Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1800 connectés 

  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Infrastructures serveurs

  Configuration NPS pour 802.1X filaire

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Configuration NPS pour 802.1X filaire

n°131950
aeon-
Il dit qu'il a plus de genoux
Posté le 23-06-2015 à 14:55:34  profilanswer
 

:hello: à tous,
 
Je dois mettre en place sur notre réseau un système de sécurisation 802.1X sur du matériel Alcatel. en gros, je veux que les PC présents dans l'AD aient accès au réseau et que les autres n'aient rien.
 
Matériel :
Server 2012R2 avec AD DC, DHCP, DNS, NPS
OmniSwitch 6850

 
Tout se passe côté switch, la configuration est simple.
 
C'est du côté du serveur NPS que j'ai un soucis (je pense :o )
 
Je ne sais donc pas vraiment comment le configurer pour que ça marche.
 
J'ai bien ajouté mon switch de test en tant que Client RADIUS et créé un règle de sécurité avec pour seule condition l'appartenance au groupe "Ordinateurs du domaine". Jusque là rien de compliqué mais le résultat c'est que quand j'active le 802.1X côté switch TOUT est bloqué, même les postes qui correspondent à la restriction.
 
Sur le switch je n'ai pas grand chose de configurable donc je pencherai plutôt vers la mauvaise configuration côté serveur.  
 
Quelqu'un pour m'expliquer rapidement une configuration simple sans certificat côté NPS ?
 
PS : N'ayant rien trouvé sur le net concernant le 802.1X sur Alcatel sans certificat je ferai un tuto complet si j'y arrive
 
Merci :jap:


Message édité par aeon- le 23-06-2015 à 14:57:09

---------------
Le secteur Ouest c'est d'la balle !
mood
Publicité
Posté le 23-06-2015 à 14:55:34  profilanswer
 

n°131953
Je@nb
Modérateur
Kindly give dime
Posté le 23-06-2015 à 18:34:06  profilanswer
 

Et tu as configuré tes clients aussi ? :/

n°131954
aeon-
Il dit qu'il a plus de genoux
Posté le 23-06-2015 à 18:38:52  profilanswer
 

Je voudrais ne rien avoir à configurer côté client et ne pas utiliser de certificat. Les PC ont juste besoin d'être dans le domaine.
 
En gros le switch interroge l'AD pour savoir si ce que l'on vient de brancher sur tel port est dans l'AD. Si oui on lui attribue un VLAN sinon on bloque le port.


---------------
Le secteur Ouest c'est d'la balle !
n°131955
Je@nb
Modérateur
Kindly give dime
Posté le 23-06-2015 à 19:30:41  profilanswer
 

Oui mais si tu veux faire du 802.1x il faut que les clients envoient des informations comme le nom de machine/password non ? :o
 
Suffit de pousser ca par gpo si ils sont sur le domaine (avant bien évidemment de bloquer le port :d)

n°131956
aeon-
Il dit qu'il a plus de genoux
Posté le 23-06-2015 à 20:05:10  profilanswer
 

Je@nb a écrit :

Oui mais si tu veux faire du 802.1x il faut que les clients envoient des informations comme le nom de machine/password non ? :o

 

Suffit de pousser ca par gpo si ils sont sur le domaine (avant bien évidemment de bloquer le port :d)

 

À vrai dire j'y connais pas grand chose, c'est la première fois que je fais ça. Mais ça semble pas déconnant que le switch interroge l'AD sans qu'il y ait besoin de certifier la connexion


---------------
Le secteur Ouest c'est d'la balle !
n°131957
Je@nb
Modérateur
Kindly give dime
Posté le 23-06-2015 à 20:31:44  profilanswer
 

Le switch ouvre juste un canal securise entre le client et le serveur pour qu'ils sauthentifient mutuellement. Ton switch n'a aucune intelligente, il attend un ok ou ko du serveur radius suite a l'échange qu'il a eu avec le client.

n°132005
neojack
Posté le 26-06-2015 à 08:03:36  profilanswer
 

Quand j'ai fait les tests chez nous, j'avais bêtement oublié que l'authentification 802.1X n'était pas active pas défaut sur les postes clients et qu'il fallait démarrer le service ;) :whistle:

n°132009
aeon-
Il dit qu'il a plus de genoux
Posté le 26-06-2015 à 11:04:48  profilanswer
 

je l'ai activée :jap:
 
Là je test avec un 2008 R2 et un certificat. J'ai juste un problème lors de l'import du certificat. C'est pour ça que si j'arrivai à m'en passer ça serait nickel :/


---------------
Le secteur Ouest c'est d'la balle !
n°132040
Je@nb
Modérateur
Kindly give dime
Posté le 26-06-2015 à 19:28:35  profilanswer
 

Desactive la vérification par les clients du certificat meme si bon c'est pas secure et devrait jamais etre utilisé

n°132413
aeon-
Il dit qu'il a plus de genoux
Posté le 14-07-2015 à 10:55:41  profilanswer
 

:hello:
 
Je reviens vers vous car j'ai un peu avancé sur le sujet, maintenant je suis tout bonnement refusé :o
 
Server 2012, règle NPS des plus simples (Accès accordé si PC membre de tel groupe AD), config switch simple elle aussi.
 
Tout type d'authentification est autorisé des 2 côtés  
 
Résultat :
 
http://reho.st/medium/self/5a1ddfbaf5e226fb68f45ddcd83126fcbea91207.png
 
Côté client :
 
http://reho.st/self/99c0968860734bb5bb2987c476ce7f03940d6db5.png
 
Merci :jap:


---------------
Le secteur Ouest c'est d'la balle !
mood
Publicité
Posté le 14-07-2015 à 10:55:41  profilanswer
 

n°132414
Matteu
Posté le 14-07-2015 à 12:01:03  profilanswer
 

supprime les regles une a une et tu vas voir ou ca bloque.
En fonction de ca tu vas pouvoir creuser ce qui ne va pas :)


---------------
Mon Feedback---Mes ventes
n°132415
aeon-
Il dit qu'il a plus de genoux
Posté le 14-07-2015 à 12:02:43  profilanswer
 

Je vois pas ce que je pourrais supprimer à vrai dire. Qu'entends-tu par "règles" ?


---------------
Le secteur Ouest c'est d'la balle !
n°132416
Je@nb
Modérateur
Kindly give dime
Posté le 14-07-2015 à 12:25:36  profilanswer
 

fait voir ce que tu as configuré et regarde les event logs sur ton pc

n°132417
aeon-
Il dit qu'il a plus de genoux
Posté le 14-07-2015 à 14:19:06  profilanswer
 

Bon, voici la configuration client :

 

http://reho.st/preview/self/7dec9d9aacfccef263d54adff2639f0804f08e4c.png

 

http://reho.st/preview/self/a3c9166a4acbb96643293a63aa7c88e35a1afaf2.png

 

http://reho.st/preview/self/b7976d765ecb01163b55f69cf3d7d8f8e2d02fb1.png

 

J'ai regardé du côté du journal d'événements client et j'ai 2 erreurs qui sortent du lot :

 
Spoiler :

L’authentification filaire 802.1X a échoué.

 

Carte réseau: Contrôleur Broadcom NetXtreme 57xx Gigabit
 GUID d’interface : {19a86999-a89c-4651-a1d7-e233a459110a}
 Adresse d’homologue : 00E0B1D0232F
 Adresse locale : 001C2343CBD8
 ID de connexion : 0x16
 Identité : host/PCAlex.pdftest.local
 Utilisateur: -
 Domaine : -
 Raison : 0x50007
 Texte de la raison : Aucune réponse au paquet Identité de réponse EAP.
 Code d’erreur : 0x0

 

Et la suivante

 
Spoiler :

Authentification LDAP sur l’interface {19A86999-A89C-4651-A1D7-E233A459110A} (169.254.120.95) a échoué avec l’erreur 0x51

 

Je suis en train de regarder de ce côté :jap:


Message édité par aeon- le 14-07-2015 à 14:21:59

---------------
Le secteur Ouest c'est d'la balle !
n°132418
Matteu
Posté le 14-07-2015 à 14:28:37  profilanswer
 

Côté serveur nps montre les réglages aussi qu on ait une vue d ensemble
 
Concernant le second message d erreur c est une conséquence de la première je pense ... Le poste se retrouve en apipa car justement il n est pas autorisé a se connecter au réseau


---------------
Mon Feedback---Mes ventes
n°132420
aeon-
Il dit qu'il a plus de genoux
Posté le 14-07-2015 à 16:01:53  profilanswer
 

Voilà la config NPS :)
 
http://reho.st/preview/self/e946e30d99f3459683f04dbe1a29ea3fa367c173.png
 
http://reho.st/preview/self/2cd42f2c12002cb8304243e45461e984970723d9.png
 
http://reho.st/preview/self/3cdbd37f53f9032c401a38e2a9915534a0fb5e6b.png
 
http://reho.st/preview/self/6b381f2c6205d5631fa57e790150c3dbdbf2bfc2.png
 
http://reho.st/preview/self/df02035031ae04917978c32a1c746a2101a480e7.png


---------------
Le secteur Ouest c'est d'la balle !
n°132422
Je@nb
Modérateur
Kindly give dime
Posté le 15-07-2015 à 00:48:02  profilanswer
 

3eme écran cote serveur ca me parait pas bon.
Faut decocher tout, faire ajouter et ajouter eap peap en mschap v2
 
Cote serveur tu as des logs ? Au moins le fichier du nps?
Sur le switch si tu actives le tracing tu vois les paquets deap qui s'échangent ?


Message édité par Je@nb le 15-07-2015 à 00:48:36
n°132427
aeon-
Il dit qu'il a plus de genoux
Posté le 15-07-2015 à 11:06:52  profilanswer
 

Côté serveur sur une 2012 les logs NPS sont pas clairement exposés comme sur un 2008. Du coup j'arrive pas à les trouver, le seul truc que j'ai c'est le journal d'événements :/
 
Je ne sais pas s'il est possible d'avoir un tracing sur les Alcatel, mais avec un Wireshark côté serveur j'ai bien les RADIUS Request et RADIUS Reject entre serveur et switch.
 
http://reho.st/preview/self/b8e81a069b2e7e328201b0b39832ed1ead278d0e.png
Côté client j'ai juste un success EAP, donc jusqu'ici rien d'anormal je dirai.
 
http://reho.st/preview/self/91c8ab583d7c2e99027d3d8166da493c5e673919.png


Message édité par aeon- le 15-07-2015 à 11:36:45

---------------
Le secteur Ouest c'est d'la balle !
n°132515
aeon-
Il dit qu'il a plus de genoux
Posté le 18-07-2015 à 11:34:11  profilanswer
 

:bounce:


---------------
Le secteur Ouest c'est d'la balle !
n°132516
Je@nb
Modérateur
Kindly give dime
Posté le 18-07-2015 à 12:25:33  profilanswer
 

Je t'ai répondu quoi faire.
Et les lots sont là où tu les a configuré dans la console NPS :D

n°132519
aeon-
Il dit qu'il a plus de genoux
Posté le 18-07-2015 à 12:35:42  profilanswer
 

Ah autant pour moi j'avais pas vu [:ph75:2]


---------------
Le secteur Ouest c'est d'la balle !
n°132523
aeon-
Il dit qu'il a plus de genoux
Posté le 18-07-2015 à 16:20:05  profilanswer
 

Dans les logs NPS j'ai ce type d'erreur :
 

Spoiler :

Le serveur NPS a refusé l’accès à un utilisateur.
 
Contactez l’administrateur du serveur NPS pour plus d’informations.
 
Utilisateur :
 ID de sécurité :   PDFTEST\PCTest$
 Nom de compte :   host/PCTest.pdftest.local
 Domaine de compte :   PDFTEST
 Nom de compte complet : pdftest.local/Computers/PCTest
 
Ordinateur client :
 ID de sécurité :   NULL SID
 Nom de compte :   -
 Nom de compte complet : -
 Version du système d’exploitation :   -
 Identificateur de la station appelée :  -
 Identificateur de la station appelante :  001c2343cbd8
 
Serveur NAS :
 Adresse IPv4 du serveur NAS :  192.168.240.254
 Adresse IPv6 du serveur NAS :  -
 Identificateur du serveur NAS :   -
 Type de port du serveur NAS :   Ethernet
 Port du serveur NAS :   1003
 
Client RADIUS :
 Nom convivial du client :  SwitchTest
 Adresse IP du client :   192.168.240.254
 
Informations détaillées sur l’authentification :
 Nom de la stratégie de demande de connexion :  Utiliser l'authentification Windows pour tous les utilisateurs
 Nom de la stratégie réseau :  Accès 802.1X
 Fournisseur d’authentification :  Windows
 Serveur d’authentification :  Admin.pdftest.local
 Type d’authentification :  EAP
 Type EAP :   -
 Identificateur de la session du compte :  -
 Résultats de la journalisation :    Les informations de suivi ont été inscrites dans le fichier journal local.
 Code raison :   22
 Raison :    Le client n’a pas pu être authentifié car le protocole EAP (Extensible Authentication Protocol) ne peut pas être traité par le serveur.


Message édité par aeon- le 18-07-2015 à 16:20:40

---------------
Le secteur Ouest c'est d'la balle !
n°132524
Matteu
Posté le 18-07-2015 à 17:37:49  profilanswer
 

Tu lis vraiment en travers oui ....
Jeanb t as file la réponse déjà
3 eme écran config serveur tu coche que mschapv2 et tu cliques sur ajouter et tu mets la config que tu souhaites je n ai plus en tête l écran qui apparaît.
 
Dans les logs c est assez explicite quand même que le serveur n est pas capable de traiter l eap....
 
Fin sans vouloir être méchant la moindre des choses serait de lire toutes les réponses afin d appliquer les conseils sinon c est sur que c est difficile et pour toi d avancer et pour nous de savoir ce qui a été fait ou non


---------------
Mon Feedback---Mes ventes
n°132525
aeon-
Il dit qu'il a plus de genoux
Posté le 18-07-2015 à 17:48:25  profilanswer
 

Non mais il y a un cheminement dans le topic :o

 

Edit : Je croyais l'avoir précisé que j'avais fait cette modif, autant pour moi

 

Cette modification à déjà été effectuée dès que Jeanb l'à dit, malheureusement ça n'à rien résolu :jap:


Message édité par aeon- le 18-07-2015 à 17:50:47

---------------
Le secteur Ouest c'est d'la balle !
n°132527
Matteu
Posté le 18-07-2015 à 20:37:31  profilanswer
 

Poste de nouveau le 3 eme écran plus le truc que tu as configuré en plus alors stp

 

PS : Je garantis pas a 100% mais j'ai crée une vm pour faire un test et je vois avec quelque lecture sur le net en mettant en gras ton soucis sur google que le service n'est pas démaré par défaut sur 2008 je sais que tu as un 2012 mais sur ma vm aussi et il n'est pas démarré non plus je vois... Donc -> services.msc puis vérifie que Protocole EAP est bien démaré.

 

Tiens nous informé !


Message édité par Matteu le 18-07-2015 à 21:37:58

---------------
Mon Feedback---Mes ventes
n°132534
aeon-
Il dit qu'il a plus de genoux
Posté le 19-07-2015 à 10:32:22  profilanswer
 

J'ai vu aussi pour le service EAP non démarré par défaut. Du coup chez moi il est démarré.
 
Voilà la page contrainte du NPS :
 
http://reho.st/preview/self/d8960b6bedabb6888057b8647cd553d102f301e6.png
 
J'ai aussi essayé avec un certificat (sans le valider côté client) et en PEAP mais ça n'à rien donné
 
http://reho.st/preview/self/973fd7ebae2ac9186c0f32b10a8356c2b1344a88.png


---------------
Le secteur Ouest c'est d'la balle !
n°132536
Matteu
Posté le 19-07-2015 à 11:25:03  profilanswer
 

Perso je l avais fait avec un routeur wibdows et un Pc client et ça avait bien marche en mschap v2 eap avec authentification par mot de passe ou certificat

 

Par contre fait que ta config soit identique des deux côtés donc essaye en eap pour commencer déjà et paramètre côté client pour que ce soit pareil.

 

Ton message d erreur est identique ?


Message édité par Matteu le 19-07-2015 à 11:37:02

---------------
Mon Feedback---Mes ventes
n°132537
aeon-
Il dit qu'il a plus de genoux
Posté le 19-07-2015 à 11:37:19  profilanswer
 

J'ai testé les deux, EAP et PEAP, avec et sans certificat. Après, j'aurai bien aimé tester la connexion Serveur-Switch même si elle ne devrait pas poser de problème.
 
Sur Alcatel la commande est :
 
aaa test-radius-server Radius type authentication user <user> password <password>
 
Sauf que j'ai pas d'identifiants à tester :??:  
 
Et dans tous les tests, sur le Wireshark côté serveur, j'ai vraiment mes  deux trames Access-Request et Access-Reject qui apparaissent instantanément quand le client est branché. A 95% c'est un soucis d'identification. Je vais essayer en faisant ma restriction sur un utilisateur AD pour tester :jap:
 
Toujours ces mêmes trames, la même chose en faisant la contrainte sur un utilisateur :
 
http://reho.st/preview/self/311e5cc4cc028250796725929694c5938989803f.png


Message édité par aeon- le 19-07-2015 à 11:41:23

---------------
Le secteur Ouest c'est d'la balle !
n°132538
Je@nb
Modérateur
Kindly give dime
Posté le 19-07-2015 à 13:36:16  profilanswer
 

Ouais essaie de dégager ta condition par groupe.
Voilà là tu es en PEAP coté client et serveur, faudrait regarder à nouveau les logs.
 
C'est bizarre que ça marche pas, j'ai jamais eu trop de pb à déployer du 802.1x PEAP-MSCHAPv2

n°132540
aeon-
Il dit qu'il a plus de genoux
Posté le 19-07-2015 à 13:53:33  profilanswer
 

Bon, ça marche !
 
J'ai eu pour la première fois un message d'erreur dans le journal d'événements qui concernait une stratégie de demande de connexion. C'est bizarre car j'ai testé hier avec cette stratégie activée ou désactivée et ça n'avait rien fait de plus.
je l'ai réactivée et ça marche. Je vais essayer du coup de mettre en place toutes les restrictions que je voulais pour voir si ça bloque :jap:  
 
Merci à vous pour l'aide  
 
[:madame_de_galles] [:madame_de_galles:1]  
[:madame_de_galles:2] [:madame_de_galles:3]


---------------
Le secteur Ouest c'est d'la balle !
n°132542
Matteu
Posté le 19-07-2015 à 17:13:10  profilanswer
 

Bon be parfait alors parce que la avec les dernières manip j avoue que je commençais a pas comprendre pourquoi ça fonctionnait pas :)
 
Tant mieux !


---------------
Mon Feedback---Mes ventes
n°132545
aeon-
Il dit qu'il a plus de genoux
Posté le 19-07-2015 à 17:34:04  profilanswer
 

Bon par contre je dois réussir à faire marcher ça sous Mac OS :o  
C'est pas gagné


---------------
Le secteur Ouest c'est d'la balle !
n°132601
aeon-
Il dit qu'il a plus de genoux
Posté le 21-07-2015 à 11:24:20  profilanswer
 

Bon, pour les Macs c'est différent, obligé de valider le certificat côté client et d'utiliser un utilisateur et un mot de passe. Impossible d'identifier le poste. Ce qui veux dire deuxième règle NPS.


Message édité par aeon- le 21-07-2015 à 11:24:41

---------------
Le secteur Ouest c'est d'la balle !
n°135769
aeon-
Il dit qu'il a plus de genoux
Posté le 19-11-2015 à 10:17:50  profilanswer
 

:bounce:

 

Edit : J'ai pas mal avancé, j'arrive à attribuer un VLAN au téléphone. Par contre je vois mon PC en non-supplicant derrière le téléphone alors que je devrais l'avoir en supplicant pour pouvoir m'authentifier sur le RADIUS.

 

Téléphone Aastra 5370ip

 

Je bloque ici donc

 

:jap:


Message édité par aeon- le 19-11-2015 à 12:36:09

---------------
Le secteur Ouest c'est d'la balle !
mood
Publicité
Posté le   profilanswer
 


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Infrastructures serveurs

  Configuration NPS pour 802.1X filaire

 

Sujets relatifs
Configuration KMS - Windows 7 sur serveur Windows 2012R2Win2008 - problème dans la configuration DNS
HSRP configurationConfiguration double-WAN sur Sonicwall
Conseil Configuration Serveur win 2012Configuration des connexions Ethernet par Radius
Configuration client outlook poste itinerantConfiguration serveur de messagerie
cherche configuration du message d'acceuil pour hipath 3550 
Plus de sujets relatifs à : Configuration NPS pour 802.1X filaire


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR