Forum Clubic

Question: Quelqu'un a t'il deja mit en place un serveur Radius avec EAP PEAP? (page 2)

Salut,

non il ne faut pas choisir serveur Web mais création avancée d’un certificat. Apres pour les choix du type de cryptographie tu auras d’autres possibilités. Si celle mentionnée dans le tuto n’est pas dispo, alors laisse le choix par défaut :wink:

Salut, :hello:

Bah en fait c’est en prenant “création avancée d’un certificat” qu’il me propose de sélectionner “serveur Web” et c’est celui qui se rapproche le plus prés de celui du tuto car il me demande mon Nom, Nom de l’entreprise etc … maintenant si je laisse celui par défaut c’est “Administrateur”. en prenant celui ci le “Fournisseur de services cryptographiques” me propose 2 choix : “Microsoft Enhanced Cryptographic Provider v1.0” ou alors “Microsoft Base Cryptographic Provider v1.0” :etonne2:

autre qu’ “Administrateur” j’ai “Utilisateur” en modéle de certificat qui en le prenant me propose exactement les mêmes choix qu’ “Administrateur” commes 2 autres modéles de certificats proposé aussi qui sont “Agent de récupération EFS” et “EFS basique”.

Le dernier modéle de certificat proposé est “Autorité de certification secondaire” en le selectionnant il me repropose à nouveau d’indiquer mon Nom, le Nom de l’entreprise etc … et le “fournisseur de services cryptographiques” ne me propose plus que “Microsoft Enhanced Cryptographic Provider v1.0”

Lequel choisir, je dirai Administrateur non ?? ou Utilisateur cela dit :neutre: en tout cas encore et toujours merci pour tes réponses qui m"aide :super:

Ok en fait il faut créer ce modèle de certificat car aucun de ceux dispo ne conviennent. Le plus proche est “serveur web” mais il ne génère le certificat que pour l’echange de clefs, alors que Radius à besoin de son certificat pour l’echange ET la signature.

La solution est de procèder commme suit :

Ouvre mmc.exe
Ajoute le module autorité de certification.
Déroule l’arborescence et fait un clic droit sur modèles de certificats et choisi prise en charge. Ca va t’ouvrir une nouvelle fenetre.
La dedans tu auras un modèle qui s’appelle “computer” tu fais un clic droit et tu le dupliques.

Ensuite tu suit les screenshot du documents que j’ai mis à ta dispo ICI pour créer le nouveau modèle.
Une fois que c’est fait, tu fermes la fenetre des templates, tu clic droit sur modeles de certificat et tu choisi nouveau > modèle à délivrer.

Normalement dans la liste tu devrais retrouver le certificat que tu viens de créer.
Par contre je n’arrive pas à intégrer ce nouveau modèle dans la liste des modèles dispo sur le site web de certificats. Peut-etre tu auras plus de chance que moi, car apparement il faut une version Entreprise de Srv2K3 pour que cela fonctionne, et moi je suis en version standard.
Edité le 05/02/2008 à 12:30

ok pour la mmc.exe par contre quelques questions, il me faut bien un certificat pour la signature et l’echange malgrés que je sois en EAP-PEAP ?? ( logiquement oui car c le coté serveur si g tout compris) ensuite pour en revenir à la mmc donc j ai bien mon modéle de certificat “ordinateur” mais ton lien FTP n’a pas l’air de fonctionner

3 Février 2008: Suite à une défaillance matérielle, l’upload web n’est plus mis en prod (les fichiers restent sur le tampon d’upload).
Il est donc impératif de renseigner les champs d’email pour etre notifies de la mise en prod des fichiers.
L’upload FTP sera probablement aussi perturbé.
Les fichiers se trouvant sur la machine HS, sont bien sur, inaccessibles.

Pour l’integration si tu sais comment faire ça devrait le faire sachant que je suis sur un Srv2K3 R2 j attend de tes news pour le FTP :wink:


oups j'ai rien dit pour le FTP impec nickel j te remerci :super:

par contre dans la fenetre propriétés du nouveau modéle dans l’onglet “Subject Name” ça ne serait pas plus simple de construire à partir de l’active directory ?? genre par le UPN ?? :neutre:

Je viens de suivre ta doc malheureusement qd je fais clic droit sur modeles de certificat et que je choisi nouveau > modèle à délivrer.
je ne retrouve pas le certificat precedement créé :confused:
Par contre si je fais clic droit sur modèles de certificats et choisi prise en charge je retrouve bien le certificat
Edité le 05/02/2008 à 14:45

Oups !! Tu es donc confronté au même problème que moi !! D’après mes recherches ca n’est possible qu’avec Win2003 Entreprise server :frowning:

D’après ce white paper de MS : technet.microsoft.com… qui détail pas à pas la mise en place de RADIUS et IAS
et plus particulèrement celui-ci : www.microsoft.com… qui details la mise en place de IAS en général, et des certificats en particulier, la méthode décrite consiste à utiliser un certificat généré par une autorité de confiance (VeriSign).

La méthode que je t’ai donnée ne semble fonctioner qu’avec les versions Entreprise et Datacenter de W2k3 :frowning:
Edité le 05/02/2008 à 15:11

erf merde :frowning: il me semblait bien avoir vu ça en effet ou alors je crois que ça se paye mais bon pas tip-top :frowning:
Il existe forcement une autre methode de toute façon, celle décrite dans la doc de wifiradis n’as pas moyen de fonctionner avec l’AD ?? :arf:

Si, le problème c’est le certif, vu qu’il faut obligatoirement un certif qui serve pour l’authentification des clients et des serveurs. Et dans w2k3 ils n’en existe aucun. D’ou l’obligation d’en créer un :frowning:

Ne nous laissons pas abattre !!! :non:

Bon, trop de certif tue le certif, du coup j’ai tout formaté et je reprend à Zero, je finis les mises à jours de Win2k3 et à 14H j’attaque.

Conscernant le tuto wifiradis, j peux le suivre en entier sans risque de tout planter tu crois ?? Le probléme c’est qu au moment de l’installation des Services de Certificats je ne peux pas mettre “Autorité racine autonome” comme lui si ?? il faut que je mette “Autorité Entreprise” logiquement, mais bon aprés, est ce que ça va m empecher d’utiliser le certificat créé avec l’ AD ça j en ai aucune idée :frowning:

Dans tous les cas lors de ma premiere tentative d’installation j’avais suivi le tuto mot pour mot, j avais le meme certificat, la meme Génération du certificat X509 et au final lors de la configuration de l’installation de stratégie d’accés distant, toujours le meme type d’erreur, “nous ne trouvons pas de certificat pouvant fonctionner avec EAP-PEAP”.
Comme s il ne trouvai pas le certificat precedemment créé :confused:

Résultat que faire ?? !!

Puisqu’il n’y a que toi qui à l’air de te soucier de mon probléme :frowning: Si tu peux m’eclairer sur ces differents points tu srai particulierement bien sympa (meme si y a aucun doute la dessus de ske g pus voir ) lol :super:

Salut,

effectivement repartir de 0 peut parfois aider à résoudre les problèmes. Pour ce qui est de la CA, crée une autorité autonomme. En effet d’apres les sites technet microsoft, l’auto enrollment des clients et serveurs peut se faire avec une CA racine d’entreprise, mais uniquement sous les versions Entreprise et Datacenter de w2k3.

Fais bien attention quand tu vas générer et importer tes certifs. On verra ce que ca donne.

c’est parti j me lance j te tiens au courant :wink:

Bon, bah plutot bonne nouvelle, mon parametrage fonctionne :kaola: :clap:

Maintenant aprés un test sur un USER, j’ai bien la fenetre d’authentification qui s’ouvre, avec Nom d’utilisateur :
Mot de Passe :
Domaine :

Seulement une fois les champ renseigné la fenetre se ferme, ça affiche Validation de l’identité, et Hop ça recommence, la fenetre s’ouvre de nouveau avec pareil nom d’utilisateur etc … et ça sans fin :confused:

Qd je vais voir les logs du serveur j’ai ça : Un message de requête d’accès a été reçu à partir du client RADIUS Borne Wifi avec un attribut de l’authentificateur de message qui n’est pas valide. une idée ??

Ca me rappelle mes problèmes pour installer IPSEC avec des certificats. A priori je pense qu’il essaye de s’authentifier avec un code qui n’est pas le bon.

Vérifie que les passphrases sont bonnes (attention à la casse).

Vérifie egalement ca : [quote=“Compte supprimé”]
Product:

Windows Operating System

ID:

17

Source:

NPS

Version:

6.0

Symbolic Name:

RADIUS_E_SIGNATURE_REQUIRED

Message:

An Access-Request message was received from RADIUS client %1 without a message authenticator attribute when a message authenticator attribute is required. Verify the configuration of the RADIUS client in the Network Policy Server snap-in (the “Client must always send the message authenticator attribute in the request” checkbox) and the configuration of the network access server.
[/quote]


Salut,

une autre option concerne la longueur du “shared secret”. Certain AP ont une longueur de shared secret max, meme si tous les caractères rentrent, il va automatiquement la tronquer.
Essaye un mot de passe plus court, ou essaye d’augmenter la longueur du secret au nombre max de caractères supportés par ton AP, synchronise ensuite avec IAS, ca devrait aller

Salut,

J’ai bien vu ton message seulement actuellement c’est la borne qui ne veut plus rien savoir, décidement je ne vais jamais y arriver, je suis entrain d’essayer de la reconfigurer convenablement, je te tiens au courant des que c’est fais, le problème vient peut etre de là en pluss

Oui tout à fait. Pour moi c’est un pb avec ta borne. Mais ceci dit puisque tu la reconfigure essaye un mot de passe plus court (genre 6 caractères) pour tester, et augmente ensuite si ca marche :wink:

tu sais quoi ??? ça fonctionne :icon_biggrin:

J’ai un peu galéré avec la borne mais tout fonctionne ça le fait, en tout cas j’te remercie pour toute l’aide que tu m’as apporté mon secret partagé c t le meme que dans la doc donc ça ne pouvait que fonctionner :slight_smile: Bon maintenant il me reste à tester le Radius sur des pistolets Falcon, et à créer un Vlan pour qu’une personne venant de l exterieur puisse se connecter seulement à internet sans voir le réseau Lan :slight_smile: j’rajoute Résolu, et si j’galere pour mon Vlan j t appel ?? lool

Merci pour tout

Content que tu aies pu t’en sortir !! Ouf!! Admins réseaux c’est galère parfois :smiley:

@++ pour le prochain problème :wink:

salut g déja mise en place la méthode EAP-PEAP a qui sa leur concerne le sujet m’envoyer leur email et leur cordonné sur kharrat.faysal@yahoo.fr
g un petit problem je veux que la demande d’authentification soit feusable a chaque connection or se n’est pa le ca car la demande du login/mot passe ce fait une seul foit l’or de la 1 connection doc je veux enforcé l’utilisateur a s’autentifier a chaque connection
merci pour votre aide


envoi moi ton email sur [b][i]kharrat.faysal@yahoo.fr[/i][/b] et tes cordonné surtout comme tu es d'ou ton nom ta proffession et je vous éderais g déja mis en eouvre eap-tls et eap-peap g tout un rapport détailler que j'ai fait moi méme sur ce sujet A+