Problème Radius Windows Serveur 2003
magik54
-
magik54 -
magik54 -
Bonjour à tous !
Je fais appel à vous aujourd'hui car je me retrouve face à un problème délicat que ni mes tuteurs, ni mes profs, ni moi même n'arrivons à résoudre depuis maintenant deux bonnes semaines...
En effet dans mon sujet de stage, je dois mettre en place une authentification des utilisateurs de mon réseau avec un serveur RADIUS configuré sur un serveur Windows 2003, par l'intermédiaire d'un serveur NAC (Network Access Protocol) de la marque Enterasys et de deux switches du même constructeur.
J'ai réalisé les configurations nécessaires à savoir :
- configuration des switches et du serveurs NAC pour activer l'authentification et diriger les requêtes vers le serveur Windows
- configuration RADIUS sur le serveur Windows 2003 avec le service IAS (Internet Authentication Protocol)
- configuration des comptes utilisateurs sur l'Active Directory de ce même serveur
- configuration de l'authentification 802.1X avec le protocole MD5 sur les machines clientes
Malgré tout cela lorsque je tente de m'authentifier avec une machine en utilisant un compte utilisateur (valide), l'accès au réseau m'est refusé.
Toutefois j'ai réalisé une capture Wireshark à partir de mon serveur et je sais que ce dernier reçoit les requêtes et les renvoient vers le serveur NAC.
De plus, le fichier LOG de mon service IAS ne m'indique pas d'erreur particulière.
En voici un exemple :
---------------------------------------------------------------------------------------------------------------
"DHCP-DNS-RADIUS","IAS",05/14/2010,10:02:23,1,"user1@labo.lan",,"00-11-88-BB-BB-BB","00-17-42-AA-AA-AA",,,,"10.2.1.10",17,0,"10.2.1.150","Nac_Serveur",,,15,,,2,,,0,"311 1 172.16.10.100 05/11/2010 07:47:24 2",,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,
"DHCP-DNS-RADIUS","IAS",05/14/2010,10:02:23,3,,,,,,,,,,0,"10.2.1.150","Nac_Serveur",,,,,,,,,49,"311 1 172.16.10.100 05/11/2010 07:47:24 2",,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,
---------------------------------------------------------------------------------------------------------------
Nous avons pourtant essayer plusieurs solutions :
- test avec de nouveaux switches
- réinstallation de Windows 2003
- downgrade du firmware du serveur NAC de la version 3.2 (inconnu par mes tuteurs) à la 3.1
- modification des policies sur l'IAS
J'ai également réalisé un dossier PDF avec la configuration de mes équipements que je peux vous envoyer par mail si quelqu'un le souhaite.
Merci d'avance !
Sébastien
Je fais appel à vous aujourd'hui car je me retrouve face à un problème délicat que ni mes tuteurs, ni mes profs, ni moi même n'arrivons à résoudre depuis maintenant deux bonnes semaines...
En effet dans mon sujet de stage, je dois mettre en place une authentification des utilisateurs de mon réseau avec un serveur RADIUS configuré sur un serveur Windows 2003, par l'intermédiaire d'un serveur NAC (Network Access Protocol) de la marque Enterasys et de deux switches du même constructeur.
J'ai réalisé les configurations nécessaires à savoir :
- configuration des switches et du serveurs NAC pour activer l'authentification et diriger les requêtes vers le serveur Windows
- configuration RADIUS sur le serveur Windows 2003 avec le service IAS (Internet Authentication Protocol)
- configuration des comptes utilisateurs sur l'Active Directory de ce même serveur
- configuration de l'authentification 802.1X avec le protocole MD5 sur les machines clientes
Malgré tout cela lorsque je tente de m'authentifier avec une machine en utilisant un compte utilisateur (valide), l'accès au réseau m'est refusé.
Toutefois j'ai réalisé une capture Wireshark à partir de mon serveur et je sais que ce dernier reçoit les requêtes et les renvoient vers le serveur NAC.
De plus, le fichier LOG de mon service IAS ne m'indique pas d'erreur particulière.
En voici un exemple :
---------------------------------------------------------------------------------------------------------------
"DHCP-DNS-RADIUS","IAS",05/14/2010,10:02:23,1,"user1@labo.lan",,"00-11-88-BB-BB-BB","00-17-42-AA-AA-AA",,,,"10.2.1.10",17,0,"10.2.1.150","Nac_Serveur",,,15,,,2,,,0,"311 1 172.16.10.100 05/11/2010 07:47:24 2",,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,
"DHCP-DNS-RADIUS","IAS",05/14/2010,10:02:23,3,,,,,,,,,,0,"10.2.1.150","Nac_Serveur",,,,,,,,,49,"311 1 172.16.10.100 05/11/2010 07:47:24 2",,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,
---------------------------------------------------------------------------------------------------------------
Nous avons pourtant essayer plusieurs solutions :
- test avec de nouveaux switches
- réinstallation de Windows 2003
- downgrade du firmware du serveur NAC de la version 3.2 (inconnu par mes tuteurs) à la 3.1
- modification des policies sur l'IAS
J'ai également réalisé un dossier PDF avec la configuration de mes équipements que je peux vous envoyer par mail si quelqu'un le souhaite.
Merci d'avance !
Sébastien
A voir également:
- Problème Radius Windows Serveur 2003
- Clé windows 8 - Guide
- Changer serveur dns - Guide
- Problème démarrage windows 10 - Guide
- Montage video gratuit windows - Guide
- Windows movie maker - Télécharger - Montage & Édition
1 réponse
Problème résolu !
Je poste la solution si jamais ca intéresse quelqu'un :
Le problème venait du fait que pour transmettre les données des utilisateurs, j'utilise le cryptage MD5 qui envoie les données en clair sur le réseau (ce n'est pas très sécurisé mais dans mon architecture ce n'est pas un problème).
Or le serveur IAS de Windows 2003 crypte les requêtes qu'il a traitées avant de les renvoyé vers mon serveur NAC. Comme ce dernier n'est pas configuré pour comprendre les infos reçus, il refuse l'authentification.
Il faut donc désactiver l'option « Cryptage réversible du mot de passe » dans Windows 2003.
J'ai trouvé la solution dans ce tuto :
http://www.supinfo-projects.com/fr/2006/authentification_802_1x_fr/3
Voila voila en espérant pouvoir aider quelqu'un !
Sébastien
Je poste la solution si jamais ca intéresse quelqu'un :
Le problème venait du fait que pour transmettre les données des utilisateurs, j'utilise le cryptage MD5 qui envoie les données en clair sur le réseau (ce n'est pas très sécurisé mais dans mon architecture ce n'est pas un problème).
Or le serveur IAS de Windows 2003 crypte les requêtes qu'il a traitées avant de les renvoyé vers mon serveur NAC. Comme ce dernier n'est pas configuré pour comprendre les infos reçus, il refuse l'authentification.
Il faut donc désactiver l'option « Cryptage réversible du mot de passe » dans Windows 2003.
J'ai trouvé la solution dans ce tuto :
http://www.supinfo-projects.com/fr/2006/authentification_802_1x_fr/3
Voila voila en espérant pouvoir aider quelqu'un !
Sébastien
