none
NPS RADIUS Wireless Client Authentications RRS feed

  • Domanda

  • Salve a tutti. Sto cercando di configurare un server Radius per far accedere i miei client alla rete Wireless con l' autenticazione dei profili utente di AD.

    1 Ho installato i servizi: NPS e certificati AD, entrambi nel DC

    2 Autorizzato il Server NPS in AD.

    3 Configurato  "criteri richiesta di connessione"

         Nella scheda "Anteprima": Flaggato "Criterio Attivo"  > Tipo Server: "Unspicified"

         Nella scheda "condizioni": Tipo porta NAS: Wireless IEEE 802.11

         Nella scheda "impostazioni" > Metodi di Autenticazione: "Flaggato ignora impostazione di autenticazione del criterio di rete" > Tipi EAP: Microsoft PEAP > Metodi di sicurezza inferiore: Autenticazione crittografata Microsoft v.2 (MSCHAP v.2)

    4 Configurato "Criteri di rete" 

         Nella scheda "Anteprima": Flag su Criterio Attivo > Concedi l' accesso > Tipo server "unspecified"

         Nella scheda "condizioni">Tipi EAP Consentiti: Microsoft PEP - Microsoft: Password protetta (EAP-MSCHAP-V.2)

         Nella scheda "vincoli" Metodi di autenticazione: Microsoft PEAP > Metodi di sicurezza inferiore: Autenticazione crittografata Microsoft v.2 (MSCHAP v.2)  

                                                                                                                                                         L' utente può cambiare la password dopo che è scaduta

                                                                                                                                                 Autenticazione MS CHAP

                                                                                                                                                         L' utente può cambiare la password dopo che è scaduta

         Nella scheda "Impostazioni" > Attributi Radius Standard: Framed Protocol: PPP

                                                                                            Service Type: Framed

    4 Configuarto il client in "radius client" come "RADIUS STANDARD" > Segreto condiviso manuale (123456789)

    5 Configurato l' AP con il server radius (WPA2 Enterprise + SharedSecret)

    6 Creato la group policy per distribuire le impostazioni della rete WiFi.

    Nome profilo "Nome Profilo"
    Tipo di rete

     Infrastruttura

    Connetti automaticamente alla rete specificata  Abilitato
    Passa automaticamente a una rete con preferenza superiore  Abilitato
    Nome di rete (SSID) La rete trasmette il proprio SSID
    "Nome Profilo" True
    Impostazioni
    sicurezza
    nascondi
    Autenticazione WPA2
    Crittografia AES
    Usa 802.1X Abilitato
    Memorizzazione nella cache PMK (Pairwise Master Key) Abilitato
    TTL PMK (minuti) 720
    Numero di voci nella cache PMK 128
    Numero massimo errori di preautenticazione

    3

    Impostazioni IEEE
    802.1X
    nascondi
    Memorizza informazioni utente per successive connessioni a questa rete Abilitato
    Autenticazione computer Riautenticazione utente
    Numero massimo errori di autenticazione 1
    Numero massimo messaggi di avvio EAPOL inviati
    Periodo di sospensione (secondi)
    Periodo di avvio (secondi)
    Periodo autenticazione (secondi)
    Tipo Single Sign-On

    preLogon

    Ritardo massimo accettabile per connettività di rete

    10

    La rete utilizza una VLAN diversa per l'autenticazione con credenziali
    utente e computer

    Disabilitato

    Consenti finestre di dialogo aggiuntive durante Single Sign-On Abilitato

    7 Aperto la porta 1812 nel FW del server.

    Ogni volta che provo a collegarmi mi esce il seguente errore:

    Server dei criteri di rete: negato l'accesso a un utente.

    Per ulteriori informazioni, contattare l'amministratore del Server dei criteri di rete.

    Utente:

    ID sicurezza: NULL SID

    Nome account: "DOMINIO"\gentilis

    Dominio account:   "DOMINIO"

    Nome completo account: "DOMINIO"\gentilis

    Computer client:

    ID sicurezza: NULL SID

    Nome account: -

    Nome completo account: -

    Versione-sistema operativo: -

    Identificatore stazione chiamata: E0-5F-B9-0C-70-CF:DELTAPG

    Identificatore stazione chiamante: C0-F8-DA-8A-AE-5E

    NAS:

    Indirizzo IPv4 NAS: 172.16.40.13

    Indirizzo IPv6 NAS: -

    Identificatore NAS: -

    Tipo-porta NAS: Wireless - IEEE 802.11

    Porta NAS: 0

    Client RADIUS:

    Nome descrittivo client:   WiFi R1

    Indirizzo IP client: 172.16.40.13

    Dettagli autenticazione:

    Nome criteri richiesta di connessione: Wireless Computer

    Nome criteri di rete: -

    Provider di autenticazione: Windows

    Server di autenticazione:  DC1.dominio.local

    Tipo di autenticazione: PEAP

    Tipo di EAP: -

    Identificatore di sessione account: -

    Risultati registrazione: Informazioni di accounting scritte nel file di registro locale.

    Codice motivo: 266

    Motivo: Messaggio imprevisto o in formato non corretto.

    In teoria, se il server genera questo errore, significa che l' autenticazione del client viene passata dall' AP al server giusto?

    Qualcuno si è mai imbattuto in un problema del genere?

    Grazie


    giovedì 24 gennaio 2013 11:20

Risposte

Tutte le risposte

  • abilita il logging del NPS server, prova a connetterti in wifi, vai sul server nella cartella

    c:\windows\system32\logfiles

    e dovresti trovare un file col nome IN[datadioggi].log, aprilo con notepad e vedi se è registrato il tentativo d'accesso.

    se il file non c'è o è vuoto significa che l'AP non parla con l'NPS, altrimenti parla.

    se parla usa IAS Log Viewer per analizzare il file di log e capire meglio cosa succede.

    se hai bisogno riscrivi qui.

    ciao.


    Edoardo Benussi
    Microsoft MVP
    edo[at]mvps[dot]org

    giovedì 24 gennaio 2013 15:18
    Moderatore
  • Grazie Edoardo.

    Il file è pieno di log! Ho installato IAS Log Viewer e questo viene elencato ogni tanto in rosso ogni volta che provo a collegarmi:

    StartDataTime: "01/24/2012 16:38"  

    UserName: "MioDominio\MioUtente"

    StopDataTime: "01/24/2012 16:38"

    Duration: "00:00:00"

    UserIP: Campo vuoto

    OutPut Octets: "0"

    Input Octets: "0"

    Connect Request: "The message received was unexpected or badly formatted"

    Connect Result: "Rejected"                

    Appena sotto questo log se ne ripetono altri in grigietto, piu frequentemente rispetto ai primi:

    StartDataTime: "01/24/2012 16:38" 

    UserName: "MioDominio\MioUtente"

    StopDataTime: "01/24/2012 16:38"

    Duration: "00:00:00"

    UserIP: Campo vuoto

    OutPut Octets: "0"

    Input Octets: "0"

    Connect Request: campo vuoto

    Connect Result: "Unknown"

    Ho applicato delle correzzioni al testo per meglio spiegare la situazione!

    Grazie ancora.

    giovedì 24 gennaio 2013 15:56
  • l'access point non è configurato correttamente come client radius del server radius nps quindi passa a nps pacchetti sbagliati.

    probabilmente è impostato il modello di client radius sbagliato sull'nps.

    vedi anche qui

    http://community.arubanetworks.com/t5/802-11-Client-Device/The-message-received-was-unexpected-or-badly-formatted/td-p/12123


    Edoardo Benussi
    Microsoft MVP
    edo[at]mvps[dot]org

    venerdì 25 gennaio 2013 08:01
    Moderatore
  • ho provato il workaround aggiungendo il valore suggerito nell' articolo   HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL -> here I created a REG_DWORD value namedSendTrustedIssuerList and set it to 0   (per alcuni che hanno la mia stessa situazione ha funzionato, a me no)

    Sto cercando in rete ulteriori guide complete ma non ne trovo una, quelle che ho provato non hanno funzionato e sono solo parte della configurazione.

    venerdì 25 gennaio 2013 09:49
  • Il client RADIUS è impostato come "RADIUS Standard", non avendo il produttore nella lista credo che l' unica alternativa sia questa.
    venerdì 25 gennaio 2013 10:34
  • puoi postare le immagini delle tab settings ed advanced della configurazione del clietn radius sotto nps console ?

    Edoardo Benussi
    Microsoft MVP
    edo[at]mvps[dot]org

    sabato 26 gennaio 2013 17:17
    Moderatore
  • Certo, di seguito gli screenshot

    Ho provato anche a spuntare le opzioni aggiuntive ma niente da fare.

    domenica 27 gennaio 2013 10:19
  • mi puoi dire la marca dell'ap ?

    Edoardo Benussi
    Microsoft MVP
    edo[at]mvps[dot]org

    mercoledì 30 gennaio 2013 12:30
    Moderatore
  • Eccolo qui sotto, grazie di tutto!  Considera che ho tirato su un server di test e mi ha funzionato subito seguendo questo link:

    http://community.spiceworks.com/how_to/show/1455-how-to-set-up-a-wpa2-eap-wireless-network-using-network-policy-server-nps-ad-and-group-policies

    Access POint

    http://it.level1.com/Indoor/WAP-6012/p-1070.htm

    mercoledì 30 gennaio 2013 14:52
  • Ciao Edoardo,

    il ruolo di server radius e certificati, deve essere obbligatoriamente installato sul DC oppure posso anche installarli in un server membro?

    giovedì 31 gennaio 2013 09:47
  • Sto provando in un server membro (non vorrei stuzzicare troppo il DC facendo prove su di esso).

    - Installato NPS e Routing di accesso remoto > configurate le policy come nell' articolo spicework 

    - Installata CA (sempre nel server membro) ed aggiunto il certificato nei "Autorità certificati radice attendibile"

    - Creata GPO Wireless nel DC > nelle proprietà PEAP ho spuntato "convalida certificato server" e "connetti ai server seguenti: "server membro".

    Inizialmente mi dava lo stesso problema di quando entrambi i ruoli erano installati nel DC. Applicando le modifiche come nella guida che mi avevi mandato la prima volta (metodo 3) e aspettando un pò ora sembrerebbe che il messaggio d' errore sia scomparso (quello inerente a "the message received was unexpected or badly formatted")

    Ora però mi esce "The certificate that the user or client computer provided to nps as proof of identity chains to an enterprise root certification authority that is not trusted by the nps server".

    Non capisco perchè in ambiente di test ha funzionato immediatamente e e riportando le stesse inpostazioni su quello di produzione non funziona una mazza!

    giovedì 31 gennaio 2013 12:00
  • Ora però mi esce "The certificate that the user or client computer provided to nps as proof of identity chains to an enterprise root certification authority that is not trusted by the nps server".

    il server con nps ha un suo certificato server installato ? puoi installarne anche uno per webserver usando IIS manager per generarlo.

    è installato anche il certificato root della CA di dominio ?


    Edoardo Benussi
    Microsoft MVP
    edo[at]mvps[dot]org

    giovedì 31 gennaio 2013 16:25
    Moderatore
  • Nel server NPS, sotto "autorità di certificazione attendibili" sono installati i seguenti certificati 

    "nome server membro CA"

    "nome server membro "

    "nome Domain Controller CA"

    "Nome Domain Controller"

    Gli stessi certificati risiedono anche nel DC e nel Notebook dove faccio le prove, il tutto l' ho verificato aggiungendo nello snap-in di MMC la voce "certificati" > "Account computer locale".

    Grazie di tutto.

     

    giovedì 31 gennaio 2013 20:35
  • Nell' eventviewer del server NPS esce questo avviso con id 36885

    "Quando richiede l'autenticazione del client, il server invia al client un elenco di autorità di certificazione attendibili. Il client utilizza tale elenco per scegliere un certificato client considerato attendibile dal server. A causa dell'elevato numero di autorità di certificazione attualmente ritenute attendibili dal server, l'elenco ha raggiunto una dimensione eccessiva ed è stato pertanto troncato. Richiedere all'amministratore del computer di controllare le autorità di certificazione attualmente ritenute attendibili per l'autenticazione dei client e di rimuovere quelle superflue."

    seguito da questo errore con id 36888:

    "Generato avviso di errore irreversibile: 20. Lo stato dell'errore interno è 960"

    Entrambi da SCHANNEL.

    Con IAS LogViewer invece i log di errore sono i seguenti:

    "Connect Request Unexpected error. Possible error in server or client configuration"  "Connect Result Rejected "


    venerdì 1 febbraio 2013 14:40
  • per fortuna che l'mvp ha bloggato sul problema il 18 dicembre scorso

    http://edoardobenussi.wordpress.com/2012/12/18/a-major-issue-in-authentication-with-digital-certificates-and-a-sensational-solution/

    :-)

    ciao.


    Edoardo Benussi
    Microsoft MVP
    edo[at]mvps[dot]org

    sabato 2 febbraio 2013 15:58
    Moderatore
  • Ciao Stefano,

    Ho segnato come risposte un paio degli interventi di Edoardo, che ritengo ottimi per il troubleshooting del problema specifico.

    Se ci sono delle notizie, aggiornaci qui.

    Saluti,


    Anca Popa Follow ForumTechNetIt on Twitter

    Microsoft offre questo servizio gratuitamente, per aiutare gli utenti e aumentare il database dei prodotti e delle tecnologie. Il contenuto viene fornito “così come è” e non comporta alcuna responsabilità da parte dell'azienda. 

    martedì 12 febbraio 2013 12:12
  • Grazie Anca ed Edoardo, purtroppo ho duvuto lasciare momentaneamente l' installazione RADIUS. Appena avrò modo di ricominciarla vi aggiornerò!

    Grazie,

    Stefano 

    martedì 19 febbraio 2013 08:12