Windows XP SP2 & EAP-TLS wi-fi

[vgray]

настраиваю работу EAP по доке проблема в том что если я выбираю

 

Smart Card or other Certificate на картинке то на радиусе я никаких запросов не вижу, если выбираю PEAP то запросы начинают приходить, может у кого есть идеи? целый день над этим бьюсь так и не получается заставить работать [/code]

[vgray]

решил проблему, дело оказалось в том что я сидел на той машине через Терминальный сервер, и винда по каким-то своим соображениям не отвечала на запросы AP на аутентификацию, как только сел за реальную консоль так все взлетело, вот такой странный и забавный зверек эта windows xp sp2

[vgray]

настроил радиус как описанно http://web.archive.org/web/20031206113912/...p3?id_article=2

 

все ок, моя винда успешно проходит аутентификацию, в логе радиуса вижу

 

Sending Access-Accept of id 39 to 192.168.10.100:1645

MS-MPPE-Recv-Key = 0xefc02ac383a3a2faddaad9a7aea6cdab9cfe5a2a8ab6523225b11a321da469f9

MS-MPPE-Send-Key = 0x3d64ab1c9fe9f3aaf81115320f7e1253561415ee882671dda23cbd9181b1c6c1

EAP-Message = 0x03070004

Message-Authenticator = 0x00000000000000000000000000000000

User-Name = "Sergey Velikanov"

 

те все просто замечательно, но я не могу ничего пинговать

 

я использую cisco ap1300 и вижу что

 

bridge#show dot11 associations 0060.1d1e.245c

Address : 0060.1d1e.245c Name : NONE

IP Address : 0.0.0.0 Interface : Dot11Radio 0

Device : unknown Software Version : NONE

CCX Version : NONE

 

State : EAP-Assoc Parent : self

SSID : protected VLAN : 0

Hops to Infra : 1 Association Id : 84

Clients Associated: 0 Repeaters associated: 0

Tunnel Address : 0.0.0.0

Key Mgmt type : NONE Encryption : WEP

Current Rate : 11.0 Capability :

Supported Rates : 1.0 2.0 5.5 11.0

Signal Strength : -48 dBm Connected for : 19 seconds

Signal Quality : N/A Activity Timeout : 59 seconds

Power-save : Off Last Activity : 1 seconds ago

 

Packets Input : 56 Packets Output : 16

Bytes Input : 6723 Bytes Output : 3108

Duplicates Rcvd : 0 Data Retries : 0

>Decrypt Failed : 45 RTS Retries : 0

MIC Failed : 0 MIC Missing : 0

Packets Redirected: 0 Redirect Filtered: 0

 

Те из из-за decrypt failed циска режектит, почему? кто виноват циска, радиус винда с моей старенькой карточкой Orinoco silver?

 

еще смущает

*Mar 1 05:08:00.483: %DOT11-6-ASSOC: Interface Dot11Radio0, Station 0060.1d1e.245c Associated KEY_MGMT[NONE]

 

Это нормально что KEY_MGMT = NONE ?

 

PS: bridge#sh run int dot11Radio 0

Building configuration...

 

Current configuration : 423 bytes

!

interface Dot11Radio0

no ip address

no ip route-cache

!

encryption mode wep mandatory

!

ssid protected

authentication open eap eap_methods

authentication network-eap eap_methods

guest-mode

!

short-slot-time

concatenation

speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0 54.0

rts threshold 4000

station-role root ap-only

infrastructure-client

bridge-group 1

end

[Saenara]

Не совсем нормально, что не видно настроек радиус сервера (radius-server), управления ключами (authentication key-management), да и шифрование (encryption mode), если мне не изменяет мой склероз, надо бы сменить на что-нибудь типа tkip.

[Guest]

Столкнулся с такой проблемой, что при попытке запустить Радиус совместно с точкой Cisco Air 1300 аутентификация всегда заканчивалась не удачно. В результате, было выяснено, что в этом виноваты сертификаты которые я создавал из скрипта CA.all ОН не верен!!! Рабочий скрипт ищите через Гугл на англоязычных сайтах. К сожалению я не помню где его брал...

[vgray]

решил проблему, дело оказалось в том что я сидел на той машине через Терминальный сервер, и винда по каким-то своим соображениям не отвечала на запросы AP на аутентификацию, как только сел за реальную консоль так все взлетело, вот такой странный и забавный зверек эта windows xp sp2

 

раз тема всплыла опять, то добавлю что проблема с терминальным сервером это действительно особенность винды, и причем

документированная

 

The following registry setting controls the computer and user authentication behavior of Windows XP and Windows Server 2003:



AuthMode



Key: HKEY_LOCAL_MACHINESoftwareMicrosoftEAPOLParametersGeneralGlobal 

Value Type: REG_DWORD 

Valid Range: 0-2 

Default value: 0 

Present by default: No



Values:



0 - Computer authentication mode If computer authentication is successful, no user authentication is attempted. If the user logon is successful before computer authentication, then user authentication is performed. This is the default setting for Windows XP with no service packs installed.



1 - Computer authentication with re-authentication If computer authentication completes successfully, a subsequent user logon results in a re-authentication with the user certificate. The user logon has to complete in 60 seconds or the existing network connectivity is terminated. The user certificate is used for subsequent authentication or re-authentication. Computer authentication is not attempted again until the user logs off the computer. This is the default setting for Windows XP with SP1, Windows XP with SP2, and Windows Server 2003.



2 - Computer authentication only When a user logs on, it has no effect on the connection. 802.1X authentication is performed using the computer certificate only.



For changes to this setting to take effect, restart the Wireless Zero Configuration service for Windows XP and the Wireless Configuration service for Windows Server 2003.                                      

[vgray]

Столкнулся с такой проблемой, что при попытке запустить Радиус совместно с точкой Cisco Air 1300 аутентификация всегда заканчивалась не удачно. В результате, было выяснено, что в этом виноваты сертификаты которые я создавал из скрипта CA.all ОН не верен!!! Рабочий скрипт ищите через Гугл на англоязычных сайтах. К сожалению я не помню где его брал...

 

мне повезло с этим :) у меня заработал сразу