Note
Access to this page requires authorization. You can try signing in or changing directories.
Access to this page requires authorization. You can try changing directories.
Salut,
In acest post voi prezenta un subiect de care m-am lovit recent, legat de IAS/NPS proxy account logging.
Avem urmatorul scenariu: Clientii Wireless se conecteaza la un access point, care trimite requesturile de autentificare catre un IAS/NPS RADIUS proxy. Acesta foloseste logging text in format IAS.
IAS/NPS proxy-ul primeste un Access-Request de la access point (AP), care contine atributul User-Name:
AP = 10.10.10.1
RADIUS proxy = 10.10.10.10
RADIUS backend = 10.10.10.100
1 10:00:00 01.09.2009 10.10.10.1 10.10.10.10 EAP EAP:Request, Type = PEAP
AttributeUserName: testuser@testdomain.net
UserName: testuser@testdomain.net
2 10:00:00 01.09.2009 10.10.10.10 10.10.10.100 EAP EAP:Request, Type = PEAP
AttributeUserName: testuser@testdomain.net
UserName: testuser@testdomain.net
Serverul RADIUS back-end, care autentifica clientul, trimite pachetul de Access-Accept catre proxy, continand si el atributul User-Name:
3 10:00:00 01.09.2009 10.10.10.100 10.10.10.10 EAP EAP:Success
AttributeUserName: testuser
UserName: testuser
4 10:00:00 01.09.2009 10.10.10.10 10.10.10.1 EAP EAP:Success
AttributeUserName: testuser
UserName: testuser
Astfel, serverul proxy are 2 atribute User-Name pe care le ia in calcul pentru logging, si nu salveaza acest atribut in format IAS text.
Atributul User-Name este descris in RFC 2865, sectiunea 5.1:
https://www.ietf.org/rfc/rfc2865.txt
Acest comportament este cunoscut pentru IAS/NPS ruland pe Windows Server 2003, 2008 and 2008R2.
Este by design si nu va fi modificat, deoarece exista urmatoarele workaround-uri:
1.) Text logging in format ODBC.
2.) SQL logging.
--- George