我有一台来自 Aruba 控制器的 RADIUS NPS 服务器。会计和身份验证日志记录已打开并正常运行,除了当由于密码错误而导致登录失败时。
安全日志
所有身份验证尝试均在服务器上的安全事件日志中可见。
任务类别为登录或网络策略服务器。如果类别为网络策略服务器,则原因代码已指定,8 表示错误的用户名,7 表示错误的域,等等。NPS
日志还指定“呼叫站 ID”,即最终用户设备的 MAC 地址(以及我想要的错误密码尝试的信息)。
错误密码
错误密码尝试会记录在安全事件日志中,任务类别为登录。
它们不会显示在 NPS 日志中,事件不会显示不是列出 MAC 地址。
登录失败的事件 ID 是 6273;我不是在日志中看到是16,用户凭据不匹配。
我使用相同的控制器从同一设备(我的手机)测试了错误密码和错误用户名。
连接请求策略/网络策略
我认为登录处理的顺序在某种程度上很重要,但我不知道在哪里。
我们有一个连接请求策略,使用 Windows 身份验证,身份验证提供程序作为本地计算机(这不是域控制器)。
我们有多个网络策略,适用于无线的策略在列表中排在第一位。
我认为错误密码导致登录失败“无法进入”NPS 层,但为什么不能呢?为什么该层可以处理错误的用户名,而不处理错误的密码?登录的处理有什么不同?(区别不就是 DC 的返回代码不同吗?)
编辑:经过进一步调查,安全事件日志中似乎有一个 4624(成功登录)条目,紧接在 6278(NPS 授予完全访问权限)之前成功的连接。因此,看来帐户必须通过此初始(网络)登录。
但是,对于“不良用户名”,我相信这些名称会在网络策略条件中被过滤掉。目前(除其他事项外)条件之一是帐户必须属于域用户。这是不对错误的用户名。
不管怎样,我不确定为什么 NPS 不会处理错误的密码尝试,因为它应该是无效的约束在那时候。