IAS/NPS proxy nu logheaza atributul User-Name primit de la serverul RADIUS remote in format text
Salut,
In acest post voi prezenta un subiect de care m-am lovit recent, legat de IAS/NPS proxy account logging.
Avem urmatorul scenariu: Clientii Wireless se conecteaza la un access point, care trimite requesturile de autentificare catre un IAS/NPS RADIUS proxy. Acesta foloseste logging text in format IAS.
IAS/NPS proxy-ul primeste un Access-Request de la access point (AP), care contine atributul User-Name:
AP = 10.10.10.1
RADIUS proxy = 10.10.10.10
RADIUS backend = 10.10.10.100
1 10:00:00 01.09.2009 10.10.10.1 10.10.10.10 EAP EAP:Request, Type = PEAP
AttributeUserName: testuser@testdomain.net
UserName: testuser@testdomain.net
2 10:00:00 01.09.2009 10.10.10.10 10.10.10.100 EAP EAP:Request, Type = PEAP
AttributeUserName: testuser@testdomain.net
UserName: testuser@testdomain.net
Serverul RADIUS back-end, care autentifica clientul, trimite pachetul de Access-Accept catre proxy, continand si el atributul User-Name:
3 10:00:00 01.09.2009 10.10.10.100 10.10.10.10 EAP EAP:Success
AttributeUserName: testuser
UserName: testuser
4 10:00:00 01.09.2009 10.10.10.10 10.10.10.1 EAP EAP:Success
AttributeUserName: testuser
UserName: testuser
Astfel, serverul proxy are 2 atribute User-Name pe care le ia in calcul pentru logging, si nu salveaza acest atribut in format IAS text.
Atributul User-Name este descris in RFC 2865, sectiunea 5.1:
https://www.ietf.org/rfc/rfc2865.txt
Acest comportament este cunoscut pentru IAS/NPS ruland pe Windows Server 2003, 2008 and 2008R2.
Este by design si nu va fi modificat, deoarece exista urmatoarele workaround-uri:
1.) Text logging in format ODBC.
2.) SQL logging.
--- George