10
NPS Anmeldung ohne host
Moin zusammen,
ich sitze gerade an der Installation einer zertifizierten Zugriffsregelung an den Netzwerkports eines Switches.
Jetzt ist es soweit, das der Client sich auch versucht am NPAS anzumelden, nur mit folgender Meldung:
Der Netzwerkrichtlinienserver hat einem Benutzer den Zugriff verweigert.
Wenden Sie sich an den Administrator des Netzwerkrichtlinienservers, um weitere Informationen zu erhalten.
Benutzer:
Sicherheits-ID: S-1-0-0
Kontoname: host/KameraVLAN11
Kontodomäne: VMS
Vollqualifizierter Kontoname: VMS\host/KameraVLAN11
Clientcomputer:
Sicherheits-ID: S-1-0-0
Kontoname: -
Vollqualifizierter Kontoname: -
ID der Empfangsstation: 88-3a-30-39-62-c0
ID der Anrufstation: 9c-7b-ef-40-f0-c8
NAS:
NAS-IPv4-Adresse: 10.156.62.206
NAS-IPv6-Adresse: -
NAS-ID: 420-04-02-Office
NAS-Porttyp: Ethernet
NAS-Port: 20
RADIUS-Client:
Clientanzeigename: Switch420-04-02-Office
Client-IP-Adresse: 10.156.62.206
Authentifizierungsdetails:
Name der Verbindungsanforderungsrichtlinie: Sichere verkabelte (Ethernet-) Verbindungen
Netzwerkrichtlinienname: -
Authentifizierungsanbieter: Windows
Authentifizierungsserver: SRV01.xxxxx.local
Authentifizierungstyp: EAP
EAP-Typ: -
Kontositzungs-ID: -
Protokollierungsergebnisse: Die Kontoinformationen wurden in die lokale Protokolldatei geschrieben.
Ursachencode: 8
Ursache: Das angegebene Benutzerkonto ist nicht vorhanden nicht.
Ich denke mir, das die Aussage des nicht vorhandenen Benutzerkontos aus den Benutzerdaten kommt.
Kontoname: host/KameraVLAN11
Kann der Eintrag host/ oder host deaktiviert werden, oder muß dieser stehen bleiben und bezieht sich auf Authentifizierungsserver?
Danke für Eure Hilfe.
Gruß
M
ich sitze gerade an der Installation einer zertifizierten Zugriffsregelung an den Netzwerkports eines Switches.
Jetzt ist es soweit, das der Client sich auch versucht am NPAS anzumelden, nur mit folgender Meldung:
Der Netzwerkrichtlinienserver hat einem Benutzer den Zugriff verweigert.
Wenden Sie sich an den Administrator des Netzwerkrichtlinienservers, um weitere Informationen zu erhalten.
Benutzer:
Sicherheits-ID: S-1-0-0
Kontoname: host/KameraVLAN11
Kontodomäne: VMS
Vollqualifizierter Kontoname: VMS\host/KameraVLAN11
Clientcomputer:
Sicherheits-ID: S-1-0-0
Kontoname: -
Vollqualifizierter Kontoname: -
ID der Empfangsstation: 88-3a-30-39-62-c0
ID der Anrufstation: 9c-7b-ef-40-f0-c8
NAS:
NAS-IPv4-Adresse: 10.156.62.206
NAS-IPv6-Adresse: -
NAS-ID: 420-04-02-Office
NAS-Porttyp: Ethernet
NAS-Port: 20
RADIUS-Client:
Clientanzeigename: Switch420-04-02-Office
Client-IP-Adresse: 10.156.62.206
Authentifizierungsdetails:
Name der Verbindungsanforderungsrichtlinie: Sichere verkabelte (Ethernet-) Verbindungen
Netzwerkrichtlinienname: -
Authentifizierungsanbieter: Windows
Authentifizierungsserver: SRV01.xxxxx.local
Authentifizierungstyp: EAP
EAP-Typ: -
Kontositzungs-ID: -
Protokollierungsergebnisse: Die Kontoinformationen wurden in die lokale Protokolldatei geschrieben.
Ursachencode: 8
Ursache: Das angegebene Benutzerkonto ist nicht vorhanden nicht.
Ich denke mir, das die Aussage des nicht vorhandenen Benutzerkontos aus den Benutzerdaten kommt.
Kontoname: host/KameraVLAN11
Kann der Eintrag host/ oder host deaktiviert werden, oder muß dieser stehen bleiben und bezieht sich auf Authentifizierungsserver?
Danke für Eure Hilfe.
Gruß
M
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 666438
Url: https://administrator.de/contentid/666438
Printed on: April 19, 2024 at 15:04 o'clock
10 Comments
Latest comment
Der Netzwerkrichtlinienserver hat einem Benutzer den Zugriff verweigert.
Zeigt ja das deine 802.1x Lösung sauber funktioniert ! 
Der NPS ist ein simpler Radius Server. Du musst also ein zentrales Radius Passwort dort setzen und auch die entsprechenden User und Passwörter.
Wenn du 802.1x machst musst du an den Windows Clients auch diesen Dienst aktivieren.
Bei Mac Passthrough also nur der Authentisierung der User anhand ihrer Mac Adresse muss man den .1x Client nicht aktivieren.
Ein gutes Tool zum Testen deines NPS/Radius ist NTRadPing: Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Hier findets du ein paar Infos zu dem Thema:
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Cisco SG 350x Grundkonfiguration
Bzw. Windows bezogen:
https://www.msxfaq.de/windows/sicherheit/8021x.htm
https://www.andysblog.de/windows-drahtgebundenes-lan-802-1x-und-nps
https://www.heise.de/ct/artikel/Radius-mit-Windows-Server-2087800.html
https://www.msxfaq.de/windows/sicherheit/8021x.htm
usw. usw.
Danke aqui,
man kann aus der Aussage natürlich jetzt viel heraus lesen
Also die Authentifizierung ist soweit eingestellt, das der NPAS reagiert und auch der Client auf der Netzwerkschnittstelle über die Authentifizierung konfiguriert ist.
Also der Beitrag https://www.andysblog.de/windows-drahtgebundenes-lan-802-1x-und-nps ist komplett durch gearbeitet .
Und meine Frage besteht darin, ob der host rausgenommen werden kann.
Wenn jetzt die Anmeldung VMS\KameraVLAN11 wäre, denke ich, das der AD DS diesen dann auch erkennt bzw. keine Ablehnung kommt.
Vielleicht hast Du adhoc eine Info, wie wir den host heraus bekommen.
man kann aus der Aussage natürlich jetzt viel heraus lesen
Also die Authentifizierung ist soweit eingestellt, das der NPAS reagiert und auch der Client auf der Netzwerkschnittstelle über die Authentifizierung konfiguriert ist.
Also der Beitrag https://www.andysblog.de/windows-drahtgebundenes-lan-802-1x-und-nps ist komplett durch gearbeitet .
Und meine Frage besteht darin, ob der host rausgenommen werden kann.
Wenn jetzt die Anmeldung VMS\KameraVLAN11 wäre, denke ich, das der AD DS diesen dann auch erkennt bzw. keine Ablehnung kommt.
Vielleicht hast Du adhoc eine Info, wie wir den host heraus bekommen.
das der NPAS reagiert und auch der Client auf der Netzwerkschnittstelle über die Authentifizierung konfiguriert ist.
Was ja schonmal gut ist... Und meine Frage besteht darin, ob der host rausgenommen werden kann.
Ahhso... Ja, das kann er. Dann musst du aber ein IP Netz angeben.Der Radius verlangt generell das du den oder die Authenticator(s) (also den Switch) mit seiner Absender IP angeben musst. Logisch, denn der Authenticator muss sich am Radius immer mit einem Passwort authentisieren was ja im Switch auch so entsprechend konfiguriert wird. Z.B. Cisco Ruckus usw. mit
radius-server host 192.168.7.166 auth-port 1812 acct-port 1813 authentication-only key Geheim123
Wenn du nun 2 oder 3 Switches hast kannst du dem Radius diese 2-3 Hosts einzeln angeben.
Wenn du aber 20-30 Switches oder mehr hast macht das wenig Sinn und dann gibt man eben ein ganzes Netzwerk an z.B. das Management IP Netzwerk der Switches. Der Radius akzeptiert dann alles was aus diesem IP Netz kommt. Sofern das Passwort stimmt.
Ohne Authenticator Host oder Netz Angabe würde der Radius logischerweise alle Requests an ihn sofort als unauthorisiert abweisen.
Ja nee ...
Also den Switch haben wir als Client schon mit IP im Netzwerkrichtlinienserver angegeben, welche bei Auflösen / Überprüfen auch gesehen wird.
Und wir haben ja eine Kommunikation.
Nur wo kommt der Eintrag host/ und wo können wir den deaktivieren. Ist m.E. eine Windows Einstellung.
Also den Switch haben wir als Client schon mit IP im Netzwerkrichtlinienserver angegeben, welche bei Auflösen / Überprüfen auch gesehen wird.
Und wir haben ja eine Kommunikation.
Nur wo kommt der Eintrag host/ und wo können wir den deaktivieren. Ist m.E. eine Windows Einstellung.
Nur wo kommt der Eintrag host/ und wo können wir den deaktivieren
Einen "Host" gibt es dann bei 802.1x aber sonst nicht. Was soll das denn sein ?? 🤷♂️Generell hast du beim Client dann nur ganz normale User/Passwort Credentials die zum AD passen müssen. "Hosts" kommen da nicht vor.
Siehe dazu auch HIER.
Zitat von @Molly11:
Nur wo kommt der Eintrag host/ und wo können wir den deaktivieren. Ist m.E. eine Windows Einstellung.
Servus @Molly11,Nur wo kommt der Eintrag host/ und wo können wir den deaktivieren. Ist m.E. eine Windows Einstellung.
wenn du den Benutzernamen nicht auf dem Client schon ändern kannst, z.B. mangels Einstellungsmöglichkeiten dann kannst du den Benutzernamen auf dem NPS entsprechend mittels einer Verbindungs-Anforderungsrichtlinie und einem Attribut-Replace für den Benutzernamen das führende "host/" aus dem Benutzernamen entfernen.
Wenn dein Benutzername also nach dem Schema "host/KameraVLAN11" übermittelt wird, dann machst du das mittels folgender Policy:
Wenn die Verbindungsanforderunsrichtlinie dann greift wird der Benutzername nach den Vorgaben geändert.
Weitere Details zur Syntax & Co. siehe
https://docs.microsoft.com/de-de/windows-server/networking/technologies/ ...
Hier der Test mit einem Mikrotik als Radius Client für DOT1X Port Auth:
User authentifiziert sich absichtlich mit dem Benutzernamen host/mmuster:
Mikrotik (Anfrage des Cleints an den NPS)
NPS erteilt Freigabe mit dem durch die Verbindungsanforderungsrichtlinie modifizierten Usernamen
Mikrotik schaltet den Port frei
Grüße Uwe
Oha, NPS Feinheiten... Etwas zu FreeRadius geschädigt. 😉 Danke Uwe für die Aufklärung des Rätsels !
Eher nicht, sowas kennt der FreeRadius natürlich auch
https://wiki.freeradius.org/modules/Rlm_attr_rewrite
Grüße Uwe
https://wiki.freeradius.org/modules/Rlm_attr_rewrite
Grüße Uwe
Hi Uwe,
Chapeau.
Das war ein Volltreffer.
Und danke für den Link. Sehr Hilf- und Aufschlussreich.
Anmeldung läuft.
Vielen lieben Dank.
Gruß
M.
Chapeau.
Das war ein Volltreffer.
Und danke für den Link. Sehr Hilf- und Aufschlussreich.
Anmeldung läuft.
Vielen lieben Dank.
Gruß
M.
Freut mich wenn ich helfen konnte
Grüße Uwe
Grüße Uwe
