Posté le: Mer Mar 08, 2006 12:46 pm Sujet du message: wpa radius
Bonjour à tous,
J'utilise un serveur radius ACS de cisco pour sécuriser mon réseau Wifi.
Je voudrai coupler le chiffrement wpa avec le protocole 802.1x.
Mon client s'authentifie bien avec la borne et envoie une request radius Access-Request vers mon serveur ACS et ce dernier lui renvoie une requête radius Access-Challenge.
La connexion ne va pas plus loin.
Posté le: Lun Mar 13, 2006 2:29 pm Sujet du message:
Un extract d'un debug (authentication si je me rappelle bien) pourrait être utile pour voir à quel moment il jette la connexion. _________________ Nicolas Papin
\"On n'arrête pas le progrès, même en se mettant devant !\"
Posté le: Jeu Mar 16, 2006 11:30 am Sujet du message:
j'avance doucement mais j'avoue que j'ai beaucoup de difficultés.
Voici un post que j'ai mis sur d'autres forum, vous saurez où j'en suis comme ça :
Je voudrais mettre en place un réseau Wifi avec comme sécurité du WPA entreprise (802.1x EPA PEAP).
J'utilise pour ça des bornes légères Aironet configurées par un controller Airespace.
Comme radius, un serveur ACS de Cisco est installé sur un serveur 2003 qui fait également office de contrôleur de domaine AD.
J'ai procédé en plusieurs étapes pour arriver à mettre cette sécurité :
- mise en place de clé WEP statique --> aucun problème
- mise en place de clé WPA PSK --> aucun problème
Lorsque j'arrive à la sécurité voulue, le client s'associe bien avec ma borne, mais un problème survient lors de son authentification auprès du serveur radius.
Le radius semble bien configuré. J'utilise pour l'instant une base de données utilisateurs interne au serveur ACS, et non la base d'utilisateurs du domaine windows.
J'ai analysé le traffic sur la carte réseau du serveur et j'ai remarqué que le client et le radius discutait bien.
Le client envoie par son port 32769 une trame sur le port 1812 du serveur et de type access-request
Le serveur lui répond par le port 1812 une trame sur le port 32769 du client et de type access-challenge
Au bout de 3 trames access-request du client, le serveur lui répond par une trame de type access-reject, toujours en utilisant les mêmes ports.
Le client NAS est le controller.
J'ai ensuite regardé dans les différentes logs des équipements.
Sur le controller, aucun message d'erreur.
Sur le serveur ACS, dans les reportings 'Failed Attempts', dans la partie Author-Failure-Code, voici le message d'erreur : EAP-TLS or PEAP authentification failed during SSL handshake.
Voyez-vous ce qui ne va pas ?
Cela fait une semaine que je suis dessus et je commence à desesperer.
Posté le: Jeu Mar 16, 2006 5:30 pm Sujet du message:
Voila un topic super interessant
Question subsidiaire, selon le message de l'ACS, il te mets une erreur EAP-TLS ou PEAP, est-ce bien la méthode que tu utilises ?
Si c'est le cas, TLS et PEAP ont besoin d'un certificat émis par le NAS si je me trompe pas, je l'ai fait avec un serveur Radius windows 2003 et il fallait un certificat (utilisateur ou machine pour que cela fonctionne).
Donc comment veux tu que tes end-users se connectent ? login/mdp ou certificats (en plus du PSK qui est la pour le cryptage) ? _________________ Nicolas Papin
\"On n'arrête pas le progrès, même en se mettant devant !\"
Vous ne pouvez pas poster de nouveaux sujets dans ce forum Vous ne pouvez pas répondre aux sujets dans ce forum Vous ne pouvez pas éditer vos messages dans ce forum Vous ne pouvez pas supprimer vos messages dans ce forum Vous ne pouvez pas voter dans les sondages de ce forum
wpa radius
