ネットワークポリシーサーバーの認証に失敗する
RADIUSクライアント(pfSense)とWindows 2008 NPSをRADIUS経由の認証用に構成しました。このセットアップは、LANユーザーがActiveDirectoryで認証するキャプティブポータルです。
イベントログを見ると、ログインテスト後に次のエラーが表示されます。
ネットワークポリシーサーバーがユーザーへのアクセスを拒否しました。
Contact the Network Policy Server administrator for more information.
User:
Security ID: CAMPUS\testuser
Account Name: testuser
Account Domain: CAMPUS
Fully Qualified Account Name: campus.mydomain.local/Users/Administrator
Client Machine:
Security ID: NULL SID
Account Name: -
Fully Qualified Account Name: -
OS-Version: -
Called Station Identifier: -
Calling Station Identifier: -
NAS:
NAS IPv4 Address: 0.0.0.0
NAS IPv6 Address: -
NAS Identifier: pfsense.campus.mydomain.local
NAS Port-Type: -
NAS Port: -
RADIUS Client:
Client Friendly Name: pfSense
Client IP Address: 192.168.1.6
Authentication Details:
Proxy Policy Name: Use Windows authentication for all users
Network Policy Name: Connections to other access servers
Authentication Provider: Windows
Authentication Server: AGDC01.campus.mydomain.local
Authentication Type: PAP
EAP Type: -
Account Session Identifier: -
Reason Code: 65
Reason: The connection attempt failed because network access permission for the user account was denied. To allow network access, enable network access permission for the user account, or, if the user account specifies that access is controlled through the matching network policy, enable network access permission for that network policy.
これは、私が認証するユーザーに関係ありません。 AD内では、ユーザーは「NPSネットワークポリシーを介してアクセスを制御する」ように設定されています。私はかなり立ち往生しているので、私はいくつかの支援を楽しみにしています。
私はこれに遭遇した最初の人ではないと確信しているので、私は自分の質問に答えています。 NPS内では、以下を変更する必要があり、問題は解決されます。
NPS内で、goto:
- ポリシー>>ネットワークポリシー
- 「他のアクセスサーバーへの接続」を無効にする
これにより問題が修正され、安全のために次のようにポリシーが注文されました。
- Microsoftルーティングとリモートアクセスサーバーへの接続(有効)
- PfSenseを許可する(有効)
- 他のアクセスサーバーへの接続(無効)