EAP-MD5 i Windows Server 2008 R2

Jag har senaste tiden jobbat en del med 802.1x och Radius i trådbundet nätverk. Att få datorer och användare authenticerade innan de får anslutning genom switchen var inga problem. Det blev värre när IP telefonerna skulle kopplas in.

Ip Telefonerna använder EAP-MD5 för authenticering. Denna authenticerings modell har microsoft valt att inte stödja i Windows server 2008 och framåt. Men man kan få igång det genom lite register hack:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\4

Value name: RolesSupported
Value type: REG_DWORD
Value data: 0000000a

Value name: FriendlyName
Value type: REG_SZ
Value data: MD5-Challenge

Value name: Path
Value type: REG_EXPAND_SZ
Value data: %SystemRoot%\System32\Raschap.dll

Value name: InvokeUsername
Dialog Value type: REG_DWORD
Value data: 00000001

Value name: InvokePasswordDialog
Value type: REG_DWORD
Value data: 00000001

Inte nog med detta. EAP-MD5 måste kunna plocka upp lösenord från AD. Så man måste slå på “Store password using reversable encryption”. Både i default domain policy och på konton som används av telefonerna. Slutligen måste lösenorden ändras så att de sparas i avkrypterbar form.

Har fortfarande lite strul med att de loggas ur efter en stund? Det blir dagens felsökning!

About The Author

Mr T-Bone

Torbjörn Tbone Granheden is a Solution Architect for Modern Workplace at Coligo AB. Most Valuable Professional (MVP) on Enterprise Mobility. Certified in most Microsoft technologies and over 23 years as Microsoft Certified Trainer (MCT)

You may also like...