H3C交换机dot1X+AD+IAS+CA配置实验五(解决用户尚未登录无法验证问题)
2009-08-31 19:56
435 查看
到这里,实验已经基本完成,可是有一个问题无法解决。就是我的客户机都是指定Ip地址了,而非dhcp,也就无法使用动态vlan了。这样就有一个问题,如果更换一个用户登录客户机,这个用户此前从未登录过这台客户机。那么就产生了首先dot1x没有认证通过,也就无法联系域控制器,更谈不上下载用户证书了,没有用户证书,就别想通过dot1x认证了。所以新用户登录时,总是提示域不可用。
Google查询,发现也难倒了不少人。于是再查看IAS的日志,发现并不是想象的那样没有向IAS发送认证请求,这样事情就有转机了,再仔细查看日志,有如下信息:
用户 host/客户机名.域名 被拒绝访问。
Full-Qualified-User-Name = 域名/computers/主机名
……
Reason = 连接企图失败,因为用户帐户的远程访问许可被拒绝……
眼前顿时豁然开朗,呵呵,只要将AD中的domain computers组类属与远程访问策略被授权的用户组即可。测试ok,出现如下提示:
用户 host/客户机名.域名 被授予了访问权。
总结:域内主机加入AD之后,首先申请得到一个计算机证书,然后用户登录之后再得到一个用户证书。而用户尚未登录时,客户机会传送主机证书,而主机证书的用户名所在群组属于AD中的domain computer 组。所以广义的将,AD内的计算机也可视为用户了。
相关文章推荐
- H3C交换机dot1X+AD+IAS+CA配置实验(解决用户尚未登录无法验证问题)
- H3C交换机dot1X+AD+IAS+CA配置实验五(解决用户尚未登录无法验证问题)
- H3C交换机dot1X+AD+IAS+CA配置实验五(解决用户尚未登录无法验证问题)
- 解决Linux系统安装后,root用户无法登录,提示“无法验证用户”的错误问题
- 解决Linux系统安装后,root用户无法登录,提示“无法验证用户”的错误问题
- 开机登录失败 提示"user profile service服务未能登录,无法加载用户配置文件" 问题解决办法
- 解决dropbear在busybox中使用无法使用本地用户登录问题
- 解决服务器SID引起虚拟机不能加入AD域用户,无法远程登录的问题
- oracle 12c 解决pdb中用户无法登录问题的详细步骤
- Oracle 验证机制 -- 解决刚创建数据库后未赋权新建用户以dba登录问题
- 解决oracle用户scott无法登录问题,解锁即可
- 密钥发行中心(KDC)找不到相应的证书用于智能卡登录,或者无法验证 KDC 证书。如果不解决该问题,智能卡登录可能不会正常工作。若要更正该问题,请使用 certutil.exe 验证现有的 KDC 证书或注册新的 KDC 证书。
- 禅道系统迁移到linux平台 用户无法登录问题的解决
- 解决ssh添加用户公钥到~/.ssh/authorized_keys文件后任然无法无密码登录的问题
- Rundeck用户无法登录问题解决
- BIEE 11G 登陆时出现 “无法登录 验证期间出错” 的问题解决
- Android 微信授权登录、获取Wx用户信息,解决无法回调问题
- google浏览器用户无法登录问题解决
- Oracle新创建用户无法以normal登录问题的解决办法
- vsftpd关于500 OOPS错误及虚拟用户无法登录问题解决