Event id 18 'Message-Authenticator attribute that is not valid.'
Log Name: System
Source: NPS
Date: 3/9/2018 1:48:55 PM
Event ID: 18
Task Category: None
Level: Error
Keywords: Classic
User: N/A
Computer: NPS_Server
Description:
An Access-Request message was received from RADIUS client 0.0.0.0(RADIUS_Client) with a Message-Authenticator attribute that is not valid.
[Explanation]
Windows NPS (Network Policy Server) 서버에서 Cisco Meraki Controller를 사용해서 PEAP인증으로 사용하려고 하였으나, 상기 이벤트처럼 메시지가 발생하며, 인증 처리가 되지 않은 증상이 발생하고 있었습니다.
SSK(Shared Security Key)가 일치한 지 확인을 하였지만 동일하게 발생하여, 알아보던 중 문제는 전혀 다른 곳에서 확인 할 수 있었습니다. 바로 로컬PC의 무선랜 설정과 관련된 부분입니다.
우선 무선 인증을 요청하기 위해서 아래와 같은 순서로 무선 네트워크를 설정하게 됩니다. 아래 그림처럼 순서대로 진행하시면 됩니다. 중요한 것은 아래 별도로 설명드리겠습니다.
여기까지 진행하시면 이제 생성된 무선 네트워크에 대한 속성 정보가 보이게 됩니다 여기서 '보안' 탭에서 '네트워크 인증방벙 선택' 옆에 있는 '설정'을 클릭합니다. 그러면 우측 '보호된 EAP 속성'이 보이는 여기서 연결할 때 '인증서를 확인하여 서버의 ID 확인'을 해제 합니다.
해제하는 이유는 이 부분이 적용되면, PEAP인증을 수행하더라고 Local PC에 저장된 사용자 혹은 컴퓨터 인증서를 확인한다는 의미로, PEAP를 사용하지만 TLS 방식도 참고하는 것이기 때문입니다. 상기 메시지는 바로 이 부분 때문에 발생한 것 입니다.
나아가 추가로 설정하면 좋은 정보를 공유드리면 '보호된 EAP 속성' 화면에서 인증 방법 선택 옆에 있는 '구성'을 누르시고 EAP MSCHAPv2 속성을 해제합니다. 이 의미는 로그온 한 계정 정보를 기반으로 PEAP 인증을 시도한다는 부분인데, 도메인 환경이 아닌 PC 경우는 인증 처리가 되지 않습니다.
또한 무선테트워크 속성의 '보안'탭에서 '고급설정'으로 가셔서 '인증 모드 지정' 항목이 있는데, 여기서는 컴퓨터 인증이 아닌, '사용자 인증'으로 지정하셔야 합니다. 그래야 NPS와 연동하는 AD 계정 혹은 별도로 지정한 계정으로 로그온이 가능합니다.
♔♔♔♔♔♔♔♔♔♔
댓글이나 의견은 언제든지 환영합니다.
Your Comments are Always Welcomed!
0 comments:
Post a Comment