Здравствуйте,
столкнулся с такой проблемой, У нас есть RADIUS-сервер Microsoft Windows Server 2012 и коммутатор Cisco, задача сделать так чтоб не один пользователь не смог получить доступ без аутентификации в сети по LAN(Ethernet),На сервере RADIUS, который мы имеем мы также имеем Active directory , Certificate Authority. Мы добавили группу из AD на сервер RADIUS и настроен на проверку подлинности на основе порта.
Но при вводе учетных данных пользователя из указанной группы пользователь не проходит аутентификацию ,На коммутаторe имеются Debugi : access-reject from the server,
RADIUS: Received from id 1645/6
192.168.100.110:1812,
Access-Reject, len 44

Появляется окно для аутентификации но учетные записи не проходят, а также нашел лог на сервере Radius:

Network Policy Server denied access to a user.

Contact the Network Policy Server administrator for more information.

User:
Security ID: IDRAK\wireduser
Account Name: idrak\wireduser
Account Domain:
IDRAK
Fully Qualified Account Name:
IDRAK\wireduser

Client Machine:
Security ID: NULL SID
Account Name: -
Fully Qualified Account Name:
-
OS-Version: -
Called Station Identifier:
BC-16-F5-D6-22-0E
Calling Station Identifier:
00-23-54-CE-49-94

NAS:
NAS IPv4 Address:
192.168.100.2
NAS IPv6 Address:
-
NAS Identifier:
-
NAS Port-Type:
Ethernet
NAS Port: 50014

RADIUS Client:
Client Friendly Name:
Core_Idrak
Client IP Address:
192.168.100.2

Authentication Details:
Connection Request Policy Name:
Secure Wired (Ethernet) Connections 2
Network Policy Name:
Secure Wired (Ethernet) Connections 2
Authentication Provider:
Windows
Authentication Server:
AD2.IDRAK.LOCAL
Authentication Type:
EAP
EAP Type: -
Account Session Identifier:
-
Logging Results:
Accounting information was written to the local log file.
Reason Code: 22
Reason: The client could not be authenticated because the Extensible Authentication Protocol (EAP) Type cannot be processed by the server

буду признателен за помощь.

Как настроена аутентификация на клиенте и какая аутентификация разрешена на NPS сервере? Судя по сообщению они не совпадают.

142665

вы можете увидеть настройку аутентификации в скриншотах

А внутри EAP на радиусе?

внутри вот

А клиент доверяет сертификату сервера?

а как это узнать? экспортировать и установить этот сертификат на клиента?

Клиент и сервер должны доверять одному и тому же рутовому CA

спасибо тебе за помощь проблема правда была в сертификатe ниже я описал решение:
1. На сервере NPS я создал self-signed сертификат.
2. Этот сертификат я выбрал в свойствах EAP.
3. В консоли MMC экспортировал этот X.509 сертификат.
4. На клиенте я установил этот сертификат X.509 в 3 контейнера: Personal, Enterprise trust , trusted root certification authorities.

Другой способ: На NPS серверe из персонального контейнера запросить сертификат с сервера сертификатов, а затем импортировать этот сертификат на клиентских компьютерах.

спасибо ты мне очень помог с наилучшими пожеланиями

Фарид.

P.S. Еще Прочитал тут https://technet.microsoft.com/en-us/library/cc731363(v=ws.10).aspx

https://social.technet.microsoft.com/Forums/en-US/5fb22134-c12b-4ff1-8764-b10aa37c8b9c/the-client-could-not-be-authenticated-because-the-extensible-authentication-protocol-eap-type?forum=winserverNAP