Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
948 connectés 

  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Sécurité

  authentification 802.1x : maj du problème ^^

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

authentification 802.1x : maj du problème ^^

n°43338
Cyr1u$
plop ?!
Posté le 18-09-2008 à 15:00:00  profilanswer
 

Bonjour à tous, comme d'habitude je me tourne vers vous car je n'ai rien trouver de concret ailleurs ...  :(  
 
Alors je suis en train faire des tests sur la norme 802.1x sur un réseau filaire.
Mes postes utilisateurs sont sur XP pro (avec quelques vista qui trainent), mon switch est un HP 2650, un AD bien sûr avec les comptes utilisateurs et j'ai configuré le service IAS sur un 2K3.
Le tout en EAP-MSCHAPv2.
 
Et ... tout marche... ou presque tout.  
Petit exemple, quand je ferme la session du PC test, je configure le switch pour le 802.1x juste après, je me log avec le PC, ça fonctionne.
Mais si je redémarre complètement le PC, je n'arrive pas à m'authentifier après avoir ouvert ma session...  
 
petit exemple de mes logs:
tout d'abord dans le 1er cas : il se log grâce aux login/mdp de l'utilisateur

Citation :

L'accès a été accordé à l'utilisateur XXXXXXXXX\bdjocas.


Là ça marche...
2em cas, je redémarre le PC :

Citation :

L'accès a été refusé à l'utilisateur host/porttest.XXXXXXXXX.com.


 
Voilà, il tente de s'authentifier avec le compte du "pc" au lieu de prendre les login/mdp que je lui donne  :??:  
Je ne comprend pas vraiment pourquoi ?
 
Mon boss m'a aussi dit qu'il préfèrerait une authentification avec le pc au lieu du mot de passe, je ne trouve rien d'intéressant là dessus, ou alors j'ai pas saisi les informations.
Comment peut on mettre cela en place ?
 
A noté qu'un utilisateur hors domaine ne peut pas se logguer (normal...) il est "rejeter" par le serveur IAS, ce n'est pas le même message d'erreur.
Le compte computer porttest est dans le domaine aussi, donc même si il choisie ce mode d'authentification, pourquoi échoue t'il?...
 
 
tant de question sans réponse  :sweat:  
Je pense avoir bien décrit mon problème, si ce n'est pas le cas dites le moi.
 
Merci de votre aide.  :jap:


Message édité par Cyr1u$ le 23-09-2008 à 14:26:11
mood
Publicité
Posté le 18-09-2008 à 15:00:00  profilanswer
 

n°43354
Cyr1u$
plop ?!
Posté le 18-09-2008 à 16:20:49  profilanswer
 

petit up, j'ai trouvé une solution pour autorisé les utilisateurs à s'authentifier par le compte du PC.

n°43383
ste29
Posté le 19-09-2008 à 08:40:23  profilanswer
 

Bonjour,
 
je crois que je vais faire la même chose que toi concernant l'install d'un radius,etc....
as-tu une doc ou un tuto ?
 
merci
slts

n°43395
Cyr1u$
plop ?!
Posté le 19-09-2008 à 10:55:41  profilanswer
 

Mon problème était que l'authentification avec le compte ordinateur n'était pas autorisé, en faite c'est juste un petit truc à configurer sur l'IAS, je te passe le lien que j'ai suivi :
 
http://www.forum-microsoft.org/topic93694.html
 
C'est le 4em post (celui de Koj) que j'ai utilisé :
 

Citation :

2- Dans la stratégie d'accès distant de IAS, il faut sélectionner un groupe AD contenant des comptes d'ordinateurs et non des comptes d'utilisateurs. Pour info, le groupe "Ordinateurs du domaine" contient tous les comptes d'ordinateurs, serveur compris. Sinon creer un groupe manuellement.


 
en espérant que cela t'aide!   :hello:

n°43411
ste29
Posté le 19-09-2008 à 11:48:10  profilanswer
 

ok merci bcp
et pour l'installation du radius, tu as suivi quel doc?
juste pour comparer avec ce que j'ai pu trouver sur le net
 
merci
slts

n°43416
Cyr1u$
plop ?!
Posté le 19-09-2008 à 12:11:00  profilanswer
 

En faite j'avais déjà commencé il y a quelques mois puis le projet avait un peu était zapé... et le site sur lequel je l'avais trouvé est down depuis pas mal de temps ... dommage elle était super clair...
 
Du coup le service IAS était déjà configurer presque comme il faut, mais c'était pas bien compliqué dans mes souvenir !
 
si tu as d'autres questions sur les configurations, n'hésite pas.


Message édité par Cyr1u$ le 19-09-2008 à 12:11:15
n°43604
Cyr1u$
plop ?!
Posté le 23-09-2008 à 10:23:24  profilanswer
 

UP
j'ai un nouveau petit problème, je ne sais pas trop d'où ça vient...   :??:  
 
voilà le topo :
J'ai 2 comptes users de test (configurés sur l'AD de la même façon).
Ces 2 comptes sont liés à 2 pc portables (les comptes des pc portables sont bien configurés dans le groupe computer de l'AD qui permet d'authentifier les pc dès qu'ils démarrent). Bref tout est identiques !!
 
Le problème est que quand je me connecte au switch avec le 1er, tout fonctionne parfaitement bien  :love:  
mais lorsque je branche le 2ème ...  :fou:  
Les logs IAS me disent que l'accès est refusé pour le second pc (pour le compte computer et aussi utilisateur)
 

Citation :

aaa authentication port-access eap-radius
radius-server host 172.20.Y.X key maclé
aaa port-access authenticator 24
aaa port-access authenticator 24 reauth-period 60
aaa port-access authenticator 24 client-limit 8
aaa port-access authenticator active
aaa port-access mac-based 24 addr-limit 8
aaa port-access 24


 
de plus, je n'utilisais pas avant la commande en rouge, j'ai vu qu'elle était utilisé dans plusieurs configuration de switch sur le net...
Mais est ce qu'il y a une différence avec le "client-limit 8" ?? car d'après la doc, c'est à la même chose.
J'oubliais de préciser que mes clients windows sont configurés de la même façon.  
 
voilà toute idée est la bienvenue, même si vous me dites que je suis un gros nul  :lol:
 
edit : bon je viens de voir que le "port-access mac-based" c'était pas ce que je voulais faire... mais impossible d'enlever la commande en mettant un "no" devant ...
quand  je tape : "no aaa port-access mac-based 24" ca m'enlève pas la ligne en rouge, et si je tente de compléter la ligne par "addr-limit" "il me renvoi une erreur disant qu'il ne connait pas cette commande ...
 
que faire ?


Message édité par Cyr1u$ le 23-09-2008 à 14:25:35

Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Sécurité

  authentification 802.1x : maj du problème ^^

 

Sujets relatifs
Problème démarrage Windows Server 2003Problème de macro complémentaire, déploiement du SP3 Office 2003
Probleme réseauPerformance agrégat fibres optiques 10Gbits 802.3ad sous GNU/Linux
Probleme d'acces distant sur un 2003 sbsProbleme alimentation serveur Dell 2600
[¨Probleme CISCO] DNS error[Probleme CISCO] VPN & MTU
Problème Jdev 1013 affichage fichiers XML dans l'arborescenceProblème connexion vpn
Plus de sujets relatifs à : authentification 802.1x : maj du problème ^^


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR