各位大哥好,
小弟近來架設2003內的IAS,想使用802.1X的驗證,參考了下面的網頁設定後使用MD5驗證,帳號密碼卻一直不通過,不知道還缺少了什麼設定??(註:是有線認證,不是無線)
http://www.ublink.org/index.php/component/content/article/7-vigor/165-windows-2003-server-iasradius-server.html
不知道是不是路由及遠端存取要設定??假如要設定的話該怎麼設??
以下是IAS LOG FILES的片段
192.168.1.216,ABCLOCAL\XXX,12/17/2010,10:49:44,IAS,WIN2003,4,192.168.1.216,5,2,32,2024enas,6,2,30,00-05-6e-00-6d-eb,31,00-1f-d0-a0-5c-2c,12,1500,61,15,77,CONNECT Ethernet 802.3,4108,192.168.16.216,4116,0,4128,2024,4155,1,4154,使用 Windows 驗證,25,311 1 192.168.1.5 12/17/2010 02:49:21 1,4129,ABCLOCAL\XXX,4127,5,4149,連線到其他存取伺服器,4130,abclocal.com/Users/(XXX),4136,1,4142,0
192.168.1.216,ABCLOCAL\XXX,12/17/2010,10:49:44,IAS,WIN2003,25,311 1 192.168.1.5 12/17/2010 02:49:21 1,4130,abclocal.com/Users/(XXX),4149,連線到其他存取伺服器,4127,5,4129,ABCLOCAL\XXX,4154,使用 Windows 驗證,4155,1,4128,2024,4116,0,4108,192.168.16.216,4136,3,4142,66
已邀請的邦友 {{ invite_list.length }}/5
你的有線是那一種有線
Radius Server的控制權是在Server端不是Client
會因為Radius Server要求幾把Key決定
所以Radius Server也只需要要求Account and Password就就可以過了
但是也有其他Radius Server會再要求其他資料
比如是NAS Type
IPv4或IPv6
.....
可以參考這一篇Switch透過Radius Server驗證的方式
UBS-5008透過Radius做802.1x的驗證(Windows XP Radius server IEEE 802.1x)
http://www.ublink.org/index.php/component/content/article/10-ubs-switch/169-ubs-5008radius8021xwindows-xp-radius-server-ieee-8021x.html
radius可不可以設定連內部網路時不需認證即可連線,當連到外部時驗證使用者身份嗎?
應該這麼問,可不可以使用登入的是哪一個user來驗該user是否有連外部的權力?
有什麼設備或方案可以這麼做?
一般Switch port都是控制開跟關
要做User的上網驗證
在Switch端我們也有這種功能的
在Gateway端我們也有這樣的設備可以做
感謝您的另一篇文章,不過我們家那台Switch,WinRadius好像對他沒輒,無論怎麼設定都吐不出東西來。
順帶一提:Switch的晶片是VIA的。
januslin提到:
一般Switch port都是控制開跟關
要做User的上網驗證
在Switch端我們也有這種功能的
在Gateway端我們也有這樣的設備可以做
DrayTek Vigor 2920可以嗎?可以跟ad整合嗎?或是有建議的型號?
Dear dream
整合AD靠Radius或是LDAP都OK,Vigor 2920以上以User Profile都就可以了
Dear fantsyss
會希望您用WinRadius是透過他看見他到底丟幾把Key出來
不然還是你會用Wireshark
sniffer過來吧
當初用Winradius設定後輸入帳密卻沒吐出半個字,請看圖片,至於wireshark我沒用過耶。
在安裝Winradius那邊的電腦
關一下Windows Firewall和防毒吧 !!
搞不好被他們擋了 ^^
建議在WinRadius那邊還是裝一下Wireshark
封包丟給我們看看
看有沒有EAP的Packet
剛詳細看了一下,你好像驗證的電腦跟WinRadius是在同一台嗎 XD
對的,我的驗證電腦跟Winradius是在同一台,這樣有問題嗎??我之前也是這樣試的不過有認證成功的訊息出來(不同機型的Switch)。請看認證成功的圖
我不會用Wireshark抓封包耶(太笨了><)。
至於防毒跟防火牆我都有先關掉哩。
看了一下內容,好像都沒提到 SWITCH 那邊的設定!
版大的 SWITCH PORT 的 802.1X 認證有 ENABLE 嗎?
是不是在遠端存取原則精靈的部分設錯?
有些東西得去看M$的文件。
因為是上2008的東西,有些東西跟2003不太一樣…
正常是路由及遠端這個部分要增設
還有各機的防火牆也要檢查…
設定的圖片有點多,請慢慢看。我的PC接在switch的port2
參考大大連結的網站,才發覺我硬碟裡也存有一樣的文章,該篇文章MD5並沒有提到憑證,其他的驗證才需要憑證,另外該篇MD5設定篇最後的密碼可逆及密碼重設我也有試過了一樣不行。
網路未設定802.1X驗證前是通的,輸入帳密時的錯誤就是一下子就出現驗證不通過或者是等很久都沒回應。當然之後網路就不通哩。
剛看了另一篇網站的文章提到MD5是不需要憑證的。所以我應該不用設定CA伺服器吧@@"
http://ops9.blogspot.com/2007_10_01_archive.html
至於2003到底要不要加設路由及遠端存取,我本來有試著設定過可是造成整個網路不通,後來就不是很敢試了。
MD5確定是不需要CA Server的
januslin提到:
MD5確定是不需要CA Server的
YES~ MD5 只是一種 HASH(雜湊) 演算法,跟 CA 沒什麼關係..
MD5本身只有這樣而已, 其他都是它的應用.
iThome鐵人賽
看影片追技術