iT邦幫忙

0

WIN2003 架設IAS問題

各位大哥好,
小弟近來架設2003內的IAS,想使用802.1X的驗證,參考了下面的網頁設定後使用MD5驗證,帳號密碼卻一直不通過,不知道還缺少了什麼設定??(註:是有線認證,不是無線)
http://www.ublink.org/index.php/component/content/article/7-vigor/165-windows-2003-server-iasradius-server.html
不知道是不是路由及遠端存取要設定??假如要設定的話該怎麼設??
以下是IAS LOG FILES的片段
192.168.1.216,ABCLOCAL\XXX,12/17/2010,10:49:44,IAS,WIN2003,4,192.168.1.216,5,2,32,2024enas,6,2,30,00-05-6e-00-6d-eb,31,00-1f-d0-a0-5c-2c,12,1500,61,15,77,CONNECT Ethernet 802.3,4108,192.168.16.216,4116,0,4128,2024,4155,1,4154,使用 Windows 驗證,25,311 1 192.168.1.5 12/17/2010 02:49:21 1,4129,ABCLOCAL\XXX,4127,5,4149,連線到其他存取伺服器,4130,abclocal.com/Users/(XXX),4136,1,4142,0
192.168.1.216,ABCLOCAL\XXX,12/17/2010,10:49:44,IAS,WIN2003,25,311 1 192.168.1.5 12/17/2010 02:49:21 1,4130,abclocal.com/Users/(XXX),4149,連線到其他存取伺服器,4127,5,4129,ABCLOCAL\XXX,4154,使用 Windows 驗證,4155,1,4128,2024,4116,0,4108,192.168.16.216,4136,3,4142,66

8
門神JanusLin
iT邦超人 1 級 ‧ 2011-03-07 18:29:45
最佳解答

這麼巧
看到我寫的文章
http://www.ublink.org/index.php/component/content/article/7-vigor/165-windows-2003-server-iasradius-server.html

你的有線是那一種有線
Radius Server的控制權是在Server端不是Client
會因為Radius Server要求幾把Key決定
所以Radius Server也只需要要求Account and Password就就可以過了
但是也有其他Radius Server會再要求其他資料
比如是NAS Type
IPv4或IPv6
.....

可以參考這一篇Switch透過Radius Server驗證的方式
UBS-5008透過Radius做802.1x的驗證(Windows XP Radius server IEEE 802.1x)
http://www.ublink.org/index.php/component/content/article/10-ubs-switch/169-ubs-5008radius8021xwindows-xp-radius-server-ieee-8021x.html

看更多先前的回應...收起先前的回應...
蟹老闆 iT邦大師 1 級 ‧ 2011-03-08 02:10:32 檢舉

radius可不可以設定連內部網路時不需認證即可連線,當連到外部時驗證使用者身份嗎?
疑惑

蟹老闆 iT邦大師 1 級 ‧ 2011-03-08 02:14:14 檢舉

應該這麼問,可不可以使用登入的是哪一個user來驗該user是否有連外部的權力?
有什麼設備或方案可以這麼做?

一般Switch port都是控制開跟關
要做User的上網驗證
在Switch端我們也有這種功能的
在Gateway端我們也有這樣的設備可以做

fantsyss iT邦新手 2 級 ‧ 2011-03-08 09:53:08 檢舉

感謝您的另一篇文章,不過我們家那台Switch,WinRadius好像對他沒輒,無論怎麼設定都吐不出東西來。
順帶一提:Switch的晶片是VIA的。

蟹老闆 iT邦大師 1 級 ‧ 2011-03-08 15:55:30 檢舉

januslin提到:
一般Switch port都是控制開跟關
要做User的上網驗證
在Switch端我們也有這種功能的
在Gateway端我們也有這樣的設備可以做

DrayTek Vigor 2920可以嗎?可以跟ad整合嗎?或是有建議的型號?

Dear dream
整合AD靠Radius或是LDAP都OK,Vigor 2920以上以User Profile都就可以了

Dear fantsyss
會希望您用WinRadius是透過他看見他到底丟幾把Key出來

不然還是你會用Wireshark
sniffer過來吧

fantsyss iT邦新手 2 級 ‧ 2011-03-09 10:39:07 檢舉

當初用Winradius設定後輸入帳密卻沒吐出半個字,請看圖片,至於wireshark我沒用過耶。

在安裝Winradius那邊的電腦
關一下Windows Firewall和防毒吧 !!
搞不好被他們擋了 ^^

建議在WinRadius那邊還是裝一下Wireshark
封包丟給我們看看
看有沒有EAP的Packet

剛詳細看了一下,你好像驗證的電腦跟WinRadius是在同一台嗎 XD

fantsyss iT邦新手 2 級 ‧ 2011-03-17 11:49:52 檢舉

對的,我的驗證電腦跟Winradius是在同一台,這樣有問題嗎??我之前也是這樣試的不過有認證成功的訊息出來(不同機型的Switch)。請看認證成功的圖

我不會用Wireshark抓封包耶(太笨了><)。
至於防毒跟防火牆我都有先關掉哩。

有看到你的圖
有成功就好了

既然知道Switch沒丟出EAP的包
為何不Update Firmware

fantsyss iT邦新手 2 級 ‧ 2011-03-21 09:02:42 檢舉

最後知道是Switch的問題哩,感謝大大的解答^^
沒有Update是因為那是最新版的了= ="

4
花輪
iT邦大師 1 級 ‧ 2011-03-07 20:27:03

看了一下內容,好像都沒提到 SWITCH 那邊的設定!
版大的 SWITCH PORT 的 802.1X 認證有 ENABLE 嗎?

fantsyss iT邦新手 2 級 ‧ 2011-03-08 09:50:04 檢舉

我用的client端是XP,三方的設定應該都是一樣的,不然LOG會吐不出字出來(設定有補充在上面了)
說明一下詳細的情況:

  1. XP用戶端已經有在網域內且已登入2003
  2. 使用MD5驗證輸入帳密後會出現帳密不通過,或者是驗證很久後停住
  3. 驗證後網路都不會通。(因為都沒通過)
  4. IAS伺服器內的在AD登入伺服器有執行
  5. AD裡面要登入的該角色遠端存取使用權限有打開(允許存取)
2
oowo
iT邦高手 1 級 ‧ 2011-03-08 17:12:38

是不是在遠端存取原則精靈的部分設錯?
有些東西得去看M$的文件。
因為是上2008的東西,有些東西跟2003不太一樣…
正常是路由及遠端這個部分要增設
還有各機的防火牆也要檢查…

看更多先前的回應...收起先前的回應...
fantsyss iT邦新手 2 級 ‧ 2011-03-09 10:20:24 檢舉

設定的圖片有點多,請慢慢看。我的PC接在switch的port2

fantsyss iT邦新手 2 級 ‧ 2011-03-09 10:23:56 檢舉





fantsyss iT邦新手 2 級 ‧ 2011-03-09 10:24:52 檢舉





fantsyss iT邦新手 2 級 ‧ 2011-03-10 13:49:15 檢舉

參考大大連結的網站,才發覺我硬碟裡也存有一樣的文章,該篇文章MD5並沒有提到憑證,其他的驗證才需要憑證,另外該篇MD5設定篇最後的密碼可逆及密碼重設我也有試過了一樣不行。

網路未設定802.1X驗證前是通的,輸入帳密時的錯誤就是一下子就出現驗證不通過或者是等很久都沒回應。當然之後網路就不通哩。

fantsyss iT邦新手 2 級 ‧ 2011-03-10 14:04:05 檢舉

剛看了另一篇網站的文章提到MD5是不需要憑證的。所以我應該不用設定CA伺服器吧@@"
http://ops9.blogspot.com/2007\_10\_01\_archive.html

至於2003到底要不要加設路由及遠端存取,我本來有試著設定過可是造成整個網路不通,後來就不是很敢試了。

MD5確定是不需要CA Server的

花輪 iT邦大師 1 級 ‧ 2011-03-21 11:56:09 檢舉

januslin提到:
MD5確定是不需要CA Server的

YES~ MD5 只是一種 HASH(雜湊) 演算法,跟 CA 沒什麼關係..

總裁 iT邦好手 1 級 ‧ 2011-03-21 15:04:16 檢舉

MD5本身只有這樣而已, 其他都是它的應用.

我要發表回答

立即登入回答