This site uses cookies! Learn More

Ce site utilise des cookies !

En continuant à utiliser ce site, vous vous engagez à nous permettre de stocker des cookies sur votre ordinateur.

Yarglo

Radius, Active Directory, et Wifi via TP Link

4 messages dans ce sujet

Bonjour à tous,

Je me casse les dents sur la configuration de mon Radius, et les Tuto trouvés me paraissent incomplets.

Si quelqu'un avait la maîtrise du process, ça m'arrangerait pas mal !

Alors : 

Synology DS916+

Radius / Paramétres / Port 1812 et utilisateurs du domaine

Radius / Client / Nom (toto) / Secret partagé (Toto00) Hôte unique (@Ip de la borne Wifi)

List de blocage : rien

Borne Wifi AC1750 TpLink

Wireless Wpa/Wpa2 entreprise / Versio  : automatic (Wpa ou Wpa2) / Encryption ; Automatic (Tkip ou AES)

Radius serveur ip : @ du syno / Radius port : 1812 / Radius password (Toto00)

ActiveDirectory Srv2012

Sur le syno : Domaine : MonDomaine / Serveur DNS : MonServeurDNS / Type de domaine : AD Domaine (pas d'autres choix) / Mode de gestion : Domane seul ou avec OU 

Certificats

Sécurité / Certificats / Exporter le certificat => fichier archive.zip dans lequel il y a 4 fichiers

(J'ai exporté le certificat par défaut, mais j'ai aussi fait le test avec un certificat créé pour l'occasion)

cert.pem / privkey.pem / syno-ca-cert.pem syno-ca-privkey.pem

J'importe manuellement (En administrateur) "cert.pem" et "syno-ca-cert.pem" sur mon PC (windows10) dans le magasin "Autorités de certification racines de confiance", pour les utilisateurs ET pour l'ordinateur

(Je fais quoi des 2 autres certificats ?)

C'est parti !

Quand je lance la connexion du Wifi, ça tourne pendant un moment et j'ai immédiatement ce message dans les logs : 

Login incorrect: Incorrect user name (input name [host/MonOrdinateur.MonDomaine.com], full name [MonDomaine\host/Monordinateur.MonDomaine.com])

(Est-ce que mes certificats sont rangés au bon endroit ?)

Après une minute ou deux ma connexion Wifi me demande comment je veux m’authentifier. Quand je sélectionne "Compte d’authentification Windows mon nom (MonDomaine\MonNom) me sont automatiquement proposé. Dés que je valide j'ai ces messages dans les log : 

TLS Alert read:fatal:unknown CA

TLS_accept: failed in unknown state

rlm_eap: SSL error error:14094418:SSL routines:ssl3_read_bytes:tlsv1 alert unknown ca

SSL: SSL_read failed inside of TLS (-1), TLS session fails.Login incorrect (TLS Alert read:fatal:unknown CA): [Mondomaine\\Monnom] (from client NomDeLaBorneWifi port 0 cli 70-1C-E7-AA-BB-CC)

Donc ?

Au vu des messages dans les logs, c'est sans doute un problème d’authentification liés au(x) certificat(s).

Est-ce que quelqu'un aurait une piste ? Est-ce que les magasin d'import de mes certif est le bon ? Dois-je faire quelque chose des 2 autres certificats ?

Je suis preneur de toute idée sur le sujet !!!

Merci à tous.

Pierre

 

 

Partager ce message


Lien à poster
Partager sur d’autres sites

Merci de ton aide.

J'ai finalement réussi à me connecter sans modifier les paramètres de la carte, c'est juste un problème de certificat.

Donc : 

- Ajout d'un certificat sur le Synology (Panneau de conf / Sécurité / Certificats) qu'on appelle Wifi_trucMachin

Dans la même fenêtre : "Configurer" et on attribut le rôle Radius à Wifi_TrucMachin !!!

- Puis export des certificats

- Puis Import des certificats dans les certificats utilisateurs (sur mon PC en W10)

  • syno-ca-cert-pem dans "Autorités de certification racine" Le mien s'appelle "Radius.MonDomaine.com"
  • cert.pem dans les certificats personnels (il apparaît comme Wifi_TrucMachin délivré par Radius.Mondomaine.com)

- Au moment de la connexion je coche "utiliser mon compte de domaine" et ça passe.

Il me reste à affiner la distribution des certifs via GPO.

Voila, j’espère que ça aidera, car moi j'ai bien galéré !!!

Pierre

 

 

 

Partager ce message


Lien à poster
Partager sur d’autres sites
il y a une heure, Yarglo a dit :

Il me reste à affiner la distribution des certifs via GPO.

Tu peux faire toute la conf 802.1x avec les GPO,, c'est ce que je fais au taf

Partager ce message


Lien à poster
Partager sur d’autres sites

Créer un compte ou se connecter pour commenter

Vous devez être membre afin de pouvoir déposer un commentaire

Créer un compte

Créez un compte sur notre communauté. C’est facile !


Créer un nouveau compte

Se connecter

Vous avez déjà un compte ? Connectez-vous ici.


Connectez-vous maintenant