Forums Últimos mensajes - Powered by IBM
 
Tags Palabras claves

RADIUS SOBRE WINDOWS 2003

19/01/2006 - 10:24 por Jorge del Fresno | Informe spam
Ayuda Hacer una pregunta
Hola a todos:

Me gustaria crear un servidor de seguridad basado en radius con PEAP-MS-CHAP
v2 en un windows 2003 Standard. Mi servidor es servidor de DHCP, controlador
de dominio y DNS.
Lo primero que hice fue elevar el nivel de funcionalidad a windows server
2003. Posteriormente instale el "cercificate services". Una vez instalado
cree los usuarios y un grupo para contener a todos ellos.Después instale en
el servidor IAS y cree un certificado en el 2003 basado en equipo ( computer
account). Después lo que hice fue solicitar un certificado al servidor de
certificados y agregue mi wireless AP como cliente del radius, introduciendo
la palabra secreta, etc. Lo siguiente que hice fue crear una política para
la autenficicacion de los usuarios por medio de PEAP y por si acaso también
instale el IIS.
Una vez creado todo esto en el servidor, realice en el AP una red con
encriptación EAP, introduciéndole como IP del servidor radius la ip del 2003
server.
En el equipo wireless (XP prof), he configurado la red wifi para adaptarlo a
estas condiciones y me pide el nombre de usuario y contraseña, que imagino
que será el usuario creado en la instalación del radius en el 2003 pero no
me hace la validación.
He mirado el visor de sucesos del 2003 y me dice lo siguiente:

Se denegó el acceso al usuario DOMINIO\alfredo.
Nombre-usuario-totalmente-calificado = dominio.local/DOMINIO/Alfredo
Dirección-Ip-NAS = 192.168.217.6
Identificador-NAS = cisco1231g
Identificador-estación-llamada = xxxx.xxxx.xxxx
Indentificador-estación-llama = xxxx.xxxx.xxxx
Nombre-descriptivo-cliente = APCISCO
Dirección-IP-cliente = 192.168.217.6
Tipo-puerto-NAS = Wireless - IEEE 802.11
Puerto-NAS = 170
Nobre-directiva-proxy = Usar autenticación de Windows para todos los
usuarios
Proveedor-autenticación = Windows
Servidor-autenticación = <sin determinar>
Nombre-directiva = Acceso Wireless
Tipo-autenticación = PEAP
Tipo-EAP = <sin determinar>
Código-razón = 262
Razón = El mensaje proporcionado es incompleto. No se comprobó la firma.
email Siga el debateRespuesta 1 respuestaRespuesta Tengo una respuesta
DRAGON AGE™: INQUISITION – Matadragones
 

Leer las respuestas

#1 Ivan [MS MVP]
19/01/2006 - 21:03 | Informe spam
"Jorge del Fresno" escribió en el mensaje
news:
Hola a todos:

Me gustaria crear un servidor de seguridad basado en radius con
PEAP-MS-CHAP v2 en un windows 2003 Standard. Mi servidor es servidor de
DHCP, controlador de dominio y DNS.
Lo primero que hice fue elevar el nivel de funcionalidad a windows server
2003. Posteriormente instale el "cercificate services". Una vez instalado
cree los usuarios y un grupo para contener a todos ellos.Después instale
en el servidor IAS y cree un certificado en el 2003 basado en equipo (
computer account). Después lo que hice fue solicitar un certificado al
servidor de certificados y agregue mi wireless AP como cliente del radius,
introduciendo la palabra secreta, etc. Lo siguiente que hice fue crear una
política para la autenficicacion de los usuarios por medio de PEAP y por
si acaso también instale el IIS.



Resumiendo: estas utilizando autentificacion 802.1x con PEAP-MSCHAP v2. En
el servidor RADIUS has instalado un certificado y en los clientes has
instalado el certificado raiz de tu entidad emisora.
Has creado un grupo en el dominio que contiene los usuarios autorizados a
usar la conexion WiFi. En el servidor RADIUS has configurado un directiva de
acceso, algo como esto:
Condiciones:
Windows Groups matches: El grupo para WiFi que has creado.
NAS Port Type: Wireless -IEEE 802.11 OR Wirelesss
Profile:
Authentication: Protected EAP, donde especificas el certificado.
Encription: Strongest

Una vez creado todo esto en el servidor, realice en el AP una red con
encriptación EAP, introduciéndole como IP del servidor radius la ip del
2003 server.
En el equipo wireless (XP prof), he configurado la red wifi para adaptarlo
a estas condiciones y me pide el nombre de usuario y contraseña, que
imagino que será el usuario creado en la instalación del radius en el 2003
pero no me hace la validación.



Si te he soltado el rollo enterior ;-) es para que veas que necesitas crear
un grupo de usuarios, dentro de ese grupo agregar los usuarios autorizados a
usar el WiFi y en AD asegurarte que controlas el Acceso Remoto mediante una
directiva de grupo.
Una vez realizado esto, si los equipos estan integrados en el dominio y
dentro de las propiedades de la conexion WiFi del cliente, pestaña
Authentication, click sobre el boton propiedades, en al parte inferior click
sobre el boton configurar, esta marcada la opcion "Usar automaticamente el
nombre de inicio" no debe pedirte contraseña. Si por el contrario el
quipo esta en un grupo de rtabajo, debes desmarcar esa opcion y cuanod te
pida autentificacion especificar las credenciales del usaurios del dominio
autorizado a usar WiFi.


He mirado el visor de sucesos del 2003 y me dice lo siguiente:

Se denegó el acceso al usuario DOMINIO\alfredo.
Nombre-usuario-totalmente-calificado = dominio.local/DOMINIO/Alfredo
Dirección-Ip-NAS = 192.168.217.6
Identificador-NAS = cisco1231g
Identificador-estación-llamada = xxxx.xxxx.xxxx
Indentificador-estación-llama = xxxx.xxxx.xxxx
Nombre-descriptivo-cliente = APCISCO
Dirección-IP-cliente = 192.168.217.6
Tipo-puerto-NAS = Wireless - IEEE 802.11
Puerto-NAS = 170
Nobre-directiva-proxy = Usar autenticación de Windows para todos los
usuarios
Proveedor-autenticación = Windows
Servidor-autenticación = <sin determinar>
Nombre-directiva = Acceso Wireless
Tipo-autenticación = PEAP
Tipo-EAP = <sin determinar>
Código-razón = 262
Razón = El mensaje proporcionado es incompleto. No se comprobó la firma.



En la configuracion del cliente RADIUS debes desmarcar la opcion "Client
must always send the signature attribute in the request". Esta opcion solo
hay que habilitarla si se utiliza EAP-TLS.

Si me permites un consejo, mirate estos enlaces, seguro que te quedara mas
claro que mi explicacion
http://www.microsoft.com/downloads/...laylang=en
http://www.microsoft.com/downloads/...x?familyid`c5d0a1-9820-480e-aa38-63485eca8b9b&displaylang=en
http://www.microsoft.com/downloads/...layLang=en

Un saludo.
Ivan
MS MVP ISA Server

Preguntas similares

 

Busqueda sugerida :