IAS radius authentication

Raar probleem.
We hebben WLAN clients bij een klant waar indien we manueel de user details ingeven de user normaal kan verbinden. Indien we in het wireless profiel echter "use windows logon" selecteren dan krijgen we een reject terug van de radius server.

Dit is ook niet hetzelfde voor alle clients. WinXP heeft geen issue. Win7 hebben sommige wel problemen, andere weer niet.

Als we op die radius server een snif doen zien beide requests er identiek uit. Enige dat we opmerken is dat de rejected requests het domein in hoofdletters hebben waar de accepted requests dit in kleine letters hebben.
Ik dacht altijd dat voor een domein het niet uitmaakt of je't in kleine of hoofdletters schreef. Hoezo accepteert de radius dan ook net de windows versie niet waar we wel succesvol mee in windows geraken?

Radius server is een IAS (win 2000) met enkel een server certificate. Eap-termination is dus actief op de controller. Het lukt me ook niet om een computer (server + client auth) certificaat aan te vragen. Ik vermoed dat dit komt doordat de CA geen enterprise edition is. Kan iemand bevestigen dat dit effectief niet mogelijk is met een standalone CA?

Probleem speelt nog steeds.
Zware verdenking gaat naar een AD instelling maar zeker zijn we niet.

Mocht iemand een idee hebben in welke richting dit issue te gaan zoeken.. ik hoor het graag.


################################################# ##############################
ACCESS DENIED (use windows logon checked)
-------
Event Type: Warning
Event Source: IAS
Event Category: None
Event ID: 2
Date: 29/06/2011
Time: 14:43:19
User: N/A
Computer: IAS-radius
Description:
User DOMAIN\userx was denied access.
Fully-Qualified-User-Name = DOMAIN\userx
NAS-IP-Address = 1.2.3.4
NAS-Identifier = 1.2.3.4
Called-Station-Identifier = 000B86612940
Calling-Station-Identifier = 001DE027ED77
Client-Friendly-Name = WLAN controller ip 2
Client-IP-Address = 1.2.3.4
NAS-Port-Type = Wireless - IEEE 802.11
NAS-Port = 0
Proxy-Policy-Name = Use Windows authentication for all users
Authentication-Provider = Windows
Authentication-Server = <undetermined>
Policy-Name = <undetermined>
Authentication-Type = MS-CHAPv2
EAP-Type = <undetermined>
Reason-Code = 16
Reason = Authentication was not successful because an unknown user name or incorrect password was used.

For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.
Data:
0000: 2e 05 07 80 ...?
################################################## ##############################
ACCESS GRANTED (entered logon manualy)
--------
Event Type: Information
Event Source: IAS
Event Category: None
Event ID: 1
Date: 29/06/2011
Time: 14:44:21
User: N/A
Computer: IAS-radius
Description:
User DOMAIN\userx was granted access.
Fully-Qualified-User-Name = DOMAIN.be/DOMAIN Users/ICT/IT-Helpdesk/First Lastname
NAS-IP-Address = 1.2.3.4
NAS-Identifier = 1.2.3.4
Client-Friendly-Name = WLAN controller ip 2
Client-IP-Address = 1.2.3.4
Calling-Station-Identifier = 001DE027ED77
NAS-Port-Type = Wireless - IEEE 802.11
NAS-Port = 0
Proxy-Policy-Name = Use Windows authentication for all users
Authentication-Provider = Windows
Authentication-Server = <undetermined>
Policy-Name = Wireless DOMAIN-Data
Authentication-Type = MS-CHAPv2
EAP-Type = <undetermined>

For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.
Data:
0000: 00 00 00 00 ....


################################################## ##############################

CertLog schreef op woensdag 21 september 2011 @ 11:35:
Meestal is de oorzaak dat de clients het certificaat van de radius server niet vertrouwen.
Dus of het server certificaat niet laten checken bij de config op de clients, of dit toevoegen in de certificate store alszijnde vertrouwd.
Een andere oorzaak kan zijn als de systeemtijd op de client radicaal anders is dan op de server.
Tenslotte kun je nog in de Dial-in properties van de user accounts kijken of daar wel Allow access/Control Access through remote access policy aanstaat.

server certificaat check is disabled en tijd staat quasi gelijk.
remote acces policy stata ook juist anders kwamen ze met manueel in te loggen ook niet op't netwerk. Het probleem nu is enkel met het vinkje aan van "use windows logon" in het wireless profiel.

CertLog schreef op maandag 26 september 2011 @ 16:27:
Het enige wat me nog opvalt is dat je zegt EAP-PEAP te gebruiken, echter in je event log staat:
Authentication-Type = MS-CHAPv2
EAP-Type = <undetermined>
Wat toch duidt op MS-CHAPv2 authenticatie.
Eigenlijk moet er dit staan:
Authentication-Type = PEAP
EAP-Type = Secured password (EAP-MSCHAP v2)

Kijk eens in je IAS Remote Access Policy in je profile wat op het Authentication tabblad staat.
In principe moeten hier alle checkmarks uit staan (als je alleen EAP methodes wil gebruiken).
Via de EAP Methods knop kun je dan PEAP configureren.
(ik heb wel Windows 2003, maar hoop/denk dat Windows 2000 niet al te veel anders zal zijn)

Een goeie naam voor het ganse ding zou eap-mschapv2-peap zijn denk'k
peap is namelijk de tunnel waarbinnen mschapv2 met ad spreekt.. of toch zoiets.

Als ik al die authentication dingen uitzet ga'k niet meer kunnen authenticeren.. Dat is dus echt niet de bedoeling denk'k.
EDIT: je hebt trouwens wel een punt.. dat dit zo 'raar' in de log staat komt (vermoed ik) omdat ik de termination van de eap shizzle op mijn WLAN controller doe. Vraag me aub niet hoe dat precies in elkaar zit, maar het spaart me een certificaat uit op de radius server aangezien nu dat van de controller wordt gebruikt.

Verder is Win 2008 NPS is inderdaad zowat identiek aan Win2003 IAS maar dan met wat extra optionale dingen erbij.

Mijn probleem zit verder vrij zeker niet in de IAS config. Als'k een nieuwe folder aanmaak in AD en daar dan een nieuwe user in aanmaak en ik configureer IAS/NPS voor deze groep dan werkt het allemaal wel zoals verwacht. Ik vermoed dat het probleem dan ook ergens in AD zit.. maar waar

[ Voor 10% gewijzigd door witchdoc op 26-09-2011 22:25 ]