PB prise en compte d'un certificat par l'IAS

PB prise en compte d'un certificat par l'IAS - Sécurité - Systèmes & Réseaux Pro

Marsh Posté le 16-02-2010 à 11:32:11    

bonjour,
 
j'ai un problème avec un IAS qui ne prend pas en compte un certificat électronique publié dans l'Active Directory. Voici ce que j'ai fait:
1) création d'un certificat calqué sur le modèle IAS, ensuite sélections des "users" => serveurs IAS et enfin publication dans l'AD
2) Mon IAS est sur mon contrôleur de domaine, et en effet je retrouve bien mon certificat présent au niveau de mon serveur mais j'ai l'impressionqu'il n'est pas pris en compte par l'IAS lui même.
 
Est ce que le fait que le serveur qui implémente l'IAS obtienne le certificat à son niveau suffit pour en déduire qu'il est pris en compte par l'IAS?
 
Actuellement aucun ordi ne tente de s'authentifier auprès de l'IAS, c'est aussi pour cela que j'ai l'impression que l'IAS n'a pas de certificat...comment dépanner ce problème??
 
Par avance merci pour votre aide!!

Reply

Marsh Posté le 16-02-2010 à 11:32:11   

Reply

Marsh Posté le 17-02-2010 à 20:32:36    

Salut, il y a plusieurs chose a vérifer...
ton IAS est autorisé dans le domain? tes clients se servent effectivement de certificat? tu te sers bien du 802.1x PEAP ou cert?
tes domain user et domain computer de meme que ton AD font partis du groupe: CERTSVC_DCOM_ACCESS  
bref... plus de détails serait apprécié :-)

Reply

Marsh Posté le 18-02-2010 à 16:05:29    

Salut,
 
oui, mon IAS es bien autorité dans le domaine....voici quelques infos en plus:
- l'authentification utilisée est PEAP MS-CHAPv2 (authentification sur compte AD)
- les clients non donc que le certificat racine de l'Autorité de Certification, pas de certificat pour les authentifier.
 
Voici ce que j'ai fait:
1) depuis l'autorité de certification j'ai dupliqué un modèle de certificat type "IAS", en cochant "publier dans l'AD..." puis dans les usuers j'ai intégré les groupes comprenant les IAS.
2) Ensuite à partir du serveur qui implémente l'IAS si je regarde les certificats présents je constate qu'il ne récupère pas le certificat que j'ai publier dans l'AD.
3) je viens de vérifier dans le groupe "CERTSVC_DCOM_ACCESS"....et en effet les domain user et computer n'y étaient pas...je les ai rajouté. Voivi un lien qui explique comment faire:
http://support.microsoft.com/kb/903220/fr
 
Yahouuu maintenant à partir du serveur qui implémente l'IAS je viens de récupérer (manuellement) le certificat IAS....mais cela ne marche toujours, les postes n'accèdent pas encore au rzo et ce que je trouve surprenant c'est que côté IAS les logs ne tracent rien!
 
je vais continuer à chercher....si vous avez des conseils n'hésitez pas....de toute façon je vous tiens au courant, merci pour ton aide denied666

Reply

Marsh Posté le 18-02-2010 à 17:10:07    

euh t as une PKI dans ton domaine ?

Reply

Marsh Posté le 18-02-2010 à 18:35:00    

j'ai juste quelque seconde pour te répondre... le certificat de IAS n'as pas besoin d'etre sur ton AD ni sur tes postes clients. Le certificat du IAS a été créé par le CA et les clients 'trust' tout les certificats emmis par le CA si le CA est dans les trusted CA du poste client... genre...le client se log sur IAS et le client compare le cert du IAS. Je trust le CA et le cert a été emmis par le CA donc je trust le cert...
tu dois aussi vérifier comment tu te connect a la switch, dans mon cas, la switch est une 2950 configuré en 802.1X avec tout les parametres Radius ( globale et par port )
je viens de te donner quelques pistes je crois...

Reply

Marsh Posté le 26-02-2010 à 09:47:19    

Merci pour votre aide, maintenant cela fonctionne. En fait j'avais aussi un petit Pb côté switch, la configuration 802.1x n'était pas complète, alors maintenant cela marche correctement.  
Par contre je suis un peu dessus de ce que l'IAS trace nativement vis a vis des connexions...
 

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed