pro ověřování bezdrátových uživatelů přistupujících přes AP. Přidal jsem funkci serveru. Přidal AP jako klienta RADIUS serveru (Klient dodavatel RADIUS - standard - zadal sdílený klíč. Nastavil na AP IP radius serveru a sdílený klíč.
    Nová zásada vzdáleného přístupu wifi-klient : NAS-Port type -IEEE 802.11 or Bezdrátové ostatní, windows Group odpovídá "domena\wifi-klienti"

    Pokud se pokusím připojit, tak v logu na serveru :
    Protože nebyl nakonfigurován certifikát telefonického připojení klientů pomocí protokolu EAP-TLS, uživateli domena\uzivatelxyz byl poslán výchozí certifikát. Přejděte k uživatelským zásadám vzdáleného přístupu a nakonfigurujte protokol EAP (Extensible Authentication Protocol).

    Přešel jsem do IAS v zásadě wifi - ověřování - Metody prot. EAP - typy protokolů : PEAP - Upravit --- nelze nalézt certifikát , který může být použit protokolem EAP.

    Naistaloval jsem si na server certifikační úřad, ale tedka mám pár dotazů.

    1) jak vytvořit certifikát (zřejmě pro server) pro PEAP ???

    2) pokouší se připojit jako domenový uživatel. Mám vytvořit pomocí certifikační autority certifikát pro uživatele a ten hodit na klientskou stanici? Je třeba

    3) Pokud se přihlašuju na stanici jako domenový uživatel, je třeba nejprve stanici přidat do domeny ještě před přihlašovaním přes AP ?

    Dík

    Honza

     

    čtvrtek 26. srpna 2010 19:56
  • A co treba najit si nejaky navod sam? Trvalo mi to asi 5 minut.

    http://articles.techrepublic.com.com/5100-10878_11-6148579.html

    certifikat je IMHO standardni SSL certifikat, stejny jako pro HTTPS = ucel musi byt prokazani identity serveru.

    Pokud budete cist vyse uvedeny navod pozorne, najdete link http://articles.techrepublic.com.com/5100-10878_11-6148560.html , ktery vam ukaze, jak si vyrobit selfsigned certifikat nastrojem z IIS. Taky si muzete pohrat s OpenSSL, ale neni to uplne userfriendly.

    Pokud budete potrebovat certifikatu v budoucnu vice, pak si postavte vlastni CA z Windows, pripadne si kupte certifikat od nejake verejne CA (Thawthe napr.).

    pátek 27. srpna 2010 13:27