EAP-MD5 i Windows Server 2008 R2

Jag har senaste tiden jobbat en del med 802.1x och Radius i trådbundet nätverk. Att få datorer och användare authenticerade innan de får anslutning genom switchen var inga problem. Det blev värre när IP telefonerna skulle kopplas in.

Ip Telefonerna använder EAP-MD5 för authenticering. Denna authenticerings modell har microsoft valt att inte stödja i Windows server 2008 och framåt. Men man kan få igång det genom lite register hack:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\4

Value name: RolesSupported
Value type: REG_DWORD
Value data: 0000000a

Value name: FriendlyName
Value type: REG_SZ
Value data: MD5-Challenge

Value name: Path
Value type: REG_EXPAND_SZ
Value data: %SystemRoot%\System32\Raschap.dll

Value name: InvokeUsername
Dialog Value type: REG_DWORD
Value data: 00000001

Value name: InvokePasswordDialog
Value type: REG_DWORD
Value data: 00000001

Inte nog med detta. EAP-MD5 måste kunna plocka upp lösenord från AD. Så man måste slå på “Store password using reversable encryption”. Både i default domain policy och på konton som används av telefonerna. Slutligen måste lösenorden ändras så att de sparas i avkrypterbar form.

Har fortfarande lite strul med att de loggas ur efter en stund? Det blir dagens felsökning!

Mr T-bone

Torbjörn Tbone Granheden is a Solution Architect for Modern Workplace at Coligo AB. Certified in most microsoft technologies and over 20 years as Microsoft Certified Trainer (MCT)

You may also like...

%d bloggers like this: