problème de policy avec windows 2003 IAS

[madev]

Bonjour,

Je suis en train de monter une maquette d'autentification d'utilisateurs et de machines avec 802.1x en filaire. J'utilise un windows serveur 2003 entreprise (ias + ad + ca), des switchs 3com 5500G, et des machines XP SP2.

J'ai une policy qui authentifie mes utilisateurs qui fonctionne très bien (utilisateur dans l'ad, affectation de vlan sur le switch, etc.)


Je veux que tous les utilisateurs externes (tous ceux qui ne sont pas dans mes règles), soient mis dans un vlan particulier. Il est normalement possible de définir un vlan guest dans le switch qui le fait, mais je ne peux pas avec les 3com. Lorsque que j'utilise la fonction "dhcp-launch", le vlan guest ne peut pas être appliqué, et j'en ai besoin.

Bref, je veux faire une policy qui prendrai tout le monde, avec toutes les autentifications possibles. Mais lorsque je test avec un domain/login qui n'est pas dans mon AD, le radius ne prend même pas la requête en compte (il ne regarde aucune policy, et ne fait rien). Dans les logs j'ai le message suivant :

Reason-Code = 5
Reason = The user account domain cannot be accessed.

Comment faire pour que mon radius prenne en compte les requêtes de domain qu'il ne connait pas ?

Merci pour vos réponses.

[madev]

Bon, j'ai réussi à virer cette option sur mon switch qui ne me servait à rien en faite, mais je suis quand même interessé pour faire différentes policies de guest.

[Koj]

Attention dans IAS la validation des régles est par séquence de validation comme les firewalls.
Premier régle validé, le séquenceur s'arrête.
Et vu que toutes tes utilisateurs sont des guest, ta regle pour ton domaines doit forcément être au dessus.

1 - regle d'activation du port pour tes utilisateurs du domaines
2 - regle d'activation pour les visiteurs.

Moi je ferais :
1 - activation et changement de VLAN (celui du domaine)
2 - activation et changement de VLAN (celui des guest)

T'es pas obligé d'utiliser le guest vlan, tu peux volontairement attribuer un VLAN ID8 pour les étrangers.
Ca t'evitera notement d'utiliser le guest vlan pour les visiteurs Wifi et les visiteurs cablés. (si t'as pas la fonction d'isolation, ils se verront tous)

Koj

[madev]

J'ai bien placé ma règle pour les invités en dernier, il n'y a pas de problème la dessus à priori.

Le problème, c'est que ias ne regarde aucune règle, et rejette en bloc toute demande dont l'user-name n'est pas connu (peu importe la règle)

L'erreur que j'ai n'est pas qu'il rentre dans une règle qui ne lui correspond pas, ou qu'il ne voit pas de règle qui lui correspond, mais simplement que l'user n'est pas connu.

[madev]

Je relance le sujet car je n'ai toujours pas trouvé de réponse ...

Si on regarde le problème d'une autre façon, et que l'on considère que l'on a pas besoin d'identifiant pour se connecter, mais uniquement d'un certificat par exemple, ya pas une clé de registre à modifier pour dire de ne pas prendre en compte cet identifiant ?

Je sais que c'est possible avec d'autre radius, et il me semble avoir vu quelque part qu'on pouvait le faire dans les registres avec windows mais je trouve pas.

[Koj]

Tu as vérifié que ton IAS est bien enregistré auprès de ton Active Directory.
C'est comme les serveur DHCP, faut les autoriser, sinon pas d'accès.

Koj

[madev]

Oui il est bien enregistré, mais avec ce que je veux faire, en théorie il n'y aurrait même pas besoin de le faire vu que je ne veux pas aller chercher de nom dans l'active directory.

Je regarde uniquement le certificat, et vérifie la CRL.

[Koj]

Ok tu as 3 chose dans l'IAS:

Les clients RADIUS (les switchs, les firewall, les Access Point Wifi, etc...)
Les stratégies d'accès distant
Les stratégies de demande de connexion

Tu as quoi pour les 2 dernieres. (donne le détail complet)

Koj

[madev]

J'avais un problème de base, qui faisait que lorsque qq'un se connectait avec un nom pas connu par l'AD, l'ias le rejettait directement sans même regarder les policies. J'ai dévié mon problème en partant du principe que je ne voulais pas regarder du tout si le nom était dans l'ad, et n'utiliser qu'un certificat. Je ne sais donc pas si c'est possible, et comment faire.

Avec un autre radius sous linux, j'ai une option pour ça, donc ça doit être possible avec windows.


Stratégie demande de connexion : j'accepte tout, j'ai laissé celle par défaut qui a comme paramètre l'horaire 24/24

Stratégie acces distant : pour l'instant j'ai du eap-tls avec le nom de la machine dans l'ad, mais je voudrais enlever la vérification du nom