2
WLAN mit EAP TLS gegen IAS mit Computerzertifikaten
Ziel ist es WLAN Clients per Computerzertifikaten (EAP-TLS) zu authentifizieren. Setze einen 2003er DC mit IAS und einen 2003er (Std.)mit CA ein. Mit Benutzerzertifikaten funktioniert es schon mit Computer Certs bekomme funktioniert es nicht.
Folgende Änderungen habe ich nach erflogreicher Authentifizierung mit Benutzerzertifikaten durchgeführt: Computerzertifikat per mmc snap-in angefordert und im Computer Zertifikatscontainer unter meine Zertifikate abgelegt. Des weiteren habe ich in den WLAN Einstellungen unter Sicherheit->Erweiterte EInstellungen 802.1x-Einstellungen Authentifizierungsmethode auswählen:Computerauthentifizierung eingestellt. Nur leider bekomme ich keine Authentifizierung hin. Muß ich noch an anderer Stelle was konfigurieren?.
Bin für jeden Tip dankbar.
Gruß,
Sven
Bin für jeden Tip dankbar.
Gruß,
Sven
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 141603
Url: https://administrator.de/contentid/141603
Printed on: April 25, 2024 at 12:04 o'clock
2 Comments
Latest comment
Das kommt darauf an... Man kann leider nur raten denn du teilst uns deine Konfig ja nicht mit 
Was sagt denn das Event Log...das wäre ja ein wichtiger Indikator was schief geht ??
Was sagt denn das Event Log...das wäre ja ein wichtiger Indikator was schief geht ??
Hi Aqui,
hier also mehr Details. Eingestzt wird ein SBS2003 mit IAS und ein 2003 Std. als DC mit CA. Als AP nutzen wir einen HP MSM310.
CA als Stammzertifizierungsstelle des Unternehmen erstellt. RootZertifikat auf die CLients verteilt. Anschließend auf dem SBS
ein Domänencontrollerzertifikat angefordert(einziges Zertifikat, daß auf einem 2003 Std. für die Serverauthentifizierung eingesetzt werden kann, wenn man keinen Enterprise Server zur Hand hat.
Nun zur IAS Konfiguration. Als erstes eine Gruppe WLAN_Zugriff im AD erstellt. Dann HP AP als Radius Client eingerichtet(Clienthersteller Radius Std.)
RasRichtlinie über Assi eingerichtet ->Wireless->Smartcard oder anderes Zertifikat->Konfigurieren->Das zuvor angeforderte Domänencontroller Zertifikat hinterlegt.
Zum Client (Windows7) User und Computer Zertifikat angefordert.
WLAN eingerichtet:
WPA2 Enterprise
AES
Auth: MS Smartcard oder anderes Zertifikat -> Einstellungen:
Zertifikat auf diesem Computer verwenden
Serverzertifikat überprüfen
Vertratuenswürdige Stammzertifizierungstelle: austellende Root CA
Unter Erweitert kann ich jetzt den Zertifizierungsmodus angeben:
Computer oder Benutzer
That´s all.
Übrigens ich habe das Problem mitlerweile gefunden. Der Safeword OTP Agent für den IAS verursacht den reject. Im Agent wird konfiguriert welche Benutzer zwingend per Token
authentifizieren müssen. Allerdings fragt der Agent nur Userobjekte im AD ab. Wenn er kein entsprechendes Objekt findet, wird generell abgewiesen und da es sich um ein Computerobjekt
handelt......
Meldung im Eventlog: Code21 Ursache: Diese Anforderung wurde von einer Drittanbietererweiterungsdll zurückgewiesen
Meldung im Agenten: ERR_UserNotFound: Cannot find user record NetUserGetGroups(DC=\\sbs.firma.local, NAME=host/notebook.firma.local) result - (2221) ER=0 TE=0 Cannot find user record
Gruß,
Sven
hier also mehr Details. Eingestzt wird ein SBS2003 mit IAS und ein 2003 Std. als DC mit CA. Als AP nutzen wir einen HP MSM310.
CA als Stammzertifizierungsstelle des Unternehmen erstellt. RootZertifikat auf die CLients verteilt. Anschließend auf dem SBS
ein Domänencontrollerzertifikat angefordert(einziges Zertifikat, daß auf einem 2003 Std. für die Serverauthentifizierung eingesetzt werden kann, wenn man keinen Enterprise Server zur Hand hat.
Nun zur IAS Konfiguration. Als erstes eine Gruppe WLAN_Zugriff im AD erstellt. Dann HP AP als Radius Client eingerichtet(Clienthersteller Radius Std.)
RasRichtlinie über Assi eingerichtet ->Wireless->Smartcard oder anderes Zertifikat->Konfigurieren->Das zuvor angeforderte Domänencontroller Zertifikat hinterlegt.
Zum Client (Windows7) User und Computer Zertifikat angefordert.
WLAN eingerichtet:
WPA2 Enterprise
AES
Auth: MS Smartcard oder anderes Zertifikat -> Einstellungen:
Zertifikat auf diesem Computer verwenden
Serverzertifikat überprüfen
Vertratuenswürdige Stammzertifizierungstelle: austellende Root CA
Unter Erweitert kann ich jetzt den Zertifizierungsmodus angeben:
Computer oder Benutzer
That´s all.
Übrigens ich habe das Problem mitlerweile gefunden. Der Safeword OTP Agent für den IAS verursacht den reject. Im Agent wird konfiguriert welche Benutzer zwingend per Token
authentifizieren müssen. Allerdings fragt der Agent nur Userobjekte im AD ab. Wenn er kein entsprechendes Objekt findet, wird generell abgewiesen und da es sich um ein Computerobjekt
handelt......
Meldung im Eventlog: Code21 Ursache: Diese Anforderung wurde von einer Drittanbietererweiterungsdll zurückgewiesen
Meldung im Agenten: ERR_UserNotFound: Cannot find user record NetUserGetGroups(DC=\\sbs.firma.local, NAME=host/notebook.firma.local) result - (2221) ER=0 TE=0 Cannot find user record
Gruß,
Sven
