RADIUS wifi ne fonctionne pas sous Windows 8.1 et Windows 10 avec des utilisateurs de domaine

1

MODIFIER:

J'ai pu circonscrire le problème. Apparemment, ce n’est pas un problème avec la Surface mais avec Windows 8.1 (probablement aussi avec 8) et 10. Je ne l’ai pas compris au début, car j’ai utilisé un ordinateur portable autre que du domaine et un utilisateur pour tester avec Windows 8.1 au préalable.

Lorsque j'utilise un compte d'utilisateur local, la connexion à RADIUS wifi fonctionne parfaitement. Dès que j'essaye cela avec un compte d'utilisateur de domaine (j'en ai essayé un avec et un sans les autorisations d'administrateur local), il ne se connecte pas. Veuillez noter que je parle d'un domaine et non de AD, car nous utilisons toujours Samba 3.

Original:

Nous exploitons un réseau wifi de rayon utilisant un serveur FreeRADIUS (PEAP avec MSChapv2). Il fonctionne parfaitement sur toutes les machines (testé sur Windows 7 et 8.1, Android 4.3, Arch Linux) à l'exception de toutes nos Surface Pro 3. Les machines Windows utilisent exactement les mêmes paramètres, car la configuration wifi est automatisée à l'aide d'un script PowerShell. J'ai également essayé de le configurer manuellement avec différentes options à plusieurs reprises. Nous utilisons un certificat signé par l'autorité de certification personnalisée de notre société pour le serveur FreeRADIUS. J'ai vérifié que l'autorité de certification est correctement installée dans Windows et j'ai également essayé une connexion sans vérification du certificat.

Voici ce que montre le fichier journal FreeRADIUS:

Wed Jul 15 10:32:52 2015 : Auth: Login OK: [someuser] (from client stg-wlan-core port 0 via TLS tunnel)
Wed Jul 15 10:32:55 2015 : Auth: Login incorrect: [someuser] (from client stg-wlan-core port 217 cli C0-33-5E-33-10-8F)

C’est ce qui s’affiche si vous utilisez le débogage sur FreeRADIUS:

[eap] EAP packet type response id 221 length 43
[eap] Continuing tunnel setup.
++[eap] returns ok
Found Auth-Type = EAP
# Executing group from file /etc/freeradius/sites-enabled/default
+- entering group authenticate {...}
[eap] Request found, released from the list
[eap] EAP/peap
[eap] processing type peap
[peap] processing EAP-TLS
[peap] eaptls_verify returned 7
[peap] Done initial handshake
[peap] eaptls_process returned 7
[peap] EAPTLS_OK
[peap] Session established.  Decoding tunneled attributes.
[peap] Peap state send tlv success
[peap] Received EAP-TLV response.
[peap] Client rejected our response.  The password is probably incorrect.
[peap] We sent a success, but received something weird in return.
[eap] Handler failed in EAP/peap
[eap] Failed in EAP select
++[eap] returns invalid
Failed to authenticate the user.
Login incorrect: [someuser] (from client stg-wlan-core port 112 cli 50-1A-C5-F4-F6-87)
Using Post-Auth-Type Reject

Cela dit quelque chose sur un mot de passe incorrect. Je ne sais pas de quel mot de passe il s'agit, car je suis certain que le compte d'utilisateur existe et que le mot de passe est correct.

Trace de la surface:

[500] 07-15 10:19:48:898: RasEapCreateConnectionProperties, eap type id = 26
[500] 07-15 10:19:48:899: CopyXmlDoc returned: 0x0
[500] 07-15 10:19:48:899: ReadConnectionData
[500] 07-15 10:19:48:900: Setting the defaults to use win-logon
[500] 07-15 10:19:48:900: Use Winlogon credentials is set to No
[500] 07-15 10:19:48:900: Successfully generated blob for MSChapV2 Connection Properties
[500] 07-15 10:19:49:831: RasEapCreateConnectionProperties, eap type id = 26
[500] 07-15 10:19:49:831: CopyXmlDoc returned: 0x0
[500] 07-15 10:19:49:832: ReadConnectionData
[500] 07-15 10:19:49:833: Setting the defaults to use win-logon
[500] 07-15 10:19:49:833: Use Winlogon credentials is set to No
[500] 07-15 10:19:49:833: Successfully generated blob for MSChapV2 Connection Properties
[500] 07-15 10:19:49:843: RasEapCreateConnectionProperties, eap type id = 26
[500] 07-15 10:19:49:843: CopyXmlDoc returned: 0x0
[500] 07-15 10:19:49:844: ReadConnectionData
[500] 07-15 10:19:49:845: Setting the defaults to use win-logon
[500] 07-15 10:19:49:845: Use Winlogon credentials is set to No
[500] 07-15 10:19:49:845: Successfully generated blob for MSChapV2 Connection Properties
[500] 07-15 10:19:50:109: InitLSA.
[500] 07-15 10:19:50:109: InitLSA: returning 0x0
[500] 07-15 10:19:50:109: ChapInit: exit: fInitialize=0x1, g_dwRefCount = 0x1, g_hLsa = 0x1147e5d0
[500] 07-15 10:19:50:109: EapMSCHAPv2Initialize Exit: fInitizlize = 1, dwRefCount = 0x1,
[500] 07-15 10:19:50:109: EapMSCHAPv2Initialize: fInitizlize = 0, dwRefCount = 0x1,
[500] 07-15 10:19:50:109: ChapInit: fInitialize=0x0, g_dwRefCount = 0x1, g_hLsa = 0x1147e5d0
[500] 07-15 10:19:50:135: RasEapGetIdentity
[500] 07-15 10:19:50:135: ReadUserData
[500] 07-15 10:19:50:135: NULL user blob is passed, size: 0
[500] 07-15 10:19:50:135: ReadConnectionData

La seule raison pour laquelle je peux penser à plus, c'est qu'il s'agit d'un problème avec l'adaptateur wifi ou son pilote. Si vous avez des idées ou si vous avez besoin d'informations supplémentaires, faites-le moi savoir.

windows-8.1 windows-10 windows-domain 802.1x freeradius St0rmi
la source
Avez-vous téléchargé les derniers pilotes pour l'adaptateur sans fil Surface Pro 3 Marvell? Nous avons eu un problème avec certaines cartes sans fil Broadcom et le eduroam sans fil (pour l'éducation). Les pilotes "in-the-box" de Windows 8 (et supérieurs) fonctionnent avec la carte, mais ils ne fonctionnent pas avec notre authentification ... cela peut être similaire à votre problème ... mettez à jour les pilotes (vous devrez peut-être voir si vous pouvez obtenir les pilotes non sur le site Web de Microsoft - ils ne fourniront que ceux qui fonctionnent avec leurs périphériques et sont souvent obsolètes) ...
Kinnectus
Je n'ai pas pu trouver de pilote directement chez Marvell. J'ai toutefois installé les derniers pilotes Intel pour un ordinateur portable Windows 10 avec le même problème. Cela n'a malheureusement pas résolu le problème.
St0rmi
Si vous pouvez fournir les ID de matériel de l'adaptateur wifi pour ordinateur portable, du pilote actuellement installé et de sa version, il sera alors plus facile d'aider à identifier le problème. Les surfaces peuvent être
pénibles
Il s’agit d’un adaptateur wifi Intel Centrino Advanced-N 6205 utilisant le pilote Intel. Identifiant matériel: PCI \ VEN_8086 & DEV_0082 & SUBSYS_13218086 & REV_34 Version du pilote: 15.18.0.1
St0rmi
Lorsque vos utilisateurs entrent leur nom d'utilisateur et leur mot de passe pour se connecter, entrent-ils au format de domaine ( domain\username)? Nous avons déjà vu cela auparavant (pas avec FreeRADIUS, mais il devrait en être de même) lorsque le nom de la machine était fourni à l'authentification RADIUS plutôt que le nom de domaine correct ... Je ne sais pas si Windows 7 et les versions antérieures (étant du domaine rejoint) a ajouté le domaine et maintenant Windows 8 ne le fait pas ..?
Kinnectus

Réponses:

1

Le problème est que vous ne pouvez plus configurer Windows 8 et Windows 10 pour utiliser les paramètres souhaités à partir de l'interface graphique.

Pour résoudre ce problème

Vous pouvez exporter un profil de configuration à partir d'un client Windows 7 et l'importer sur vos clients Windows 8 et / ou 10.

  1. Ouvrez une invite de commande sur le client Windows 7.

  2. Entrez la commande suivante

    netsh wlan show profiles

  3. Choisissez le profil que vous souhaitez exporter (le rayon Wi-Fi) dans la liste qui s'affiche

  4. Exportez-le en utilisant la commande suivante

    netsh wlan export profile <profile name>

    Cela exportera le profil dans un fichier XML.

  5. Localisez le fichier XML et copiez-le sur vos clients Windows 8 et 10

  6. Importez-le en utilisant la commande suivante:

    netsh wlan add profile <profile name>.xml

  7. Entrez les informations d'identification correspondantes et vous avez terminé.

Remarque: il est parfois nécessaire de supprimer l'ancien profil (non valide) dans les clients Windows 8 et / ou 10:

netsh wlan delete profile <invalid profile>

Remarque: un redémarrage peut parfois être nécessaire

Andrea Zauli
la source
En fait, nous utilisions déjà un petit script Powershell qui fait exactement cela. Comme décrit ci-dessus, il fonctionne avec un profil d'utilisateur autre que de domaine, mais pas avec un profil de domaine.
St0rmi
0

ce n'est pas un problème de rayon. Je pense que c'est un problème avec le stockage des informations d'identification lorsque Windows 8-10 est connecté à samba Nt4 comme domaine. Si Windows 8-10 se connecte sur un compte d'utilisateur local (pas à partir d'un domaine), le service Radius et la carte réseau fonctionnent correctement.

Krzysztof Stasiak
la source
-1

J'ai rencontré des problèmes similaires avec mon Lenovo ThinkPad Yoga 14 (Intel N 7265). J'ai installé le dernier pilote logiciel PROSet (18.30) et je me connecte au Wi-Fi via PROSet. Cela semblait résoudre le problème pour moi.

Arucard
la source
1
merci pour votre contribution à SuperUser. Assurez-vous d’expliquer davantage vos réponses à l’avenir. Consultez mon édition pour un exemple de cela.
RookieTEC9