Salut,
In acest post voi prezenta un subiect de care m-am lovit recent, legat de IAS/NPS proxy account logging.
Avem urmatorul scenariu: Clientii Wireless se conecteaza la un access point, care trimite requesturile de autentificare catre un IAS/NPS RADIUS proxy. Acesta foloseste logging text in format IAS.
IAS/NPS proxy-ul primeste un Access-Request de la access point (AP), care contine atributul User-Name:
AP = 10.10.10.1RADIUS proxy = 10.10.10.10RADIUS backend = 10.10.10.100
1 10:00:00 01.09.2009 10.10.10.1 10.10.10.10 EAP EAP:Request, Type = PEAPAttributeUserName: testuser@testdomain.net UserName: testuser@testdomain.net
2 10:00:00 01.09.2009 10.10.10.10 10.10.10.100 EAP EAP:Request, Type = PEAPAttributeUserName: testuser@testdomain.net UserName: testuser@testdomain.net
Serverul RADIUS back-end, care autentifica clientul, trimite pachetul de Access-Accept catre proxy, continand si el atributul User-Name:
3 10:00:00 01.09.2009 10.10.10.100 10.10.10.10 EAP EAP:SuccessAttributeUserName: testuser UserName: testuser
4 10:00:00 01.09.2009 10.10.10.10 10.10.10.1 EAP EAP:SuccessAttributeUserName: testuser UserName: testuser
Astfel, serverul proxy are 2 atribute User-Name pe care le ia in calcul pentru logging, si nu salveaza acest atribut in format IAS text.
Atributul User-Name este descris in RFC 2865, sectiunea 5.1:http://www.ietf.org/rfc/rfc2865.txt
Acest comportament este cunoscut pentru IAS/NPS ruland pe Windows Server 2003, 2008 and 2008R2.Este by design si nu va fi modificat, deoarece exista urmatoarele workaround-uri:
1.) Text logging in format ODBC.2.) SQL logging.
--- George
Daca aveti nevoie de Identity Management for Unix (IDMU) pe un domain controller,
acesta se gaseste doar in versiunea completa de Windows 2008 server.
IDMU nu este disponibil in Windows 2008 Core.
--- Ioan