none
FALLOS DE AUTENTICACIÓN DOT1X LA PRIMERA VEZ QUE EL USUARIO SE LOGA EN UNA MAQUINA DEL DOMINIO RRS feed

  • Pregunta

  • He implementado una solución dot1x con: 2 controladores de dominio (Microsoft 2008 R2 Standard), 1 servidor radius NPS (Microsoft 2008 R2 Standard), switches hp procurve 2530.

    El servidor radius está registrado en el dominio y tiene configuradas políticas para autenticación mac y dot1x. La autenticación mac se realiza en el propio servidor radius, mientras que la autenticación dot1x la realizan los controladores de dominio, previa consulta por parte del servidor Radius. Se emplea PEAP-MSCHAPV2 y uno de los controladores de dominio actúa como CA.

    He creado un certificado de confianza en Radius con el controlador de dominio y todo funciona más o menos bien. 

    Impresoras, teléfonos, dispositivos macs y linux utilizan mac autenticación y reciben la vlan correspondiente (he creado varios grupos locales y usuarios, utilizando la mac de estos dispositivos).

    Máquinas Windows con suplicante configurado obtienen también su vlan correspondiente a su grupo de Directorio Activo.

    El problema que existe es que es necesario que el usuario esté cacheado en máquina local dentro del dominio para que no haya problemas.

    Cuando un usuario realiza login por primera vez en una máquina Windows aparece un error que dice: "No se encuentra ningún controlador de dominio". Sin embargo, no siempre ocurre y a veces el usuario se autentica de forma correcta.

    Una vez que el usuario está cacheado en máquina local dentro del dominio, posteriores conexiones se realizan sin problemas.

    ¿Hay alguna solución a este problema?

    No es posible realizar autenticación por máquina primero y luego por usuario, según he comprobado.

    sábado, 22 de abril de 2017 19:26