Jump to content

802.1x, подключение через nps сервер, зациклился запрос логина и пароля

fractal
 Share

Recommended Posts

fractal

fractal

Posted
Posted

Может кто сталкивался, ситуация следующая, на контроллере для определённых сетей настроен 802.1x, у единичных пользователей возникает проблема, у них постоянно просит ввести логин и пароль при подключении к сети, причём с телефона с этим логином они цепляются, а с ноута нет, без wpa-ent у них все работает, по логам RADIUS все нормально выглядит

dvb2000

dvb2000

Posted
Posted (edited)

802.1x или если его называть WPA-ENT это не какой-то там монолит, а это целый зоопарк ( набор ) EAP Types опций, которые функционируют независимо одна от другой. И по этому каждый клиент может выбирать подходящую для него в зависимости от возможностей его WPA супликанта. Например какой-то там андероид или Windows 10 выберает скажем TTLS, а вот китайпланшет или Windows 7 ломятся на PEAP. И поэтому для того чтоб разные клиенты могли подключаться тем способом которым они умеют требуется на NPS и на радиусе вменяемо настроить хотя бы самые распространённые из них. Вот например частичный список самых распространённых EAP Types EAP Types - Extensible Authentication Protocol Types (vocal.com) А вот простое объяснение про них: 802.1X Overview and EAP Types (intel.com)  

По этому стоит хотя бы для начала глянуть каким способом подключаются те клиенты которым да удаётся подключиться и каким те которым не удаётся, м попробовать настроить тот способ с который не функционирует. Также стоит проверить вменяемо вообще настроены сертификаты для радиус сервера и для NPS. Пример минимальных релевантных NPS настроек:

Image 001a.jpg

Edited by dvb2000
fractal

fractal

Posted
  • Author
Posted
3 часа назад, dvb2000 сказал:

802.1x или если его называть WPA-ENT это не какой-то там монолит, а это целый зоопарк ( набор ) EAP Types опций, которые функционируют независимо одна от другой. И по этому каждый клиент может выбирать подходящую для него в зависимости от возможностей его WPA супликанта. Например какой-то там андероид или Windows 10 выберает скажем TTLS, а вот китайпланшет или Windows 7 ломятся на PEAP. И поэтому для того чтоб разные клиенты могли подключаться тем способом которым они умеют требуется на NPS и на радиусе вменяемо настроить хотя бы самые распространённые из них. Вот например частичный список самых распространённых EAP Types EAP Types - Extensible Authentication Protocol Types (vocal.com) А вот простое объяснение про них: 802.1X Overview and EAP Types (intel.com)  

По этому стоит хотя бы для начала глянуть каким способом подключаются те клиенты которым да удаётся подключиться и каким те которым не удаётся, м попробовать настроить тот способ с который не функционирует. Также стоит проверить вменяемо вообще настроены сертификаты для радиус сервера и для NPS. Пример минимальных релевантных NPS настроек:

Image 001a.jpg

 

попробую, но проблема на win10 в основном, у нас задан mschapv2

dvb2000

dvb2000

Posted
Posted (edited)
22 hours ago, fractal said:

попробую, но проблема на win10 в основном, у нас задан mschapv2

Советую использовать TTLS, так как в Windows клиентах mschapv2 и PEAP дефольтно использует не только введённое UserName, а добавляет к нему разные приставки, которые радиус воспринимает как не валидного пользователя. В логах радиуса проще всего проверить что не так. Например скрин релевантных логов, где виден тот же клиент который один раз настроен подключатся PEAP, а другой раз TTLS.

 

eap.jpg

Edited by dvb2000

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.