Ich versuchte heute einen IAS in Verbindung mit AD als Radius Server zu testen, was mit mässigem Erfolg gesegnet war.

Ich habe auf einem Testserver 2003, der als Domaincontroller dient, im AD ein paar Test-User angelegt.
Dann hab ich IAS installiert (Software..Windowskomponenten..).

Anschliessend den IAS im AD registriert. Soweit so gut.
Im IAS habe ich dann den "Client" konfiguriert, im Test ist das ein Linux-Server. Einen "Secret" hab ich auch konfiguriert, er heisst "ias-sekret".

Vom Linux-Server aus hab ich dann versucht den Radius zu testen mit der Anwendung "radtest".

Synthax radtest:

radtest user password radius-IP:Port nas-port-number secret

Also in meinem Fall gab ich auf der Linux Kiste ein

radtest testuser testpass 172.16.2.3:1812 10 ias-sekret

Ich bekam immerhin ein "rejected", und im IAS Protokoll sehe ich auch den Zugriffsversuch. Die Verbindung an sich scheint also zu klappen.

Wiso wurde aber trotz richtigem Passwort die Anfrage per Radiusprotokoll abgelehnt?
Jemand Erfahrung damit?

Ich will den IAS zukünftig für alle möglichen Dinge benutzen, bei denen man eine AD-Userauthentifizierung per Radiusprotokoll benötigt wird.

Hmmm..

bei etwas komplexeren Fragen kommt hier wenig rüber, wenn nicht gerade Dr. Cal77 da ist. Macht ihr alle nur Helpdesk-Support?

Ich muss nochmal die RAS Richtlinien checken.
Irgendwo ist ein Fehler.

Hallo Spacyfreak

Hast Du in den Remote Access Policies die von Linux unterstützten Verschlüsselungen aktiviert? Ich habe keine Ahnung von Linux, aber bei unseren Box-FireWalls war das mal ein Problem.

Ausserdem ist auch der Haken "Request must contain the Message Authenticator attribute" bei den Radius-Clients eine Hürde (bei uns deaktiviert).

Gruss, Stephan

PS. Ausserdem denke ich nicht dass hier nur Helpdesk Supporter sind, aber wer arbeitet den schon vor 08:00 Uhr?

Danke Stephan,

ja, den Haken "Request must contain.." hab ich auch raus. Das stimmt.

Ja, es gibt noch einige Punkte, die ich nochmal abchecken sollte. Ich poste dann das Ergebnis.

PS. Ich selber wäre ein schlechter Helpdesk-Betreuer, zu wenig Ahnung davon.

Danke Stephan, du hast mich auf die richtige Spur gebracht. Es lag an den Verschlüsselungsarten die standartmässig aktiviert sind, von meinen Public Access Controllern jedoch nicht unterstützt werden.
Einzustellen unter RAS-Richtlinien..Profile...Verschlüsselung.

Ansonsten - toll, wie man mit Microsoft Servern arbeiten kann. Nachdem ich mich nun über ein Jahr fast ausschliesslich mit Linux beschäftigt habe und mich mit kryptischen Kommandos abgefunden hatte, war das Mausklicken ein echtes Erlebnis! Muhaha.

Die Microsoft Seiten zu IAS in der Technet sind sehr brauchbar übrigens. Mit IAS kann man sehr einfach jeden möglichen Network Access Server oder Public Access Controller oder nennen wir es auf deutsch WLAN Access Point oder RAS Einwahl Hardware, die Radius Protokoll verstehen, dazu bringen, Benutzer gegen Active Directory zu authentifizieren. Und das braucht man eigentlich immer wieder, gerade in grossen Umgebungen.