Các bạn cho mình hỏi cách cấu hình cho máy client WINXP sử dụng chứng thực 802.1X trong mạng Wireless..

Client ------ Wireless Router -------- ACS server

Hajime thử cấu hình trên ACS server là một AAA server, Wireless Router là AAA client, đã add client user trong ACS server.... Đã vào client thử enable 802.1X lên rồi, nhưng không thể kết nối vào wireless (Unable to certificate...???? )

Help me!!
Thaks,

Hajime

Truớc đây tôi đã từng cố gắng thực hiện nhưng không thành công. Mong diễn đàn có ai thực hiện được cho chúy kinh nghiệm.

Cám ơn

Anyone help? Càng chi tiết càng tốt !!! :) Đang bực cái vụ này đây..!!!

Hổng ngờ anh Duy cũng chung hoàn cảnh với Hajime...:)

Anyone help? Càng chi tiết càng tốt !!! :) Đang bực cái vụ này đây..!!!

Hổng ngờ anh Duy cũng chung hoàn cảnh với Hajime...:)

Xin lỗi anh Hajime, có thể cho em biết ACS Server là gì không ? Tại sao anh không dùng Win2k để làm chức năng xác thực.

Không ai giúp một trường hợp thực tế à.. Bí mật công nghệ chăng??? :)

To trivialhuman:

À, dùng thằng ACS tại Hajime sẵn có thằng đó thì dùng đó mà..:) Bác muốn biết ACS là thằng nào, thì đọc trong BCRAN của CCNP, phần AAA đó.. Biết ngay thôi mà..:)

Hi Hajime
Vấn đề nhận thực này mặc dù phức tạp trên lý thuyết nhưng cấu hình cũng không phải là quá phức tap.

Mình có một số kinh nghiệm chia sẻ với bạn:

I. Nên trả lời các câu hỏi sau trước khi thiết kế hệ thống WLAN
1. Hệ thống của bạn là IBSS hay ESS?

2. Preshared key hay 802.1x?
Nếu mạng WLAN của bạn nhỏ, vài AP, preshared key là hợp lý. 802.1x dùng trong trường hợp mạng lớn, cần sự quản lý tập trung linh hoạt cũng như nâng cao khả năng điều khiển mạng

3. Nếu là 802.1x, bạn sẽ chọn kiểu EAP nào?
Chi tiết bạn có thể đọc ở chương 9, Aironet Wireless LAN Fundamentals (AWLF) Student Guide của Cisco.

4. Giao thức bảo mật dữ liệu là gì? WEP, TKIP, CCMP hay là tổ hợp của chúng?
http://www.wi-fi.org/OpenSection/protected_access.asp là địa chỉ bạn nên tham khảo thêm về vấn đề này

II. Chi tiết thực hiện
1. WinXP chỉ hỗ trợ nhận thực kiểu PEAP hoặc EAP-TLS, nghĩa là trước đó mạng của bạn phải có hệ thống nhận thực thông qua Digital Certificates. Triển khai hệ thống Digital Certificate khá phức tạp và phiền hà, nên nhận thực thông qua các kiểu này thường chưa phổ biến lắm.

2. Mô hình bạn đưa ra là mô hình bảo mật theo chuẩn 802.1x. Theo phân tích trên thì bạn nên dùng kiểu EAP là LEAP- chuẩn của Cisco nhận thực theo username + pass. Kiểu EAP này cho phép bạn dùng user local DB hoặc DB của WinNT. Theo ý kiến của riêng mình thì hầu hết các mạng LAN của các doanh nghiệp chỉ dùng đến nhận thực qua username+pass trên cơ sở dữ liệu WinNT, chưa có hoặc rất ít dùng Digital Certificate System

3. Sau đó là chọn chuẩn mã hóa cho dữ liệu. Bạn có thể chọn dùng WEP, hoặc dùng WEP với các cải tiến của Cisco, hoặc dùng TKIP chuẩn, cao hơn có thể dùng CCMP, hoặc có thể dùng kết hợp, tùy theo các VLAN khác nhau với các yêu cầu bảo mật khác nhau mà dùng.

III. Thực tế triển khai
1. Mình đã thử tất cả các kiểu bảo mật mã hóa với kiểu nhận thực LEAP. Các mô hình với Digital Certificates chưa có điều kiện thử. Có một số vấn đề cần chú ý:

2. Cần phải cài thêm cái driver hoặc trình tiện ích riêng của các hãng cho card Wireless của họ nếu bạn muốn dùng các kiểu EAP đầy đủ

3. Chú ý việc cấu hình kết nối giữa Authenticator và Authentication Server

4. Nếu là Cisco, mọi thứ khá đơn giản với Web-based config & ACM utility

Cheer!

Thanks bác, để rãnh em sẽ làm thử liền...:)

À, cái này em mới làm LAB để thử nghiệm thôi, chứ chưa phải là triển khai thực tế gì cho cam.. Cám ơn về các vấn đề bác đã trình bày rất nhiều!

Thân,

em gặp rất nhiều các thuật ngữ như: Preshared key, 802.11i, 802.1x, các kiểu EAP, WEP, TKIP, CCMP , mấy bác xin giải thích giụp`1

Các bạn cho mình hỏi cách cấu hình cho máy client WINXP sử dụng chứng thực 802.1X trong mạng Wireless..

Client ------ Wireless Router -------- ACS server

Hajime thử cấu hình trên ACS server là một AAA server, Wireless Router là AAA client, đã add client user trong ACS server.... Đã vào client thử enable 802.1X lên rồi, nhưng không thể kết nối vào wireless (Unable to certificate...???? )

Help me!!
Thaks,

Trên winxp với authen 802.1x chỉ hỗ trợ PEAP hoặc smartcard nên bắt buộc phải có certificate server nữa mới được.

Client-------->AP---------->RADIUS Server--------->AD and Certificate Server.

Thay cac ban cung dang thac mac khong biet lam nhu the nao tui cung thay kho chiu muon chia se cho cac ban biet .

Mo hinh

Domain Controler-------Access Point ))))))) ((((( Wireless client
nghia la toi co mot DC ket noi voi Access Point dong vai tro la Radius dung 802.1x de chung thuc cho nhung user co card khong day ket noi vao. O day toi dung PEAP.

Neu day la mo hinh cac ban hoi thi mail cho toi hoac toi se post mot cach chi tiet va co ca phim de coi nua do.

Toi cung dang ngien cuu ve chung thuc cho he thong Wireless, con gap nhieu kho khan qua. Bac co tai lieu gi gui cho toi xin mot it. Dia chi mail cua toi la nettechvn@yahoo.co.uk.

Cam on nhieu.

Bay gio minh dang chuan bi on tap de bao cao tot nghiep chac phai qua tet moi ranh ban nao muon thi co the mail bay gio cho minh de sau tet minh gui cho

Xin lỗi vì đã câu topic này lên, không hiểu bạn tech còn tham gia diễn đàn nữa không? tôi cũng đang gặp vấn đế như các bạn ở đây. Các bạn giúp mình nhé. Địa chỉ mail: tungnm80@yahoo.com hoặc cho mình địa chỉ mail; mình sẽ gửi mail cho các bạn.
Cheers,

Xin lỗi vì đã câu topic này lên, không hiểu bạn tech còn tham gia diễn đàn nữa không? tôi cũng đang gặp vấn đế như các bạn ở đây. Các bạn giúp mình nhé. Địa chỉ mail: tungnm80@yahoo.com hoặc cho mình địa chỉ mail; mình sẽ gửi mail cho các bạn.
Cheers,

:)) :)) :))

topic này "ngủ" đã 2 năm rùi, vầy mà bác này còn móc lên :D

sao bác ko làm một topic mới => để cho nó "mới" :)

:):)

Xin lỗi vì đã câu topic này lên, không hiểu bạn tech còn tham gia diễn đàn nữa không? tôi cũng đang gặp vấn đế như các bạn ở đây. Các bạn giúp mình nhé. Địa chỉ mail: tungnm80@yahoo.com hoặc cho mình địa chỉ mail; mình sẽ gửi mail cho các bạn.
Cheers,

Hi anh !!! Anh có thể gởi câu hỏi qua mail sau : tranmyphuc@wimaxpro.org

Chúc anh vui !!!

Hi, cảm ơn các bạn đã trả lời, tôi gửi mail cho bạn tranmyphuc1988 rồi đó :)

chào các bác!
em làm chứng thực wireless bằng RADIUS Server trên widows server 2003 trong môi trường domain thì thành công rồi nhưng em muốn hỏi là khi một máy của khách đến công ty họ muốn truy cấp wireless có chứng thực bằng RADIUS (máy client đó kô joint vào domain) thì làm như thế nào em làm mãi mà chưa được mong các bác giúp đỡ

theo như nô hình này(Client-------->AP---------->RADIUS Server--------->AD and Certificate Server.) thì những máy phải joint vào domain thì mới có thể chứng thực được bằng RADIUS Server còn những máy ko joint vào domain thì có thể chứng thực được ko, bác nào có tài liều thì cho mình xin với.

Thay cac ban cung dang thac mac khong biet lam nhu the nao tui cung thay kho chiu muon chia se cho cac ban biet .

Mo hinh

Domain Controler-------Access Point ))))))) ((((( Wireless client
nghia la toi co mot DC ket noi voi Access Point dong vai tro la Radius dung 802.1x de chung thuc cho nhung user co card khong day ket noi vao. O day toi dung PEAP.

Neu day la mo hinh cac ban hoi thi mail cho toi hoac toi se post mot cach chi tiet va co ca phim de coi nua do.

chào bạn
mính cũng làm theo mô hình trên và chứng thực bằng RADIUS server trên widows 2003 thì thành công rồi, nhưng cho mình hỏi là nếu một máy không joint vào domain thì có thể chứng thực được ko mình làm mãi mà chưa được mà cũng ko biết có được hay ko nữa mong các bạn chỉ bảo.

Các anh em ơi, giúp vụ này đi nào.
Tôi cũng đang mắc như bạn QuangIT đây.
Mong sớm nhận được thông tin từ các bạn.

- bạn đọc bài viết ở dưới đây, cũng vấn đề tương tự (cùng 1 SSID, và khó nhận IP từ DHCP server),... vấn đề có vẻ hơi "nan giải", mời các bờ rồ tham gia trợ giúp:

http://www.tomshardware.com/forum/21014-43-roaming-wifi-issues-switch-ssid

chào bạn
mính cũng làm theo mô hình trên và chứng thực bằng RADIUS server trên widows 2003 thì thành công rồi, nhưng cho mình hỏi là nếu một máy không joint vào domain thì có thể chứng thực được ko mình làm mãi mà chưa được mà cũng ko biết có được hay ko nữa mong các bạn chỉ bảo.

Hi

Tôi nghĩ rằng không nhất thiết phải join vào domain thì mới xác thực 802.1x thành công được. Phần "domain" trong hộp thoại 802.1x của máy client có thể để trống mà vẫn xác thực 802.1x thành công.

Em chào Anh!
Anh có thể hướng dẫn cụ thể được không nếu có hình ảnh thì càng tốt em loay hoay mãi mà chưa được mà công việc thì đang rất cần không còn thời gian nữa mong tất cả các bạn trong forum giúp đỡ.

HI ban!
Ban da dung Radius cua Windows ket hop voi AD thi viec xac thuc tu client bi yeu cau Domain la hien nhien.
Neu ban muon guest truy cap duoc thi ko nhat thiet phai kiem tra tai khoan va se dua guest vao vlan duoc kiem soat. Hoac neu ban muon kiem tra tai khoan truy cap cho Guest thi tren AP ban nen tro ra mot Radius khac voi local database_user, hoac Local Radius (neu Arionet 1100 or ...).
Mot so y kien.

Cấu hình xác thực bằng RADIUS server


http://i213.photobucket.com/albums/cc155/romantic_balconies/Radius1.gif
Mạng WLAN bản thân nó là không bảo mật, tuy nhiên đối với mạng có dây nếu bạn không có 1 sự phòng ngừa hay cấu hình bảo vệ gì thì nó cũng chẳng bảo mật gì. Điểm mấu chốt để tạo ra 1 mạng WLAN bảo mật là phải triển khai các phương pháp bảo mật thiết yếu cho WLAN để giúp cho hệ thống mạng của mình được an toàn hơn.
Trong bài LAB này ta sẽ thảo luận các đặc điểm và cách cấu hình RADIUS server. Nhằm ngăn chặn những truy cập mạng trái phép mà mình không mong muốn. Khi đó client muốn truy cập vào mạng thì phải đăng nhập đúng user name và password hợp lợi. Quá trình xác thực này được điều khiển bởi RADIUS server.

Mô tả yêu cầu:
• Cấu hình RADIUS server trên Win 2003, tạo user và password cho các client dự định tham gia vào mạng
• Bật tính năng xác thực EAP Authentication với RADIUS server trên AP Aironet ( bằng webpage và CLI).
• Cho PC tham gia vào mạng, kiểm tra kết nối.

Thiết bị yêu cầu : 1 Access point Aironet 1131, 3 pc có gắn card wireless, 1 pc làm RADIUS server.

Các bước thực hiện :

1. Cấu hình RADIUS server trên win 2003:
• Cài đặt phần mềm Cisco Secure ACS v3.2 trên pc chạy win 2003 để làm server.
Double click vào file setup.exe trong thư mục chứa phần mềm ACS để tiến hành cài đặt. Màn hình setup hiện ra :

http://i213.photobucket.com/albums/cc155/romantic_balconies/Radius2.jpg
Check vào tất cả các mục để cài đặt ACS, tiếp theo nhấn Next :

http://i213.photobucket.com/albums/cc155/romantic_balconies/Radius3.jpg

Authenticate Users Using : chọn thiết bị tương ứng mà ta sử dụng. Ở đây do ta sử dung Access point là Aironet nên ta chọn là RADIUS (Cisco Aironet).
Access Server Name: tùy chọn đặt tên cho thiết bị. Ta nên đặt trùng tên với Access point mà ta muốn cấu hình để dễ phân biệt.
Access Server IP Address: Địa chỉ IP của AP mà ta cần cấu hình để PC server có thể truy cập tới AP. Trong trường hợp này địa chỉ của AP là 192.168.1.254
Windown Server IP Address: địa chỉ IP của Server làm RADIUS. Chẳng hạn như 192.168.1.1
TACACS + or RADIUS Key: đặt key cho RADIUS server phải trùng với key của AP.
Nhấn Next để sang bước tiếp theo.

http://i213.photobucket.com/albums/cc155/romantic_balconies/Radius4.jpg
Các tùy chọn trong ACS. Ta nên chọn hết để có thể sử dụng hết các tính năng của ACS.
Nhấn Next và tiếp theo nhấn Finish để hoàn thành quá trình cài đặt .
• Tạo User và password :
Giao diện chính của ACS:

http://i213.photobucket.com/albums/cc155/romantic_balconies/Radius5.jpg
Click vào nút User Setup để tạo user

http://i213.photobucket.com/albums/cc155/romantic_balconies/Radius6.jpg
Đặt tên user tuỳ chọn cho client sử dụng để truy cập. Nhấn vào nút Add/Edit để thêm vào cấu hình. Ta có thể add nhiều user tuỳ theo nhu cầu.

http://i213.photobucket.com/albums/cc155/romantic_balconies/Radius7.gif
Đặt Password cho user vừa tạo. xong nhấn nút Submit để hoàn tất .
• Ngoài ra ta có thể thay đổi cấu hình mạng ban đầu đã thiết lập trong quá trình cài đặt hoặc thêm cấu hình tùy chọn. bằng cách nhấn vào nút Network Configuration.

http://i213.photobucket.com/albums/cc155/romantic_balconies/Radius8.gif
Ta có thể tạo cấu hình tùy mục đích sử dụng ở đây. Sau khi tạo xong nhấn Submit+Restart để hoàn tất cài đặt.
Lưu ý : Phần mềm ACS đòi hỏi phải chạy trên môi trường Java. Do đó trước khi cài đặt yêu cầu phải cài Java Runtime Environment.
Sau khi setup ACS xong thì khi mở trình duyệt ACS vẫn chưa chạy. Khi đó ta chọn Tool > Internet Option > Security , chọn levlels Low để cho phép java start

http://i213.photobucket.com/albums/cc155/romantic_balconies/Radius9.jpg

2. Bật tính năng xác thực EAP Authentication với RADIUS server trên AP Aironet:

+Thực hiện trên webpage:
• Đặt địa chỉ IP của PC trùng với địa chỉ của AP. Trường hợp này địa chỉ của AP là 192.168.1.254, ta đặt cho PC là 192.168.1.2
• Kết nối giữa PC với AP thông qua cáp thẳng
• Mở trình duyệt web lên, điền địa chỉ của AP là 192.168.1.254 vào thanh địa chỉ, màn hiện đăng nhập hiện ra yêu cầu nhập user name và password. mặc định user name là Cisco, Password là Cisco
Hinh đăng nhập user name và pass
• Giao diện chính của AP

Hình giao dien chính của AP

Chọn mục EXPRESS SECURITY

Hình trong mục EXPRESS SECURITY

Chọn SSID là vnpro
Chon mục Broadcast Beacon để quảng bá SSID
Chọn mục radisus
Đặt IP của server là 192.168.1.1
Đặt Secrect key trùng với key của server pc
nhấn apply => hoàn tất cài đặt.

+Cấu hình bằng CLI:

• Vào mode config bật tính năng AAA

ap(config)# aaa new-model

• Định nghĩa AAA Server Groups

ap(config)#aaa group server radius rad_eap
ap(config-sg-radius)#server 192.168.1.1 auth-port 1645 acct-port 1646

• Cho phép xác thực trên RADIUS

ap(config)#aaa authentication login eap_methods group rad_eap

• Tạo SSID và cho phép SSID đó tham gia xác thực RADIUS, đồng thời quảng bá SSID đó qua ngoài

ap(config)#dot11 ssid ap1
ap(config-ssid)#authentication open eap eap_methods
ap(config-ssid)#authentication network-eap eap_methods
ap(config-ssid)#guest-mode

• Chỉ ra địa chỉ IP của server, port dùng để Authentication Request, port dùng để accounting request và key :

ap(config)# radius-server host 192.168.1.1 auth-port 1645 acct-port 1646 key 123456

• Vào mode interface bât tính năng xác thực trên interface và cho phép quảng bá ssid ra interface này

ap(config)#interface dot11radio 0
ap(config-if)#encryption mode wep mandatory
ap(config-if)#ssid ap1
ap(config-if)#no shut
ap(config-if)#end
ap#wr

Cấu hình tham khảo:

ap#sh running-config
Building configuration...

Current configuration : 2430 bytes
!
version 12.3
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname ap
!
enable secret 5 $1$EdQk$vBu/6AkF37mOFlG07co6i1
!
ip subnet-zero
!
!
aaa new-model
!
!
aaa group server radius rad_eap
server 192.168.1.1 auth-port 1645 acct-port 1646
!
aaa authentication login eap_methods group rad_eap
aaa session-id common
!
dot11 ssid ap2
authentication open eap eap_methods
authentication network-eap eap_methods
guest-mode
!
power inline negotiation prestandard source
--More-- !
!
username Cisco password 7 047802150C2E
!
bridge irb
!
!
interface Dot11Radio0
no ip address
no ip route-cache
!
encryption mode wep mandatory
!
ssid ap2
!
speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0 54.0
station-role root
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
--More-- bridge-group 1 spanning-disabled
!
interface Dot11Radio1
no ip address
no ip route-cache
shutdown
speed basic-6.0 9.0 basic-12.0 18.0 basic-24.0 36.0 48.0 54.0
station-role root
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
bridge-group 1 spanning-disabled
!
interface FastEthernet0
no ip address
no ip route-cache
--More-- duplex auto
speed auto
bridge-group 1
no bridge-group 1 source-learning
bridge-group 1 spanning-disabled
hold-queue 160 in
!
interface BVI1
ip address 192.168.1.254 255.255.255.0
no ip route-cache
!
ip http server
no ip http secure-server
ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag
ip radius source-interface BVI1
!
radius-server host 10.0.0.2 auth-port 1645 acct-port 1646 key 7 1446405858517C
!
control-plane
!
bridge 1 route ip
--More-- !
!
!
line con 0
line vty 0 4
!
end

3. kiểm tra kết nối :
Trước khi cho PC tham gia vào mạng, bật tín năng xác thực trên trên card wireless

http://i213.photobucket.com/albums/cc155/romantic_balconies/Radius10.jpg
Trên PC tạo kết nối với mạng có SSID là ap1 vừa được thiết lập.

http://i213.photobucket.com/albums/cc155/romantic_balconies/Radius11.jpg

Click vào nút Add

http://i213.photobucket.com/albums/cc155/romantic_balconies/Radius12.jpg

tên SSID của mạng mà mình muốn kết nối, chọn kiểu xác thực là LEAP và đánh dấu chọn vào mục Prompt for user name and password . Nhấn OK


http://i213.photobucket.com/albums/cc155/romantic_balconies/Radius13.jpg


1 kết nối được tạo ra với mạng có SSID là ap1. Để kết nối với mạng trên, ta click chuột phải và chọn conect. Khi đó server sẽ tiến hành xác thực và yêu cầu mình nhập user name và password.


http://i213.photobucket.com/albums/cc155/romantic_balconies/Radius14.jpg

Nếu client nhập sai user name và password thì sẽ không kết nối tới mạng được. khi đó trên màn hình CLI của AP sẽ báo Authentication Failed. Và bắt buộc client phải đăng nhập lại. sau khi nhập đúng user name và password thì sẽ kết nối được
Để kiểm tra kết nối ta sẽ tiến hành Ping tới server, đặt địa chỉ IP của client trùng lớp mạng với server.


http://i213.photobucket.com/albums/cc155/romantic_balconies/Radius15.jpg
=>ping thành công, kết nối hoàn tất

[ Nguồn: VnPro biên soạn ]

HI ban!
Ban da dung Radius cua Windows ket hop voi AD thi viec xac thuc tu client bi yeu cau Domain la hien nhien.
Neu ban muon guest truy cap duoc thi ko nhat thiet phai kiem tra tai khoan va se dua guest vao vlan duoc kiem soat. Hoac neu ban muon kiem tra tai khoan truy cap cho Guest thi tren AP ban nen tro ra mot Radius khac voi local database_user, hoac Local Radius (neu Arionet 1100 or ...).
Mot so y kien.

Hi
bạn có thể hướng dẫn cụ thể được kô mình đang rất cần

Hi
bạn có thể hướng dẫn cụ thể được kô mình đang rất cần

Nếu máy khách của bạn có sử dụng Wireless Utility cho loại card wireless đó thì bạn có thể sd LEAP trong Utility đó. Bạn tạo user cho khách và bỏ vào group cho phép access wireless là ok.
Nếu được bạn có thể cung cấp chi tiết các thiết bị cũng như software hiện tại của bạn k?

Hi
Mình đã cấu hình được theo mô hình chứng thực bằng RADIUS trên windows rồi nhưng có điều là môi khi wireless client kết nối thành công vào, lúc Disconnect ra và connect lại thì nó nhớ luôn user và mật khẩu lần đầu đăng nhập. mình muốn khi connect lại thì vẫn phải hiện lên cửa sổ yêu cầu gõ vào user và mật khẩu, ai đã làm và có kinh nghiệm thì xin chỉ giáo

Hi
Mình đã cấu hình được theo mô hình chứng thực bằng RADIUS trên windows rồi nhưng có điều là môi khi wireless client kết nối thành công vào, lúc Disconnect ra và connect lại thì nó nhớ luôn user và mật khẩu lần đầu đăng nhập. mình muốn khi connect lại thì vẫn phải hiện lên cửa sổ yêu cầu gõ vào user và mật khẩu, ai đã làm và có kinh nghiệm thì xin chỉ giáo

sao mãi không thấy anh em nào giúp mình

Hi ca nha!

(sorry vi may em khong viet Tieng Viet duoc)

Em co topo nhu sau :

Wireless Client )))))))) AP--------->RAS (tren Linux)------------->AD (win2k3)

Sau khi conf xong thang RAS va chay debug tren linux machine thi auth dc tat ca cac user cua domain nhung tu wireless client em khong auth duoc thong qua RAS.

Day la messages khi client auth qua RAS:

rad_recv: Access-Request packet from host 192.168.200.100:32773, id=14, length=60
User-Name = "RW"
User-Password = "123456"
Message-Authenticator = 0x88fb81831fd5ca3e7592c8e7f8285e7a
Processing the authorize section of radiusd.conf
modcall: entering group authorize for request 0
modcall[authorize]: module "preprocess" returns ok for request 0
modcall[authorize]: module "chap" returns noop for request 0
modcall[authorize]: module "mschap" returns noop for request 0
rlm_realm: No '@' in User-Name = "RW", looking up realm NULL
rlm_realm: No such realm "NULL"
modcall[authorize]: module "suffix" returns noop for request 0
rlm_eap: No EAP-Message, not doing EAP
modcall[authorize]: module "eap" returns noop for request 0
users: Matched entry DEFAULT at line 152
modcall[authorize]: module "files" returns ok for request 0
modcall: leaving group authorize (returns ok) for request 0
rad_check_password: Found Auth-Type System
auth: type "System"
Processing the authenticate section of radiusd.conf
modcall: entering group authenticate for request 0
rlm_unix: [RW]: invalid shell [/bin/false]
modcall[authenticate]: module "unix" returns reject for request 0
modcall: leaving group authenticate (returns reject) for request 0
auth: Failed to validate the user.
Delaying request 0 for 1 seconds
Finished request 0
Going to the next request
--- Walking the entire request list ---
Waking up in 1 seconds...
--- Walking the entire request list ---
Waking up in 1 seconds...
--- Walking the entire request list ---
Sending Access-Reject of id 14 to 192.168.200.100 port 32773
Waking up in 4 seconds...
--- Walking the entire request list ---
Cleaning up request 0 ID 14 with timestamp 488dc829
Nothing to do. Sleeping until we see a request.


Tren linux machine em dung NTLM_AUTH thay cho LDAP

Co bac anh chi chi gium em RAS cua em da bi error o dau vay?

Thanks.

Cho minh hoi them.La tren may ACS server minh ko len domain thi co the kiem tra duoc user co xac thuc hay ko ?.

Cho minh hoi them.La tren may ACS server minh ko len domain thi co the kiem tra duoc user co xac thuc hay ko ?.
được chứ, với ACS không cần phải DC đâu.

thank you ban.Minh da lam xong roi.Minh dang trien khai mot so tinh nang nua.tai vi he thong mang cua cty minh qua lon.Nen minh dang tap trung trien khai tren switch nua.Neu ai da trien khai qua switch bang cach su dung MAC authentication thi chi dum minh voi.

Thay cac ban cung dang thac mac khong biet lam nhu the nao tui cung thay kho chiu muon chia se cho cac ban biet .

Mo hinh

Domain Controler-------Access Point ))))))) ((((( Wireless client
nghia la toi co mot DC ket noi voi Access Point dong vai tro la Radius dung 802.1x de chung thuc cho nhung user co card khong day ket noi vao. O day toi dung PEAP.

Neu day la mo hinh cac ban hoi thi mail cho toi hoac toi se post mot cach chi tiet va co ca phim de coi nua do.

chào bạn, mình mới làm hệ thống giống như hệ thống bạn nói, nhưng cũng đang vướng mắc chưa thực hiện đc, bạn có thể mail cho mình đc kô, địa chỉ mail của mình: thanhthao1907@gmail.com .
thanks bạn nhìu nhìu.

chào bạn, mình mới làm hệ thống giống như hệ thống bạn nói, nhưng cũng đang vướng mắc chưa thực hiện đc, bạn có thể mail cho mình đc kô, địa chỉ mail của mình: thanhthao1907@gmail.com .
thanks bạn nhìu nhìu.
nếu đc bạn có mail cho tôi nưa đc ko (namdt3@gmail.com), tôi loay hoay mãi mà vẫn chưa làm đc.
trân thành cảm ơn