locked
TMG and RADIUS: Challenge-Response-Problem RRS feed

  • Frage

  • Hallo zusammen.

    Ich habe den Zugriff auf OWA über TMG2010 mit AD und RADIUS konfiguriert. Dies funktioniert einwandfrei. Der Benutzer gibt Benutzername + RADIUS-Token + AD-Passwort ein. Benutzername + RADIUS-Token werden an unseren RADIUS Server verschickt, geprüft, und falls OK, wird ein Access-Accept zurückgegeben. Falls das Passwort auch stimmt, ist man drin. Soweit, alles klar.

    Unser Problem ist jedoch, dass unser RADIUS Server eine SMS verschickt und ein Access-Challenge mit einer Reply-Message verschickt. Alle RADIUS-Clients die ich kenne, zeigen die Reply-Message an und fordern nun zur Eingabe einer "Challenge" auf. Nur der TMG nicht! Der akzeptiert nur Access-Accept, resp. Access-Denied.

    Wie kann ich nun ein Challenge simulieren? Wo könnte ich nun den Code meiner SMS eingeben?

    Danke
    Sven

     

     

    Mittwoch, 5. Oktober 2011 18:07

Alle Antworten

  • huhu sven,

    bei radius muss ich passen - ich habe allerdings letzte woche das identische szenario mit rsa securid für  einen kunden mit flashsms gebaut, was prima funkt. nur username und pin wird eingegeben, dann noch den sms-code - der rest läuft dann bei mir über kcd rein. rsa verwendest du nicht?


    gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|
    Mittwoch, 5. Oktober 2011 18:31
  • Salut Jens

    Nein, kein RSA, warum auf solch teure Lösung zurückgreifen, wenns auch günstiger geht? Wir verwenden einen hauseigenen RADIUS-Server, welcher bisher mit allen Appliances (Citrix CAG, SonicWalls, ...) einwandfrei Challenge-Response macht und SMS-Verschickt. Nur eben TMG bockt!

    Aber wenn Du kein RADIUS verwendest, kann ich mir gut vorstellen, dass es OHNE RADIUS eben funktioniert, resp. RADIUS tut ja, nur eben reagiert er nur auf Access-Accept, oder Access-Reject. Access-Challenge scheint ihm unbekannt zu sein.

    Gruess
    Sven


    • Bearbeitet Sven Gschwend Mittwoch, 5. Oktober 2011 19:21 Ergänzung
    Mittwoch, 5. Oktober 2011 19:00