Radius et Certificat . . . ?
Dernière réponse : dans Réseaux
Bonjour,
J'ai un problème assez énorme à avaler![:/]( ":/")
En effet, j'ai un serveur Radius et une Borne Radius dont j'ai mis le certificat pour valider les utilisateurs qui possèdent le-dit certificat, le problème c'est que les utilisateurs qui n'ont pas de certificat parviennent à accéder à l'internet via le wifi de la borne !!!
Et donc je me demandais quel est donc la vraie utilité? Quel est le problème que je rencontre?
Merci.
Radius sur Microsoft 2003 Server
Borne d'accès ZyXeL G-3000H
Switch reliant le serveur, l'AP et la Borne Internet correctement paramétrés.
Au niveau du serveur, l'AP est accessible, le Switch est manageable, les paramètres IP sont correctement configurés, le seul souci c'est que l'authentification ne se fait pas, n'importe qui a accès à internet avec l'AP et cela sans login ni mot de passe utilisateur . . .
J'ai un problème assez énorme à avaler
En effet, j'ai un serveur Radius et une Borne Radius dont j'ai mis le certificat pour valider les utilisateurs qui possèdent le-dit certificat, le problème c'est que les utilisateurs qui n'ont pas de certificat parviennent à accéder à l'internet via le wifi de la borne !!!
Et donc je me demandais quel est donc la vraie utilité? Quel est le problème que je rencontre?
Merci.
Radius sur Microsoft 2003 Server
Borne d'accès ZyXeL G-3000H
Switch reliant le serveur, l'AP et la Borne Internet correctement paramétrés.
Au niveau du serveur, l'AP est accessible, le Switch est manageable, les paramètres IP sont correctement configurés, le seul souci c'est que l'authentification ne se fait pas, n'importe qui a accès à internet avec l'AP et cela sans login ni mot de passe utilisateur . . .
Autres pages sur : radius certificat
Lassé par la pub ? Créez un compte
Bonjour à toi Alex943,
Le plus drôle c'est que je me suis basé sur son travail . . .
Mais j'ai dû mal comprendre donc je vais te demander une simple réponse à cette question:
- Le fait de mettre en place le serveur Radius permet d'authentifier une machine ou un utilisateur afin qu'il soit autorisé à entrer dans le domaine et avoir accès aux données du domaine mais en aucun cas il ne permet de filtrer les accès aux invités pour l'internet?
Il faut donc une clé WPA dans tous les cas ? . . . .
Merci pour ta réponse![:)]( ":)")
Le plus drôle c'est que je me suis basé sur son travail . . .
Mais j'ai dû mal comprendre donc je vais te demander une simple réponse à cette question:
- Le fait de mettre en place le serveur Radius permet d'authentifier une machine ou un utilisateur afin qu'il soit autorisé à entrer dans le domaine et avoir accès aux données du domaine mais en aucun cas il ne permet de filtrer les accès aux invités pour l'internet?
Il faut donc une clé WPA dans tous les cas ? . . . .
Merci pour ta réponse
Sur l'AP j'ai bien défini l'adresse 192.168.2.191 comme étant serveur Radius avec port 1812, j'ai mis le certificat du radius comme convenu sur l'AP, bref en clair, l'AP est correctement paramétré.
Lorsque j'essaie de me connecter avec un poste client, dont sa carte est en utilisation de carte à puce ou autre certificat, il demande bien les logins mais celui-ci n'a pas accès à internet !!!
Mais lorsque sa carte est en configuration par défaut, il demande pas les logins d'accès et peut aller sur internet !!!
Je te fais des captures d'écran dès ce soir et je reposterai avec tous les paramètres actuels![:)]( ":)")
Lorsque j'essaie de me connecter avec un poste client, dont sa carte est en utilisation de carte à puce ou autre certificat, il demande bien les logins mais celui-ci n'a pas accès à internet !!!
Mais lorsque sa carte est en configuration par défaut, il demande pas les logins d'accès et peut aller sur internet !!!
Je te fais des captures d'écran dès ce soir et je reposterai avec tous les paramètres actuels
Voilà ce que donne:
L'AP qui est en 192.168.2.192
Le serveur en 192.168.2.191
Le switch en 192.168.2.10
Configuration Radius:
![]()
Configuration Générale:
![]()
Paramètres AP:
![]()
Protection clé WPA-PSK:
![]()
Certificat créé via le serveur /certsrv:
![]()
Certificat mis en place automatiquement par l'AP:
![]()
La prise en charge des certificats est bonne puisque j'ai accès à la page: 192.168.2.191/certsrv
L'utilisateur fabien.francois est dans le groupe pris en charge par l'accès wifi, autorisation d'accès distants : OK
La stratégie d'accès sans fil fonctionne, de même pour l'ajout du client radius.
Quand je connecte un poste client, le poste arrive à se connecter à l'AP avec la clé WPA-PSK, ensuite il va sur internet sans que Radius lui demande ses identifiants !!!
Mais quand il va à la page 192.168.2.191/certsrv on lui demande les identifiants pour accéder à la page, malgré tout il a quand même accès au reste de l'internet !!!
En gros et clair, le poste client n'a pas besoin de faire ces manips suivantes: http://www.laboratoire-microsoft.org/articles/network/w...
Il a accès à internet sans effectuer ces manips, et lorsque il effectue les manips très exactement comme décrit, il n'y a même pas accès . . . .
L'AP qui est en 192.168.2.192
Le serveur en 192.168.2.191
Le switch en 192.168.2.10
Configuration Radius:
Configuration Générale:
Paramètres AP:
Protection clé WPA-PSK:
Certificat créé via le serveur /certsrv:
Certificat mis en place automatiquement par l'AP:
La prise en charge des certificats est bonne puisque j'ai accès à la page: 192.168.2.191/certsrv
L'utilisateur fabien.francois est dans le groupe pris en charge par l'accès wifi, autorisation d'accès distants : OK
La stratégie d'accès sans fil fonctionne, de même pour l'ajout du client radius.
Quand je connecte un poste client, le poste arrive à se connecter à l'AP avec la clé WPA-PSK, ensuite il va sur internet sans que Radius lui demande ses identifiants !!!
Mais quand il va à la page 192.168.2.191/certsrv on lui demande les identifiants pour accéder à la page, malgré tout il a quand même accès au reste de l'internet !!!
En gros et clair, le poste client n'a pas besoin de faire ces manips suivantes: http://www.laboratoire-microsoft.org/articles/network/w...
Il a accès à internet sans effectuer ces manips, et lorsque il effectue les manips très exactement comme décrit, il n'y a même pas accès . . . .
pourquoi utilises tu un cryptage par clé WPA-PSK alors que tu cherches à faire de l'authentification????
Il est normale que les machines se connectent à internet directement avec la clé.
extrait de wikipedia :
"Le mode pre-shared key (PSK, aussi connu comme Personal mode) a été conçu pour les réseaux individuels ou de PME qui ne peuvent se permettre le coût et la complexité d'une solution utilisant un serveur d'identification 802.1X."
Commence par cacher le SSID, ca fait plus sérieux![:D]( ":D")
et utilises le bon mode et ca devrait fonctionner![;)]( ";)")
Il est normale que les machines se connectent à internet directement avec la clé.
extrait de wikipedia :
"Le mode pre-shared key (PSK, aussi connu comme Personal mode) a été conçu pour les réseaux individuels ou de PME qui ne peuvent se permettre le coût et la complexité d'une solution utilisant un serveur d'identification 802.1X."
Commence par cacher le SSID, ca fait plus sérieux
et utilises le bon mode et ca devrait fonctionner
utilise tracert pour voir à partir d'où ça bloque (ça se lance dans une dos-box)
tracert 192.168.2.192
tracert 192.168.2.191
tracert 192.168.2.10
si c'est ok, essaies
tracert www.cisco.com
(si la résolution dns ne passe pas, fais tracert 88.221.208.170)
quels sont les résultats ?
tracert 192.168.2.192
tracert 192.168.2.191
tracert 192.168.2.10
si c'est ok, essaies
tracert www.cisco.com
(si la résolution dns ne passe pas, fais tracert 88.221.208.170)
quels sont les résultats ?
On a tout testé avec nôtre prof et même lui ne sait pas d'ou vient ce problème, mais je pense que l'AP ne supporte le RADIUS qu'el local user database et non un radius externe . . .
Et étant donné les examens approchent, je ne peux pas me permettre d'être recalé . . .
Je retenterai personnellement avec une nouvelle AP et après les examens . . .
Et étant donné les examens approchent, je ne peux pas me permettre d'être recalé . . .
Je retenterai personnellement avec une nouvelle AP et après les examens . . .
![[:_sebastien_:5]](http://m.bestofmedia.com/sfp/design/usr/fr/smilies/b6/05/_sebastien_:5.gif "[:_sebastien_:5]")
Bonjour tout le monde,
Au faite j ai le meme sujet k feldunost ,sauf pour moi en mode securité j ai utlisé slmt wpa mais lork je veux me cncter coe utilisateur à la borne pour avoir acces à l'internet ,le serveur radius n accepte pas la connection et ce qui fait k j ai 1 pblme à me connecter et pourtant dans la configuration ,j avais cré les utilisateurs,groupes dans le serveur et j ai meme en encore verifier la configuration du serveur radius et tout est exacte.
si vous pourriez m aider à resoudre ce pblme .
Merci...
Au faite j ai le meme sujet k feldunost ,sauf pour moi en mode securité j ai utlisé slmt wpa mais lork je veux me cncter coe utilisateur à la borne pour avoir acces à l'internet ,le serveur radius n accepte pas la connection et ce qui fait k j ai 1 pblme à me connecter et pourtant dans la configuration ,j avais cré les utilisateurs,groupes dans le serveur et j ai meme en encore verifier la configuration du serveur radius et tout est exacte.
si vous pourriez m aider à resoudre ce pblme .
Merci...
je l ai reli et suivi mm à loup ;mais mon problem cé koi ,lorsk l'utilisateur veut se connecter à la borne le serveur radius le rejette et ds la gestion des evenements ;on m affiche k l authentification du serveur est non identifé et prtant je les ai crochés ,cee ki fait k l 'utilisateur ne peut pas avoir l acces à l'internet car le serveur le rejette malgré aussi k j' ai crée ds active directory les noms de l utilisateur et leur groupe .donc cé ça je ne sais pas si tu pourras me dner encore klk idée
Lassé par la pub ? Créez un compte
