none
RADIUS - Network Policy and Access Service

    Dotaz

  • Dobrý den, už 3 rok mám na Windows Server 2008 Enterprise zprovozněnou službu Network Policy and Access Service pro řízení přístupu notebooku do firemní sítě. Jako radius klienty používám zařízení Unify. Vše fungovalo celé 3 roky bez problémů až do včerejšího dne.

    Takto vypadal záznam z logu v případě že byl přístup do sítě ověřen doménovým účtem uživatele:
     
    Network Policy Server granted access to a user.
    
    User:
    	Security ID:			MOJEDOMENA\JaroslavBalak
    	Account Name:			MOJEDOMENA\JaroslavBalak
    	Account Domain:			MOJEDOMENA
    	Fully Qualified Account Name:	MOJEDOMENA\JaroslavBalak
    
    Client Machine:
    	Security ID:			NULL SID
    	Account Name:			-
    	Fully Qualified Account Name:	-
    	OS-Version:			-
    	Called Station Identifier:		46-D9-E7-FD-50-4C:work
    	Calling Station Identifier:		1C-3E-84-EF-58-03
    
    NAS:
    	NAS IPv4 Address:		-
    	NAS IPv6 Address:		-
    	NAS Identifier:			44d9e7fc504c
    	NAS Port-Type:			Wireless - IEEE 802.11 
    	NAS Port:			0
    
    RADIUS Client:
    	Client Friendly Name:		ap-stara-hala-mistri-tisku
    	Client IP Address:			192.168.120.12
    
    Authentication Details:
    	Proxy Policy Name:		Secure Wireless Connections
    	Network Policy Name:		Secure Wireless Connections
    	Authentication Provider:		Windows 
    	Authentication Server:		ca08.mojedomena
    	Authentication Type:		PEAP
    	EAP Type:			Microsoft: Secured password (EAP-MSCHAP v2)
    	Account Session Identifier:		-
    
    Quarantine Information:
    	Result:				Full Access 
    	Session Identifier:			-

    Takto vypadá nyní:
    Network Policy Server denied access to a user.
    
    Contact the Network Policy Server administrator for more information.
    
    User:
    	Security ID:			MOJEDOMENA\BDYWOR$
    	Account Name:			host/bdywor.mojedomena.ctesin
    	Account Domain:			MOJEDOMENA
    	Fully Qualified Account Name:	MOJEDOMENA\BDYWOR$
    
    Client Machine:
    	Security ID:			NULL SID
    	Account Name:			-
    	Fully Qualified Account Name:	-
    	OS-Version:			-
    	Called Station Identifier:		06-18-D6-21-99-CA:work
    	Calling Station Identifier:		88-53-2E-D8-1D-46
    
    NAS:
    	NAS IPv4 Address:		-
    	NAS IPv6 Address:		-
    	NAS Identifier:			0418d62099ca
    	NAS Port-Type:			Wireless - IEEE 802.11 
    	NAS Port:			0
    
    RADIUS Client:
    	Client Friendly Name:		ap-it
    	Client IP Address:			192.168.120.9
    
    Authentication Details:
    	Proxy Policy Name:		Secure Wireless Connections
    	Network Policy Name:		-
    	Authentication Provider:		Windows 
    	Authentication Server:		ca08.mojedomena
    	Authentication Type:		EAP
    	EAP Type:			-
    	Account Session Identifier:		-
    	Reason Code:			48
    	Reason:				The connection attempt did not match any network policy. 

    Hodnoty Security ID, Account Name, Account Domain, Fully Qualified Account Name neobsahují správný doménový účet úživatele. Navíc na klintech při připojení k WIFI síti zmizlo zaškrtávací políčko Použít přihlašovací informace uživatele.

    Nevíte někdo v čem by mohl být problém ?


    pátek 27. října 2017 5:12

Všechny reakce

  • Jaký máš u WiFi připojení nastavený režim ověřování? Připadá mi to, jako by se změnil z Ověření uživatele na Ověření počítače.


    BB

    pátek 27. října 2017 6:12
  • Ano mate pravdu. Posila se tam ucet pocitace, ne uzivatele. S tím režimem WiFi můžete být prosím konkrétnějsí. Nevím co máte přesně na mysli.

    pátek 27. října 2017 6:26
  • A správně je co? Má se ověřovat uživatel nebo zařízení?

    Tím režimem WiFi myslím nastavení protokolu 802.1x WiFi klienta.


    BB

    pátek 27. října 2017 6:52
  • Spravne je overeni uzivatelem. Tim klientem mate na mysli koncove zarizeni tj. notebook nebo Radius klienta ?


    pátek 27. října 2017 7:16
  • Tím klientem myslím notebook.

    BB

    pátek 27. října 2017 7:36
  • Tak rucne WiFi sit na notebooku nikdy nekonfiguruji. Uzivatel v seznamu wifi siti najde prislusne SSID na ktere klikne. Zaskrtne checkbox Pouzit prihlasovaci informace uzivatele a byl pripojen.

    Navic pokud se k siti neprihlasim nemohu se podivat na nastavení protokolu 802.1x WiFi klienta. 


    pátek 27. října 2017 7:41
  • Počkej, Ty jsi nasadil 802.1x a přitom nenakonfiguroval v GPO parametry síťového rozhraní na koncovém zařízení?

    Pak bych se ani moc nedivil, že to nefunguje.


    BB

    pátek 27. října 2017 7:45
  • Popravde to si jiz nepamatuji. Jak jsme uvedl. Ta sit 3 roky fungovala bezproblemove. Muzete me nasmerovat ktera politika v GPO to je ?
    pátek 27. října 2017 7:51
  • Konfigurace počítače - Zásady - Nastavení systému Windows - Nastavebí zabezpečení - Zásady bezdrátové sítě (IEEE 802.11).

    BB

    pátek 27. října 2017 7:55
  • Tak toto jsem nikdy nemel nakonfigurovano. Nicmene to presto fungovalo spravne. Nakonfiguroval jsem tedy profil a mam mensi pokrok. Spravne se vyplni parametry Security ID, Account Name, Account Domain, Fully Qualified Account Name nicmene je neshoda jeste zde:

    Authentication Details:
    	Proxy Policy Name:		Secure Wireless Connections
    	Network Policy Name:		-
    	Authentication Provider:		Windows 
    	Authentication Server:		ca08.mojedomena
    	Authentication Type:		EAP
    	EAP Type:			-
    	Account Session Identifier:		-
    	Reason Code:			48
    	Reason:				The connection attempt did not match any network policy. 

    Autentizacni metoda je EAP ale melo by spravne byt PEAP. V Domain policy ale mam u profilu zadano Microsoft: Protected EAP(PEAP).

    


    pátek 27. října 2017 8:54
  • Tak samozřejmě musíš sladit nastavení RADIUS serveru a koncového zařízení. Jinak se spolu nedomluví.

    BB

    pátek 27. října 2017 9:32
  • Ale ony domluvi. Vzdyt vzdy, kdyz se uzivatel pokusi prihlasit k siti vyskoci ihned v logu NPS serveru zaznam. 
    pátek 27. října 2017 12:00
  • Nevypršela čistě náhodou platnost certifikátu, který používá IAS server?

    sobota 28. října 2017 19:51
  • Ne. Certifikát má platnost do příštího roku.
    neděle 29. října 2017 8:22
  • Ahoj.

    Pokud dot1x supplicant zacal odesilat udaje stanice a ne uzivatele, mohlo to byt opravdu prenastavenim supplicanta. Bud nekdo sahl do tech GPO co kolegove zminovali nebo to mohla byt treba nejaka aktualizace. Pripadne pokud to neni rizeno GPO, tak i nastavenim lokalniho uzivatele/spravce.

    Pokud to chcete rozjet opravte conditions u Network Policy, ktera Vas predtim overovala - tedy "Secure Wireless Connections". Pripadne nastavte supplicanta podle potreby. Zatim nereste EAP/PEAP metody, ale pouze conditions.

    pondělí 13. listopadu 2017 21:55