Kintera 10 Geschrieben 25. Juni 2008 Melden Teilen Geschrieben 25. Juni 2008 Hallo zusammen, irgendwie stecke ich fest und komme nicht weiter. Vielleicht könnt Ihr mir ja helfen... Ich habe hier einen Windows 2003 Server mit einem IAS als RADIUS-Server am laufen. Nutzer gehen über WLAN mit 802.1x (PEAP + MS-CHAPv2) ins Netz. Dazu geben sie ihren Benutzernamen und Kennwort ein. Funktioniert alles soweit wunderbar. Nun sollen sich aber auch Nutzer ins WLAN einklinken können, die keinen lokalen Benutzernamen haben. Die Nutzerdaten sind auf einen externen Server, der auch über RADIUS erreichbar ist. Alles kein Problem. Der IAS unterstützt ja das weiterleiten von Benutzernamen an andere RADIUS-Server. Also ein paar Regeln geschrieben die Benutzernamenen ala nutzername@nichtmeinedomäne.de an diesen weitergeleitet werden. Das ganze funktioniert aber nicht, wenn beim Klient MS-CHAPv2 eingestellt ist. Der IAS meckert dann folgendes: "Benutzer "USER@EXTERNAL.de" wurde Zugriff verweigert. Vollqualifizierter Benutzername = <unbestimmt> NAS-IP-Adresse = LOCALIP NAS-Kennung = <nicht vorhanden> Kennung der Anrufstation = 000B8651E9D0 Kennung der Empfängerstation = 000000000000 Clientanzeigename = CLIENTNAME Client-IP-Adresse = LOCALIP NAS-Porttyp = Wireless - IEEE 802.11 NAS-Port = 0 Proxyrichtlinienname = NAME Authentifizierungsanbieter = RADIUS-Proxy Authentifizierungsserver = REMOTERADIUS-IP Richtlinien-Name = <unbestimmt> Authentifizierungstyp = <unbestimmt> EAP-Typ = <unbestimmt> Code = 112 Ursache = Der Remote-RADIUS-Server hat die Authentifizierungsanforderung nicht verarbeitet." Zum Glück beherscht mein WLAN Access Point eine Testmöglichkeit für Radius-Server. Zwei Auswahlmöglichkeiten. Benutzerdaten werden per MS-CHAPv2 übertragen oder PAP. Und siehe da, wenn ich PAP anklicke und dann die Benutzerdaten eingebe, funktioniert es plötzlich: Der IAS meldet dann: "Benutzer "USER@EXTERNAL.de" wurde Zugriff gewährt. Vollqualifizierter Benutzername = <unbestimmt> NAS-IP-Adresse = LOCALIP NAS-Kennung = <nicht vorhanden> Clientanzeigename = CLIENTNAME Client-IP-Adresse = LOCALIP Kennung der Anruferstation = 0.0.0.0 NAS-Porttyp = Wireless - IEEE 802.11 NAS-Port = 0 Proxyrichtlinienname = NAME Authentifizierungsanbieter = RADIUS-Proxy Authentifizierungsserver = REMOTERADIUS-IP Richtlinienname = <unbestimmt> Authentifizierungstyp = <unbestimmt> EAP-Typ = <unbestimmt>" Was gibt es hierfür für Gründe? (Theorie: ) - Bei PAP werden die Benutzerdaten im Klartext übertragen. Diese gehen also zunächst an meinen lokalen RADIUS-Server und dieser leitet diese dann an den externen RADIUS weiter. - Bei MS-CHAPv2 werden die Benutzerdaten verschlüsselt an den lokalen RADIUS-Server übertragen. (Dies stellt dann für lokale Benutzerdaten kein Problem dar, da der lokale RADIUS-Server diese entschlüsselt). Offenbar/Vielleicht/Oder wie auch immer nimmt dann wohl der RADIUS-Server (im Falle von externen Benutzerdaten) diese verschlüsselte Zeichenkette und gibt diese so an den externen RADIUS-Server weiter, der dann damit nichts anfangen kann. Natürlich will ich dass das ganze mittels MS-CHAPv2 funktioniert. Nur wie bringe ich meinem lokalen RADIUS-Server bei dass er das Passwort zunächst entschlüsselt, bevor er es an den externen RADIUS-Server weitergibt? Kennt sich vielleicht jemand bei Euch damit aus? Grüße, Kin Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.