Dėkui už nuorodą. Klaidingai galvojau, kad mašina turėtų autentifikuotis tik 
su sertifikatu. Patestavau su domain'ine mašina- viskas nuriedėjo, PEAP su 
MSCHAP susitvarkė, galiausiai išaiškėjo, kad xp sp3 by default mašiną 
autentifikuoja dar prieš vartotoją. Žodžiu dabar viskas tvarkoj, dėkui :)

Problema kitoj lygioj vietoj, kad jau pradėjau bėdavotis...
HP ProCurve 2524 switche'as, sukonfiginęs, kad neautorizuotus vartotojus 
mestų į atskirą vlan'ą:
aaa port-access authenticator 7 unauth-vid 666

Bet nesėkmingai autorizavusis vlan'as priskiriamas normaliai, o portas lieka 
closed:

# show port-access authenticator
              Access   Authenticator  Authenticator  Unauth   Auth 
Current
  Port Status Control  State          Backend State  VLAN ID  VLAN ID  VLAN 
ID
  ---- ------ -------- -------------- -------------- -------- -------- --------
  7    Closed Auto     Held           Idle           666      21        666

Keletas analogiškų klausimų googly guli neatskyti. Neįkvepia...


"uknown" <uknown@nowhere.net> wrote in message 
news:gngc4l$aq7$1@trimpas.omnitel.net...
> Tingiu aiškinti, bet pas mane viskas tas veikia. Kiek pamenu viską pagal 
> šitą dariau. Tinka ir win2003 serveriui.
>
> http://www.windowsnetworking.com/kbase/WindowsTips/Windows2000/AdminTips/Security/SettingupWindows2000Radiustoauthenticatewireless802.1xclients.html
>
> "Trecias Brolis" <jonas@brolis.lt> wrote in message 
> news:gngb5r$95o$1@trimpas.omnitel.net...
>> Sveiki, dar kartą,
>>
>> na taip, tas tiesa, bet bet su tuo, kas stovi už RADIUS autentikatoriaus
>> (switche'o) problemų lyg neturiu, testavimui po ranka gulėjo 
>> FreeRADIUS'as
>> tai ir pasinaudojau :) Žodžiu jei vartotojas prisiloginęs, 
>> ištraukus/įkišus
>> kabelį autentifikuojama tvarkingai ir portas atidaromas.
>>
>> Sutrumpinant klausimą- kaip konfigūruoti suplikantą (ar kaip organizuoti
>> visą mechanizmą), kad užsikrovus mašinai iki login screen'o, vartotojas 
>> jau
>> galėtų logintis į domain'ą (tam jau reikia ryšio, o jo nėra), o 
>> prisiloginus
>> .1x dar automatiškai patikrintų vartotojo credential'us.
>>
>> T.y. tam, kad vartotojas autentifikuotųsi ir gautų ryšį, jam reikia
>> prisiloginti į domain'ą. O tam, kad prisiloginti į domain'ą, jam reikia
>> ryšio, kurio dar nėra. Vat ir krapštau ausį, kaip tokiems šposams
>> standartinį windowsų suplikantą prišnekint.
>>
>>
>> "uknown" <uknown@nowhere.net> wrote in message
>> news:gnes8s$3m1$1@trimpas.omnitel.net...
>>> nereikalingas joks freeradiusas, windowsas savo radiusą turi, viskas ten
>>> gerai vieikia.
>>>
>>> "Trecias Brolis" <jonas@brolis.lt> wrote in message
>>> news:gnegjj$be2$1@trimpas.omnitel.net...
>>>> Sveiki, kolegos,
>>>>
>>>> Tikslas- tinklo apsauga, kad neautorizuoti vartotojai (ar iranga)
>>>> neturetu prieigos prie vietiniu resursu.
>>>>
>>>> Galine iranga palaiko 802.1x, tuo ir noretusi pasinaudot. Kompai
>>>> domain'e, vartotojai aktyvioj direktorijoj. Is cia kyla noras
>>>> autentifikuoti tiek masinas (sertifikatu), tiek vartotojus- aktyvioje
>>>> direktorijoje.
>>>> FreeRadius'as pakurtas, su aktyvia snekasi, vartotojus tikrina. Viskas
>>>> butu kaip ir tvarkoj, bet tam, kad vartotoja butu galima autentifikuot,
>>>> jis turi prisijungt prie domeno (paduot savo credential'us), o 
>>>> prisijungt
>>>> negali, nes switche'o skyle blokuota. Na naturalus autentifikavimo 
>>>> metodu
>>>> konfliktas :)
>>>> Literatura skelbia, kad pirmiausia reiketu atlikti masinos
>>>> autentifikacija (su sertifikatu, matyt), jei ji praeina- duoti tinkla,
>>>> leisti vartotojui logintis i domena, o prisiloginus autorizuoti
>>>> vartotoja. skamba pakankamai logiskai, tik neaisku, kaip tokiam
>>>> mechanizmui konfiguruoti windowsus (XP SP3). Autentifikavimas tik
>>>> sertifikatu aiskus, autentifikavimas tik AD credential'ais irgi aiskus
>>>> (jei vartotojas jau prisijunges prie domeno, kabeli istraukus/ikisus
>>>> auth. veikia kaip priklauso). O kaip sukergt juos, kad pirma praeitu
>>>> masinos autentifikacija, duotu tinkla jei viskas tvarkoj, o tada dar
>>>> prasuktu vartotojo credential'u patikrinima- niekur nerandu.
>>>>
>>>> Gal kas nors kokiu nors minciu sugeneruotu, patirtim pasidalintu, ar is
>>>> principo kazka ne taip galvoju? Trecios salies suplikantu instaliuotis
>>>> nesinori, taip pat negerai butu vartotojus priverst suvedinet
>>>> prisijungimo duomenis daugiau nei viena karta :)
>>>>
>>>> Pradziugintu bet kokios mintys.
>>>>
>>>> p.s. tinklas tik is vario, oru niekas neina.
>>>>
>>>
>>>
>>
>>
>>