标签: radius

我们正在部署使用 Windows Server 2008 NAC 作为 RADIUS 服务器的无线网络。当 Windows XP 或 7 客户端连接时，它们最初无法连接。

为了使客户端能够连接，我们必须手动添加网络并取消选中“验证服务器证书”，如下面的屏幕截图所示。

有谁知道避免这样做的方法？我们非常愿意从 Verisign、Thwarte 等购买证书，如果它会有所帮助，但已经尝试了我们的 Comodo 通配符 SSL 证书，但没有修复它。

这些机器属于最终用户，因此我们无法通过组策略或注册表黑客轻松控制设置。

我们正在尝试通过 Meraki Z1 远程工作人员设备对远程 vpn 上的客户端进行身份验证。Z1 正在发送正确的请求，网络策略服务器 (ias) 服务显然正在对用户进行身份验证，因为我们的 NPS 日志显示审核日志中的原因代码为 0，但是 ias 将访问拒绝返回给Z1 设备。

我很难找出为什么 ias 服务发送访问拒绝，现在我认为我需要某种深度调试输出来查看问题所在。有谁知道我如何能够从 IAS 服务中获取大量日志信息？有没有一种特定的方法可以通过 EventLog 界面启用它？

我在运行 Ubuntu 11.04 的服务器上设置了一个半径服务器。我已将我的交换机配置为使用身份验证服务器的 IP (192.168.1.2) 进行 RADIUS / 802.1x 身份验证，并创建了一个连接来测试从我的 Mac OSX 客户端的连接。

这是我的客户端半径配置：

client 192.168.1.0/16 {
  secret = testing123
}

我可以使用 127.0.0.1（本地主机）和 192.168.1.2（eth1 的 ip）成功进行身份验证，所以我知道 radius 正在收到这些请求。

我建立了一个连接以从我的 macbook 进行测试，但我的请求超时。

http://screencast.com/t/tMhRLS3H7

有没有更好的方法来测试我的 macbook 的半径连接？谢谢！

更新： 我能够使用RadPerf在 Mac OSX 客户端上成功测试。这可用作跨平台命令行工具。

我正在使用 Azure Active Directory（高级版，具有完整的 MFA）。我已经设置了一个 VPN 网关，并希望用户能够使用他们的 Azure AD 用户名和密码（而不是证书）对其进行身份验证。

从我读到的所有内容来看，这应该是可能的——Azure MFA 提供了一个 RADIUS 服务器，Azure VPN 网关可以连接到一个 RADIUS 服务器。

但我不知道如何进行适配——在网关的 P2S 配置中，我需要提供一个 IP 地址和一个秘密。我可以从哪里获得 Azure AD MFA 服务器的那些？

有人知道可以测试 Windows Radius 服务器身份验证的工具吗？

我尝试过radtest：

radtest -d /usr/share/freeradius/ kbrandt 'betYouCantGuess' theServer 10 secretIGaveforMyIP 0 192.168.254.82

但我得到：

Sending Access-Request of id 120 to 192.168.254.253 port 1812
    User-Name = "kbrandt"
    User-Password = "betYouCantGuess"
    NAS-IP-Address = 192.168.254.82
    NAS-Port = 10
    Framed-Protocol = PPP
rad_recv: Access-Reject packet from host 192.168.254.253 port 1812, id=120, length=20

服务器上的日志中有：

192.168.254.82,kbrandt,11/06/2009,10:38:28,IAS,THESERVER,4,192.168.254.82,5,10,7,1,4108,192.168.254.82,4116,0,4128,Kyle's Workstation,4155,1,4154,Use Windows authentication for all users,4129,MYDOMAIN\kbrandt,4127,1,4149,Connections to other access servers,25,311 1 192.168.254.253 11/06/2009 15:32:42 4,4130,mydomain.com/Users/Kyle Brandt,4136,1,4142,0
192.168.254.82,kbrandt,11/06/2009,10:38:28,IAS,THESERVER,25,311 1 192.168.254.253 11/06/2009 15:32:42 4,4130,mydomain.com/Users/Kyle Brandt,4149,Connections to other access …

我正在尝试获取我们的新服务器，X8DTN+-F 的 IMPI 配置为与我们的身份验证服务器通信。两种选择是 LDAP 和 RADIUS。

我正在通过查看数据包捕获来调试它，因为 IPMI 的内容似乎没有记录任何内容。

我第一次尝试 LDAP，但 IMPI 的东西坚持绑定为用户而不是登录（wtf）。一旦我设置了它自己的用户，它就设法找到了用户（虽然不是通过搜索我想要的属性，而且似乎没有办法改变它），但即使得到响应......也不允许登录。也许它期望响应中有一个密码属性，当然它没有得到。它应该只绑定为登录的用户（并且应该通过 SSL 使用 LDAP，但那是另一回事）。

所以我尝试了RADIUS。现在，它发送预期的访问请求数据包（具有预期的用户名、加密密码、NAS IP 地址 127.0.0.1 [wtf] 和端口 1）。然后它返回一个访问接受数据包，服务类型为管理用户……然后拒绝登录。

（注意：拒绝登录，我的意思是重新显示登录页面。它不像这个东西相信错误消息。或日志。）

那么，我需要让 RADIUS 服务器回复一些神奇的属性吗？有没有人让 RADIUS 与 Supermicro 的 IPMI 一起工作

我们公司有以下设置：一台装有 CentOS (gw) 的网关 PC，运行 Radius 和一些流量过滤程序。我们所有的员工都以无线方式连接，并且我们采用了 WPA2 企业加密。用户位于 gw 上的 MySQL 数据库中，并且在那里定义了他们的用户角色 - 决定哪个用户可以访问哪个 SSID。我们有 4 个 SSID（因此，4 个 VLAN），因此现在有 4 个用户组 - 每个都有自己的关于 QoS、带宽限制等的规则。

网络运行良好，除了一个问题——当用户认证错误时，他得不到任何反馈。WiFi 客户端（每个人都在使用 iMac 和 Macbook，IT 中只有几个 Windows/Linux 机器）陷入某种不确定状态，他说他已连接，但没有有效的 IP，因此无法访问互联网。由于 MacOS 会默认记住密码，因此他得出​​结论，他已成功连接，并且不再要求输入密码。这意味着任何进行无效登录的人都会被它卡住，直到他们从存档中删除记住的密码。正如您可以想象的那样，对于一个拥有 80 多人的快速发展的公司来说，这非常乏味。

我们的 AP 是 WRT54GL，其中 DD-WRT 作为固件安装。

似乎 AP 上的 Radius 客户端没有向员工计算机上的 WiFi 客户端发送任何正确的反馈。有没有人有这种设置的经验？如何解决这个没有反馈的问题？更好的 AP 会是答案吗？我一直在研究 Cisco 的 WAP2000。成本不是问题。

这是我们的 eap.conf 文件中 mschapv2 上面的注释：

  #
                #  This takes no configuration.
                #
                #  Note that it is the EAP MS-CHAPv2 sub-module, not
                # …

所以，我想这个问题的简短版本是：

设置“新”NPS 服务器和新 CA 后，我无法让客户端连接到企业 WPA 无线网络。在我从 NPS/CA 服务器手动请求客户端上的新证书并尝试连接到无线网络后，他们在“尝试进行身份验证”/“等待网络准备就绪”状态下等待大约一分钟，然后放弃并说他们无法连接。

我的 NPS/CA 服务器上的日志给出的 IAS4142“原因代码”为 23...，Technet文档中没有关于各种错误代码的含义。>:/ 这是怎么回事，有谁知道如何解决？或者从哪里开始解决这个问题？（谷歌非常没有帮助......找到了一些有同样问题的人，但没有解决方案。）

较长的版本，希望包含可以帮助某人帮助我的信息是：

几周前，我们举办了一个活动，其中涉及从我们在家庭办公室 (2k3 R2) 的两个“主要”DC 强行夺取 FSMO 角色。结果，他们处于离线状态，并且不会回来。当然，在这样做并解决了眼前的危机之后，我们收到了有关无线访问不再工作的报告。这是有道理的，当我们返回并查看断开连接的前 DC 时，发现其中一个是我们唯一的 IAS 服务器，另一个是我们环境中唯一的 CA。当然，我们使用 WPA 企业无线加密，证书颁发给客户端机器帐户，以及验证所需的域凭据（懒惰的方式，允许客户端使用他们的登录凭据自动进行身份验证，无需用户交互）。

当时看起来不错的解决方案是架起一台新服务器，由于设备限制，将 CA 和 NPS 角色放在上面。我也希望将其设为 DC，但由于其他限制而无法实现。我所知道和阅读的一切都表明这会很好。我也有一个可笑的假设，即我能够以这种方式正确设置它，而不会像以前的设置那样令人烦恼。而且，不想手动重新输入几百个客户端和几十个策略，我遵循了这篇关于如何迁移 NPS 服务器的技术文章（以及不正确的 IAS 到 NPS EAP 参数的修复。主要是。而不是 0,16,515在那个部分，我有 0,15,521 ......所以我按照指示更正了“0”并继续前进。）

我更改了一些 CA 加密设置（SHA-1 到 SHA-512，由于这些天 SHA-1 不安全，以不太迟钝的方式命名根证书等），在 AD 中注册了 NPS，并认为我是很高兴去。然后我遇到了XP不能对AAA使用SHA-2证书的问题(&%#^!!!)，当我们的客户仍然使用 XP 时，这是有问题的。应用了该修补程序（其中提到更新将包含在 XP SP4 中... :/ ），但仍然没有任何乐趣。发现错误代码比我想承认的要多一些（特别是当我后来注意到安全事件日志中的错误时，所以我浪费了时间来破译****的 IAS 日志），然后去谷歌寻求帮助，几乎完全是空的。其他人报告了同样的问题，但似乎没有人知道出了什么问题，或者如何解决它。事件日志文本：

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          7/16/2012 …

我需要确保 Windows Server 环境中 RADIUS 服务的高可用性，以便它可以承受任何具有 NPS 角色的特定服务器的丢失甚至临时停机。大多数技术网文章都说我应该使用 NPS 代理，但据我所知，它仍然给我留下了单一代理服务器的瓶颈。我决定为 NPS 服务器设置 NLB 集群，但同样，Microsoft 最佳实践指出 NPS 角色应该安装在域控制器上，以最大限度地减少从 NPS 到 DC 的流量。我怀疑我的 DC 安装了 NLB 功能后是否会正常。

所以，我的问题是： 1. 有没有办法衡量 NPS 流量在安装在单独的服务器上时对我的网络和 DC 的影响到底有多大？2.我是否遗漏了什么，还有另一种方法可以为 NPS 提供 HA 吗？

PS 我们的网络团队说他们可以在他们这边指定多个 RADIUS 服务器，但问题是 Windows Server 中的网络服务启动时间早于 NPS，这让我们在客户端尝试在未完全验证的服务器上进行身份验证时存在差距运作。

我正在学习如何使用freeradius，版本是v2.1.12。当我运行 radtest 时，服务器没有响应，我看到服务器端调试消息如下：

Received packet from 127.0.0.1 with invalid Message-Authenticator!  (Shared secret is incorrect.) Dropping packet without response.

这是 radtest 命令：radtest -x selftest password 127.0.0.1 0 secret

这是我对 /etc/freeradius/clients.conf 的编辑：

client selftest {
     ipaddr = 127.0.0.1
     secret = secret
}

这是我对 /etc/freeradius/users 的编辑：

selftest Cleartext-Password := "password"

以下是 radtest 的完整输出：

radtest -x selftest password 127.0.0.1 0 secret
Sending Access-Request of id 238 to 127.0.0.1 port 1812
        User-Name = "selftest"
        User-Password = "password"
        NAS-IP-Address = 127.0.0.1
        NAS-Port = 0
        Message-Authenticator …