NPS Anmeldung ohne host

Moin zusammen,

ich sitze gerade an der Installation einer zertifizierten Zugriffsregelung an den Netzwerkports eines Switches.

Jetzt ist es soweit, das der Client sich auch versucht am NPAS anzumelden, nur mit folgender Meldung:

Der Netzwerkrichtlinienserver hat einem Benutzer den Zugriff verweigert.

Wenden Sie sich an den Administrator des Netzwerkrichtlinienservers, um weitere Informationen zu erhalten.

Benutzer:
Sicherheits-ID: S-1-0-0
Kontoname: host/KameraVLAN11
Kontodomäne: VMS
Vollqualifizierter Kontoname: VMS\host/KameraVLAN11

Clientcomputer:
Sicherheits-ID: S-1-0-0
Kontoname: -
Vollqualifizierter Kontoname: -
ID der Empfangsstation: 88-3a-30-39-62-c0
ID der Anrufstation: 9c-7b-ef-40-f0-c8

NAS:
NAS-IPv4-Adresse: 10.156.62.206
NAS-IPv6-Adresse: -
NAS-ID: 420-04-02-Office
NAS-Porttyp: Ethernet
NAS-Port: 20

RADIUS-Client:
Clientanzeigename: Switch420-04-02-Office
Client-IP-Adresse: 10.156.62.206

Authentifizierungsdetails:
Name der Verbindungsanforderungsrichtlinie: Sichere verkabelte (Ethernet-) Verbindungen
Netzwerkrichtlinienname: -
Authentifizierungsanbieter: Windows
Authentifizierungsserver: SRV01.xxxxx.local
Authentifizierungstyp: EAP
EAP-Typ: -
Kontositzungs-ID: -
Protokollierungsergebnisse: Die Kontoinformationen wurden in die lokale Protokolldatei geschrieben.
Ursachencode: 8
Ursache: Das angegebene Benutzerkonto ist nicht vorhanden nicht.


Ich denke mir, das die Aussage des nicht vorhandenen Benutzerkontos aus den Benutzerdaten kommt.
Kontoname: host/KameraVLAN11

Kann der Eintrag host/ oder host deaktiviert werden, oder muß dieser stehen bleiben und bezieht sich auf Authentifizierungsserver?

Danke für Eure Hilfe.

Gruß
M

Content-Key: 666438

Url: https://administrator.de/contentid/666438

Ausgedruckt am: 26.11.2021 um 11:11 Uhr

Mitglied: aqui
aqui 05.05.2021 aktualisiert um 16:22:58 Uhr
Goto Top
Der Netzwerkrichtlinienserver hat einem Benutzer den Zugriff verweigert.
Zeigt ja das deine 802.1x Lösung sauber funktioniert ! ;-) face-wink
Der NPS ist ein simpler Radius Server. Du musst also ein zentrales Radius Passwort dort setzen und auch die entsprechenden User und Passwörter.
Wenn du 802.1x machst musst du an den Windows Clients auch diesen Dienst aktivieren.
Bei Mac Passthrough also nur der Authentisierung der User anhand ihrer Mac Adresse muss man den .1x Client nicht aktivieren.
Ein gutes Tool zum Testen deines NPS/Radius ist NTRadPing: https://administrator.de/wissen/sichere-802-1x-wlan-benutzer-authentisie ...

Hier findets du ein paar Infos zu dem Thema:
https://administrator.de/tutorial/netzwerk-zugangskontrolle-mit-802-1x-u ...
https://administrator.de/content/detail.php?id=500006&token=166#comm ...
Bzw. Windows bezogen:
https://www.msxfaq.de/windows/sicherheit/8021x.htm
https://www.andysblog.de/windows-drahtgebundenes-lan-802-1x-und-nps
https://www.heise.de/ct/artikel/Radius-mit-Windows-Server-2087800.html
https://www.msxfaq.de/windows/sicherheit/8021x.htm
usw. usw.
Mitglied: Molly11
Molly11 05.05.2021 um 16:49:14 Uhr
Goto Top
Danke aqui,

man kann aus der Aussage natürlich jetzt viel heraus lesen :-) face-smile

Also die Authentifizierung ist soweit eingestellt, das der NPAS reagiert und auch der Client auf der Netzwerkschnittstelle über die Authentifizierung konfiguriert ist.

Also der Beitrag https://www.andysblog.de/windows-drahtgebundenes-lan-802-1x-und-nps ist komplett durch gearbeitet .

Und meine Frage besteht darin, ob der host rausgenommen werden kann.

Wenn jetzt die Anmeldung VMS\KameraVLAN11 wäre, denke ich, das der AD DS diesen dann auch erkennt bzw. keine Ablehnung kommt.

Vielleicht hast Du adhoc eine Info, wie wir den host heraus bekommen.
Mitglied: aqui
aqui 05.05.2021 aktualisiert um 17:03:44 Uhr
Goto Top
das der NPAS reagiert und auch der Client auf der Netzwerkschnittstelle über die Authentifizierung konfiguriert ist.
Was ja schonmal gut ist... ;-) face-wink
Und meine Frage besteht darin, ob der host rausgenommen werden kann.
Ahhso... Ja, das kann er. Dann musst du aber ein IP Netz angeben.
Der Radius verlangt generell das du den oder die Authenticator(s) (also den Switch) mit seiner Absender IP angeben musst. Logisch, denn der Authenticator muss sich am Radius immer mit einem Passwort authentisieren was ja im Switch auch so entsprechend konfiguriert wird. Z.B. Cisco Ruckus usw. mit
radius-server host 192.168.7.166 auth-port 1812 acct-port 1813 authentication-only key Geheim123
Wenn du nun 2 oder 3 Switches hast kannst du dem Radius diese 2-3 Hosts einzeln angeben.
Wenn du aber 20-30 Switches oder mehr hast macht das wenig Sinn und dann gibt man eben ein ganzes Netzwerk an z.B. das Management IP Netzwerk der Switches. Der Radius akzeptiert dann alles was aus diesem IP Netz kommt. Sofern das Passwort stimmt.
Ohne Authenticator Host oder Netz Angabe würde der Radius logischerweise alle Requests an ihn sofort als unauthorisiert abweisen.
Mitglied: Molly11
Molly11 05.05.2021 um 17:28:56 Uhr
Goto Top
Ja nee ...

Also den Switch haben wir als Client schon mit IP im Netzwerkrichtlinienserver angegeben, welche bei Auflösen / Überprüfen auch gesehen wird.
Und wir haben ja eine Kommunikation.


Nur wo kommt der Eintrag host/ und wo können wir den deaktivieren. Ist m.E. eine Windows Einstellung.
Mitglied: aqui
aqui 05.05.2021 aktualisiert um 17:58:03 Uhr
Goto Top
Nur wo kommt der Eintrag host/ und wo können wir den deaktivieren
Einen "Host" gibt es dann bei 802.1x aber sonst nicht. Was soll das denn sein ?? 🤷‍♂️
Generell hast du beim Client dann nur ganz normale User/Passwort Credentials die zum AD passen müssen. "Hosts" kommen da nicht vor.
Siehe dazu auch HIER.
Mitglied: colinardo
Lösung colinardo 05.05.2021, aktualisiert am 06.05.2021 um 10:29:15 Uhr
Goto Top
Zitat von @Molly11:
Nur wo kommt der Eintrag host/ und wo können wir den deaktivieren. Ist m.E. eine Windows Einstellung.
Servus @Molly11,
wenn du den Benutzernamen nicht auf dem Client schon ändern kannst, z.B. mangels Einstellungsmöglichkeiten dann kannst du den Benutzernamen auf dem NPS entsprechend mittels einer Verbindungs-Anforderungsrichtlinie und einem Attribut-Replace für den Benutzernamen das führende "host/" aus dem Benutzernamen entfernen.

Wenn dein Benutzername also nach dem Schema "host/KameraVLAN11" übermittelt wird, dann machst du das mittels folgender Policy:

screenshot

screenshot

Wenn die Verbindungsanforderunsrichtlinie dann greift wird der Benutzername nach den Vorgaben geändert.

Weitere Details zur Syntax & Co. siehe
https://docs.microsoft.com/de-de/windows-server/networking/technologies/ ...

back-to-topHier der Test mit einem Mikrotik als Radius Client für DOT1X Port Auth:

User authentifiziert sich absichtlich mit dem Benutzernamen host/mmuster:

screenshot

Mikrotik (Anfrage des Cleints an den NPS)

screenshot

NPS erteilt Freigabe mit dem durch die Verbindungsanforderungsrichtlinie modifizierten Usernamen

screenshot

Mikrotik schaltet den Port frei

screenshot

screenshot





Grüße Uwe
Mitglied: aqui
aqui 05.05.2021 aktualisiert um 18:05:11 Uhr
Goto Top
Oha, NPS Feinheiten... Etwas zu FreeRadius geschädigt. 😉 Danke Uwe für die Aufklärung des Rätsels !
Mitglied: colinardo
colinardo 05.05.2021 aktualisiert um 18:09:11 Uhr
Goto Top
Zitat von @aqui:

Oha, NPS Feinheiten...
Eher nicht, sowas kennt der FreeRadius natürlich auch :-) face-smile
https://wiki.freeradius.org/modules/Rlm_attr_rewrite

Grüße Uwe
Mitglied: Molly11
Molly11 06.05.2021 um 11:39:32 Uhr
Goto Top
Hi Uwe,

Chapeau.

Das war ein Volltreffer.
Und danke für den Link. Sehr Hilf- und Aufschlussreich.

Anmeldung läuft.

Vielen lieben Dank.

Gruß
M.
Mitglied: colinardo
colinardo 06.05.2021 um 12:12:30 Uhr
Goto Top
Freut mich wenn ich helfen konnte :-) face-smile

Grüße Uwe
Heiß diskutierte Beiträge
question
Installationsproblem Office 2021 - alle Links öffnen Edge! gelöst SarekHLVor 1 TagFrageMicrosoft Office14 Kommentare

Hallo zusammen, ich habe gerade Office 2021 auf einem Notebook installiert und habe ein seltsames Phänomen! Die Verknüpfungen zu den Office-Programmen führen allesamt zu Edge! ...

question
VPN Tunnel inkonsistent? gelöst NespressoVor 1 TagFrageNetzwerkprotokolle4 Kommentare

Hallo zusammen, das Thema VPN ist bei mir recht neu, doch habe ich es hinbekommen den Windows Server 2016 eigenen VPN dienst zu konfigurieren und ...

question
WSUS Problem mit Office + ExplorerfrenchfriesguyVor 1 TagFrageWindows Update7 Kommentare

Hallo zusammen ich/wir haben folgendes Problem mit einem Teil unseres Windows-Clients (W10E, 20H2) in Verbindung mit den Windows Updates. Die Updates werden über einen WSUS-Server ...

question
Eigener Server für Groupware und Nextcloudjonny-flashVor 1 TagFrageE-Mail5 Kommentare

Hallo zusammen, ich darf für ein kleines Startup temporär die Administration übernehmen, und habe bevor es los geht ein paar Fragen, die ich hier gern ...

question
VPN- 2 Sicherheitsfunktionen gelöst TekamolosVor 1 TagFrageVerschlüsselung & Zertifikate3 Kommentare

Hallo Jungs, beim Lernen habe ich diese Frage bekommen, da es im Internet sehr viel über VPN und viel Text und Protokolle gibt, war ich ...

question
Mobilfunk-Internet ins Heimnetzwerk integrieren? gelöst AvarianVor 16 StundenFrageNetzwerkmanagement6 Kommentare

Hallo, Ich bin neu hier. Wir sind vorletztes Jahr umgezogen. Die Gelegenheit habe ich damals direkt genutzt, um künftig auf wackelige WLAN-Lösungen (Repeater, Mesh-Repeater, Powerlines ...

question
Über das Notebook per Simkarte von unterwegs aus ins Internet?isarc01Vor 23 StundenFrage5G, 4G, LTE, UMTS, EDGE & GPRS8 Kommentare

Hallo, folgende Frage: Wenn ich über mein Notebook über eine angemeldete SIM Karte mit einer Datenflatrate ins Internet gehen möchte, benötige ich hier einen bestimmten ...

question
Maximale Empfänger bei Office365 gelöst mmpmmpVor 1 TagFrageMicrosoft Office11 Kommentare

Hallo, ich verwende nun Office365 (Exchange Online) für Emails und würde gerne die Weihnachtsgrüße per Mail versenden. Wo liegen die Beschränkungen der maximalen Empfänger? ...