steffen1964 10 Geschrieben 15. Juli 2004 Melden Geschrieben 15. Juli 2004 Hallo liebe User , ich habe ein Problem mit IAS / EAP-MD5. Mein Testumgebung sieht so aus: WIN 2003 mit AD, RAS und IAS sind konfiguriert , eine 6H302-48 als Client und als Supplicant ein Notebook mit WIN 2000 SP4. Will ich mich über Konsole am Switch anmelelden funktionert alles wunderbar, das Passwort wird auf dem IAS abgefragt und die in der RAS Richtlinie angegebene Filter ID wird mitgegeben und am Ende kommt mein Access Accept . Bis hierher ist ja noch alles im Klartext. ( PAP ) So weit so gut . Mache ich das selbe Szenario an einem Switchport wo ich mich mit 802.1X Authentifizieren muß bekomme ich ein Access Reject. Offensichtlich stimmen die MD5 Hashwerte nicht überein.Beides mal wird dazu die selbe RAS Richtline und User Account verwendet. In der RAS Richtline habe ich PAP , CHAP und EAP - MD5 zur Authentifizierung angegeben , ebenso am RAS Server.Meiner Meinung nach sollte das so ok sein ? Es ändert sich eigentlich nur die Form der Authentifizierung/Verschlüsselung Irgendjemand eine Idee was da falsch sein könnte ? Alternativ suche ich eine Anleitung wie man das ganze mit Zertifikaten realisieren kann. Vielen Dank
grizzly999 11 Geschrieben 15. Juli 2004 Melden Geschrieben 15. Juli 2004 Hallo und willkommen im Board :) EAP und Windows 2000 mit IAS sind nicht unbedingt Freunde: http://support.microsoft.com/default.aspx?scid=kb;en-us;303362 Allerdings kam etwas später auch ein Patch raus, vielleicht mal installieren: http://support.microsoft.com/default.aspx?scid=kb;en-us;313664 Besser noch: XP als Client verwenden, weil native 802.1x-Support grizzly999
steffen1964 10 Geschrieben 15. Juli 2004 Autor Melden Geschrieben 15. Juli 2004 Hallo grizzly999 , habe das jetzt mal mit XP und SP1 versucht und muß feststellen das der 802.1X Client jegliche zusammenarbeit ablehnt. Egal ob EAP-MD5 , PEAP oder Smartcard. Kein Login Fenster.Nix.
grizzly999 11 Geschrieben 15. Juli 2004 Melden Geschrieben 15. Juli 2004 802.1x mit EAP oder PEAP,in allen Variationen, und dann auch noch Ethernet und nicht WLAN, ist tricky und überhaupt nicht einfach (BTW: Selber noch unbeschlagen damit :rolleyes: ) . Hast du das hier gemacht: Requires a reversibly encrypted password to be stored in the account database (local Security Accounts Manager (SAM) or domain). Aus: http://www.microsoft.com/resources/documentation/WindowsServ/2003/all/deployguide/en-us/Default.asp?url=/resources/documentation/windowsserv/2003/all/deployguide/en-us/dnsbk_ias_wamt.asp Hier gibt's auch noch Lesestoff: http://www.microsoft.com/technet/itsolutions/network/security/radiusec.mspx Ich habe die Befürchtung, hier endet meine Hilfestellung, einfach mal durch die MS-Papers wühlen. Good Luck ;) grizzly999
grizzly999 11 Geschrieben 15. Juli 2004 Melden Geschrieben 15. Juli 2004 Ach ja, fast vergessen: Wenn für einen Benutzer der Haken, Kennwort mit reversibler Verschlüsselung speichern gesetzt wird (bedeutet auch gleichzeitig eine Verringerung der Sicherheit!), muss der Benutzer sein Kennwort ändern, damit es auch mit diesem Modus gespeichert wird ;) grizzly999
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden