none
Проблемы с аутентификацией пользователя через NPS (802.1х Wired) RRS feed

  • Общие обсуждения

  • Здравствуйте.

    Была поставлена задача протестировать работу протокола 802.1х для динамического назначение портов коммутатора в определенный VLAN используя аутентификацию через NPS сервер, Active Directory и центр сертификации. Серверная часть и оборудование настроены в соответствии с мануалом производителя,  аутентификация проходит успешно и порт назначается в заданный политикой VLan в том случае, если профиль пользователя был создан на машине раннее и вход был скеширован. Если вход в систему пользователем ни разу не производился, механизм не срабатывает и выходит ошибка "Подключение к системе сейчас невозможно, так как домен DOMAIN не доступен", хотя в настройках проверки подлинности на клиенте включен атрибут "При подключении: Автоматически использовать имя входа и пароль Windows (и имя домена, если существует)"   Привожу лог с сервера NPS при попытке входа в систему

    Network Policy Server denied access to a user.

    Contact the Network Policy Server administrator for more information.

    User:
        Security ID:            DOMAIN\REAL-XP$
        Account Name:            host/real-xp.domain.com
        Account Domain:            DOMAIN
        Fully Qualified Account Name:    domain.com/Computers/REAL-XP

    Client Machine:
        Security ID:            NULL SID
        Account Name:            -
        Fully Qualified Account Name:    -
        OS-Version:            -
        Called Station Identifier:        00-23-AC-9E-9E-91
        Calling Station Identifier:        00-13-21-05-69-81

    NAS:
        NAS IPv4 Address:        192.168.0.10
        NAS IPv6 Address:        -
        NAS Identifier:            -
        NAS Port-Type:            Ethernet
        NAS Port:            50015

    RADIUS Client:
        Client Friendly Name:        switch
        Client IP Address:            192.168.0.10

    Authentication Details:
        Connection Request Policy Name:    ethernet
        Network Policy Name:        Connections to other access servers
        Authentication Provider:        Windows
        Authentication Server:        dc.domain.com
        Authentication Type:        EAP
        EAP Type:            -
        Account Session Identifier:        -
        Logging Results:            Accounting information was written to the local log file.
        Reason Code:            65
        Reason:                The Network Access Permission setting in the dial-in properties of the user account in Active Directory is set to Deny access to the user. To change the Network Access Permission setting to either Allow access or Control access through NPS Network Policy, obtain the properties of the user account in Active Directory Users and Computers, click the Dial-in tab, and change Network Access Permission.

    Однако данный атрибут в свойствах пользователя во вкладке DIAL-IN выставлен на Control Access through NPS Network Policy.

    Пожалуйста, помогите разобраться, почему не срабатывает аутентификация при начальном входе в систему.

    10 марта 2014 г. 6:34