steffen1964 10 Geschrieben 15. Juli 2004 Melden Teilen Geschrieben 15. Juli 2004 Hallo liebe User , ich habe ein Problem mit IAS / EAP-MD5. Mein Testumgebung sieht so aus: WIN 2003 mit AD, RAS und IAS sind konfiguriert , eine 6H302-48 als Client und als Supplicant ein Notebook mit WIN 2000 SP4. Will ich mich über Konsole am Switch anmelelden funktionert alles wunderbar, das Passwort wird auf dem IAS abgefragt und die in der RAS Richtlinie angegebene Filter ID wird mitgegeben und am Ende kommt mein Access Accept . Bis hierher ist ja noch alles im Klartext. ( PAP ) So weit so gut . Mache ich das selbe Szenario an einem Switchport wo ich mich mit 802.1X Authentifizieren muß bekomme ich ein Access Reject. Offensichtlich stimmen die MD5 Hashwerte nicht überein.Beides mal wird dazu die selbe RAS Richtline und User Account verwendet. In der RAS Richtline habe ich PAP , CHAP und EAP - MD5 zur Authentifizierung angegeben , ebenso am RAS Server.Meiner Meinung nach sollte das so ok sein ? Es ändert sich eigentlich nur die Form der Authentifizierung/Verschlüsselung Irgendjemand eine Idee was da falsch sein könnte ? Alternativ suche ich eine Anleitung wie man das ganze mit Zertifikaten realisieren kann. Vielen Dank Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 15. Juli 2004 Melden Teilen Geschrieben 15. Juli 2004 Hallo und willkommen im Board :) EAP und Windows 2000 mit IAS sind nicht unbedingt Freunde: http://support.microsoft.com/default.aspx?scid=kb;en-us;303362 Allerdings kam etwas später auch ein Patch raus, vielleicht mal installieren: http://support.microsoft.com/default.aspx?scid=kb;en-us;313664 Besser noch: XP als Client verwenden, weil native 802.1x-Support grizzly999 Zitieren Link zu diesem Kommentar
steffen1964 10 Geschrieben 15. Juli 2004 Autor Melden Teilen Geschrieben 15. Juli 2004 Hallo grizzly999 , habe das jetzt mal mit XP und SP1 versucht und muß feststellen das der 802.1X Client jegliche zusammenarbeit ablehnt. Egal ob EAP-MD5 , PEAP oder Smartcard. Kein Login Fenster.Nix. Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 15. Juli 2004 Melden Teilen Geschrieben 15. Juli 2004 802.1x mit EAP oder PEAP,in allen Variationen, und dann auch noch Ethernet und nicht WLAN, ist tricky und überhaupt nicht einfach (BTW: Selber noch unbeschlagen damit :rolleyes: ) . Hast du das hier gemacht: Requires a reversibly encrypted password to be stored in the account database (local Security Accounts Manager (SAM) or domain). Aus: http://www.microsoft.com/resources/documentation/WindowsServ/2003/all/deployguide/en-us/Default.asp?url=/resources/documentation/windowsserv/2003/all/deployguide/en-us/dnsbk_ias_wamt.asp Hier gibt's auch noch Lesestoff: http://www.microsoft.com/technet/itsolutions/network/security/radiusec.mspx Ich habe die Befürchtung, hier endet meine Hilfestellung, einfach mal durch die MS-Papers wühlen. Good Luck ;) grizzly999 Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 15. Juli 2004 Melden Teilen Geschrieben 15. Juli 2004 Ach ja, fast vergessen: Wenn für einen Benutzer der Haken, Kennwort mit reversibler Verschlüsselung speichern gesetzt wird (bedeutet auch gleichzeitig eine Verringerung der Sicherheit!), muss der Benutzer sein Kennwort ändern, damit es auch mit diesem Modus gespeichert wird ;) grizzly999 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.