Привет! У меня есть 2 UAP-PRO, которые отлично работают с моим radius-сервером и проходят аутентификацию. При тех же настройках и IP-адресе UAP-AC-PRO этого не делает. Вот пример успешного события для UAP-PRO:
Network Policy Server предоставил пользователю полный доступ, потому что хост соответствовал определённой политике безопасности.
Пользователь:
Security ID: DT\sesimard
Имя учётной записи: sesimard
Домен учётной записи: DT
Полное квалифицированное имя учётной записи: DT.local/Domain Users/Stéphanie Simard
Клиентское устройство:
Security ID: NULL SID
Имя учётной записи: -
Полное квалифицированное имя учётной записи: -
Версия ОС: -
Called Station Identifier: 0A-18-D6-C2-07-8F😰tereo Plus & Design
Calling Station Identifier: BC-6C-21-C2-33-73
NAS:
IPv4-адрес NAS: 172.16.0.18
IPv6-адрес NAS: -
Идентификатор NAS: 0418d6c0078f
Тип порта NAS: Wireless - IEEE 802.11
Порт NAS: 0
RADIUS клиент:
Дружественное имя клиента: DT-Radius Client (Access Point RC 2)
IP-адрес клиента: 172.16.0.18
Детали аутентификации:
Имя политики запроса соединения: Access Point RC 2
Имя сетевой политики: Domain Users Access
Поставщик аутентификации: Windows
Сервер аутентификации: DT-SERVEUR.DT.local
Тип аутентификации: PEAP
Тип EAP: Microsoft: Защищённый пароль (EAP-MSCHAP v2)
Идентификатор сессии учётной записи: -
Информация о карантине:
Результат: Полный доступ
Расширенный результат: -
Идентификатор сессии: -
Справочный URL: -
Результаты проверки состояния системы: -
А вот пример ошибки для UAP-AC-PRO:
Network Policy Server отказал пользователю в доступе. Обратитесь к администратору Network Policy Server для получения дополнительной информации.
Пользователь:
Security ID: NULL SID
Имя учётной записи: sesimard
Домен учётной записи: -
Полное квалифицированное имя учётной записи: -
Клиентское устройство:
Security ID: NULL SID
Имя учётной записи: -
Полное квалифицированное имя учётной записи: -
Версия ОС: -
Called Station Identifier: 56-D9-E7-FE-6C-D7😰tereo Plus & Design
Calling Station Identifier: 70-14-A6-43-7F-FA
NAS:
IPv4-адрес NAS: -
IPv6-адрес NAS: -
Идентификатор NAS: 44d9e7fc6cd7
Тип порта NAS: Wireless - IEEE 802.11
Порт NAS: 0
RADIUS клиент:
Дружественное имя клиента: DT-Radius Client (Access Point RC 2)
IP-адрес клиента: 172.16.0.18
Детали аутентификации:
Имя политики запроса соединения: -
Имя сетевой политики: -
Поставщик аутентификации: -
Сервер аутентификации: DT-SERVEUR.DT.local
Тип аутентификации: -
Тип EAP: -
Идентификатор сессии учётной записи: -
Результаты журналирования: Информация для учёта была записана в локальный файл журнала.
Код причины: 49
Причина: RADIUS-запрос не соответствовал ни одной из настроенных политик запроса соединения (CRP).
Похоже, что точка доступа не передаёт Security ID, Account Domain, Fully Qualified Account Name... Есть ещё некоторые данные, которые не передаются между radius-сервером, точкой доступа и клиентом.
Network Policy Server предоставил пользователю полный доступ, потому что хост соответствовал определённой политике безопасности.
Пользователь:
Security ID: DT\sesimard
Имя учётной записи: sesimard
Домен учётной записи: DT
Полное квалифицированное имя учётной записи: DT.local/Domain Users/Stéphanie Simard
Клиентское устройство:
Security ID: NULL SID
Имя учётной записи: -
Полное квалифицированное имя учётной записи: -
Версия ОС: -
Called Station Identifier: 0A-18-D6-C2-07-8F😰tereo Plus & Design
Calling Station Identifier: BC-6C-21-C2-33-73
NAS:
IPv4-адрес NAS: 172.16.0.18
IPv6-адрес NAS: -
Идентификатор NAS: 0418d6c0078f
Тип порта NAS: Wireless - IEEE 802.11
Порт NAS: 0
RADIUS клиент:
Дружественное имя клиента: DT-Radius Client (Access Point RC 2)
IP-адрес клиента: 172.16.0.18
Детали аутентификации:
Имя политики запроса соединения: Access Point RC 2
Имя сетевой политики: Domain Users Access
Поставщик аутентификации: Windows
Сервер аутентификации: DT-SERVEUR.DT.local
Тип аутентификации: PEAP
Тип EAP: Microsoft: Защищённый пароль (EAP-MSCHAP v2)
Идентификатор сессии учётной записи: -
Информация о карантине:
Результат: Полный доступ
Расширенный результат: -
Идентификатор сессии: -
Справочный URL: -
Результаты проверки состояния системы: -
А вот пример ошибки для UAP-AC-PRO:
Network Policy Server отказал пользователю в доступе. Обратитесь к администратору Network Policy Server для получения дополнительной информации.
Пользователь:
Security ID: NULL SID
Имя учётной записи: sesimard
Домен учётной записи: -
Полное квалифицированное имя учётной записи: -
Клиентское устройство:
Security ID: NULL SID
Имя учётной записи: -
Полное квалифицированное имя учётной записи: -
Версия ОС: -
Called Station Identifier: 56-D9-E7-FE-6C-D7😰tereo Plus & Design
Calling Station Identifier: 70-14-A6-43-7F-FA
NAS:
IPv4-адрес NAS: -
IPv6-адрес NAS: -
Идентификатор NAS: 44d9e7fc6cd7
Тип порта NAS: Wireless - IEEE 802.11
Порт NAS: 0
RADIUS клиент:
Дружественное имя клиента: DT-Radius Client (Access Point RC 2)
IP-адрес клиента: 172.16.0.18
Детали аутентификации:
Имя политики запроса соединения: -
Имя сетевой политики: -
Поставщик аутентификации: -
Сервер аутентификации: DT-SERVEUR.DT.local
Тип аутентификации: -
Тип EAP: -
Идентификатор сессии учётной записи: -
Результаты журналирования: Информация для учёта была записана в локальный файл журнала.
Код причины: 49
Причина: RADIUS-запрос не соответствовал ни одной из настроенных политик запроса соединения (CRP).
Похоже, что точка доступа не передаёт Security ID, Account Domain, Fully Qualified Account Name... Есть ещё некоторые данные, которые не передаются между radius-сервером, точкой доступа и клиентом.