hr410
@hr410

Are you sure you want to delete the question?

Leaving a resolved question undeleted may help others!

Active DirectoryのRadius認証について

解決したいこと

Radius認証に一部NW環境だけ失敗する
ゴール:EAP方式でAD認証のWI-FI環境を構築したい

現在VPSでWindows server2022でActive DirectryとNPSを構築しています。
NPSのRadius環境で受け入れIPを定義してAPを利用して端末認証し利用を想定して構築しています。
大多数のNWについては正常に認証ができるのですが、一部NW(具体的にはau回線とmineo回線)のみ正常に認証ができない状況が発生しています。

発生している問題・エラー

APのEAP認証に正規のIDとパスワードを入力
サーバログ→ログなし
APログ→ログなし

APのEAP認証に存在しないIDとパスワードを入力
サーバログ→未存在である内容のログ
APログ→認証異常

APのEAP認証に定義していないIPアドレスを入力
サーバログ→未存在のIPのためパケット破棄
APログ→Radiusエラー

上記の内容で正規のIDとパスワードのログが残りません。
また、正常に認証できず接続できない。エラーログからの追跡もできない状況です。
同じNW構成でau回線・mineo回線以外に変更すると正常に認証されます。

自分で試したこと

Radius認証ポートの変更
アカウンィングの有無の変更
ADの再構築
→ADがなくローカルIDでの認証では成功。
ADをインストールすると上記現象が発生。

上記内容からNW環境または、ADをインストールすると上記現象が発生します。

ちなみに・・・
現在ADではないLADPとRadiusで認証を行っているのですが、それは正常に認証ができています。

0

2Answer

普段サーバSEをやってます。
やろうとしてることは何となく理解しましたが、
通常成功ログはINFOレベルにまで落ちることが設定次第では
ログに書き込まれなかったり、もしくは別のログファイルにかかれている可能性があります。
ちなみにWindowsServerの成功ログでしたらイベントビューアー>セキュリティ>成功の監査に記載されます。
RADIUS側なら下記コマンドで追えそうです

3-2. show aaa-server protocol radius コマンド
"show aaa-server protocol radius" コマンドから、RADIUSの認証結果を確認できます。

Number of accepts 8

0Like

Comments

  1. @hr410

    Questioner

    回答頂きありがとうございます。
    windows ServerのログAP側のログを確認しましたが
    サーバログ→ログなし
    APログ→ログなし
    で認証結果が格納されていませんでした・・・
    上記以外の他社回線NWでの検証ではサーバ・APともにログ格納されており正常である事を確認できました。
    もしご存知であればご教示頂きたいのですが、
    windows Serverのローカル認証ではmineo/au回線で認証できており
    Actice Directoryをインストールし認証すると、
    どうやら失敗する事が判明しました。
    ※この際にNPS関連の変更はしていません。
    インストールの前後で何かNPS系設定が変わる可能性があるのでしょうか?

mineo/au回線周りは触ってないのでわからないのですが、
一般的な挙動としてADをインストールし昇格させると、DomainServerになるので、
認証まわりがだいぶ変わってきます。もしAD昇格前は認証成功していたとなると、
挙動の解析がやっかいなことになるので、いっそのことADサーバと認証サーバで別に立てたほうが手っ取り早いかと思います。

0Like

Your answer might help someone💌