Radius op Windows 2000

Pagina: 1
Acties:
  • 484 views sinds 30-01-2008
  • Reageer

  • Speedfightserv
  • Registratie: September 2004
  • Nu online
Ik heb hier op een Windows 2000 Server incl. Sp4 een radius server geinstalleerd ( via de handleiding van http://www.hansenonline.net/Networking/wlanradius.html )
en deze laten registreren met active directory.
Tevens is deze Server een DNS en DHCP server.

Ik heb ook een certificaat server geinstalleerd en een certificaat aangemaakt voor radius.
Hier hangt een Linksys WRT54GS Wireless router aan.

ik probeer nu via een client (laptop) verbinding te krijgen met de server.

Er gaat alleen het 1 en ander niet goed.

Windows XP sp2 lijkt het certificaat wel te krijgen want ik krijg een dialoog venster of ik het certificaat wil accepteren. Zodra ik het certificaat accepteer krijg ik naar enkele seconden weer het dialoog venster.

Ik heb GOT en Google al helemaal uitgepluist ik heb alleen niks bruikbaars kunnen vinden.
Ik heb het volgende al geprobeert:

- Andere laptop.
- Windows 2000 Server herinstallatie
- ander certificaat
- Diverse settings aanpassen met betrekking tot PEAP
- Met Etherreal gekeken of er aan de server kan wat mis ging met de packets


Diverse sites die ik heb uitgepluist:

http://www.hansenonline.net/Networking/wlan-gpo.html
http://www.aspfree.com/c/...LAN-Connections-Part-2/4/
http://beveiliging.surfnet.nl/info/attachment.db?49369
http://www.zyxel.nl/support/a004.html
http://www.mcse.ms/message878370.html
http://support.microsoft.com/?kbid=815485
http://support.microsoft....aspx?scid=kb;en-us;295663

Wie kan mij helpen? zie ik iets over het hoofd?


Alvast Bedankt.

30 x Trina 390wp Op SE en Solis. | MHI 3,5kw


  • mutsje
  • Registratie: September 2000
  • Laatst online: 17-02 13:45

mutsje

Certified Prutser

heb je een eigen root certificate? Wat voor foutmeldingen krijg je precies.. met een melding e.e.a lijkt niet te werken kan men je niet verder helpen hier helaas. Als je gebruik maakt van een non trusted root certificate (dus zelf aangemaakt) zul je deze ook op de clients moeten installeren.

  • Speedfightserv
  • Registratie: September 2004
  • Nu online
Dat is het leuke. ik krijg geen foutmeldingen.
Het log zegt niks, wel als ik expres wat verkeerd instel.
Ook het log van windows zelf zegt niks.

De client heeft het certificaat geinstalleerd. ik heb ook aangegeven welk certificaat hij moet gebruiken.

Ik heb een Enterpice certificaat geinstalleerd

Hij blijft gewoon constant hangen op " poging tot verificatie" aan de client kant

[ Voor 13% gewijzigd door Speedfightserv op 09-05-2006 13:10 ]

30 x Trina 390wp Op SE en Solis. | MHI 3,5kw


  • Speedfightserv
  • Registratie: September 2004
  • Nu online
Een probleem met het certificaat lijkt opgelost.

ik krijg alleen nu de melding in het log dat er een "bad username or password" is.
Terwijl dit 100% klopt. heb zelf het wachtwoord gereset om te checken of het echt klopt.

Zit er ergens iets in een policy dat er een bepaalde lengte van het wachtwoord ergens moet zitten?

melding:

User TESTING\inloggen was denied access.
Fully-Qualified-User-Name = testing.nl/Users/inloggen
NAS-IP-Address = 192.168.1.1
NAS-Identifier = 0014bfbb41d1
Called-Station-Identifier = 0014bfbb41d1
Calling-Station-Identifier = 0004237dc273
Client-Friendly-Name = WRT54GSV4
Client-IP-Address = 192.168.1.1
NAS-Port-Type = 19
NAS-Port = 12
Policy-Name = Wireless
Authentication-Type = EAP
EAP-Type = <undetermined>
Reason-Code = 16
Reason = There was an authentication failure because of an unknown user name or a bad password.

[ Voor 51% gewijzigd door Speedfightserv op 09-05-2006 14:20 ]

30 x Trina 390wp Op SE en Solis. | MHI 3,5kw


  • Abom
  • Registratie: September 2000
  • Laatst online: 17-02 09:37
User TESTING\inloggen was denied access.
Fully-Qualified-User-Name = testing.nl/Users/inloggen
Wanneer ik even door mn event logs browse, zie ik bij mij melden in de vorm van ' User <username> was denied access' en 'User <username> was granted access'. Zonder <domain>\ er voor.

Probeer het eens met alleen de gebruikersnaam en niet <domain>\<username>.

[ Voor 36% gewijzigd door Abom op 09-05-2006 15:59 ]


  • Speedfightserv
  • Registratie: September 2004
  • Nu online
Helaas zonder opgaaf van domein werkt het ook niet.

ik heb ook geprobeert om in te loggen met testing\inloggen + wachtwoord. Dit mocht ook niet baten.

Alvast Bedankt

30 x Trina 390wp Op SE en Solis. | MHI 3,5kw


  • Wimlem
  • Registratie: April 2000
  • Laatst online: 16:43
Misschien een simpele hoor, maar heeft je gebruiker wel rechten om in te kunnen loggen middels radius ?

Voordat bij ons gebruikers radius kunnen gebruiken voegen wij ze aan de group _remote toe en die groep staat bij ons in de radiusserver weer ingesteld als zijnde een groep gebruikers die in mogen loggen...

[ Voor 51% gewijzigd door Wimlem op 09-05-2006 17:45 ]

SolarEdge 7k met 8070wp (oost/west) - SolarEdge / Atlantic 270l / LG HU071.U43 + HN1616.nk3 warmtepomp / HikVision leverancier


  • Speedfightserv
  • Registratie: September 2004
  • Nu online
ja het account heeft rechten genoeg (ook doormiddel van een group). ook Dial in - Control acces trough Remote Access Policy rechten

Alvast Bedankt

30 x Trina 390wp Op SE en Solis. | MHI 3,5kw


  • basset
  • Registratie: Februari 2000
  • Laatst online: 17-02 11:07
Probeer eens username@domain ipv domain\username
Volgens mij gebruik je nu de pre win2000 login. Ik weet niet of dat wat uitmaakt, maar je weet maar nooit.

Wij werken met een rasdius onder linux in mysql, ik weet niet of je in je database gekeken hebt of alles goed ingesteld staat kwa groepen ed. (Ik weet dus niet of het onder win ook zo werkt)
controleer: radcheck op username en password
radgroupcheck op de groepnaam en of je de gebruiker aan de groep hebt toegevoegd in usergroup.

Ik zeg erbij dat dit allemaal onder Linux en mysql is, dus of het lijkt op de Windows variant weet ik niet.

Hop,hop,hop!


  • Speedfightserv
  • Registratie: September 2004
  • Nu online
username@domain werkt helaas ook niet. dan geeft hij simpelweg aan dat de user niet bestaat.
Het domein is native mode (dus niet pre win2000) anders werkt radius simpelweg niet.

Ik heb samen met een collega alles net nog 3 keer nagelopen. Alles met rechten, users en groups zou moeten kloppen.


Alvast Bedankt

30 x Trina 390wp Op SE en Solis. | MHI 3,5kw


  • Speedfightserv
  • Registratie: September 2004
  • Nu online
is er een mogelijkheid om te zien wat er eigelijk verstuurd wordt aan gegevens? met Etherreal kan ik dat namelijk niet zien.

als ik namelijk express een verkeerd wachtwoord gebruik geeft hij de zelfde melding. ik heb het vermoeden dat er ergens de gegevens niet in een goede volgorde binnen komt.

Weet iemand een manier hoe ik dat kan controleren?

[ Voor 4% gewijzigd door Speedfightserv op 10-05-2006 10:50 ]

30 x Trina 390wp Op SE en Solis. | MHI 3,5kw


  • Speedfightserv
  • Registratie: September 2004
  • Nu online
Abom schreef op dinsdag 09 mei 2006 @ 15:55:
[...]


Wanneer ik even door mn event logs browse, zie ik bij mij melden in de vorm van ' User <username> was denied access' en 'User <username> was granted access'. Zonder <domain>\ er voor.

Probeer het eens met alleen de gebruikersnaam en niet <domain>\<username>.
Heb jij mischien de mogelijkheid om wat screenshots te maken van wat algemene settings ?
Zodat ik het 1 en ander kan na kijken dat ik niks over het hoofd heb gezien.

Alvast Bedankt

30 x Trina 390wp Op SE en Solis. | MHI 3,5kw


  • Speedfightserv
  • Registratie: September 2004
  • Nu online
Zijn er mischien nog anderen die mij aan wat screenshots kunnen helpen van jullie eigen radius configuratie?


Alvast Bedankt

30 x Trina 390wp Op SE en Solis. | MHI 3,5kw


  • Abom
  • Registratie: September 2000
  • Laatst online: 17-02 09:37
Heb je uberhaupt een remote access policy ingesteld? Zonder policy, krijgt standaard niemand toegang.

Je zult niet heel veel aan mijn screenshots hebben, aangezien ik geen certs gebruik en IAS niet gebruik voor WLAN maar VPN.

[ Voor 41% gewijzigd door Abom op 16-05-2006 09:54 ]


  • Speedfightserv
  • Registratie: September 2004
  • Nu online
ja policy is ingesteld. via de howto van hansen online.

http://www.hansenonline.net/Networking/wlan-gpo.html

30 x Trina 390wp Op SE en Solis. | MHI 3,5kw


  • Sundead
  • Registratie: Februari 2001
  • Laatst online: 27-04-2024
Heb je dit document over Wireless LAN security met Microsoft Certificate services al eens doorlopen en vergeleken met diegene die jij gebruikt?
Hij is officieel voor windows 2003 geschreven, maar dat moet ook wel toepasbaar zijn voor Windows 2000 met een beetje eigen inzicht.

Hij is hier iig goed bevallen qua uitleg, en functioneert perfect.

  • Speedfightserv
  • Registratie: September 2004
  • Nu online
ik had een ander document van microsoft gevonden, Deze had ik nog niet gezien.ik zal hem eens doorkijken bedankt voor de tip!

[ Voor 15% gewijzigd door Speedfightserv op 16-05-2006 12:43 ]

30 x Trina 390wp Op SE en Solis. | MHI 3,5kw


  • Speedfightserv
  • Registratie: September 2004
  • Nu online
Is het de bedoeling dat iedere gebruiker een eigen certificaat krijgt? of kan ik gewoon 1 certificaat gebruiken?

30 x Trina 390wp Op SE en Solis. | MHI 3,5kw


  • Speedfightserv
  • Registratie: September 2004
  • Nu online
Heeft er iemand nog ideen van wat dit zou kunnen zijn ?

Alvast Bedankt!

30 x Trina 390wp Op SE en Solis. | MHI 3,5kw


Verwijderd

Ik heb hier exact dezelfde combo staan, windows 2000 server in een native AD domain en ik wil eigenlijk hetzelfde doen. Maar dan niet met een certificate maar enkel met user authentication. Ook hier dezelfde meldingen, ik krijg ook alleen maar in de logfile dat user niet aan mag loggen via radius, echter de rechten staan wel goed.

Ik krijg maandag een ander merk WIFI router, omdat ik zeker wil weten dat het niet aan de linksys ligt.

  • Sundead
  • Registratie: Februari 2001
  • Laatst online: 27-04-2024
@ Speedfightserv: binnen het document wordt uitgegaan van iedere gebruiker een eigen certificaat (wat ik om administratieve redenen ook zou aanraden, maar dat kan je zelf ook verzinnen :) )
Dit certificaat wordt automatisch uitgerold bij het inloggen op het domein, dus 1x per draad aanmelden, en vanaf dan kan er altijd via wifi gewerkt worden.

  • Speedfightserv
  • Registratie: September 2004
  • Nu online
@ bogusje

Heb je het al getest met een andere wifi router?

@sundead.

Aha ok. ga ik dat ook eens proberen

30 x Trina 390wp Op SE en Solis. | MHI 3,5kw


  • Speedfightserv
  • Registratie: September 2004
  • Nu online
Als ik zonder certificaat, dus alleen via MS CHAP v2. Probeer te connecten wil dit ook niet.
Op de client heb ik dan het controleren van het certificaat uitgezet. Dus gewoon eap chap v2 aan staan. zelf op deze manier kan ik niet connecten ik krijg dan de volgende melding in het ias log: IAS_INVALID_AUTH_TYPE

Terwijl dit toch overeen lijkt te komen.... heb ik hier iets verkeerd ingesteld?

30 x Trina 390wp Op SE en Solis. | MHI 3,5kw


Verwijderd

Heb ook wel eens dit soort ervaringen gehad met Cisco's en Radius. Het aanmelden bij de router gebeurt misschien wel via CHAPv2, maar de controle tussen de router en de Radius-server gaat als PAP over de lijn. Dit protocol zul je dus ook aan moeten zetten. Als ik me niet vergis moet je dan in de domain policy nog aan zetten dat het password opgeslagen wordt met 'reversible encryption'. Misschien dat je in het security log kunt zien met wat voor protocol de user gecontroleerd wordt bij de Radius server.

  • ViperXL
  • Registratie: Oktober 2005
  • Laatst online: 17-02-2025
en en ?? werkt ie nu wel met PAP erbij? Ik ben ook benieuwd

  • Speedfightserv
  • Registratie: September 2004
  • Nu online
Nee, het werkt nog steeds niet. het is nu zelfs zo dat hij het authencatie protocol niet meer herkent. ik denk dat er iets verkloot is in windows. Ik ga de testserver nu opnnieuw inrichten kijken of ik het daarmee wel goed krijg.

30 x Trina 390wp Op SE en Solis. | MHI 3,5kw


Verwijderd

Werkt het inmiddels?
Ik zit met hetzelfde probleem, echter ik gebruik een Draytek 2800VG als AP. De Draytek heeft wel contact met de Windows IAS, immers de Radius-VPN-authenticatie werkt wel. Ook zie ik in de logfile regels (die ik niet kan ontcijferen) verschijnen als een WLAN-station probeert in te loggen.
Echter ook hier lijkt de authenticatie te mislukken.

  • Speedfightserv
  • Registratie: September 2004
  • Nu online
Nee het werkt nog steeds niet. zodra ik 'reversible encryption' instel in een policy herkent hij daarna het authencatie protocol ook niet meer. ook niet als ik 'reversible encryption' uit zet.

Het is echt een vreemd probleem... het zou gewoon moeten werken namelijk..

30 x Trina 390wp Op SE en Solis. | MHI 3,5kw


  • Speedfightserv
  • Registratie: September 2004
  • Nu online
Ik was windows 2000 server even helemaal zat.
Heb nu windows 2003 entp. geinstalleerd en de zelfde configuratie erin gegooid als op windows 2000 server.

En nu werkt het wel :? :?

zou er dan toch een soort bug in windows 2000 server zitten?

30 x Trina 390wp Op SE en Solis. | MHI 3,5kw

Pagina: 1