某局点使用windows自带客户端进行有线802.1X认证失败案例

不涉及

现场使用做有线802.1X认证，发现使用iNode客户端可以认证成功，但是使用windows自带客户端认证失败。

1、使用windows自带客户端进行认证时，查看iMC后台日志记录：[ERR] ; [6936] ; EAP ; EapTlsAuth.reGenContxt: certificate file does not exist.

故怀疑现场没有配置证书。

2、远程查看现场环境配置，发现接入策略中的首选EAP类型选择的是EAP-MD5，选择该认证类型时，iNode是可以支持的，但是windows自带客户端不支持该类型，只能使用PEAP或者TLS；故需要修改iMC的接入策略首选EAP类型为EAP-PEAP，子类型为MSCHAPv2，并导入iMC预置证书后可以认证成功。（注：此时设备上认证类型需要选为EAP）

现场参考上述调整iMC配置即可。

1、修改iMC的接入策略首选EAP类型为EAP-PEAP，子类型为MSCHAPv2；

2、导入iMC预置证书；

【附】

WIN7系统使用自带软件进行有线802.1X认证时的配置方法

前提条件

选择“开始 > 控制面板”，依次单击“管理工具”和“服务”，确认“Extensible Authentication Protocol”和“Wired AutoConfig”两个服务的“启动类型”为“自动”，“状态”为“已启动”。

 操作步骤

1、选择“开始 > 控制面板”。

2、在“控制面板”选择“网络和Internet > 网络和共享中心”（控制面板的“查看方式”选择“类别”时可显示“网络和Internet”）。

3、单击本地连接，选择“属性”。

4、在“身份验证”页签，选中“启用IEEE802.1X身份验证”，“选择网络身份验证方法”选择“PEAP”。单击“设置”。

5、取消选中“验证服务器证书”，“选择身份验证方法”选择“安全密码 (EAP-MSCHAP v2)”，并在右侧单击“配置”。 

6、取消选中“自动使用 Windows 登录名和密码”，单击“确定”。 

说明：如果操作系统使用AD域帐号登录，并且用来进行802.1X认证的用户名和密码也是使用的登录操作系统的域帐号和密码，则勾选“自动使用Windows登录名和密码”。  

7、等待Windows弹出认证框，即可输入用户名和密码进行认证。