none
NPS, MSCHAPv2 a manipulace s atributem

    Dotaz

  • Dobrý den,

    mám problém s nastavením NPS serveru. NPS používám jako RADIUS pro 802.1x ověřování na WiFi síti. Active Directory doména používá jako DNS jméno domain.cz, které není stejné jako naše veřejné DNS. Nyní bychom chtěli zavést do naší WiFi sítě Eduroam. Podle podmínek Eduroam musím pro naše uživatele používat realm ve tvaru našeho veřejného DNS, nikoliv interního. Potřebuji tedy aby když na NPS přijde požadavek na autentifikaci uživatele user@publicdomain.cz tak takového uživatel ověřil v interní AD. Vytvořil jsem Connection request policy, která nahrazuje realm @publicdomain.cz na @domain.cz pomocí attribute manipulation pravidel. Podle logu nahrazení proběhne v pořádku, uživatel je správně nalezen v Active Directory, ale k ověření uživatele nedojde s chybovou hláškou: Ověření se nezdařilo, protože nesouhlasí pověření uživatele. Zadané uživatelské jméno nelze přiřadit k existujícímu uživatelskému účtu nebo bylo zadáno nesprávné heslo. (EventID 6273 Reason 16).

    Pokud přijde požadavek na autentifikaci uživatel user@domain.cz tak je bez problému ověřen.

    Podle tohoto článku (https://msdn.microsoft.com/en-us/library/cc753603.aspx) se nesmí u MSCHAPv2 měnit user attribute pokud požadavek předávám dál, ale to si myslím není tenhle případ.

    Jakým způsobem se má problém výše řešit? NPS jsem nakonfiguroval na Windows Server 2008 R2 a zkoušel jsem i 2012 R2. Díky za odpovědi!

    Jiří Kubeš

    pondělí 16. února 2015 11:36

Odpovědi

  • Po celodenním bádání se mi podařilo problém vyřešit. User attribute manipulation v Connetion request policy jsou pouze z důvodů modifikace v případě předávání RADIUS požadavku na další RADIUS server. Řešení problému není v konfiguraci NPS, ale Active Directory. Je třeba přidat alternativní UPN ve tvaru realmu pro Eduroam a tuto UPN přiřadit uživatelům. Řešení je popsáno v tomto vlákně (https://social.technet.microsoft.com/Forums/windowsserver/en-US/e73183d4-7b2f-48a7-9246-97ed711e8e8d/eappeapmschapv2-realm-stripping?forum=winserverNAP), hlavně příspěvek od Jan Willem Smeenk (nedege10). 
    • Označen jako odpověď Jiří Kubeš pondělí 16. února 2015 15:40
    pondělí 16. února 2015 15:40