problème authentification radius

problème authentification radius - Sécurité - Systèmes & Réseaux Pro

Marsh Posté le 27-03-2012 à 12:15:18    

Bonjour,
 
J'ai configuré un serveur radius sous windows Server 2008, et j'aimerai que un client sans fil se connecte à ma borne cisco ap1130ag grâce à son identifiant et mot de passe. Après multiple tentative, le serveur NPS autorise l'accès à l'utilisateur mais ma borne Wifi le refuse. En effet, le serveur radius envoi un access-accept à ma borne wifi, mais lorsque je regarde les logs de ma borne wifi celle-i la refuse et me donne la réponse suivante :
 
*Mar  1 01:42:01.578: RADIUS:  NAS-IP-Address      [4]   6   192.168.100.2
 
*Mar  1 01:42:01.578: RADIUS:  Nas-Identifier      [32]  4   "ap"
*Mar  1 01:42:03.396: RADIUS: Received from id 1645/106 192.168.100.1:1812, Acce
ss-Accept, len 341
*Mar  1 01:42:03.396: RADIUS:  authenticator EF 73 7E C9 21 26 62 52 - 97 3E 51
EE CB 57 65 C5
*Mar  1 01:42:03.396: RADIUS:  Framed-MTU          [12]  6   1342
 
*Mar  1 01:42:03.396: RADIUS:  Idle-Timeout        [28]  6   900
 
*Mar  1 01:42:03.396: RADIUS:  EAP-Message         [79]  6
*Mar  1 01:42:03.396: RADIUS:   03 0A 00 04
 [????]
*Mar  1 01:42:03.396: RADIUS:  Class               [25]  46
*Mar  1 01:42:03.397: RADIUS:   36 43 04 1F 00 00 01 37 00 01 17 00 00 00 00 00
 [6C?????7????????]
 
Et je n'ai rien de plus, sauf que la connexion a échoué.
 
Je suis vraiment bloqué , merci d'avance pour vos réponses

Reply

Marsh Posté le 27-03-2012 à 12:15:18   

Reply

Marsh Posté le 27-03-2012 à 19:19:33    

il attend peut-être un attribut en plus comme le n° de vlan;  
est-ce que la doc de l'ap cisco te donne la liste des attributs à renvoyer ?

Reply

Marsh Posté le 28-03-2012 à 11:55:16    

je n'ai pas mis en place de vlan pour l'instant,  
 
J'ai un nouveau message maintenant:
 
Mar 28 11:52:15.096: RADIUS:  NAS-Port-Type       [61]  6   802.11 wireless
      [19]
Mar 28 11:52:15.096: RADIUS:  NAS-Port            [5]   6   288
 
Mar 28 11:52:15.096: RADIUS:  NAS-Port-Id         [87]  5   "288"
Mar 28 11:52:15.096: RADIUS:  State               [24]  38
Mar 28 11:52:15.096: RADIUS:   0D 8B 02 81 00 00 01 37 00 01 17 00 00 00 00 00
[???????7????????]
Mar 28 11:52:15.096: RADIUS:   00 00 00 00 00 00 00 00 00 00 00 01 00 00 00 04
[????????????????]
Mar 28 11:52:15.097: RADIUS:   7B 06 DC CE
[{???]
Mar 28 11:52:15.097: RADIUS:  NAS-IP-Address      [4]   6   192.168.100.2
 
Mar 28 11:52:15.097: RADIUS:  Nas-Identifier      [32]  4   "ap"
Mar 28 11:52:15.109: RADIUS/DECODE: EAP-Message fragments, 4, total 4 bytes
Mar 28 11:52:15.109: RADIUS/DECODE: parse VSA parts error
Mar 28 11:52:15.109: RADIUS/DECODE: convert VSA string; FAIL
Mar 28 11:52:15.110: RADIUS/DECODE: cisco VSA type 1; FAIL
Mar 28 11:52:15.110: RADIUS/DECODE: VSA; FAIL
Mar 28 11:52:15.110: RADIUS/DECODE: decoder; FAIL
Mar 28 11:52:15.110: RADIUS/DECODE: attribute Vendor-Specific; FAIL
Mar 28 11:52:15.110: RADIUS/DECODE: parse response op decode; FAIL
Mar 28 11:52:15.110: RADIUS/DECODE: Case error(no response/ bad packet/ op decod
e);parse response; FAIL
Mar 28 11:52:15.111: %DOT11-7-AUTH_FAILED: Station d0df.9ad3.c0ef Authentication
 failed

Reply

Marsh Posté le 28-03-2012 à 15:01:08    

J'ai réussi à aller un peu plus loin dans la démarche mais j'ai des nouveaux messages d'erreur :
 
Mar 28 14:56:41.140: RADIUS:   0D 93 02 89 00 00 01 37 00 01 17 00 00 00 00 00
[???????7????????]
Mar 28 14:56:41.140: RADIUS:   00 00 00 00 00 00 00 00 00 00 00 01 00 00 00 04
[????????????????]
Mar 28 14:56:41.140: RADIUS:   7B 06 DC D6
[{???]
Mar 28 14:56:41.141: RADIUS:  NAS-IP-Address      [4]   6   192.168.100.2
 
Mar 28 14:56:41.141: RADIUS:  Nas-Identifier      [32]  4   "ap"
Mar 28 14:56:45.998: RADIUS: no sg in radius-timers: ctx 0xF8E06C sg 0x0000
Mar 28 14:56:45.998: RADIUS: Retransmit to (192.168.100.1:1812,1813) for id 1645
/51
Mar 28 14:56:50.478: RADIUS: no sg in radius-timers: ctx 0xF8E06C sg 0x0000
Mar 28 14:56:50.478: RADIUS: Retransmit to (192.168.100.1:1812,1813) for id 1645
/51
Mar 28 14:56:56.374: RADIUS: no sg in radius-timers: ctx 0xF8E06C sg 0x0000
Mar 28 14:56:56.374: RADIUS: Retransmit to (192.168.100.1:1812,1813) for id 1645
/51
Mar 28 14:57:02.110: RADIUS: no sg in radius-timers: ctx 0xF8E06C sg 0x0000
Mar 28 14:57:02.110: RADIUS: Retransmit to (192.168.100.1:1812,1813) for id 1645
/51
Mar 28 14:57:07.366: RADIUS: no sg in radius-timers: ctx 0xF8E06C sg 0x0000
Mar 28 14:57:07.366: RADIUS: Fail-over denied to  (192.168.100.1:1812,1813) for
id 1645/51
Mar 28 14:57:07.366: RADIUS: No response from (192.168.100.1:1812,1813) for id 1
645/51
Mar 28 14:57:07.366: RADIUS/DECODE: No response from radius-server; parse respon
se; FAIL
Mar 28 14:57:07.366: RADIUS/DECODE: Case error(no response/ bad packet/ op decod
e);parse response; FAIL
Mar 28 14:57:07.367: %DOT11-7-AUTH_FAILED: Station d0df.9ad3.c0ef Authentication
 failed
 
 
d'où vient le problème ???

Reply

Marsh Posté le 28-03-2012 à 18:18:03    

"No response from radius-server"
 
pour moi, je reste au niveau du réseau et non pas de l'application.
 
donc vérifies que les hosts peuvent discuter entre heux ( pings, traceroute)
vérifies aussi que tes ports radius sont bien configurés, en effet, parfois c'est le legacy qui est utilisé ( port udp 1645)  ,parfois les ports officiel (udp/1812)
 
si tu as la main sur le serveur, un netstat -nr te montrera les sockets ouvertes et mieux, un lsof sur le processus te montrera les ports associés

Reply

Marsh Posté le 29-03-2012 à 12:12:46    

merci je viens de régler mon problème j'ai changer le port en 1645, et j'ai supprimé une ligne dans une des stratégies qui bloaquaient l'authentification. Merci beaucoup

Reply

Marsh Posté le 29-03-2012 à 13:41:49    

:)

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed