Freigeben über


IAS/NPS proxy nu logheaza atributul User-Name primit de la serverul RADIUS remote in format text

Salut,

In acest post voi prezenta un subiect de care m-am lovit recent, legat de IAS/NPS proxy account logging.

Avem urmatorul scenariu: Clientii Wireless se conecteaza la un access point, care trimite requesturile de autentificare catre un IAS/NPS RADIUS proxy. Acesta foloseste logging text in format IAS.

IAS/NPS proxy-ul primeste un Access-Request de la access point (AP), care contine atributul User-Name:

AP = 10.10.10.1
RADIUS proxy = 10.10.10.10
RADIUS backend = 10.10.10.100

1 10:00:00 01.09.2009 10.10.10.1 10.10.10.10 EAP EAP:Request, Type = PEAP
AttributeUserName: testuser@testdomain.net
   UserName: testuser@testdomain.net

2 10:00:00 01.09.2009 10.10.10.10 10.10.10.100 EAP EAP:Request, Type = PEAP
AttributeUserName: testuser@testdomain.net
   UserName: testuser@testdomain.net

Serverul RADIUS back-end, care autentifica clientul, trimite pachetul de Access-Accept catre proxy, continand si el atributul User-Name:

3 10:00:00 01.09.2009 10.10.10.100 10.10.10.10 EAP EAP:Success
AttributeUserName: testuser
   UserName: testuser

4 10:00:00 01.09.2009 10.10.10.10 10.10.10.1 EAP EAP:Success
AttributeUserName: testuser
   UserName: testuser

Astfel, serverul proxy are 2 atribute User-Name pe care le ia in calcul pentru logging, si nu salveaza acest atribut in format IAS text.

Atributul User-Name este descris in RFC 2865, sectiunea 5.1:
https://www.ietf.org/rfc/rfc2865.txt

Acest comportament este cunoscut pentru IAS/NPS ruland pe Windows Server 2003, 2008 and 2008R2.
Este by design si nu va fi modificat, deoarece exista urmatoarele workaround-uri:

1.) Text logging in format ODBC.
2.) SQL logging.

--- George