PEAP with Domain Credentials

PEAP with Domain Credentials

Post by D K » Tue, 01 Jul 2008 23:16:37


Hi all,
i would configure WLAN authentication with PEAP / MsChapV2
after configuring this without "send my windows-username and password..."
this works fine but i must type in my username and password.
within the IAS log i see - Authentication-Type = PEAP
after checking the "send my windows-username and password..." checkbox i
dont have to type in my credentials - but i become an "bad username or
password" error.
within the IAS log i see - Authentication-Type = EAP
and i have no matching authentication rule within the IAS.

any ideas
THANKS
Dirk
 
 
 

PEAP with Domain Credentials

Post by S. Pidgorn » Thu, 03 Jul 2008 18:29:48

Is the computer member of the domain. Can you provide the system log entry
for the failed logon attempt?

--
Svyatoslav Pidgorny, MS MVP - Security, MCSE
-= F1 is the key =-

* http://www.yqcomputer.com/ * http://www.yqcomputer.com/ *

 
 
 

PEAP with Domain Credentials

Post by D K » Tue, 08 Jul 2008 16:45:06

i
here are the system-logs for the two different situations.
The Computer is member of the domain.
The groups "domain-computer" and "domain-users" are alowed to access WLAN.
The users "buc" and "test" are domain-users.
Thanks Dirk

1. with maual credential input:
Ereignistyp: Informationen
Ereignisquelle: IAS
Ereigniskategorie: Keine
Ereigniskennung: 1
Datum: 20.06.2008
Zeit: 13:40:57
Benutzer: Nicht zutreffend
Computer: NODE1
Beschreibung:
Benutzer "mydom\TEST" wurde Zugriff gewrt.
Vollqualifizierter Benutzername = mydom.local/Benutzer/EDV/Test
NAS-IP-Adresse = 172.16.43.230
NAS-Kennung = WLC01
Clientanzeigename = WLC01
Client-IP-Adresse = 172.16.43.230
Kennung der Anruferstation = 00-1C-BF-C5-A0-BC
NAS-Porttyp = Wireless - IEEE 802.11
NAS-Port = 1
Proxyrichtlinienname = Windows-Authentifizierung f alle Benutzer
verwenden
Authentifizierungsanbieter = Windows
Authentifizierungsserver = <unbestimmt>
Richtlinienname = WLAN-Zugriff
Authentifizierungstyp = PEAP
EAP-Typ = Sicheres Kennwort (EAP-MSCHAP v2)
Weitere Informationen er die Hilfe- und Supportdienste erhalten Sie unter
http://go.microsoft.com/fwlink/events.asp.
Daten:
0000: 00 00 00 00 ....

2. with "send my windows-username and password..." checked
Ereignistyp: Warnung
Ereignisquelle: IAS
Ereigniskategorie: Keine
Ereigniskennung: 2
Datum: 20.06.2008
Zeit: 14:15:09
Benutzer: Nicht zutreffend
Computer: NODE1
Beschreibung:
Benutzer "mydom\buc" wurde Zugriff verweigert.
Vollqualifizierter Benutzername = mydom\buc
NAS-IP-Adresse = 172.16.43.230
NAS-Kennung = WLC01
Kennung der Anrufstation = 00-1F-C9-66-F6-E0:egal
Kennung der Empfgerstation = 00-1C-BF-C5-A0-BC
Clientanzeigename = WLC01
Client-IP-Adresse = 172.16.43.230
NAS-Porttyp = Wireless - IEEE 802.11
NAS-Port = 1
Proxyrichtlinienname = Windows-Authentifizierung f alle Benutzer
verwenden
Authentifizierungsanbieter = Windows
Authentifizierungsserver = <unbestimmt>
Richtlinien-Name = <unbestimmt>
Authentifizierungstyp = EAP
EAP-Typ = <unbestimmt>
Code = 48
Ursache = Der Verbindungsversuch stimmt mit keiner RAS-Richtlinie erein.
Weitere Informationen er die Hilfe- und Supportdienste erhalten Sie unter
http://go.microsoft.com/fwlink/events.asp.
Daten:
0000: 00 00 00 00 ....

....


"S. Pidgorny <MVP>" < XXXX@XXXXX.COM > schrieb im Newsbeitrag
news:% XXXX@XXXXX.COM ...


 
 
 

PEAP with Domain Credentials

Post by TWFkUEF » Fri, 11 Jul 2008 21:56:01

allo Dirk,
the message "Der Verbindungsversuch stimmt mit keiner RAS-Richtlinie
berein." seems to point into the authmode direction. Because you may have a
Policy only for user and not computers.
You should set the authmode on your client to "user". That way only your
user credentials are used to authenticate.
On XP SP2 this is done in the registry, with XP SP3 via XML files or group
policy (after schema extension).
Viel Glck
MadPAM

"D K" wrote: