我按照这个指令强制freeradius使用mysql数据库。 并在debugging模式下运行freeradius。 但是拒绝所有authentication。 mysql数据库: mysql> select * from radcheck; + —- + ———- + ———– + —- + ——— + | id | 用户名| 属性| op | 值| + —- + ———- + ———– + —- + ——— + | 1 | testing| 密码| == | test123 | | 2 | testing| Auth-Type | == […]
编辑1: 我们的环境是混合的,大多数OSX与几个Windows和Linux的盒子。 更重要的是,Android和苹果手机也将需要定期进行无线访问。 我们有一个可用于运行Freeradius的红帽子。 所有networking设备都是基于思科(ASA + Catalyst交换机+ Aironet 1140 AP) 感谢HopelessN00b的反馈,我目前正在考虑Freeradius + PEAP作为我的解决scheme。 我正在准备一个testing平台,让授权服务器端的东西感受一下。 现在我们正在使用wpa2 key + MAC地址过滤,其中包括通过WDS连接的2个Cisco Aironet 1140。 它工作正常,但每个人都有相同的WPA2密钥,并且每次添加某个人时都必须对两个APconfiguration进行编辑,这稍微耗费时间。 我们在办公室里只有2个AP和12-15个人,不需要与其他地点同步。 我们是一个混合的mac / windows / linux办公室。 你会推荐什么样的设置? 一切都已经configuration,当我到达那里,我看到在AP的运行configuration2引用到半径服务器,但引用的机器似乎并没有打开这些端口,所以我怀疑这些线路是无效的。 我对么? 这里是运行configuration的副本: 接入点1: service password-encryption ! hostname wap ! logging rate-limit console 9 enable secret 5 [redacted] ! aaa new-model ! ! aaa group server radius […]
一个用户(我们称之为“用户名”)不断被locking,我不知道为什么。 另一个错误的密码每20分钟logging一次。 PDC模拟器DC正在运行Server 2008 R2标准版。 logging事件ID 4740locking,但来电显示名称为空白: Log Name: Security Source: Microsoft-Windows-Security-Auditing Date: 5/29/2015 4:18:14 PM Event ID: 4740 Task Category: User Account Management Level: Information Keywords: Audit Success User: N/A Computer: FQDNofMyPDCemulatorDC Description: A user account was locked out. Subject: Security ID: SYSTEM Account Name: MyPDCemulatorDC$ Account Domain: MYDOMAIN Logon ID: 0x3e7 Account That […]
我们使用运行带有RRAS和NPSangular色的Windows Server 2008(32位)的计算机来validation用户是否通过RADIUS进行VPN和无线访问。 这个configuration已经运行了一年多了,但从今天上午开始,服务器已经开始拒绝所有请求。 据我所知,唯一的变化是昨天晚上安装Windows更新。 这不是连接或防火墙问题。 服务器使用Access-Reject答复所有RADIUS请求。 只有一个连接请求策略,它会全天候处理该服务器上的所有请求。 出于testing目的,我已经创build了一个应该全天候批准所有请求的networking策略。 日志文件( C:\Windows\System32\LogFiles\IN1110.log )表示正在select此策略,但服务器仍然使用Access-Reject进行回复。 我已经validation所有发送RADIUS请求的服务器都列在RADIUS客户端中,并且事件日志中没有关于无效RADIUS客户端的条目。 但是,每次服务器响应RADIUS请求时,都会看到一个奇怪的系统事件。 我们根本不使用MGM或多播,所以我不知道如何跟踪。 Warning RasServer, 50015 Specified interface was not present in MGM. 我已经尝试重新启动服务器,并重新安装RRAS / NPS。 (注意:当删除NPS时,所有的configuration都会被保留下来,并且在重新安装之后仍然存在。)build立一个全新的服务器的时间不长了,我已经无所适从了。 其他人有RRAS / NPS这样的问题吗? 2011-10-17更新:添加了事件ID 6274的完整文本 networking策略服务器丢弃了对用户的请求。 联系networking策略服务器pipe理员了解更多信息。 用户: 安全ID:CFL \ nic 帐户名称:nic 帐户域:CFL 完全合格的帐户名称:cfl.local / People / Prince George / Nic Waller 客户机: 安全ID:NULL SID 用户名: […]
我在运行Ubuntu 11.04的服务器上安装了radius服务器。 我configuration了交换机使用authentication服务器的IP(192.168.1.2)进行RADIUS / 802.1xauthentication,并且创build了一个连接来testing从我的Mac OSX客户端连接。 这是我的客户的半径configuration: client 192.168.1.0/16 { secret = testing123 } 我可以使用127.0.0.1(localhost)和192.168.1.2(eth1的ip)来成功进行身份validation,所以我知道radius正在获取这些请求。 我build立了一个连接,从我的MacBook进行testing,我的请求超时。 http://screencast.com/t/tMhRLS3H7 有没有更好的方法来testing我的MacBook的半径连接? 谢谢! 更新:我能够成功地testing在Mac OSX客户端使用RadPerf 。 这是一个跨平台的命令行工具。
我们已经在我们的有线networking上正确configuration了LDAP + Kerberos。 现在我们希望我们的用户使用他们的正常凭证login到我们的WiFinetworking。 我发现很多关于LDAP + RADIUS的HOWTOS,但是没有一个提到Kerberos。 任何人都可以指向我一个很好的将RADIUS与Kerberos集成的HOWTO? 我在Usenet上只发现了这篇短文和一些非信息性文章。 编辑:系统是使用OpenLDAP和Heimdal(Kerberos)的Gentoo Linux。 WiFi硬件是几个带有OpenWRT的Linksys WRT54GL。
我将在pfSense 2.3-RELEASE框中部署一个IKEv2 VPN,用于对RADIUS服务进行身份validation。 但是当RADIUS服务器closures时,我担心这种方法的复杂性。 由于RADIUS位于pfSense盒子的后面,万一出现故障,我将失去连接到IKEv2 VPN的能力,而无法进入LAN。 我可以在pfSense框中使用本地用户帐户的一些备用模式做一个简单的解决方法,但问题是这种“备用模式”。 这甚至存在? 在这种情况下有什么select?
所以,我猜这个问题的简短版本是: 设置“新”NPS服务器和新的CA后,我无法让客户端连接到企业WPA无线networking。 在我从NPS / CA服务器上手动向我的客户端申请一个新的证书并尝试连接到无线networking之后,他们在放弃之前坐在“尝试authentication”/“等待networking准备就绪”说他们不能连接。 我的NPS / CA服务器上的日志给出了一个IAS4142的“原因代码”为23 …,这是关于各种错误代码是什么意思的technet文档缺席。 >:/正在发生什么事,有谁知道如何解决它? 或从哪里开始解决这个问题? (Google一直很无用……发现几个人有同样的问题,但没有解决scheme。) 更长的版本,希望包含可以帮助别人帮助我的信息是: 几个星期前,我们举办了一个活动,强烈地从我们在总部的两个“主要”区域(2k3 R2)抓住了FSMO的angular色。 因此,他们脱机了,不会回来。 当然,这样做后,解决眼前的危机,我们得到报告,无线访问不再工作。 这是有道理的,当我们回去看看断开的前DC时,发现其中一个是我们唯一的IAS服务器,另一个是我们环境中唯一的CA. 当然,我们使用WPA-企业无线encryption,将证书颁发给客户端计算机帐户,并使用所需的域凭证进行身份validation(懒惰的方式,允许客户端使用他们的login凭据在无用户交互的情况下自动进行身份validation)。 所以问题在于没有可用的RADIUS服务器来处理这些请求,而颁发的CA也不见了。 这个解决scheme在当时看起来很不错,它是站在一台新的服务器上,由于设备的限制,把CA和NPS的angular色放在上面。 我本来也想把它作为一个区议会,但由于其他限制而无法成立。 我所知道的一切,并阅读,表明这将是好的。 我也有一个滑稽的假设,我可以用这种方式来设置它,而不用担心以前的设置。 而且,不想手动重新input几百个客户端和几十个策略,我遵循这个关于如何迁移NPS服务器的技术文章(以及将不正确的IAS修复为NPS EAP参数 ,主要是。而不是0,16,515在那一段,我有0,15,521 …所以我按照指示纠正了'0',并继续前进。) 我改变了一些CAencryption设置(SHA-1到SHA-512,由于SHA-1这些日子不安全,以不太迟钝的方式命名了根证书等),在AD中注册了NPS,并认为我是很好去。 然后我遇到了XP无法使用SHA-2证书的问题 (&%#^ !!!),这在我们的客户仍然在XP时是有问题的。 应用该修补程序(其中提到的更新将包括在XP SP4 …:/),仍然没有喜悦。 发现错误代码比我想承认多一点工作(尤其是当我后来注意到在安全事件日志中的错误,所以我浪费了我的时间破译***国际会计准则日志),并去了谷歌求助,几乎完全空了。 其他人也报道过同样的问题,但似乎没有人知道什么是错的,或者如何解决这个问题。 EventLog文本: Log Name: Security Source: Microsoft-Windows-Security-Auditing Date: 7/16/2012 11:25:37 AM Event ID: 6273 Task Category: Network Policy Server […]
我正在通过RADIUS设置validation到Acme Packet Net-Net 3820(SBC)。 事情的会计方面工作得很好,没有问题。 事情的authentication方面是另一回事。 从数据包捕获中我可以看到,访问请求消息实际上正在到达RADIUS服务器,RADIUS服务器开始与域控制器进行通信。 然后我看到通信链回到RADIUS,最后回到SBC。 问题是我得到的响应始终是一个原因码为16的访问拒绝消息(由于用户凭据不匹配而导致身份validation失败,或者提供的用户名与现有用户帐户不匹配,或者密码不正确)。 这可以通过查看安全事件日志来确认,我可以在其中看到事件4625和6273.请参阅以下事件(注意:名称和IP已更改为保护无辜者): 事件ID:6273 Network Policy Server denied access to a user. Contact the Network Policy Server administrator for more information. User: Security ID: NULL SID Account Name: real_username Account Domain: real_domain Fully Qualified Account Name: real_domain\real_username Client Machine: Security ID: NULL SID Account Name: – Fully Qualified […]
我试图让我们的新服务器,一个X8DTN + -F的IMPIconfiguration为与我们的身份validation服务器交谈。 这两个选项是LDAP和RADIUS。 我通过查看数据包捕获来debugging,因为看起来IPMI的东西不logging任何东西。 我第一次尝试LDAP,但IMPI的东西坚持要绑定为除login(跆拳道)以外的用户。 一旦我设置了自己的用户,它设法find用户(虽然不是通过search我想要的属性,似乎没有办法改变它),但即使得到一个响应…不允许login。 也许它期望在响应中的密码属性,这当然没有得到。 它应该只是作为login用户绑定(并且应该使用LDAP over SSL,但这是另一回事)。 所以我尝试了RADIUS。 现在,它发送预期的访问请求数据包(预期用户名,encryption密码,NAS IP地址127.0.0.1 [rtf],端口为1)。 然后它返回一个访问接受数据包,服务types为Administrative-User …,然后拒绝login。 (注:通过拒绝login,我的意思是重新显示login页面,它不像这个东西相信错误信息或日志。 那么,我需要让RADIUS服务器回复一些神奇的属性吗? 有没有人得到RADIUS与Supermicro的IPMI一起工作?