Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
3750 connectés 

  FORUM HardWare.fr
  Windows & Software

  Authentification radius wifi

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Authentification radius wifi

n°1994223
vince-p
Posté le 13-04-2005 à 11:22:41  profilanswer
 

Bonjour. je dois mettre le wifi dans un hopital en complement d'un reseau deja existant.
j'ai mis en place radius et j'ai configuré mon point d'acces de marque 3com
ensuite ma methode d'authentification est eap-tls (avec gestion des certificats)
j'ai suivi plus ou moins les conseils de l'adresse suivante http://www.koumoula.com/wifi/eap-tls/eap-tls.htm
Lorsque je veux me connecter en wifi, l'authentification ne se fait pas .Je regarde les fichiers logs du serveur et c'est ecrit:
une requête d'accès a été recue à partir du client "point acces" avec un attribut de signature qui n'est pas valide.
Que dois je alors faire pour que mon authentification fonctionne?(j'ai mis la même clef partagé pour la borne et le serveur)
 
Je vous remercie de m'aiguiller car cela fait une semaine que je galère et je ne vois plus d'issue.merci beaucoup de votre aide.

mood
Publicité
Posté le 13-04-2005 à 11:22:41  profilanswer
 

n°1994293
tanshiro
Posté le 13-04-2005 à 12:06:26  profilanswer
 

tien j'ai exactement le meme problème que toi, mais avec un autre serveur RADIUS. J'ai fait un topic aussi désolé j'avais pas vu le tien. Si y'en a un de nous 2 qui trouve pourquoi sa chie, il prévient l'autre... moi sa fait 3 jours que je suis dessus, et je suis pret  me tirer une balle là  :fou:

n°1994593
vince-p
Posté le 13-04-2005 à 15:55:49  profilanswer
 

quelqu'un peut m'aider??
je tiens au courant si je trouve de mon coté.
merci

n°1994639
Spud
Posté le 13-04-2005 à 16:32:42  profilanswer
 

il faut que les certificats clients (pc wifi et serveur radius) soient signés par le certificat d'autorité de certification.

n°1994648
tanshiro
Posté le 13-04-2005 à 16:35:14  profilanswer
 

C'est quoi que t'as comme Point d'Acces toi ? Moi c'est un 3Com Office Connect Wireless 11g (3CRWE454G72). Le problème c'est qu'avec ta doc là, ben c'est avec des clée WEP "rotatives" qu'ils font. Et avec cet acces point (si t'as le meme hein) ben on peut pointer vers un serveur RADIUS seulement en WEP et pas en WPA... C'est peut etre pour ça que sa couille non ?

n°1994655
tanshiro
Posté le 13-04-2005 à 16:38:38  profilanswer
 

Spud a écrit :

il faut que les certificats clients (pc wifi et serveur radius) soient signés par le certificat d'autorité de certification.


 
Si tu pouvais dévelloper un chouilla pour moi ( chuis un peu cocon oui je sais ) mais je crois que c'est de là que vient mon problème. C'est quoi la difference entre certif client et certif d'autorité de certification ? Je demande ça parceque on m'a dit d'utiliser tel certificat "root.cer" qu'il s'appèle, mais je sais pas ou le mettre (coté client? coté serveur? les 2 ?) et par qui il faut qu'il soit certifié ? Enfin comme tu peux le constater, je nage complet... :sweat:  

n°1994656
Spud
Posté le 13-04-2005 à 16:40:00  profilanswer
 

je n'utilise pas de point d'accès avec serveur radius
mais j'ai monté un vpn openvpn ssl/tls et le principe d'authentification par certificat est le même que pour eap/tls.
 
Du moins, c'est ce que j'ai compris. J'espere ne pas vous induire en erreur.

n°1994660
Spud
Posté le 13-04-2005 à 16:42:10  profilanswer
 

le root.cer, il faut le mettre dans la liste des certificats d'autorité de certification sur ton client et sur ton serveur
Pour ce faire, il faut utiliser l'utilitaire de gestion des certificats de windows (ajout de composant windows dans l'ajout/suppression de programme)


Message édité par Spud le 13-04-2005 à 16:51:27
n°1994682
Spud
Posté le 13-04-2005 à 16:59:25  profilanswer
 

ensuite le plus simple, c'est d'utiliser aussi le root.cer comme certificat client pour le serveur radius ainsi que pour tes postes wifi.
 
Donc ton certificat root.cer  (certificat x509 autosigné/ certificat d'autorité de certification) peut servir de certificat client.
 

n°1994684
Spud
Posté le 13-04-2005 à 17:00:34  profilanswer
 

bon, je suis pas un pro non plus donc je me plante peut etre mais je crois pas :)
mon vpn openvpn ssl/tls fonctionne sans pbs


Message édité par Spud le 13-04-2005 à 17:01:17
mood
Publicité
Posté le 13-04-2005 à 17:00:34  profilanswer
 

n°1994691
Spud
Posté le 13-04-2005 à 17:03:18  profilanswer
 

si on resume, le root.cer est doit etre ajouté sur ton client et ton serveur comme certificat d'autorité de certification mais aussi comme certificat client.

n°1995298
vince-p
Posté le 14-04-2005 à 10:32:29  profilanswer
 

J'ai essayé peap couplé a mschapv2 au lieu de eaptls
j'ai deux messages du coté serveur dans les fichiers qui tracent:  
1 avertissement:
L'accès a été refusé à l'utilisateur 000e359e910e.
 Fully-Qualified-User-Name = CHALES\000e359e910e
 NAS-IP-Address = <not present>  
 NAS-Identifier = <not present>  
 Called-Station-Identifier = <not present>  
 Calling-Station-Identifier = <not present>  
 Client-Friendly-Name = 3com200
 Client-IP-Address = 10.1.8.200
 NAS-Port-Type = <not present>  
 NAS-Port = <not present>  
 Policy-Name = <undetermined>  
 Authentication-Type = PAP
 EAP-Type = <undetermined>  
 Reason-Code = 8
 Reason = L'utilisateur spécifié n'existe pas.  
 
 
1 erreur :
une requete d'acces a été recu a partir du client 3com avec un attribut de signature qui n'est pas valide
 
Cette erreur est logique car dans le message d'avertissement les attributs sont "not present"
 
Dans ma stratégie d'acces distant j'ai enlevé dans l'onglet "avancé" les attributs supplementaires et j'ai mis comme "specification a remplir l'adresse ip client (ici ma borne "3com" ) afin de reduire au maximum les restrictions!!!!
camarche toujours pas .je ne sais plus quoi faire!!

n°1995709
Spud
Posté le 14-04-2005 à 15:09:16  profilanswer
 

apparement avec peap-chap, il y aussi une histoire de certificat sur le serveur mais tu as une case à cocher (dans la config du pc wifi) si tu ne veux pas valider le certif du serveur

n°2049133
Guilz
Summerized
Posté le 01-06-2005 à 15:31:08  profilanswer
 

Spud a écrit :

apparement avec peap-chap, il y aussi une histoire de certificat sur le serveur mais tu as une case à cocher (dans la config du pc wifi) si tu ne veux pas valider le certif du serveur


chtit up  :hello:  
 
Je mets en place un wifi sur RADIUS et PEAP, et justement je ne peux me connecter que si je décoche cette case.
j'ai pourtant installé un CA sur le serveur, mais je ne suis pas sûr de la mise ne place du certificat.
Qqun pourrait m'éclairer sur cette étape ?
 
merci :jap:

n°2049248
Spud
Posté le 01-06-2005 à 16:48:22  profilanswer
 

il est probable que tu n'as pas installé le certificat de l'autorité de certification qui a emis le certificat du serveur. Ce certificat de l'autorité de certification doit etre installé sur ton pc wifi afin que ton pc puisse authentifier le certificat que lui envoi le serveur.

n°2049301
Guilz
Summerized
Posté le 01-06-2005 à 17:41:41  profilanswer
 

J'ai exporté un certificat (.cer) de la CA que j'ai créée sur mon serveur et je l'ai installé sur mon post client, si c'est ce dont tu parles.
 
Pour info, dans le log du serveur, à chaque tentative, j'ai :
User ... access denied
...
Reason : The supplied message is incomplete. The signature was not verified.
 

n°2049803
Guilz
Summerized
Posté le 02-06-2005 à 09:57:02  profilanswer
 

J'ai trouvé une aide sur le support MS où ils me proposent 2 solution :  
 
Method 1: Disable certificate validation on the client computer
-> donc c'est ce que je fais actuellement pour pouvoir me connecter, mais vu que je ne reconnais pas le serveur, ça fait une couche de sécurité en moins, non ? sinon à quoi sert le certificat ? Je trouve bizarre que MS propose une telle solution sans avertir qu'elle est moins sécurisée... (dites moi si j'ai faux)
 
Method 2: Install the trusted root certification authority on the client computer
-> Je l'ai fait pourtant, et rien de mieux ...
 
le lien au cas où : http://support.microsoft.com/defau [...] -us;838502

n°2049837
Spud
Posté le 02-06-2005 à 10:40:22  profilanswer
 

désolé, je vois pas d'ou peut venir ton pb :(

n°2049940
Guilz
Summerized
Posté le 02-06-2005 à 11:58:08  profilanswer
 

J'ai peut-être une idée, mais je trouve pas beacoup de doc dessus alors je la soumets ici, si qqun a une réponse ;
 
Les clients sont dans un domaine réseau alors que j'ai créé le serveur RADIUS/CA sur une machine qui n'y est pas. L'authentification marche bien, mais est-ce possible que celà empêche la reconnaissance de l'authorité de certification ?
 
merci

n°2050644
ptrogoff
Posté le 02-06-2005 à 21:32:46  profilanswer
 

pourquoi t'achète pas un routeur wifi avec serveur radius embarqué tu te ferais pas chier ;)
y a une bôite francaise qui fait ca .
www.linux-services.fr dans boutique

n°2050910
Guilz
Summerized
Posté le 03-06-2005 à 09:26:15  profilanswer
 

ptrogoff a écrit :

pourquoi t'achète pas un routeur wifi avec serveur radius embarqué tu te ferais pas chier ;)
y a une bôite francaise qui fait ca .
www.linux-services.fr dans boutique


j'ai des cisco AP 1230 mais c'est pour un réseau d'entreprise, donc potentiellement bcp d'utilisateurs qu'il sera plus simple de gérer sans configurer les AP à chauqe fois ;)

mood
Publicité
Posté le   profilanswer
 


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Windows & Software

  Authentification radius wifi

 

Sujets relatifs
Couverture Wifi Restaurant + Bar / 2 Antennes[résolu] wifi freebox, ne veut pas d'un autre PC
Renouvellement d'IP via WIFIconfig PC/WIFI
clé WEP pour portable wifidébit wifi très lent
pour le wifi, PCI ou PCMCIA ??AHAH probl stabilite wifi wrt54gs
Conseil pour un réseau WifiComment faire?Routeur->Pc(equipéWifi)->Portable(wifi)
Plus de sujets relatifs à : Authentification radius wifi


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR