authentification 802.1x : maj du problème ^^

authentification 802.1x : maj du problème ^^ - Sécurité - Systèmes & Réseaux Pro

Marsh Posté le 18-09-2008 à 15:00:00    

Bonjour à tous, comme d'habitude je me tourne vers vous car je n'ai rien trouver de concret ailleurs ...  :(  
 
Alors je suis en train faire des tests sur la norme 802.1x sur un réseau filaire.
Mes postes utilisateurs sont sur XP pro (avec quelques vista qui trainent), mon switch est un HP 2650, un AD bien sûr avec les comptes utilisateurs et j'ai configuré le service IAS sur un 2K3.
Le tout en EAP-MSCHAPv2.
 
Et ... tout marche... ou presque tout.  
Petit exemple, quand je ferme la session du PC test, je configure le switch pour le 802.1x juste après, je me log avec le PC, ça fonctionne.
Mais si je redémarre complètement le PC, je n'arrive pas à m'authentifier après avoir ouvert ma session...  
 
petit exemple de mes logs:
tout d'abord dans le 1er cas : il se log grâce aux login/mdp de l'utilisateur

Citation :

L'accès a été accordé à l'utilisateur XXXXXXXXX\bdjocas.


Là ça marche...
2em cas, je redémarre le PC :

Citation :

L'accès a été refusé à l'utilisateur host/porttest.XXXXXXXXX.com.


 
Voilà, il tente de s'authentifier avec le compte du "pc" au lieu de prendre les login/mdp que je lui donne  :??:  
Je ne comprend pas vraiment pourquoi ?
 
Mon boss m'a aussi dit qu'il préfèrerait une authentification avec le pc au lieu du mot de passe, je ne trouve rien d'intéressant là dessus, ou alors j'ai pas saisi les informations.
Comment peut on mettre cela en place ?
 
A noté qu'un utilisateur hors domaine ne peut pas se logguer (normal...) il est "rejeter" par le serveur IAS, ce n'est pas le même message d'erreur.
Le compte computer porttest est dans le domaine aussi, donc même si il choisie ce mode d'authentification, pourquoi échoue t'il?...
 
 
tant de question sans réponse  :sweat:  
Je pense avoir bien décrit mon problème, si ce n'est pas le cas dites le moi.
 
Merci de votre aide.  :jap:


Message édité par Cyr1u$ le 23-09-2008 à 14:26:11
Reply

Marsh Posté le 18-09-2008 à 15:00:00   

Reply

Marsh Posté le 18-09-2008 à 16:20:49    

petit up, j'ai trouvé une solution pour autorisé les utilisateurs à s'authentifier par le compte du PC.

Reply

Marsh Posté le 19-09-2008 à 08:40:23    

Bonjour,
 
je crois que je vais faire la même chose que toi concernant l'install d'un radius,etc....
as-tu une doc ou un tuto ?
 
merci
slts

Reply

Marsh Posté le 19-09-2008 à 10:55:41    

Mon problème était que l'authentification avec le compte ordinateur n'était pas autorisé, en faite c'est juste un petit truc à configurer sur l'IAS, je te passe le lien que j'ai suivi :
 
http://www.forum-microsoft.org/topic93694.html
 
C'est le 4em post (celui de Koj) que j'ai utilisé :
 

Citation :

2- Dans la stratégie d'accès distant de IAS, il faut sélectionner un groupe AD contenant des comptes d'ordinateurs et non des comptes d'utilisateurs. Pour info, le groupe "Ordinateurs du domaine" contient tous les comptes d'ordinateurs, serveur compris. Sinon creer un groupe manuellement.


 
en espérant que cela t'aide!   :hello:

Reply

Marsh Posté le 19-09-2008 à 11:48:10    

ok merci bcp
et pour l'installation du radius, tu as suivi quel doc?
juste pour comparer avec ce que j'ai pu trouver sur le net
 
merci
slts

Reply

Marsh Posté le 19-09-2008 à 12:11:00    

En faite j'avais déjà commencé il y a quelques mois puis le projet avait un peu était zapé... et le site sur lequel je l'avais trouvé est down depuis pas mal de temps ... dommage elle était super clair...
 
Du coup le service IAS était déjà configurer presque comme il faut, mais c'était pas bien compliqué dans mes souvenir !
 
si tu as d'autres questions sur les configurations, n'hésite pas.


Message édité par Cyr1u$ le 19-09-2008 à 12:11:15
Reply

Marsh Posté le 23-09-2008 à 10:23:24    

UP
j'ai un nouveau petit problème, je ne sais pas trop d'où ça vient...   :??:  
 
voilà le topo :
J'ai 2 comptes users de test (configurés sur l'AD de la même façon).
Ces 2 comptes sont liés à 2 pc portables (les comptes des pc portables sont bien configurés dans le groupe computer de l'AD qui permet d'authentifier les pc dès qu'ils démarrent). Bref tout est identiques !!
 
Le problème est que quand je me connecte au switch avec le 1er, tout fonctionne parfaitement bien  :love:  
mais lorsque je branche le 2ème ...  :fou:  
Les logs IAS me disent que l'accès est refusé pour le second pc (pour le compte computer et aussi utilisateur)
 

Citation :

aaa authentication port-access eap-radius
radius-server host 172.20.Y.X key maclé
aaa port-access authenticator 24
aaa port-access authenticator 24 reauth-period 60
aaa port-access authenticator 24 client-limit 8
aaa port-access authenticator active
aaa port-access mac-based 24 addr-limit 8
aaa port-access 24


 
de plus, je n'utilisais pas avant la commande en rouge, j'ai vu qu'elle était utilisé dans plusieurs configuration de switch sur le net...
Mais est ce qu'il y a une différence avec le "client-limit 8" ?? car d'après la doc, c'est à la même chose.
J'oubliais de préciser que mes clients windows sont configurés de la même façon.  
 
voilà toute idée est la bienvenue, même si vous me dites que je suis un gros nul  :lol:
 
edit : bon je viens de voir que le "port-access mac-based" c'était pas ce que je voulais faire... mais impossible d'enlever la commande en mettant un "no" devant ...
quand  je tape : "no aaa port-access mac-based 24" ca m'enlève pas la ligne en rouge, et si je tente de compléter la ligne par "addr-limit" "il me renvoi une erreur disant qu'il ne connait pas cette commande ...
 
que faire ?


Message édité par Cyr1u$ le 23-09-2008 à 14:25:35
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed