IAS autenticando pda’s

IAS autenticando dispositivos (3G ahora) contra usuarios en un directorio activo. No es lo mas limpio (por el tema de ip’s) pero bueno, funcionar, funciona.

La configuracuón es la siguiente:
– Definir los clientes que nos van a pasar las peticiones (normalmente asignados por el proveedor), con su ip y su secret key.
– Defines el tipo de log que quieres, base de datos o fichero, cuanto mas mejor, como se van a conectar con bastantes tipos de dispositivos distintos te puedes encontrar con un monton de errores variados.
– Politicas de acceso, aqui empieza lo bueno, hay que definir una politica de acceso para cada tipo (por ejemplo, una para pda’s, otra para routers etc), cada politica asignara una serie de propiedades al dispositivo (mascara de red, routing activado, etc).
Los parametros para crear la politica son:
Como autenticamos contra un directorio activo hay que ponerle el grupo al que pertenecen los usuarios (DOMINIO\grupo).
En nuestro caso ponemos que el servidor es el que asigna las ip’s
Multilink activado (aunque no se usa ya, antiguamente cuando se hacia con las RDSI’s)
Autenticación, selecciona los tipos de autenticación que vas a soportar, lo normal sería usar PAP y CHAP que son los que soportan la mayoria de dispositivos (estamos hablando de moviles, pda’s o tarjetas en portatiles), ahora bien, hemos tenido problemas y hubo que activar el MS-Chap v2.
Encriptación, todas activadas menos no encriptación (tambien depende de los tipos de dispositivos).
Advanced: aqui es donde le pasas las propiedades del usuario, lo mas comun es pasar lo siguiente:
Nombre de atributo – Vendor specific- Vendor code 1584 – valor (la ip de tu dns) – Para que asigne automaticamente los servidores DNS al usuario (cuanto tiene la pestaña de, dns asignados automaticante pinchada).
Nombre de atributo – Framed IP netmask – 255.255.255.0 (o la que quieras).
Nombre del atributo – Framed Protocol – ppp
Nombre del atributo – Framed Routing – sent-listen (o none, como necesites)
Nombre del atributo – Service type – Framed

Estos son los parametros que asignaría un radius normal, asi que ya lo tenemos.
Si tienes varias politicas puedes asignarle prioridades, en cada caso tienes que asignarle en el campo atributo (user-name) el nemónico que te asigna el proveedor (el @loquesea) para que sepa a que politica tiene que ir. Lo que se hace es decirle que cuando un usuario@loquesea entre lo cambien por usuario@tudominiowin para que el servidor asociado a tudominiowin sea capaz de autenticarlo (el usuario tiene que estar dentro del grupo que has seleccionado al principio).

Para dar de alta los usuarios en el directorio activo tienes que seleccionar lo siguiente:
Creas el usuario normal, Account y seleccionas:
-User cannot change password
– Password never expires (muy malo, yo no lo haria)
– Store password using reversible encription (si usas PAP)

Member of, tienes que meterlo dentro del grupo que hayas seleccionado en la politica del IAS.
Dial in. seleccionar lo siguiente:
-Allow access
-no callback (porque no lo permitimos)
-Assing a static ip address (y la ip), este es el coñazo, no se si hay alguna forma de hacerlo dinamico (como hacen algunos radius de verdad, vamos).

Eso es todo amigos…