locked
Problème Radius sur un serveur Windows2003 RRS feed

  • Discussion générale

  • Bonjour,

    Je suis en stage et j'ai mis en place la semaine derniere une borne wifi interconnecté avec un routeur et un switch.

    Je dois mettre en place une authentification avec radius sur un serveur windows 2003.

    Mon serveur dispose d'un AD simple.

    Le poste avec lequel j'essaie de me connecter sur la borne dispose d'une carte wifi cisco aironet et je ne suis pas dans le domaine de mon AD comme si j'étais quelqu'un de l'extérieur comme par exemple " WORKGROUP".

    Je vois bien mes 2 ssid et quand j'essaie de me connecter l'état d'avancement reste bloqué au niveau de la "validation de l'identité" et j'ai un message qui me dit "windows n'a pas pu trouver un certificat pour cet ordinateur ".

    J'ai activé l'eap juste sur un des ssid avec une clé wep de 40 bits et j'ai laissé l'autre ssid sans authentification pour le moment..

    Sur le serveur 2003, les services IIS, service d'authentification internet sont bien activés et j'ai bien ajouter un client (mon ap avec son @).
    J'ai testé en local via ie en tapant: http://@ip/certsrv et ca fonctionne( j'avais crée auparavant un user dans l'AD).

    Le ping fonctionne bien évidement de l'ap au serveur, je pense que je dois oublier de faire quelque chose sur le serveur ou l'ap...

    Je vous met à disposition la config de l'ap:

    version 12.3
    no service pad
    service timestamps debug datetime msec
    service timestamps log datetime msec
    service password-encryption
    !
    hostname ap
    !
    no logging console
    enable secret 5 $1$b1OO$riKE7Cgt/EAFiMnVi5Bmy/
    !
    ip subnet-zero
    !
    !
    aaa new-model
    !
    !
    aaa group server radius rad_eap
    !
    aaa group server radius rad_mac
    !
    aaa group server radius rad_acct
    !
    aaa group server radius rad_admin
    !
    aaa group server tacacs+ tac_admin
    !
    aaa group server radius rad_pmip
    !
    aaa group server radius dummy
    !
    aaa group server radius rad-eap
    server 192.168.1.253 auth-port 1812 acct-port 1813
    !
    aaa authentication login eap_methods group rad_eap
    aaa authentication login mac_methods local
    aaa authorization exec default local
    aaa accounting network acct_methods start-stop group rad_acct
    aaa session-id common
    !
    dot11 ssid boss
    vlan 1
    infrastructure-ssid
    !
    dot11 ssid partenaires
    vlan 2
    authentication open eap eap_methods
    mbssid guest-mode
    wpa-psk ascii 7 070C285F4D06485744
    !
    dot11 ssid visiteurs
    vlan 3
    authentication open
    mbssid guest-mode
    !
    !
    !
    username Cisco password 7 13261E010803
    !
    bridge irb
    !
    !
    interface Dot11Radio0
    no ip address
    no ip route-cache
    !
    encryption key 1 size 40bit 7 3A1E467E23EB transmit-key
    encryption mode ciphers wep40
    !
    encryption vlan 3 key 1 size 40bit 7 FC3A6F2CBFBD transmit-key
    encryption vlan 3 mode ciphers wep40
    !
    encryption vlan 1 mode ciphers wep40
    !
    encryption vlan 2 key 1 size 40bit 7 AC7F123C7FCB transmit-key
    encryption vlan 2 mode ciphers wep40
    !
    ssid boss
    !
    ssid partenaires
    !
    ssid visiteurs
    !
    mbssid
    speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0 54.0
    no power client local
    power client 50
    channel 2442
    station-role root
    no cdp enable
    !
    interface Dot11Radio0.1
    encapsulation dot1Q 1 native
    no ip route-cache
    no cdp enable
    bridge-group 1
    bridge-group 1 subscriber-loop-control
    bridge-group 1 block-unknown-source
    no bridge-group 1 source-learning
    no bridge-group 1 unicast-flooding
    bridge-group 1 spanning-disabled
    !
    interface Dot11Radio0.2
    encapsulation dot1Q 2
    no ip route-cache
    no cdp enable
    bridge-group 2
    bridge-group 2 subscriber-loop-control
    bridge-group 2 port-protected
    bridge-group 2 block-unknown-source
    no bridge-group 2 source-learning
    no bridge-group 2 unicast-flooding
    bridge-group 2 spanning-disabled
    !
    interface Dot11Radio0.3
    encapsulation dot1Q 3
    no ip route-cache
    no cdp enable
    bridge-group 3
    bridge-group 3 subscriber-loop-control
    bridge-group 3 block-unknown-source
    no bridge-group 3 source-learning
    no bridge-group 3 unicast-flooding
    bridge-group 3 spanning-disabled
    !
    interface FastEthernet0
    no ip address
    no ip route-cache
    duplex auto
    speed auto
    no cdp enable
    hold-queue 80 in
    !
    interface FastEthernet0.1
    encapsulation dot1Q 1 native
    no ip route-cache
    no cdp enable
    bridge-group 1
    no bridge-group 1 source-learning
    bridge-group 1 spanning-disabled
    !
    interface FastEthernet0.2
    encapsulation dot1Q 2
    no ip route-cache
    no cdp enable
    bridge-group 2
    no bridge-group 2 source-learning
    bridge-group 2 spanning-disabled
    !
    interface FastEthernet0.3
    encapsulation dot1Q 3
    no ip route-cache
    no cdp enable
    bridge-group 3
    no bridge-group 3 source-learning
    bridge-group 3 spanning-disabled
    !
    interface BVI1
    ip address 192.168.1.254 255.255.255.0
    no ip route-cache
    !
    ip default-gateway 192.168.1.200
    ip http server
    no ip http secure-server
    ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag
    ip radius source-interface BVI1
    !
    no cdp run
    radius-server attribute 32 include-in-access-req format %h
    radius-server host 192.168.1.253 auth-port 1812 acct-port 1813 key 7 121A0C0411045D5679
    radius-server vsa send accounting
    !
    control-plane
    !
    bridge 1 route ip

    Depuis mon pc portable qui n'est pas dans un domaine je me connecte en http://@ip server/sersrv et je demande un certificat pour mon pc

    pas de problème je l'obtient mais toujours pareil!

    Je voudrais en faite que lorsque chaque utilisateur qui se connecte au réseau wifi obtiennent un certificat et puisse donc se connecter!


    Dans l'observateur d'évenements de mon serveur radius ce que j'obtiens comme message d'erreur.....

    " un message de requete d'acces a été recu a partir du client radius avec un attribut de l'authentificateur de message qui n'est pas valide "

    J'ai fait lancé un sniff avec ethereal, on voit bien une requete radius de la part de l'AP jusqu'au serveur 2003 radius mais ce dernier ne lui répond pas.....

    J'ai fait lancé un sniff avec ethereal, on voit bien une requete radius de la part de l'AP jusqu'au serveur 2003 radius mais ce dernier ne lui répond pas.....

    Voila c'est compliqué mais si quelqu'un pouvait m'aider!!!


    Merci!
    jeudi 30 août 2007 11:30

Toutes les réponses

  • Bonjour,

    je vois que vous avez travaillé avec une ap Cisco.
    Je n'arrive pas a partager mon SSID. je le créé en ligne de commande mais impossible de le voir page l'administration web ni de le capter avec pc en wifi.
    pouvez me decrire la procedure que vous avez suivit pour creer un SSID?

    Merci



    mardi 22 avril 2008 14:46