none
RADIUS Server 拒绝访问 RRS feed

  • 问题

  • AP 使用 RADIUS Server 认证,但是使用域用户名密码认证失败。

    不能连接到网络。

    这是我的 AP 配置:

    使用 WPA2-Enterprise 模式也是一样。

    日志信息:

    Network Policy Server denied access to a user.

    Contact the Network Policy Server administrator for more information.

    User:
    Security ID: SH\testuser
    Account Name: testuser
    Account Domain: SH
    Fully Qualified Account Name: SH\testuser

    Client Machine: Security ID: NULL SID
    Account Name: -
    Fully Qualified Account Name: -
    OS-Version: -
    Called Station Identifier: 00-1A-70-A8-FA-30
    Calling Station Identifier: 00-28-F8-73-53-11

    NAS:
    NAS IPv4 Address: **.**.**.**
    NAS IPv6 Address: -
    NAS Identifier: -
    NAS Port-Type: Wireless - IEEE 802.11
    NAS Port: 0

    RADIUS Client:
    Client Friendly Name: Test
    Client IP Address: **.**.**.**

    Authentication Details:
    Connection Request Policy Name: WIFI
    Network Policy Name: WIFI
    Authentication Provider: Windows
    Authentication Server: NPSSVR04.test.com
    Authentication Type: EAP
    EAP Type: -
    Account Session Identifier: -
    Logging Results: Accounting information was written to the local log file.
    Reason Code: 22
    Reason: The client could not be authenticated  because the Extensible Authentication Protocol (EAP) Type cannot be processed by the server.

    这是 NPS 的配置:


    • 已编辑 as900 2019年1月16日 6:56
    2019年1月16日 6:54

答案

  • 你好,

    抱歉回复晚了。

    Windows 不支持EAP-FAST,仅支持EAP-TLS和EAP-MSCHAPv2。

    预祝新年快乐!

    Travis


    Please remember to mark the replies as an answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    • 已标记为答案 as900 2019年1月28日 7:44
    2019年1月28日 5:47
    版主

全部回复

  • 你好,

    当客户端和服务器之间的身份验证不兼容时,您会收到此消息。

    检查客户端上的身份验证协议,并验证它是否与网络策略中配置的身份验证协议相同。

    此外,此问题也可能是因为您的客户端没有您域的CA证书。请确保您的客户端具有CA证书。

    祝您工作顺利!

    Travis


    Please remember to mark the replies as an answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2019年1月17日 3:07
    版主
  • 我想使用输入域用户名密码来登录 AP,我应该选什么验证方式?

    如果使用域用户名密码登录,也要在 Client 导入 CA 证书吗?

    2019年1月18日 9:04
  • 我修改了身份验证方法,还是不行,一样的报错。

    2019年1月18日 9:18
  • 你好,

    如果你不想使用CA验证的话,就不需要在客户端导入证书。

    客户端的验证方法检查了吗?你需要保证客户端,AP,NPS上的验证方法一致才行。

    下面的链接虽然有证书但是配置方法差不多,你可以参考一下:https://documentation.meraki.com/MR/Encryption_and_Authentication/Configuring_RADIUS_Authentication_with_WPA2-Enterprise/CH  

    祝您工作顺利!

    Travis


    Please remember to mark the replies as an answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2019年1月18日 10:05
    版主
  • 这样的验证方式,算是一致的吧?

    NPS Server 使用的是 EAP-MSCHAP V2

    AP 使用的是 WPA-Enterpris

    Client 使用的是 EAP-Fast

    2019年1月21日 1:59
  • 你好,

    客户端应该也是有 EAP-MSCHAP V2的加密方法的吧。我这边没有实验环境,用的是VPN的属性。

    那么现在无线网能用了吗?

    祝您工作顺利!

    Travis


    Please remember to mark the replies as an answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2019年1月22日 8:39
    版主
  • 现在的情况:

    Windows Client:使用用户名密码可以直接登录;

    Ubuntu Client,选择 EAP-FAST,登录失败,详细配置:

    2019年1月23日 2:39
  • 你好,

    windows登录没有问题是吧。

    至于Ubuntu,我对此了解不多。我查的资料显示:

    Ubuntu附带的wpa_supplicant太旧了,不支持EAP-FAST

    证明:来自syslog

    NetworkManager[1252]: <warn> EAP-FAST is not supported by the supplicant

    很抱歉,这个是微软的论坛,对于其他系统我们无法提供更多帮助。

    如果您觉得我们提供的信息对您有帮助,请“标记为答案”!

    祝您工作顺利!

    Travis


    Please remember to mark the replies as an answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2019年1月24日 2:36
    版主
  • 请问 Windows Client 怎么配置使用 EAP-FAST?
    2019年1月24日 5:32
  • 你好,

    抱歉回复晚了。

    Windows 不支持EAP-FAST,仅支持EAP-TLS和EAP-MSCHAPv2。

    预祝新年快乐!

    Travis


    Please remember to mark the replies as an answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    • 已标记为答案 as900 2019年1月28日 7:44
    2019年1月28日 5:47
    版主