RADIUS İçin AD Gerekli mi?

Merhaba

Kullandığınız kimlik doğrulama metoduna göre değişir. Eğer MD5 kullanırsanız domain e gerek yok .

sanırım ayarlarınızda sorun var . karışık bir süreç ve kuralları iyi yazmalısınız . IAS için radius client eklemeyi de unutmayın.

Hakan bey Kimlik Doğrulama Metodunu değiştiremiyorum. Galiba ISA üzerinde değiştirmem gerekiyor.

IAS üzerinde "Uzaktan Erişim İlkelerinde", "Diğer erişim sunucularına yapılan bağlantılar" ilkesinin profilinde bulunan kimlik doğrulama tabında EAP yöntemini "MD5 - Çekişme" Olarak düzelttim ve aşağıtaki sonuçla karşılaştım.

---------------------------------------------------------TS üzeine IAS olarak düşen Event ID - 2------------------------------------------------------

Kullanıcı 1 için erişim reddedildi.
Tam Niteleyici Kullanıcı Adı = Server\1
 NAS-IP-Adresi = 100.100.1.3
 NAS-Tanımlayıcısı = <yok>
 Aranan İstasyon Tanımlayıcısı = <yok>
 Arayan İstasyon Tanımlayıcısı = <yok>
 İstemci Kolay Adı = ISA
 İstemci IP Adresi = 100.100.1.3
 NAS Bağlantı Noktası Türü = <yok>
 NAS Bağlantı Noktası = 443
 Proxy-İlke-Adı = ISA_Baglanti
 Kimlik Doğrulama Sağlayıcısı = Windows
 Kimlik Doğrulama Sunucusu = <belirlenmemiş>
 İlke Adı = Diğer erişim sunucularına yapılan bağlantılar
 Kimlik Doğrulama Türü = PAP
 EAP Türü = <belirlenmemiş>
 Neden Kodu = 66
 Neden = Kullanıcı, eşleşen uzaktan erişim ilkesinde etkinleştirilmemiş bir kimlik denetimi yöntemi kullanmaya çalıştı.

Ek bilgi için http://go.microsoft.com/fwlink/events.asp adresindeki Yardım ve Destek Merkezi'ne bakın => Herhangi Bir Açıklama Yok

-----------------------------------------------------------------------------------------------------------------------------------------------------------------------

Bunun iki nedeni vardır ;

IAS ile ISA aynı kimlik doğrulamayı kabul etmiyor ki eğer bu değil se IAS domain user olmayan user larda Domain için gerekli olan bir kimlik doğrulama seçilmiştir. ( EAP-TLS )

Aşağıdaki linkte mevcut durumun bir resmini ekledim

 Terminal Sunucuda son durum bu şekilde. Açıkçası bu konu hakkında bir makaleye ulaşabilirsem veya tam bir açıklama gelirse çok iyi olacak.[:^)]

kullanıcıya kullanıcı adı şifre ekranı geliyor mu ? geliyor ise buraya domain\user şeklinde yazıyormusunuz kullanıcı adını ? buradaki domain olarak server 2003 makine ismi olacak.

Makale olsa zaten bu soruyu şu anda bize soruyor olmazdınız herhalde değil mi ? veya daha detaylı biri anlatmış olsa. Bunlar çok teknik konular ve bende size olabildiğince özet geçiyorum ki yapmaya çalıştığınız şey pek normal değil . IAS domain için destek veriyor , sizde bunu yapmak istemiyorsunuz bunu dediğiniz ancak zaten 100 teknoloji uzmanından 99 u bu konu ile ilgilenmez ki bu kişiye özel bir soru olur ben yinede size bilgi birkimimi paylaşıyorum ve sadece MD5 ile bu desteğin olduğundan bahsettim ama tutup adım adım sizin sisteminiz için inceleme sunmak demek danışmanlık demektir ki bu da sorun değil ama zamanım yok bu kadar üzgünüm .

Evet kullanıcı adı ve şifre soruyor. Birde galiba "makine adı\kullanıcı" yada sadece "kullanıcı" olması birşey değitirmiyor. Çünkü olay günlüklerinde  kullanıcı adı her iki şekilde de "makine adı\kullanıcı" durumunda görünüyor. Anladığım kadarıyla hedef sunucu üzerinde bu kullanıcıyı arıyor. Tam bir açıklama derken danışmanlık hizmetini kastetmemiştim. Yani nerelere bakmam gerektiğini gösteren bir ok işareti de işe yarayabilir[Y]

Okuduğum makalelerde IAS domaine kaydettiriliyor ve ISA sunucusundan Radius olarak IAS kurulu makine gösteriliyordu. Bu durum benim için pek elzem değil ve 2003 Sunucuyu domain yapısına yükseltmek en kolayı olsada bir defa aklıma takıldığından yapabilene kadarda pek rahat uyuyamayacağım. Eğer çözebilirsem bunun için bir makale yazabilirim. Nede olsa %1 de düşünmek gerkir. Benim gibi takıntılı arkadaşları rahatlatmak için uzun bir süre malayani işlerle meşgul olacağım gibi[N]

Arkadaşlar bilgileriniz, ayırdığınız zaman ve yapacağınız yardımlar için teşekkür ederim.[C]

Tabiki herkesi düşünerek kaynak paylaşımı yapmak gerekiyor buna şüphe yok ama dediğim gibi ben size bu konuda gerekli bilgileri verdim ; eğer domain de olmayacak ise MD5 kullanabilirsiniz .

birde ISA Server system policy içerisinde RADIUS tanımlı mı ?

Evet, gösterdiğiniz gibi tanımlı. Sorgu IAS a ulaşıyor - IAS Kullanıcı adını ve şifresini doğruluyor (Kullanıcı adı, şifresi yanlış olunca olay günlüğüne yanlış olarak düşüyor.) fakat daha sonra;

"Neden = Kullanıcı, eşleşen uzaktan erişim ilkesinde etkinleştirilmemiş bir kimlik denetimi yöntemi kullanmaya çalıştı." Burayı çözemedim?

Kullanıcı 1 için erişim reddedildi.
Tam Niteleyici Kullanıcı Adı = Server\1
 NAS-IP-Adresi = 100.100.1.3
 NAS-Tanımlayıcısı = <yok>
 Aranan İstasyon Tanımlayıcısı = <yok>
 Arayan İstasyon Tanımlayıcısı = <yok>
 İstemci Kolay Adı = ISA
 İstemci IP Adresi = 100.100.1.3
 NAS Bağlantı Noktası Türü = <yok>
 NAS Bağlantı Noktası = 443
 Proxy-İlke-Adı = ISA_Baglanti
 Kimlik Doğrulama Sağlayıcısı = Windows
 Kimlik Doğrulama Sunucusu = <belirlenmemiş>
 İlke Adı = Diğer erişim sunucularına yapılan bağlantılar
 Kimlik Doğrulama Türü = PAP
 EAP Türü = <belirlenmemiş>
 Neden Kodu = 66
 Neden = Kullanıcı, eşleşen uzaktan erişim ilkesinde etkinleştirilmemiş bir kimlik denetimi yöntemi kullanmaya çalıştı. 

En sonunda Bir çözüm üretebildim. Fakat bu çözüm Şifresiz kimlik doğrulama olduğu için ağı dinleyebilen biri bunu rahatlıkla çözebilir diye düşünüyorum. Aşağıdaki resimde de görüldüğü gibi "Şifresiz kimlik doğrulama" yöntemi ile çalışıyor. Daha önceleri EAP yöntemleri kısmında "MD5 - Çekime"  doğrulamasını kullanmaya çalışıyordum. En azından bir adım atabildim[:)] Bu durumda anladığım kadarıyla IAS kullanıcı doğrulaması işleminde MD-5 yöntemini kullanabilse de Yönlendirme ve Uzaktan Erişim sunucusunda bunu tanımlamayı başaramadım.

Şimdi sırada  Yönlendirme ve Uzaktan Erişim sunucusu var.

Fikirlerinizi bekliyorum [pi]

Bunu kullanamayan ISA yani ISA MD5 ile gelmediği için IAS da bunu doğrulayamıyor.

Evet haklısınız.

 ISA 2006 yardım da "configure Radius" ile aratınca şu cevap çıkıyor;

For VPN clients, Extensible Authentication Protocol (EAP) messages are always
sent with a message authenticator. For Web Proxy clients, only Password
Authentication Protocol (PAP) is used. 

Aynı sorun Firewall Client istemcileri içinde geçerlimi. Açıklamada yer verilmemiş, uğraşmalı mıyım? Yoksa zaman kaybı mı?[^o)]

Herşey için teşekkür ederim.

Hiç denemedim ama farklı olacağını sanmıyorum.