locked
WLAN EAP-TLS teszt környezet RRS feed

 > 

  • Question

  • Question
    Sign in to vote
    0
    Sign in to vote

    Jó estét!

     

    Szeretnék összeállítani egy XP/W7 kliens - AP - W08 R2 szerver tesztrendszert, aminél a WLAN

    beállítást szeretném elvégezni.

    Mit kéne elolvasnom hozzá?

    Linux-Linux között már sikerült régebben, de az újabb Windows-ok nem akarnak csatlakozni

    a Linuxos RADIUS szerverhez, ill. már a WLAN eszközök beállításánal lehetnek bajaim,

    mert teljesen más konfigurálási adataim vannak - ill. pontosabban nincsenek - a Linuxhoz képest.

    Jelenleg van egy próba W08 R2-m, amin már fenn van a PDC, AD, CA, RADIUS.

    Létezik valami leírás ezek konfigurálásához hogy egy W7 WLAN-on csatlakozhasson?

    (nem csak szerver oldal, hanem kliens is kéne)

     

    Esetleg ha mindezt valamilyen virtuális környezetben el lehetne végezni? Bár eddig

    nem találtam pl. virtuális switch-et, ami tudná a 802.1x-et, hiszen virtuális WLAN

    emulációt még nem láttam, viszont a szerver oldalt lehetne tesztelni vele és akkor

    már "csak" a kliens oldalra kéne koncentrálnom.

     

    Köszönettel:

    Wednesday, July 7, 2010 8:09 PM

All replies

  • Question
    Sign in to vote
    0
    Sign in to vote

    Például:

    http://technet.microsoft.com/en-us/library/cc771455(WS.10).aspx

    Thursday, July 8, 2010 2:13 PM
  • Question
    Sign in to vote
    0
    Sign in to vote

    Köszi!

    Kicsit messziről indítunk, de valahol el kell kezdeni.

    Tegnap és ma NAP és RADIUS-t olvasgattam, nézegettem.

    RADIUS-t talán már tudnám, hol kell beállítani.

    Jön a kliens oldal ...

    Thursday, July 8, 2010 7:22 PM
  • Question
    Sign in to vote
    0
    Sign in to vote

    Lassan olvasok és haladok a feladattal, de ma valami megmozdult nagy nehezen.

     

    Ott tartok, hogy a W2008 RADIUS szerver reject-el. Hogy miért, nem tudom.

    Bármi lehet. Szeretném valahogy debug-olni a kapcsolatot.

    Ilyet találtam: netsh ras set tracing iasrad enabled

    itthttp://technet.microsoft.com/en-us/library/bb457017.aspx

    Ezt kiadtam a kliensen (XP SP3) és a szerveren (W2008 R2) is. Utóbbin semmi

    más nem történt, mint létrejött a tracing könyvtárban egy halom 0 hosszúságú fájl,

    köztük az iasrad.log.

     

    Hogyan tovább?

    Számtalan hiba lehet, a tanúsítvány elkészítésétől kezdve, a beillesztéséig, a WLAN

    konfigen át a RADIUS konfigig. Persze legjobb tudásom szerint próbáltam a

    beállításokat.

     

    Köszi:

    Sunday, July 25, 2010 5:30 PM
  • Question
    Sign in to vote
    0
    Sign in to vote

    A RADIUS naplózáshoz mindössze annyi kellett, hogy reboot ...

    Okosabb nem sokkal lettem, mert:

     

    1. Ha valamilyen csoda folytán sikerül egy kliens cert-et kreálnom,

    akkor az NPS valamelyik policy-je hajt el ismeretlen hibával.

    Ekkor már eljutok odáig, hogy volt Client Hello üzenet, viszont a

    cert átvitelééig nem jutottam el.

     

    2. Próbáltam cert-et csinálni magamnak olyan XP-re, ami nem

    domain tag. Nem igazán sikerül, mert:

    - DC-hez kéne csatlakoznom, hogy automatikusan megkaphassam

    - IE-ből készítve User cert sablon alapján, akkor a usernév helyett

    a teljes  nevemmel készíti a cert-et, amit már ki se választ az XP

    az EAP Identity Request felhívásra.

    - ha kipipálom a Hitelesítés számítógépként, ..., akkor hozzáteszi

    a megfelelő usernevemhez a "host/"-t (host/rattila). Természetesen

    ez se jó. (ezek szerint azért valamelyik attribútumban csak benne

    van az rattila!)

    - IE felületen hiába vettem fel a használható cert sablonok közé

    a Computer és a Workstation sablont, nem jelenik meg, tehát a

    leírástól eltérően nem tudok Workstation-t választani és ilyen

    cert-et készíteni.

    - csináltam egy módosított User cert sablont User (Offline request)

    névvel, amiben a Subject-et átállítottam az AD-ről megadandóra és

    meg is jelenik az IE oldalán, ott vannak a mezők, de a kérés elküldése

    hibára fut, a szerver visszautasítja valamilyen policy hibával.

     

    Tehát az a mostani kérdésem, hogy hogyan kell non domain tagnak

    cert-et csinálni, akármilyen módon Windows alatt, úgy, hogy az XP-s

    usernevem legyen a Tulajdonos, ha jól értem.

     

    Köszi:

    Friday, July 30, 2010 7:09 PM
  • Question
    Sign in to vote
    0
    Sign in to vote

    Még messzebbről indulnék: (http://www.wi-fiplanet.com/tutorials/article.php/3114511)

    Itt még példák is vannak a teendőkről.

    Kurbli (http://msmvps.com/blogs/kurbli/)
    Saturday, August 7, 2010 5:36 PM
  • Question
    Sign in to vote
    0
    Sign in to vote

    Köszi.

     

    A feladat felét abszolváltam. XP SP2 már tud csatlakozni, de a szerver FreeRADIUS.

    Rendkívül sok problémám volt a tanúsítvány létrehozásával, az RDesktop-on keresztüli

    használat esetén a login név egyeztetéssel, amit elvégez az EAP indulása előtt és

    sehol se olvastam, hogy RDesktop login != dektop login, illetve azzal, hogy teljesen

    kiszámíthatatlanul kezdte az egész EAP-s folyamatot egy-egy konfig módosítás után.

     

    A FreeRADIUS oldala viszonylag egyszerű volt, mert ott a debug sokkal kézenfekvőbb.

     

    A W2k8 R2 mint szerver, nem sikerült, mert nem tudom, mi baja az NPS beállításaimmal,

    főleg akkor nem, amikor ismeretlen hibát ír a logba. Ezzel is mozdult, de itt még jobban

    nem tudom, hogyan kell nem domain-ban lévő kliens tanúsítványát létrehozni az AD CS-vel.

     

    Eddig a Cisco leírását találtam a legjobbnak, ami még XP-re, W2k-ra készült.

     

    Ha valaki tudna segíteni az AD CS + NPS konfigban, akkor nekifutnék annak is, mert

    érdekel, bár a fő cél sikerült, nevezetesen, hogy az XP SP2 mindenféle külön WLAN

    kezelő program nélkül - de WPA képes driverrel - tud csatlakozni EAP-TLS-sel

    biztosított WLAN-hoz.

     

    A kapott URL-t és az ott írtakat átnézem.

    Saturday, August 7, 2010 7:49 PM
  • Question
    Sign in to vote
    0
    Sign in to vote

    No, nem bírok az NPS-sel. :-(

    Ez van a security log-ban:

     

    + System 

      - Provider 

       [ Name]  Microsoft-Windows-Security-Auditing 

       [ Guid]  {54849625-5478-4994-A5BA-3E3B0328C30D} 

       EventID 6274 

       Version 0 

       Level 0 

       Task 12552 

       Opcode 0 

       Keywords 0x8010000000000000 

      - TimeCreated 

       [ SystemTime]  2010-08-12T08:35:33.406086300Z 

       EventRecordID 57931 

       Correlation 

      - Execution 

       [ ProcessID]  488 

       [ ThreadID]  2312 

       Channel Security 

       Computer W08VB.-----.hu 

       Security 

    - EventData 

      SubjectUserSid S-1-0-0 

      SubjectUserName rattila 

      SubjectDomainName W08VB0 

      FullyQualifiedSubjectUserName W08VB0\rattila 

      SubjectMachineSID S-1-0-0 

      SubjectMachineName - 

      FullyQualifiedSubjectMachineName - 

      MachineInventory - 

      CalledStationID 0014bfexxxx 

      CallingStationID 001f1f3dyyyy 

      NASIPv4Address 192.168.52.89 

      NASIPv6Address - 

      NASIdentifier 0014bfexxxx 

      NASPortType Wireless - IEEE 802.11 

      NASPort 17 

      ClientName DD-WRT 

      ClientIPAddress 192.168.52.89 

      ProxyPolicyName Biztonságos vezeték nélküli kapcsolatok 

      NetworkPolicyName - 

      AuthenticationProvider Windows 

      AuthenticationServer W08VB.---------.hu 

      AuthenticationType - 

      EAPType - 

      AccountSessionIdentifier - 

      ReasonCode 1 

      Reason An internal error occurred. Check the system event log for additional information. 

     

    Ebből különösen az utolsó sor az aggasztó számomra. A system event log-ban

    ugyan is semmi ehhez kapcsolód bejegyzés nincs.

    Thursday, August 12, 2010 9:03 AM