Yarglo Posté(e) le 10 avril 2017 Partager Posté(e) le 10 avril 2017 Bonjour à tous, Je me casse les dents sur la configuration de mon Radius, et les Tuto trouvés me paraissent incomplets. Si quelqu'un avait la maîtrise du process, ça m'arrangerait pas mal ! Alors : Synology DS916+ Radius / Paramétres / Port 1812 et utilisateurs du domaine Radius / Client / Nom (toto) / Secret partagé (Toto00) Hôte unique (@Ip de la borne Wifi) List de blocage : rien Borne Wifi AC1750 TpLink Wireless Wpa/Wpa2 entreprise / Versio : automatic (Wpa ou Wpa2) / Encryption ; Automatic (Tkip ou AES) Radius serveur ip : @ du syno / Radius port : 1812 / Radius password (Toto00) ActiveDirectory Srv2012 Sur le syno : Domaine : MonDomaine / Serveur DNS : MonServeurDNS / Type de domaine : AD Domaine (pas d'autres choix) / Mode de gestion : Domane seul ou avec OU Certificats Sécurité / Certificats / Exporter le certificat => fichier archive.zip dans lequel il y a 4 fichiers (J'ai exporté le certificat par défaut, mais j'ai aussi fait le test avec un certificat créé pour l'occasion) cert.pem / privkey.pem / syno-ca-cert.pem syno-ca-privkey.pem J'importe manuellement (En administrateur) "cert.pem" et "syno-ca-cert.pem" sur mon PC (windows10) dans le magasin "Autorités de certification racines de confiance", pour les utilisateurs ET pour l'ordinateur (Je fais quoi des 2 autres certificats ?) C'est parti ! Quand je lance la connexion du Wifi, ça tourne pendant un moment et j'ai immédiatement ce message dans les logs : Login incorrect: Incorrect user name (input name [host/MonOrdinateur.MonDomaine.com], full name [MonDomaine\host/Monordinateur.MonDomaine.com]) (Est-ce que mes certificats sont rangés au bon endroit ?) Après une minute ou deux ma connexion Wifi me demande comment je veux m’authentifier. Quand je sélectionne "Compte d’authentification Windows mon nom (MonDomaine\MonNom) me sont automatiquement proposé. Dés que je valide j'ai ces messages dans les log : TLS Alert read:fatal:unknown CA TLS_accept: failed in unknown state rlm_eap: SSL error error:14094418:SSL routines:ssl3_read_bytes:tlsv1 alert unknown ca SSL: SSL_read failed inside of TLS (-1), TLS session fails.Login incorrect (TLS Alert read:fatal:unknown CA): [Mondomaine\\Monnom] (from client NomDeLaBorneWifi port 0 cli 70-1C-E7-AA-BB-CC) Donc ? Au vu des messages dans les logs, c'est sans doute un problème d’authentification liés au(x) certificat(s). Est-ce que quelqu'un aurait une piste ? Est-ce que les magasin d'import de mes certif est le bon ? Dois-je faire quelque chose des 2 autres certificats ? Je suis preneur de toute idée sur le sujet !!! Merci à tous. Pierre Lien vers le commentaire Partager sur d’autres sites More sharing options...
Fenrir Posté(e) le 10 avril 2017 Partager Posté(e) le 10 avril 2017 Si tu test depuis un PC windows, la conf 802.1x est assez tirée par le cheveux Regarde ici : http://technology.pitt.edu/support/configuring-windows-10-for-wired-publicly-accessible-network-ports À partir de l'étape 6, en particulier l'étape 8 Lien vers le commentaire Partager sur d’autres sites More sharing options...
Yarglo Posté(e) le 11 avril 2017 Auteur Partager Posté(e) le 11 avril 2017 Merci de ton aide. J'ai finalement réussi à me connecter sans modifier les paramètres de la carte, c'est juste un problème de certificat. Donc : - Ajout d'un certificat sur le Synology (Panneau de conf / Sécurité / Certificats) qu'on appelle Wifi_trucMachin - Dans la même fenêtre : "Configurer" et on attribut le rôle Radius à Wifi_TrucMachin !!! - Puis export des certificats - Puis Import des certificats dans les certificats utilisateurs (sur mon PC en W10) syno-ca-cert-pem dans "Autorités de certification racine" Le mien s'appelle "Radius.MonDomaine.com" cert.pem dans les certificats personnels (il apparaît comme Wifi_TrucMachin délivré par Radius.Mondomaine.com) - Au moment de la connexion je coche "utiliser mon compte de domaine" et ça passe. Il me reste à affiner la distribution des certifs via GPO. Voila, j’espère que ça aidera, car moi j'ai bien galéré !!! Pierre Lien vers le commentaire Partager sur d’autres sites More sharing options...
Fenrir Posté(e) le 11 avril 2017 Partager Posté(e) le 11 avril 2017 il y a une heure, Yarglo a dit : Il me reste à affiner la distribution des certifs via GPO. Tu peux faire toute la conf 802.1x avec les GPO,, c'est ce que je fais au taf Lien vers le commentaire Partager sur d’autres sites More sharing options...
Messages recommandés
Archivé
Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.