Authentification radius wifi

Authentification radius wifi - Windows & Software

Marsh Posté le 13-04-2005 à 11:22:41    

Bonjour. je dois mettre le wifi dans un hopital en complement d'un reseau deja existant.
j'ai mis en place radius et j'ai configuré mon point d'acces de marque 3com
ensuite ma methode d'authentification est eap-tls (avec gestion des certificats)
j'ai suivi plus ou moins les conseils de l'adresse suivante http://www.koumoula.com/wifi/eap-tls/eap-tls.htm
Lorsque je veux me connecter en wifi, l'authentification ne se fait pas .Je regarde les fichiers logs du serveur et c'est ecrit:
une requête d'accès a été recue à partir du client "point acces" avec un attribut de signature qui n'est pas valide.
Que dois je alors faire pour que mon authentification fonctionne?(j'ai mis la même clef partagé pour la borne et le serveur)
 
Je vous remercie de m'aiguiller car cela fait une semaine que je galère et je ne vois plus d'issue.merci beaucoup de votre aide.

Reply

Marsh Posté le 13-04-2005 à 11:22:41   

Reply

Marsh Posté le 13-04-2005 à 12:06:26    

tien j'ai exactement le meme problème que toi, mais avec un autre serveur RADIUS. J'ai fait un topic aussi désolé j'avais pas vu le tien. Si y'en a un de nous 2 qui trouve pourquoi sa chie, il prévient l'autre... moi sa fait 3 jours que je suis dessus, et je suis pret  me tirer une balle là  :fou:

Reply

Marsh Posté le 13-04-2005 à 15:55:49    

quelqu'un peut m'aider??
je tiens au courant si je trouve de mon coté.
merci

Reply

Marsh Posté le 13-04-2005 à 16:32:42    

il faut que les certificats clients (pc wifi et serveur radius) soient signés par le certificat d'autorité de certification.

Reply

Marsh Posté le 13-04-2005 à 16:35:14    

C'est quoi que t'as comme Point d'Acces toi ? Moi c'est un 3Com Office Connect Wireless 11g (3CRWE454G72). Le problème c'est qu'avec ta doc là, ben c'est avec des clée WEP "rotatives" qu'ils font. Et avec cet acces point (si t'as le meme hein) ben on peut pointer vers un serveur RADIUS seulement en WEP et pas en WPA... C'est peut etre pour ça que sa couille non ?

Reply

Marsh Posté le 13-04-2005 à 16:38:38    

Spud a écrit :

il faut que les certificats clients (pc wifi et serveur radius) soient signés par le certificat d'autorité de certification.


 
Si tu pouvais dévelloper un chouilla pour moi ( chuis un peu cocon oui je sais ) mais je crois que c'est de là que vient mon problème. C'est quoi la difference entre certif client et certif d'autorité de certification ? Je demande ça parceque on m'a dit d'utiliser tel certificat "root.cer" qu'il s'appèle, mais je sais pas ou le mettre (coté client? coté serveur? les 2 ?) et par qui il faut qu'il soit certifié ? Enfin comme tu peux le constater, je nage complet... :sweat:  

Reply

Marsh Posté le 13-04-2005 à 16:40:00    

je n'utilise pas de point d'accès avec serveur radius
mais j'ai monté un vpn openvpn ssl/tls et le principe d'authentification par certificat est le même que pour eap/tls.
 
Du moins, c'est ce que j'ai compris. J'espere ne pas vous induire en erreur.

Reply

Marsh Posté le 13-04-2005 à 16:42:10    

le root.cer, il faut le mettre dans la liste des certificats d'autorité de certification sur ton client et sur ton serveur
Pour ce faire, il faut utiliser l'utilitaire de gestion des certificats de windows (ajout de composant windows dans l'ajout/suppression de programme)


Message édité par Spud le 13-04-2005 à 16:51:27
Reply

Marsh Posté le 13-04-2005 à 16:59:25    

ensuite le plus simple, c'est d'utiliser aussi le root.cer comme certificat client pour le serveur radius ainsi que pour tes postes wifi.
 
Donc ton certificat root.cer  (certificat x509 autosigné/ certificat d'autorité de certification) peut servir de certificat client.
 

Reply

Marsh Posté le 13-04-2005 à 17:00:34    

bon, je suis pas un pro non plus donc je me plante peut etre mais je crois pas :)
mon vpn openvpn ssl/tls fonctionne sans pbs


Message édité par Spud le 13-04-2005 à 17:01:17
Reply

Marsh Posté le 13-04-2005 à 17:00:34   

Reply

Marsh Posté le 13-04-2005 à 17:03:18    

si on resume, le root.cer est doit etre ajouté sur ton client et ton serveur comme certificat d'autorité de certification mais aussi comme certificat client.

Reply

Marsh Posté le 14-04-2005 à 10:32:29    

J'ai essayé peap couplé a mschapv2 au lieu de eaptls
j'ai deux messages du coté serveur dans les fichiers qui tracent:  
1 avertissement:
L'accès a été refusé à l'utilisateur 000e359e910e.
 Fully-Qualified-User-Name = CHALES\000e359e910e
 NAS-IP-Address = <not present>  
 NAS-Identifier = <not present>  
 Called-Station-Identifier = <not present>  
 Calling-Station-Identifier = <not present>  
 Client-Friendly-Name = 3com200
 Client-IP-Address = 10.1.8.200
 NAS-Port-Type = <not present>  
 NAS-Port = <not present>  
 Policy-Name = <undetermined>  
 Authentication-Type = PAP
 EAP-Type = <undetermined>  
 Reason-Code = 8
 Reason = L'utilisateur spécifié n'existe pas.  
 
 
1 erreur :
une requete d'acces a été recu a partir du client 3com avec un attribut de signature qui n'est pas valide
 
Cette erreur est logique car dans le message d'avertissement les attributs sont "not present"
 
Dans ma stratégie d'acces distant j'ai enlevé dans l'onglet "avancé" les attributs supplementaires et j'ai mis comme "specification a remplir l'adresse ip client (ici ma borne "3com" ) afin de reduire au maximum les restrictions!!!!
camarche toujours pas .je ne sais plus quoi faire!!

Reply

Marsh Posté le 14-04-2005 à 15:09:16    

apparement avec peap-chap, il y aussi une histoire de certificat sur le serveur mais tu as une case à cocher (dans la config du pc wifi) si tu ne veux pas valider le certif du serveur

Reply

Marsh Posté le 01-06-2005 à 15:31:08    

Spud a écrit :

apparement avec peap-chap, il y aussi une histoire de certificat sur le serveur mais tu as une case à cocher (dans la config du pc wifi) si tu ne veux pas valider le certif du serveur


chtit up  :hello:  
 
Je mets en place un wifi sur RADIUS et PEAP, et justement je ne peux me connecter que si je décoche cette case.
j'ai pourtant installé un CA sur le serveur, mais je ne suis pas sûr de la mise ne place du certificat.
Qqun pourrait m'éclairer sur cette étape ?
 
merci :jap:

Reply

Marsh Posté le 01-06-2005 à 16:48:22    

il est probable que tu n'as pas installé le certificat de l'autorité de certification qui a emis le certificat du serveur. Ce certificat de l'autorité de certification doit etre installé sur ton pc wifi afin que ton pc puisse authentifier le certificat que lui envoi le serveur.

Reply

Marsh Posté le 01-06-2005 à 17:41:41    

J'ai exporté un certificat (.cer) de la CA que j'ai créée sur mon serveur et je l'ai installé sur mon post client, si c'est ce dont tu parles.
 
Pour info, dans le log du serveur, à chaque tentative, j'ai :
User ... access denied
...
Reason : The supplied message is incomplete. The signature was not verified.
 

Reply

Marsh Posté le 02-06-2005 à 09:57:02    

J'ai trouvé une aide sur le support MS où ils me proposent 2 solution :  
 
Method 1: Disable certificate validation on the client computer
-> donc c'est ce que je fais actuellement pour pouvoir me connecter, mais vu que je ne reconnais pas le serveur, ça fait une couche de sécurité en moins, non ? sinon à quoi sert le certificat ? Je trouve bizarre que MS propose une telle solution sans avertir qu'elle est moins sécurisée... (dites moi si j'ai faux)
 
Method 2: Install the trusted root certification authority on the client computer
-> Je l'ai fait pourtant, et rien de mieux ...
 
le lien au cas où : http://support.microsoft.com/defau [...] -us;838502

Reply

Marsh Posté le 02-06-2005 à 10:40:22    

désolé, je vois pas d'ou peut venir ton pb :(

Reply

Marsh Posté le 02-06-2005 à 11:58:08    

J'ai peut-être une idée, mais je trouve pas beacoup de doc dessus alors je la soumets ici, si qqun a une réponse ;
 
Les clients sont dans un domaine réseau alors que j'ai créé le serveur RADIUS/CA sur une machine qui n'y est pas. L'authentification marche bien, mais est-ce possible que celà empêche la reconnaissance de l'authorité de certification ?
 
merci

Reply

Marsh Posté le 02-06-2005 à 21:32:46    

pourquoi t'achète pas un routeur wifi avec serveur radius embarqué tu te ferais pas chier ;)
y a une bôite francaise qui fait ca .
www.linux-services.fr dans boutique

Reply

Marsh Posté le 03-06-2005 à 09:26:15    

ptrogoff a écrit :

pourquoi t'achète pas un routeur wifi avec serveur radius embarqué tu te ferais pas chier ;)
y a une bôite francaise qui fait ca .
www.linux-services.fr dans boutique


j'ai des cisco AP 1230 mais c'est pour un réseau d'entreprise, donc potentiellement bcp d'utilisateurs qu'il sera plus simple de gérer sans configurer les AP à chauqe fois ;)

Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed