none
NPS jako RADIUS - problém s ověřením

    Dotaz

  • Dobrý den všem,

    prosím o radu. Mám Windows server 2008 R2 na němž mimo jiné běží doménový řadič a NPS, který má sloužit pro ověření uživatelů, připojujících se k bezdrátové síti, z domény. Potíž je, že když se snažím připojit k WiFi, nakonfigurované tak, aby používala NPS jako RADIUS server, neustále se nedaří. V logu NPS se lze dočíst, že :

    "Uživatel se pokusil použít metodu ověřování, která není v odpovídající síťové zásadě povolena."

    Na Access Pointu je nastavena "Authentication method" na MSCHAPv2 a na NPS v zásadách sítě -> omezení -> metody ověřování, jsou MSCHAPv2, MSCHAP a CHAP. 

    Celý log vypadá takto:

    Server NPS (Network Policy Server) odepřel přístup uživateli.

    Požádejte správce serveru NPS o další informace.

    Uživatel:
     ID zabezpečení:   NULL SID
     Název účtu:   XXXX\testu
     Doména účtu:   XXXX
     Úplný název účtu: XXXX\testu

    Počítač klienta:
     ID zabezpečení:   NULL SID
     Název účtu:   -
     Úplný název účtu: -
     Verze operačního systému:   -
     Identifikátor volané stanice:  78E3B5F1A8F0
     Identifikátor volající stanice:  CC52AF9781FC

    Služba NAS:
     IPv4 adresa služby NAS:  10.0.6.1
     IPv6 adresa služby NAS:  -
     Identifikátor služby NAS:   CN15B011PT
     Typ portu serveru NAS:   Bezdrátové – IEEE 802.11
     Port serveru NAS:   35

    Klient protokolu RADIUS:
     Popisný název klienta:  AP1
     IP adresa klienta:   10.0.6.1

    Podrobnosti ověřování:
     Název zásady požadavku na připojení: Zabezpečená bezdrátová připojení
     Název síťové zásady:  -
     Zprostředkovatel ověřování:  Windows
     Ověřovací server:  B1S1.XXXX.cz
     Typ ověřování:  EAP
     Typ protokolu EAP:   -
     Identifikátor relace účtu:  36363635366535662D3030303030303232
     Výsledky protokolování:   Informace o monitorování účtů byly zapsány do místního souboru protokolu.
     Kód důvodu:   22
     Důvod:    Uživatele nebylo možno ověřit, protože server nemůže zpracovat typ protokolu EAP (Extensible Authentication Protocol).

    Tento log je vždy následován druhým, lišícím se v sekci uživatel - obsahuje informace o klientském počítači.

    Zkoušel jsem měnit protokoly jak na AP, tak v zásadách sítě a jediná změna, které jsem docílil, byla

    "Uživatele nebylo možno ověřit, protože server nemůže zpracovat typ protokolu EAP (Extensible Authentication Protocol)."

    Nevím si rady. Prosím pomoc.

    pondělí 5. září 2011 18:27

Odpovědi

Všechny reakce