Probleme radius sur serveur windows 2003

Probleme radius sur serveur windows 2003 - Sécurité - Systèmes & Réseaux Pro

Marsh Posté le 30-08-2007 à 13:41:38    

Bonjour,
 
Je suis en stage et j'ai mis en place la semaine derniere une borne wifi interconnecté avec un routeur et un switch.
 
Je dois mettre en place une authentification avec radius sur un serveur windows 2003.
 
Mon serveur dispose d'un AD simple.
 
Le poste avec lequel j'essaie de me connecter sur la borne dispose d'une carte wifi cisco aironet et je ne suis pas dans le domaine de mon AD comme si j'étais quelqu'un de l'extérieur comme par exemple " WORKGROUP".
 
Je vois bien mes 2 ssid et quand j'essaie de me connecter l'état d'avancement reste bloqué au niveau de la "validation de l'identité" et j'ai un message qui me dit "windows n'a pas pu trouver un certificat pour cet ordinateur ".
 
J'ai activé l'eap juste sur un des ssid avec une clé wep de 40 bits et j'ai laissé l'autre ssid sans authentification pour le moment..
 
Sur le serveur 2003, les services IIS, service d'authentification internet sont bien activés et j'ai bien ajouter un client (mon ap avec son @).
J'ai testé en local via ie en tapant: http://@ip/certsrv et ca fonctionne( j'avais crée auparavant un user dans l'AD).
 
Le ping fonctionne bien évidement de l'ap au serveur, je pense que je dois oublier de faire quelque chose sur le serveur ou l'ap...
 
Je vous met à disposition la config de l'ap:
 
version 12.3
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname ap
!
no logging console
enable secret 5 $1$b1OO$riKE7Cgt/EAFiMnVi5Bmy/
!
ip subnet-zero
!
!
aaa new-model
!
!
aaa group server radius rad_eap
!
aaa group server radius rad_mac
!
aaa group server radius rad_acct
!
aaa group server radius rad_admin
!
aaa group server tacacs+ tac_admin
!
aaa group server radius rad_pmip
!
aaa group server radius dummy
!
aaa group server radius rad-eap
server 192.168.1.253 auth-port 1812 acct-port 1813
!
aaa authentication login eap_methods group rad_eap
aaa authentication login mac_methods local
aaa authorization exec default local
aaa accounting network acct_methods start-stop group rad_acct
aaa session-id common
!
dot11 ssid boss
vlan 1
infrastructure-ssid
!
dot11 ssid partenaires
vlan 2
authentication open eap eap_methods
mbssid guest-mode
wpa-psk ascii 7 070C285F4D06485744
!
dot11 ssid visiteurs
vlan 3
authentication open
mbssid guest-mode
!
!
!
username Cisco password 7 13261E010803
!
bridge irb
!
!
interface Dot11Radio0
no ip address
no ip route-cache
!
encryption key 1 size 40bit 7 3A1E467E23EB transmit-key
encryption mode ciphers wep40
!
encryption vlan 3 key 1 size 40bit 7 FC3A6F2CBFBD transmit-key
encryption vlan 3 mode ciphers wep40
!
encryption vlan 1 mode ciphers wep40
!
encryption vlan 2 key 1 size 40bit 7 AC7F123C7FCB transmit-key
encryption vlan 2 mode ciphers wep40
!
ssid boss
!
ssid partenaires
!
ssid visiteurs
!
mbssid
speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0 54.0
no power client local
power client 50
channel 2442
station-role root
no cdp enable
!
interface Dot11Radio0.1
encapsulation dot1Q 1 native
no ip route-cache
no cdp enable
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
bridge-group 1 spanning-disabled
!
interface Dot11Radio0.2
encapsulation dot1Q 2
no ip route-cache
no cdp enable
bridge-group 2
bridge-group 2 subscriber-loop-control
bridge-group 2 port-protected
bridge-group 2 block-unknown-source
no bridge-group 2 source-learning
no bridge-group 2 unicast-flooding
bridge-group 2 spanning-disabled
!
interface Dot11Radio0.3
encapsulation dot1Q 3
no ip route-cache
no cdp enable
bridge-group 3
bridge-group 3 subscriber-loop-control
bridge-group 3 block-unknown-source
no bridge-group 3 source-learning
no bridge-group 3 unicast-flooding
bridge-group 3 spanning-disabled
!
interface FastEthernet0
no ip address
no ip route-cache
duplex auto
speed auto
no cdp enable
hold-queue 80 in
!
interface FastEthernet0.1
encapsulation dot1Q 1 native
no ip route-cache
no cdp enable
bridge-group 1
no bridge-group 1 source-learning
bridge-group 1 spanning-disabled
!
interface FastEthernet0.2
encapsulation dot1Q 2
no ip route-cache
no cdp enable
bridge-group 2
no bridge-group 2 source-learning
bridge-group 2 spanning-disabled
!
interface FastEthernet0.3
encapsulation dot1Q 3
no ip route-cache
no cdp enable
bridge-group 3
no bridge-group 3 source-learning
bridge-group 3 spanning-disabled
!
interface BVI1
ip address 192.168.1.254 255.255.255.0
no ip route-cache
!
ip default-gateway 192.168.1.200
ip http server
no ip http secure-server
ip http help-path http://www.cisco.com/warp/public/7 [...] g/help/eag
ip radius source-interface BVI1
!
no cdp run
radius-server attribute 32 include-in-access-req format %h
radius-server host 192.168.1.253 auth-port 1812 acct-port 1813 key 7 121A0C0411045D5679
radius-server vsa send accounting
!
control-plane
!
bridge 1 route ip
 
Depuis mon pc portable qui n'est pas dans un domaine je me connecte en http://@ip server/sersrv et je demande un certificat pour mon pc
 
pas de problème je l'obtient mais toujours pareil!
 
Je voudrais en faite que lorsque chaque utilisateur qui se connecte au réseau wifi obtiennent un certificat et puisse donc se connecter!
 
Dans l'observateur d'évenements de mon serveur radius ce que j'obtiens comme message d'erreur.....
 
" un message de requete d'acces a été recu a partir du client radius avec un attribut de l'authentificateur de message qui n'est pas valide "
 
J'ai fait lancé un sniff avec ethereal, on voit bien une requete radius de la part de l'AP jusqu'au serveur 2003 radius mais ce dernier ne lui répond pas.....
 
J'ai fait lancé un sniff avec ethereal, on voit bien une requete radius de la part de l'AP jusqu'au serveur 2003 radius mais ce dernier ne lui répond pas.....
 
Voila c'est compliqué mais si quelqu'un pouvait m'aider!!!
 
 
Merci!

Reply

Marsh Posté le 30-08-2007 à 13:41:38   

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed