none
NPS RADIUS RRS feed

  • Discussion générale

  • Bonjour,

    Nous avons sur notre site une centaine de point d'accès wifi, tous configurés en tant que client dans NPS.

    J'utilise l'authentification utilisateur par login/password via annuaire AD.

    Ça fonctionne relativement bien sauf que lorsque des utilisateurs clique sur le réseau wifi en question afin de s'y connecter, il arrive que la fenêtre qui demande le login/password ne s'affiche pas de suite, il y a un message qui dit que la connexion n'a pas pu se faire, mais si on insiste en cliquant plusieurs fois sur le réseau, cette fenêtre apparait. Y a-t-il une limite de connexions simultanées au serveur NPS pour traiter les demandes d'accès sur 2012 R2 ? Si oui, peut-on modifier cette limite ?

    Je précise que ces postes ne sont pas sur le domaine, ce sont des postes totalement autonomes.


    Aussi, j’aimerais savoir s’il est possible de faire en sorte qu’une fois les identifiants entrés, qu’il ne soit plus nécessaire de les entrer à nouveau. Car je constate que les utilisateurs doivent de temps en temps ré-entrer leurs identifiants pour avoir accès au wifi.

    Merci d’avance pour toute l’aide que vous pourrez m’apporter.

    Bien cordialement,





    mercredi 7 octobre 2020 13:59

Toutes les réponses

  • salut, 

    je sais pas comment il est configuré ton NPS, généralement on choisit le certificat ordinateur. tu peux bien enregistrer les identifiants dans les propriétés de la carte réseau. ou utilisé l'authentification du session. mais il faut passer sur tout les postes, car ils sont pas dans le domaine, et de ton coté tout est fait.

    le délai d'attente est du au délai de réponse, y a aucune limite niveau NPS. apres est ce que tu passes par un proxy, un parefeu, un point d'acces, NPS permet de faire quoi ? les authentifiés sur le domaine ? ou pour internet.


    Dakhama Mehdi : Windows developper https://github.com/dakhama-mehdi

    mercredi 7 octobre 2020 14:23
  • salut, 

    je sais pas comment il est configuré ton NPS, généralement on choisit le certificat ordinateur. tu peux bien enregistrer les identifiants dans les propriétés de la carte réseau. ou utilisé l'authentification du session. mais il faut passer sur tout les postes, car ils sont pas dans le domaine, et de ton coté tout est fait.

    le délai d'attente est du au délai de réponse, y a aucune limite niveau NPS. apres est ce que tu passes par un proxy, un parefeu, un point d'acces, NPS permet de faire quoi ? les authentifiés sur le domaine ? ou pour internet.


    Dakhama Mehdi : Windows developper https://github.com/dakhama-mehdi

    Salut,

    NPS me permet d'authentifier les utilisateurs afin que ces derniers accèdent au réseau wifi et donc à internet. J'utilise l'annuaire AD pour les comptes.

    Nous avons une centaine de salle, chacune équipée d'un point d'accès wifi. 

    J'utilise EAP-MSCHAP v2. Cela me permet justement d'éviter d'avoir à déployer un certificat sur tous les postes car ces derniers ne sont pas gérables.

    Merci.



    • Modifié Support57 mercredi 7 octobre 2020 15:21
    mercredi 7 octobre 2020 15:19
  • Si les postes ne sont pas dans le domaine, tu peux pas faire grande chose côté nps.

    Tes postes ont ils besoin d'un proxy ? Car le pop up d'authentification s'affiche quand les postes sollicite internet, regardes dhcp aussi 


    Dakhama Mehdi : Windows developper https://github.com/dakhama-mehdi

    mercredi 7 octobre 2020 15:29
  • Bonjour Support57

    Ca sent bon l'établissement scolaire, et plus précisément un Lycée. Je me trompe ?

    @Mehdi : Tout se passe en interne (réseau local).

    Périphérique ==> Borne WIFI (Fontionnement en mode RADIUS) ==>Périphérique : "User identification" ==> Borne WIFI ==>  NPS : Ca matche avec les policies  ? ==> Réponse à la borne ==> DHCP fournit IP ==> Périphérique à une IP et accède au réseau. 

    Pas de proxy dans tout ceci. Le proxy ça peut être après, une fois que le périphérique à une IP, et qu'il veut aller sur Internet. Et si ils ont un proxy transparent, c'est fingers-in-the-nose.

    @ Support57 :Je pense que le pb se situe dans la com. entre borne et NPS, il faut qu'ils causent la même langue ces 2 là. Vérifies bien que tu as bien les mêmes paramètres entre ton contrôleur WIFI (celui qui est le maître et qui sert à conf. les autres), et ton NPS. Je sens bien une coche manquante quelque part dans EAP-MSCHAP v2.

    Tes bornes ne seraient pas des ARUBA ? Si oui, je pourrais te fournir à cocher sur le GUI ARUBA (oui Medhi, dès fois j'utilise un GUI pour de l'administration, ici c'est de l'https :) ), et la conf que j'ai sur le NPS.

    Cordialement

    Olivier

    mercredi 7 octobre 2020 16:43
  • Bonjour Support57

    Ca sent bon l'établissement scolaire, et plus précisément un Lycée. Je me trompe ?

    @Mehdi : Tout se passe en interne (réseau local).

    Périphérique ==> Borne WIFI (Fontionnement en mode RADIUS) ==>Périphérique : "User identification" ==> Borne WIFI ==>  NPS : Ca matche avec les policies  ? ==> Réponse à la borne ==> DHCP fournit IP ==> Périphérique à une IP et accède au réseau. 

    Pas de proxy dans tout ceci. Le proxy ça peut être après, une fois que le périphérique à une IP, et qu'il veut aller sur Internet. Et si ils ont un proxy transparent, c'est fingers-in-the-nose.

    @ Support57 :Je pense que le pb se situe dans la com. entre borne et NPS, il faut qu'ils causent la même langue ces 2 là. Vérifies bien que tu as bien les mêmes paramètres entre ton contrôleur WIFI (celui qui est le maître et qui sert à conf. les autres), et ton NPS. Je sens bien une coche manquante quelque part dans EAP-MSCHAP v2.

    Tes bornes ne seraient pas des ARUBA ? Si oui, je pourrais te fournir à cocher sur le GUI ARUBA (oui Medhi, dès fois j'utilise un GUI pour de l'administration, ici c'est de l'https :) ), et la conf que j'ai sur le NPS.

    Cordialement

    Olivier

    Bonjour Olivier,

    En effet, établissement scolaire.

    En fait, ça marche quand même assez bien, c'est juste que parfois l'utilisateur doit cliquer deux ou trois fois sur le réseau wifi pour que le pop-up login/password s'affiche. Mais ça ne fait cela que quand un grand nombre d'utilisateurs se connectent plus ou moins en même temps. J'ai donc pensé à une limitation possible du nombre de demande d'accès, soit au niveau raidus, soit au niveau AD, mais apparemment, j'ai lu sur internet que cette limitation n'existe que lorsque NPS n'est pas sur un contrôleur de domaine, ce qui n'est pas mon cas.

    Aussi, concernant le fait que les utilisateurs doivent se réauthentifier parfois, je voudrais qu'une fois authentifiés, ils conservent l'accès direct dans devoir entrer à nouveau login/password.

    Merci.

    mercredi 7 octobre 2020 16:58
  • Olivier,

    T'as confondu nps avec 802.1x pour attendre la validation des polices avant de délivrer une IP.

    J'en ai fait des authentification nps pour bornes avec proxy comme squid ou checkpoint, dans ce cas l'nps joue le role de serveur radius, ce qui est le cas pour support57


    Dakhama Mehdi : Windows developper https://github.com/dakhama-mehdi

    mercredi 7 octobre 2020 17:10
  • @Medhi,

    NPS est l'implémentation MS de RADIUS, c'est un serveur RADISU, certes un peu particulier, mais un RADIUS quand même. Il suffit de regarder les ports et protocoles qu'il utilise.

    @Support57:

    • NPS sur DC, pas dans les Best-Practices, mais j'ai ça aussi dans tous les Lycées de la région dans lequel j'opère. :-)
    • "cette limitation n'existe que lorsque NPS n'est pas sur un contrôleur de domaine". Je ne crois pas à cette explication. En efft, NPS (RADIUS) interroge l'AD. Si c'est sur la même machine, il n'y a pas de flux à ouvrir, si les 2 sont sur des machines différentes, et qu'il y a un FW par exemple entre les 2, il faut que les flux (NPS ===> RADIUS et inversement) soient ouverts. Don si ralientissement c'est uniquement du à des contraintes réseau.
    • "je voudrais qu'une fois authentifiés, ils conservent l'accès direct dans devoir entrer à nouveau login/password.". Je ne pense pas que cela est possible. En pense comme un utilisateur du domaine : Quand tu ouvres une session sur le domaine, tu es bien obligé de t'authentifier. Et si tu ouvres une session avant d'être connecté sur le domaine (pas de pb, Login/pw sont les bons, la machine te connait), la machine t'a en cache, elle te laisse passer. Tu es alors bien sur le réseau, mais tu n'as pas de ticket kerberos et donc pas d'accès aux ressources. Pour le WIFI avec authentification RADIUS, je pense que le client qui s'authentifie doit avoir un ticket kerberos ... et ça ce n'est jamais Ad Vitam Aeternam.
    • Un client (très très gros lycée) - pas plus tard que ce matin - vient de me dire qu'ils avaient mis un portail captif pour "faciliter la connexion des utilisateurs". En gros, quand arrivant l'authentificaito, ça lançait un navigateur et l'utilisateur s'authentifiait en mode web. A l'époque, ils avaient utilisés un PFSense pour ça, mais on peut faire cela de nos jours directement avec les ARUBA il me semble. Je dois aller les voir semaine prochaine, si j'ai des infos sur ça, je te ferais un retour.

    Cordialement

    Olivier

    vendredi 9 octobre 2020 11:56
  • @Medhi,

    NPS est l'implémentation MS de RADIUS, c'est un serveur RADISU, certes un peu particulier, mais un RADIUS quand même. Il suffit de regarder les ports et protocoles qu'il utilise.

    @Support57:

    • NPS sur DC, pas dans les Best-Practices, mais j'ai ça aussi dans tous les Lycées de la région dans lequel j'opère. :-)
    • "cette limitation n'existe que lorsque NPS n'est pas sur un contrôleur de domaine". Je ne crois pas à cette explication. En efft, NPS (RADIUS) interroge l'AD. Si c'est sur la même machine, il n'y a pas de flux à ouvrir, si les 2 sont sur des machines différentes, et qu'il y a un FW par exemple entre les 2, il faut que les flux (NPS ===> RADIUS et inversement) soient ouverts. Don si ralientissement c'est uniquement du à des contraintes réseau.
    • "je voudrais qu'une fois authentifiés, ils conservent l'accès direct dans devoir entrer à nouveau login/password.". Je ne pense pas que cela est possible. En pense comme un utilisateur du domaine : Quand tu ouvres une session sur le domaine, tu es bien obligé de t'authentifier. Et si tu ouvres une session avant d'être connecté sur le domaine (pas de pb, Login/pw sont les bons, la machine te connait), la machine t'a en cache, elle te laisse passer. Tu es alors bien sur le réseau, mais tu n'as pas de ticket kerberos et donc pas d'accès aux ressources. Pour le WIFI avec authentification RADIUS, je pense que le client qui s'authentifie doit avoir un ticket kerberos ... et ça ce n'est jamais Ad Vitam Aeternam.
    • Un client (très très gros lycée) - pas plus tard que ce matin - vient de me dire qu'ils avaient mis un portail captif pour "faciliter la connexion des utilisateurs". En gros, quand arrivant l'authentificaito, ça lançait un navigateur et l'utilisateur s'authentifiait en mode web. A l'époque, ils avaient utilisés un PFSense pour ça, mais on peut faire cela de nos jours directement avec les ARUBA il me semble. Je dois aller les voir semaine prochaine, si j'ai des infos sur ça, je te ferais un retour.

    Cordialement

    Olivier

    Salut Olivier,

    Merci pour ces précisions.

    Le portail captif dont tu parles, c'est pour l'accès au web ? Mais ça ne gère pas l'accès wifi nécessaire au préalable pour avoir accès au portail captif ?

    Cordialement,

    vendredi 9 octobre 2020 12:17
  • je n'ai pas dit que l'NPS n'est pas un serveur Radius, mais il peut agir différement selon la configuration et les policy.

    Périphérique ==> Borne WIFI (Fontionnement en mode RADIUS) ==>Périphérique : "User identification" ==> Borne WIFI ==>  NPS : Ca matche avec les policies  ? ==> Réponse à la borne ==> DHCP fournit IP ==> Périphérique à une IP et accède au réseau. 

    c'est de cette réponse que je parlais, car le DHCP peut bien attribué une IP, que la Policy matche ou pas.

    car si le poste n'a pas d'IP comment il va contacter l'NPS, le seul cas possible c'est le 802.1x, je pense que tu le confonds avec la NAP qui n'est plus utilisé.

    le portail captive de pfsense ne permet pas de filtrer SSL.

    certains parefeu récent, n'ont plus besoin d'NPS, ils contactent directement l'AD et authentifie le bon groupe grâce au protocole LDAP.


    Dakhama Mehdi : Windows developper https://github.com/dakhama-mehdi

    vendredi 9 octobre 2020 12:50
  • Bonjour Support57

    Non, le portail captif c'est pour l'authentification. Que tu sois sur une tablette, un smarphone, un pc portable, ... connexion à un réseau WIFI ... authentification RADIUS (selon le périphérique, la fenêtre d'authent. peut être différente, et il parait que c'est "contraignant et difficile"), lancement d'un navigateur auto sur le poste, page web (Le portail captif), la saisi des credentials ... envoi vers le NPS, Policy OK, la machine reçoit une IP et à accès au réseau. 

    Après pour sortir vers Internet, c'est le routage réseau qui fait mais attention à ce qu'il y a dans l'établissement en sortie. S'il y a un Firewall (toujours) qui fait proxy transparent : rien à faire du côté du navigateur pour l'utilisateur (ça c'est top ! Tu viens avec ton PC de la maison, rien à changer). S'il y a un proxy qui n'est pas un proxy transparent (un truc qui commence par un A, si tu vois ce que je veux dire ;-) ), et bien l'utilisateur n'a plus qu'à se palucher les paramètres du proxy à la mano (si c'est sa machine), ou si c'est une machine du domaine (c'est GPO) ou si c'est une tablette fournie par la région (depuisune console d'administration centralisée spécifique).

    J'ai vu un schéma d'un gros établissement, ou ils utilisaient un PFSense pour jouer le rôle de portail captif. Et en fait, ce n'est pas les bornes WIFI qui sont clients RADIUS, mais le FPSense. De nos jours, les bornes doivent pouvoir jouer ce role de portail captif.

    Olivier

    vendredi 9 octobre 2020 16:40
  • TU as raison Medhi,

    Il faut bien une IP pour joindre le NPS, mais elle ne sera que provisoire, si tu ne matche pas les règles, c'est close-connexion.

    Olivier

    vendredi 9 octobre 2020 16:42