Cdigo eOC-F-01 Versin 01 Aprobado 14-09-2012 Cliente: Claro - Fidubogota Fecha de solicitud: 05/09/2014 Elemento o Servicio asociado: Servidor Radius Ticket eOC: 1456 Falla Reportada: Implementacin Ingeniero/tcnico que realiza el diagnstico: Osneider Perez Torrado Deteccin de la falla:
Instalacin y configuracin de un Servidor Raidus
Diagnstico:
Instalacin y configuracin de un Servidor Raidus
Descripcin de la solucin:
1. Se realiza conexin por seccin webex cisco al equipo que ingresara como usuario a la red.
2. Se validad configuracin entre el switch y el servidor NPS, estando en funcionamiento
3. Se realizan las siguientes actividades
3.1 Se intenta acceder desde el usuario al dominio encontrando que existe un problema de acceso a la red desde el directorio activo
---------------------------------------- log generado en el servidor ---------------------------------------------- Log Name: Security Source: Microsoft-Windows-Security-Auditing Date: 9/5/2014 11:19:00 AM Event ID: 6273 Task Category: Network Policy Server Level: Information Keywords: Audit Failure User: N/A Computer: SRVRADV01.fidubogota.net Description: Network Policy Server denied access to a user.
Contact the Network Policy Server administrator for more information.
User: Security ID: FIDUBOGOTA\nrozo Account Name: FIDUBOGOTA\nrozo Account Domain: FIDUBOGOTA Fully Qualified Account Name: fidubogota.net/Fidubogota/Vicepresidencia de Tecnologia/Getronics/Infraestructura/Users/Rozo Cruz, Nicolas Andres
Atencin de Requerimientos PROCESO DE GESTIN DEL eOC Cdigo eOC-F-01 Versin 01 Aprobado 14-09-2012
Client Machine: Security ID: NULL SID Account Name: - Fully Qualified Account Name: - OS-Version: - Called Station Identifier: 60-73-5C-FB-AB-98 Calling Station Identifier: 3C-97-0E-BD-4A-0F
NAS: NAS IPv4 Address: 192.168.182.141 NAS IPv6 Address: - NAS Identifier: - NAS Port-Type: Ethernet NAS Port: 50125
RADIUS Client: Client Friendly Name: SW01_CLL67_PISO3 Client IP Address: 192.168.182.141
Authentication Details: Connection Request Policy Name: Usuario2 calle 67 vlan43 Network Policy Name: Connections to other access servers Authentication Provider: Windows Authentication Server: SRVRADV01.fidubogota.net Authentication Type: EAP EAP Type: - Account Session Identifier: - Logging Results: Accounting information was written to the local log file. Reason Code: 65 Reason: The Network Access Permission setting in the dial-in properties of the user account in Active Directory is set to Deny access to the user. To change the Network Access Permission setting to either Allow access or Control access through NPS Network Policy, obtain the properties of the user account in Active Directory Users and Computers, click the Dial-in tab, and change Network Access Permission. ------------------------------------------------------------------------------------------------------------------
El encargado del AD realiza la modificacin en el AD y el sistema deja de generar dicho log en el servidor radius.
3.2 Se reinicia pruebas nuevamente el cual nos genera que no tenemos el mtodo de autenticacin habilitado en la directiva de red correspondiente o el equipo cliente intent autenticarse como invitado, y que deben asegurarse de que todos los equipos cliente estn configurados para utilizar uno o ms mtodos de autenticacin permitidos por coincidencia de las directivas de red. Por tal motivo se validad configuracin tanto en el usuario final y en el radius dicha autenticacin, encontrando que ambos tienen el mismo tipo de autenticacin a su vez en la poltica se le est permitiendo a los mtodos de autenticacin que por default maneja Microsoft. (ver Imagen)
Atencin de Requerimientos PROCESO DE GESTIN DEL eOC Cdigo eOC-F-01 Versin 01 Aprobado 14-09-2012
La condicin de la poltica de red creada en el servidor radius y que permite dar acceso al usuario, este debe cumplir los siguientes requerimientos:
La conexin sea por medio de sistema cableado o inalmbrico que es la polticas NAS port Type. El usuario pertenezca o haga parte del grupo 43 CALLE 67 USUARIOS2. Por ultimo permite la autenticacin de los tipos de EAP de default de Microsoft
Como el sistema sigue generando acceso denegado al usuario, se modifican los diferentes mtodos de autenticacin que el servidor radius permite con respecto a la configuracin del pc cliente pero persiste tal problema de compatibilidad de los mtodos de autenticaciones.
FFFDDF4.4.
Recomendaciones para la solucin:
Se recomienda utilizar una entidad certificadora. El cual emitir los certificados necesarios para configurar el adecuado PEAP en el servidor NPS y sean compatibles con la autenticacin PEAP de los equipos cliente, a su vez por medio de la GPO se puede crear un conjunto de reglas que controlaran cuentas de usuario y cuentas de equipo configurando el sistema para que replique la configuracin de autenticacin 802.1x a los usuarios cuando intenten acceder al dominio, teniendo as un misma configuracin y compatibilidad en mtodos de autenticacin
Estado de la solucin: Implementacion Estado del dispositivo o servicio: En Funcionamiento
Atencin de Requerimientos PROCESO DE GESTIN DEL eOC Cdigo eOC-F-01 Versin 01 Aprobado 14-09-2012