Radius client voor win2000

Wat wil je er mee doen? Authenticatie tegen een radiusserver, of wil je hem als radius-server of proxy gaan gebruiken?

Voor het laatste zit de software voor zover ik weet in IIS ingebouwd. Dat wil zeggen, onder NT4 is dat zo dus in 2000 zal het er nog wel inzitten...

Hoi,

Volgens mij is het mogelijk om bij de Remote Access Service aan te geven hoe de authenticatie loopt. Waar je denk ik even naar moet kijken is de Internet Authentication Services (moet je extra installeren op w2k server). Ik weet het, dit is de RADIUS server versie van win2k zelf, maar het kan zijn dat deze ook docs bevat voor het gebruik van RADIUS als authenticatie naar een andere RADIUS server.
Dit is een URL die gaat over NT RAS als radius client. Misschien helpt het..
http://support.microsoft.com/default.aspx?scid=kb;EN-US;q168667

ff vraagje tussendoor: doet de w2k server alleen NAS? Waarom zet je daar niet een router voor neer, die kastjes kunnen het net zo goed, misschien wel beter (het NAS) en kunnen zeker RADIUS aan voor de AAA.

PJ

Op dinsdag 02 juli 2002 12:28 schreef brooker het volgende:
Ik wil hem gaan gebruiken als radius client( de win2000 machine that is) De radius authentication vind plaats op een linux radiusserver. Het probleem is dus eigenlijk dat de win2000 machine geen radiusrequest stuurt naar de radiusserver. De win2K dient btw als een NAS.
Beeetje veel tekst sorry

OK even in het kort:
- ga naar "routing and remote access"
- je kiest de server waarop je radius wilt gaan gebruiken; dan kijk je bij properties -> security. Daar kan je bij auth. provider voor RADIUS kiezen als ik het goed heb.

Hoi,
Dus even kort samengevat het volgende:
1 * linux server met radius software
1 * Win2k server met RAS en is contentserver.

Doel:
RAS gebruikers toegang geven op basis van radius requests in plaats van de "reguliere" NT users.

Als dat zo is, dan kan je niet met netstat zien of er radius requests gestuurd worden. Radius maakt nl gebruik van UDP packets (http://RFC.net/rfc2138.html) en geen TCP packets. er is dus geen directe verbinding open tussen client en server (dus zie je die niet in de standaard netstat).
Je zou een ethernet sniffer kunnen gebruiken om te kijken of udp requests gestuurd worden.
Wat je wel kan doen is het commando netstat -a uitvoeren op je win2k machine. Als het goed is, (zo uit mijn blote hoofd), zie je ook alle UDP-open poorten op je w2k server. Staat daar een poort 1812 bij?

Onderstaande URL geeft aan hoe je de remote access moet configureren op win2k met RADIUS authenticatie:
http://www.microsoft.com/technet/treeview/default.asp?url=/TechNet/columns/cableguy/cg0601.asp

pjnef

Op woensdag 03 juli 2002 07:05 schreef brooker het volgende:
Ik weet dat een ciscorouter het kan, dat is het probleem niet... De Win2k server is niet alleen een NAS maar ook een contentserver (sorry, had ik moeten melden) En ik wil dus toegang en rechten verlenen aan de Win2k server via de Radiusserver. De manier hier boven met IAS heb ik geprobeert maar werkt niet. Met netstat is duidelijk te zien dat de win2k bak geen radius requests stuurt op deze manier. Vandaar dat ik vroeg of er misschien een software matige radiusclient voor win2k bestaat.
Maar tot zover bedankt voor het meedenken.

Ik ben absoluut ethereal fan. Ondersteund een hoop protocollen waaronder radius. Kun je ook kijken wat voor radius informatie er wordt gestuurd vanaf de win2k machine. Beschikbaar voor zowel linux (en vele ander *nix) als win2k.

Ik ben zelf een fan van Etherpeek, maar die doet het niet op windows geloof ik.

Op woensdag 03 juli 2002 10:19 schreef brooker het volgende:
ok, bedankt ga ik proberen.
Btw wat is een goeie sniffer?

Ik zou gewoon even tcpdump gebruiken en filteren op radius pakketjes. Tcpdump zit standaard in de meeste linux distro's

Alleen als je een geswitched netwerk hebt dan zie alleen de pakketjes die voor de linux server bedoeld zijn.

Hey,

Ja, zover ik weet wel. Hou er wel rekening mee dat Etherpeek (zover ik weet) alleen op Mac draait. Het kan zijn dat ze ook een win* versie hebben uitgebracht.

Als je de pakketjes in een switched netwerk wil testen, moet je "even" een mini 10Mbit hub tussen de linux server en netwerk hangen, en daarop sniffen. Dan krijg je nl alle packets te zien...

En je hoeft alleen maar te filteren op UDP packets, destination 1812.

PJ

Op donderdag 04 juli 2002 23:39 schreef brooker het volgende:

[..]

Ok dit is de volgende die ik ga proberen. Ondersteund wel radius pr.?