locked
Problème d'authentification par adresse MAC pour NAP sur Juniper RRS feed

  • Question

  • Bonjour tous le monde. Je vous contact car depuis quelque temps j'obtiens, sur mon serveur NAP, que je suis en train d'installer pour la mise en production, refuse d'authentifier mes utilisateurs par leur adresse MAC. J'obtiens l'erreur "L'authentification a échoué en raison d'un dépassement du délais d'expiration de la session EAP ; la session EAP avec le client d'accès était incompléte" - Evenement 6274. Je rencontre uniquement le soucis sur les Juniper ex4200 ; le firmware est le dernier : 4R4.5.

    Ce qui est curieux et que j'ai travaillé en labo sur une machine de test, j'ai fais beaucoup de chose dessus, et celle-ci fonctionne très bien. Elles sont toutes les 2 sur windows serveur 2008R2 (service pack1), la configuration de NAP est identique, les 2 serveurs sont dans la même UO (sur l'active directory), elles sont dans le même sous réseau et sont connectés sur le même commutateur. Lorsque j'intervertis le serveur radius dans la configuration du Juniper avec ces 2 machines l'une fonctionne et l'autre non. Par contre aucun soucis que ce soit sur l'un ou l'autre pour l'authentification avec PEAP. Et encore mieux les 2 serveurs authentifie bien les clients si le client radius est un Enterasys B3 ou HP ProCurve 2824.

    J'ai rajouté dans le registre les entrées pour activer le protocole EAP MD5-Challenge avec raschap.dll (HKLM\SYSTEM\CurrentControlSet\services\Rasman\PPP\EAP\4) et rajouter cette méthode d'authentification dans les "Stratégies de demandes de Connexion".

    Coté matériel, les 2 machines ont les mêmes configurations puisqu'elles sont toutes 2 virtualisées sur une architecture VMWare vSphere composée par des Blades.

    J'ai fais une trace Wreshark pour comparer les messages échangés, celui qui arrive du commutateur est le même sur les 2 serveurs mais l'un renvoi un timeout aussitot alors que l'autre renvoi un Reject (parce que je n'ai pas encore rajouté les adresses MAC dans l'AD)

    N'hesitez pas à demander si vous souhaiter des informations complémentaires. D'avance merci de votre aide. Cordialement,

    Damien LEVEQUE

    mardi 17 mai 2011 15:44