none
Помогите с 802.1х и NPS RRS feed

  • Вопрос

  • Добрый день,  имеется коммутатор HP ProCurve 2510, 2610 и NPS на Server 2012 (уже реализовано NAP + DHCP) 

    Пытаюсь настроить web-based на коммутаторе. 

    для теста на порту коммутатора всё сконфигурировано было. но вот проходить авторизацию никак не хочет.

    в логах  NPS такое: 

    Network Policy Server denied access to a user.

    Contact the Network Policy Server administrator for more information.

    User:
    Security ID: NULL SID
    Account Name: help
    Account Domain: domain
    Fully Qualified Account Name: domain\help

    Client Machine:
    Security ID: NULL SID
    Account Name: -
    Fully Qualified Account Name: -
    OS-Version: -
    Called Station Identifier: 24-be-05-49-75-a9
    Calling Station Identifier: 00-23-54-61-99-50

    NAS:
    NAS IPv4 Address: 192.168.11.238
    NAS IPv6 Address: -
    NAS Identifier: 2810-48G_TEST
    NAS Port-Type: Ethernet
    NAS Port: 23

    RADIUS Client:
    Client Friendly Name: 2810HP
    Client IP Address: 192.168.11.238

    Authentication Details:
    Connection Request Policy Name: Eth for 802.1X Guest
    Network Policy Name: -
    Authentication Provider: Windows
    Authentication Server: SERVER
    Authentication Type: MD5-CHAP
    EAP Type: -
    Account Session Identifier: -
    Logging Results: Accounting information was written to the local log file.
    Reason Code: 16
    Reason: Authentication failed due to a user credentials mismatch. Either the user name provided does not map to an existing user account or the password was incorrect.

    в Connection Request Policy Name какие только authentication methods не проставлял, авторизация всё равно не проходит. на коммутаторе пробовал authentication на chap, eap.

    Подскажите в какую сторону смотреть. Всем ответившим спасибо.


    С уважением, Старовойт Максим


    14 апреля 2014 г. 7:12

Ответы

  • У вас коммутатор использует аутентификацию MD5-CHAP - это видно по сообщению. Она требует, чтобы пароль пользователя хранился в обратимо зашифрованном виде: серверу NPS (т.е. RADIUS) для осуществления этого типа аутентификации требуется исходный тектовый пароль.

    Так что либо меняйте способ аутентификации, используемый коммутаторами (см. их документацию, как это сделать и можно ли это сделать), либо установите в политике домена хранение паролей в обратимо зашифрованном виде и поменяйте пароли всех пользователей, которым надо заходить на коммутатор (и пароли компьютеров, если имнадо аутентифицироваться - тоже, впрочем, можете не менять а подождать месяц - они сменятся сами) - пароль в обратимо зашифрованном виде запоминается только при его смене (или создании пользователя).


    Слава России!

    • Помечено в качестве ответа Maxim Starovoit 14 апреля 2014 г. 21:58
    14 апреля 2014 г. 20:57

Все ответы

  • У вас коммутатор использует аутентификацию MD5-CHAP - это видно по сообщению. Она требует, чтобы пароль пользователя хранился в обратимо зашифрованном виде: серверу NPS (т.е. RADIUS) для осуществления этого типа аутентификации требуется исходный тектовый пароль.

    Так что либо меняйте способ аутентификации, используемый коммутаторами (см. их документацию, как это сделать и можно ли это сделать), либо установите в политике домена хранение паролей в обратимо зашифрованном виде и поменяйте пароли всех пользователей, которым надо заходить на коммутатор (и пароли компьютеров, если имнадо аутентифицироваться - тоже, впрочем, можете не менять а подождать месяц - они сменятся сами) - пароль в обратимо зашифрованном виде запоминается только при его смене (или создании пользователя).


    Слава России!

    • Помечено в качестве ответа Maxim Starovoit 14 апреля 2014 г. 21:58
    14 апреля 2014 г. 20:57
  • Спасибо за развернутый и понятный ответ. Всё понятно. 



    С уважением, Старовойт Максим

    14 апреля 2014 г. 21:58