21
Windows NPS Drucker meldet sich als User
Hallo,
ich habe meinem Drucker per SCEP ein Zertifikat zugewiesen.
Nun soll der Drucker per 802.1x sich an meinem NPS anmelden, allerdings bekomme ich dort den Fehler, dass der Benutzer nicht gefunden wurde:
Ursachencode: 8
Ursache: Das angegebene Benutzerkonto ist nicht vorhanden nicht.
Ereignis-ID: 6273
Dieser versucht sich mit dem Druckernamen anzumelden, was dann fehlgeschlägt, da kein User Account vorhanden ist.
Erstelle ich einen Useraccount mit diesem Namen, dann bekomme ich einen Fehler, dass Passwort sei falsch.
Sofern ich es richtig verstanden habe, brauche ich aber normalerweise keinen AD-Account mehr, sofern ich mich per Zertifikat am Netzwerk anmelden möchte und dieses am Client samt dem Root-Zertifikat vorhanden ist.
Im Drucker (Canon) ist lediglich TLS aktiv und das Zertifikat hinterlegt.
Am NPS greift er auf die LAN-Richtlinie der Clients.
Jemand eine Idee, wo der Fehler drin steckt?
Danke.
ich habe meinem Drucker per SCEP ein Zertifikat zugewiesen.
Nun soll der Drucker per 802.1x sich an meinem NPS anmelden, allerdings bekomme ich dort den Fehler, dass der Benutzer nicht gefunden wurde:
Ursachencode: 8
Ursache: Das angegebene Benutzerkonto ist nicht vorhanden nicht.
Ereignis-ID: 6273
Dieser versucht sich mit dem Druckernamen anzumelden, was dann fehlgeschlägt, da kein User Account vorhanden ist.
Erstelle ich einen Useraccount mit diesem Namen, dann bekomme ich einen Fehler, dass Passwort sei falsch.
Sofern ich es richtig verstanden habe, brauche ich aber normalerweise keinen AD-Account mehr, sofern ich mich per Zertifikat am Netzwerk anmelden möchte und dieses am Client samt dem Root-Zertifikat vorhanden ist.
Im Drucker (Canon) ist lediglich TLS aktiv und das Zertifikat hinterlegt.
Am NPS greift er auf die LAN-Richtlinie der Clients.
Jemand eine Idee, wo der Fehler drin steckt?
Danke.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1487129630
Url: https://administrator.de/contentid/1487129630
Printed on: April 20, 2024 at 03:04 o'clock
21 Comments
Latest comment
Moin,
Gruß,
Dani
ich habe meinem Drucker per SCEP ein Zertifikat zugewiesen.
Was für ein Modell kommt zum Einsatz? Hast du die neuste Firmware auf dem Gerät am Laufen? Am NPS greift er auf die LAN-Richtlinie der Clients.
Was möchtest du mit der Windows-Gruppe im letzten Screenshot bewirken?Gruß,
Dani
1
Hallo Dani,
mein Testgerät ist hier ein Canon IR-ADV C257, Firmware ist auf den letzten Stand aktualisiert worden.
Im NPS habe ich in der Richtlinie eine Gruppe erstellt, in der die Computer-Objekte des AD Mitglied sein müssen, ansonsten bekommen die zwar ein Zertifikat, werden aber immer noch nicht authentifiziert.
Das gleiche wollte ich für Drucker einrichten, daher noch eine zweite Gruppe. Wenn ein Drucker ein Zertifikat hat, sollte er dann nicht automatisch freigegeben werden, sondern die Mitgliedschaft geprüft werden. Ist jetzt aber kein Must-Have, vor allem da ich ja an sich kein Computer-Objekt in der AD für den Drucker habe.
mein Testgerät ist hier ein Canon IR-ADV C257, Firmware ist auf den letzten Stand aktualisiert worden.
Im NPS habe ich in der Richtlinie eine Gruppe erstellt, in der die Computer-Objekte des AD Mitglied sein müssen, ansonsten bekommen die zwar ein Zertifikat, werden aber immer noch nicht authentifiziert.
Das gleiche wollte ich für Drucker einrichten, daher noch eine zweite Gruppe. Wenn ein Drucker ein Zertifikat hat, sollte er dann nicht automatisch freigegeben werden, sondern die Mitgliedschaft geprüft werden. Ist jetzt aber kein Must-Have, vor allem da ich ja an sich kein Computer-Objekt in der AD für den Drucker habe.
Hallo,
Du brauchst ein passendes Computerobjekt im AD, sonst kannst Du die Gruppe nicht prüfen.
Die Häkchen bei MSCHAP können alle weg, Du willst ja kein Passwort sondern Zertifikate nutzen.
Und dann poste mal anonymisierten die Einstellungen aus EAPTypen/MicrosoftZertifikat/Bearbeiten
Was sagt die NPS Logdatei?
Grüße
lcer
Du brauchst ein passendes Computerobjekt im AD, sonst kannst Du die Gruppe nicht prüfen.
Die Häkchen bei MSCHAP können alle weg, Du willst ja kein Passwort sondern Zertifikate nutzen.
Und dann poste mal anonymisierten die Einstellungen aus EAPTypen/MicrosoftZertifikat/Bearbeiten
Was sagt die NPS Logdatei?
Grüße
lcer
1
Hallo,
Ich habe jetzt mal den Vorgang ohne Computerobjekt durchgeführt.
Meinst du diese Einstellungen?
Und nun mit angelegtem Computerobjekt mit dem Namen des Druckers:
Du brauchst ein passendes Computerobjekt im AD, sonst kannst Du die Gruppe nicht prüfen.
Ich habe jetzt mal den Vorgang ohne Computerobjekt durchgeführt.
Die Häkchen bei MSCHAP können alle weg, Du willst ja kein Passwort sondern Zertifikate nutzen.
Danke, das habe ich eben noch nachgezogen.Und dann poste mal anonymisierten die Einstellungen aus EAPTypen/MicrosoftZertifikat/Bearbeiten
Meinst du diese Einstellungen?
Was sagt die NPS Logdatei?
<Event><Timestamp data_type="4">11/10/2021 08:22:31.200</Timestamp><Computer-Name data_type="1">VM-CS</Computer-Name><Event-Source data_type="1">IAS</Event-Source><Framed-MTU data_type="0">1480</Framed-MTU><NAS-IP-Address data_type="3">10.128.80.254</NAS-IP-Address><NAS-Identifier data_type="1">BBSBG001</NAS-Identifier><User-Name data_type="1">PRSBG01</User-Name><Service-Type data_type="0">2</Service-Type><Framed-Protocol data_type="0">1</Framed-Protocol><NAS-Port data_type="0">65</NAS-Port><NAS-Port-Type data_type="0">15</NAS-Port-Type><NAS-Port-Id data_type="1">2/13</NAS-Port-Id><Called-Station-Id data_type="1">08-97-34-01-55-cb</Called-Station-Id><Calling-Station-Id data_type="1">74-bf-c0-fa-33-6a</Calling-Station-Id><Connect-Info data_type="1">CONNECT Ethernet 1000Mbps Full duplex</Connect-Info><Tunnel-Type data_type="0">13</Tunnel-Type><Tunnel-Medium-Type data_type="0">6</Tunnel-Medium-Type><Tunnel-Pvt-Group-ID data_type="1">200</Tunnel-Pvt-Group-ID><Vendor-Specific data_type="2">0000000BFF09011A0000000B28</Vendor-Specific><Vendor-Specific data_type="2">0000000BFF09011A0000000B2E</Vendor-Specific><Vendor-Specific data_type="2">0000000BFF09011A0000000B30</Vendor-Specific><Vendor-Specific data_type="2">0000000BFF09011A0000000B3D</Vendor-Specific><Vendor-Specific data_type="2">0000000BFF09011A0000000B18</Vendor-Specific><Vendor-Specific data_type="2">0000000BFF09011A0000000B19</Vendor-Specific><Vendor-Specific data_type="2">0000000BFF09011A0000000B1B</Vendor-Specific><Vendor-Specific data_type="2">0000000BFF040138</Vendor-Specific><Vendor-Specific data_type="2">0000000BFF04013A</Vendor-Specific><Vendor-Specific data_type="2">0000000BFF040140</Vendor-Specific><Vendor-Specific data_type="2">0000000BFF040141</Vendor-Specific><Vendor-Specific data_type="2">0000000BFF040151</Vendor-Specific><Client-IP-Address data_type="3">10.128.84.254</Client-IP-Address><Client-Vendor data_type="0">0</Client-Vendor><Client-Friendly-Name data_type="1">VLAN_120</Client-Friendly-Name><MS-RAS-Vendor data_type="0">11</MS-RAS-Vendor><Proxy-Policy-Name data_type="1"> LAN Office</Proxy-Policy-Name><Provider-Type data_type="0">1</Provider-Type><SAM-Account-Name data_type="1">MYDOMAIN\PRSBG01</SAM-Account-Name><Fully-Qualifed-User-Name data_type="1">MYDOMAIN\PRSBG01</Fully-Qualifed-User-Name><Class data_type="1">311 1 10.128.84.16 11/08/2021 08:27:17 2424</Class><Authentication-Type data_type="0">5</Authentication-Type><Packet-Type data_type="0">1</Packet-Type><Reason-Code data_type="0">0</Reason-Code></Event>
<Event><Timestamp data_type="4">11/10/2021 08:22:31.200</Timestamp><Computer-Name data_type="1">VM-CS</Computer-Name><Event-Source data_type="1">IAS</Event-Source><Class data_type="1">311 1 10.128.84.16 11/08/2021 08:27:17 2424</Class><Authentication-Type data_type="0">5</Authentication-Type><Fully-Qualifed-User-Name data_type="1">MYDOMAIN\PRSBG01</Fully-Qualifed-User-Name><SAM-Account-Name data_type="1">MYDOMAIN\PRSBG01</SAM-Account-Name><Provider-Type data_type="0">1</Provider-Type><Proxy-Policy-Name data_type="1"> LAN Office</Proxy-Policy-Name><Client-Friendly-Name data_type="1">VLAN_120</Client-Friendly-Name><Client-Vendor data_type="0">0</Client-Vendor><Client-IP-Address data_type="3">10.128.84.254</Client-IP-Address><Packet-Type data_type="0">3</Packet-Type><Reason-Code data_type="0">8</Reason-Code></Event> Und nun mit angelegtem Computerobjekt mit dem Namen des Druckers:
<Event><Timestamp data_type="4">11/10/2021 09:59:52.472</Timestamp><Computer-Name data_type="1">VM-CS</Computer-Name><Event-Source data_type="1">IAS</Event-Source><Framed-MTU data_type="0">1480</Framed-MTU><NAS-IP-Address data_type="3">10.128.80.254</NAS-IP-Address><NAS-Identifier data_type="1">BBSBG001</NAS-Identifier><User-Name data_type="1">PRSBG01</User-Name><Service-Type data_type="0">2</Service-Type><Framed-Protocol data_type="0">1</Framed-Protocol><NAS-Port data_type="0">65</NAS-Port><NAS-Port-Type data_type="0">15</NAS-Port-Type><NAS-Port-Id data_type="1">2/13</NAS-Port-Id><Called-Station-Id data_type="1">08-97-34-01-55-cb</Called-Station-Id><Calling-Station-Id data_type="1">74-bf-c0-fa-33-6a</Calling-Station-Id><Connect-Info data_type="1">CONNECT Ethernet 1000Mbps Full duplex</Connect-Info><Tunnel-Type data_type="0">13</Tunnel-Type><Tunnel-Medium-Type data_type="0">6</Tunnel-Medium-Type><Tunnel-Pvt-Group-ID data_type="1">200</Tunnel-Pvt-Group-ID><Vendor-Specific data_type="2">0000000BFF09011A0000000B28</Vendor-Specific><Vendor-Specific data_type="2">0000000BFF09011A0000000B2E</Vendor-Specific><Vendor-Specific data_type="2">0000000BFF09011A0000000B30</Vendor-Specific><Vendor-Specific data_type="2">0000000BFF09011A0000000B3D</Vendor-Specific><Vendor-Specific data_type="2">0000000BFF09011A0000000B18</Vendor-Specific><Vendor-Specific data_type="2">0000000BFF09011A0000000B19</Vendor-Specific><Vendor-Specific data_type="2">0000000BFF09011A0000000B1B</Vendor-Specific><Vendor-Specific data_type="2">0000000BFF040138</Vendor-Specific><Vendor-Specific data_type="2">0000000BFF04013A</Vendor-Specific><Vendor-Specific data_type="2">0000000BFF040140</Vendor-Specific><Vendor-Specific data_type="2">0000000BFF040141</Vendor-Specific><Vendor-Specific data_type="2">0000000BFF040151</Vendor-Specific><Client-IP-Address data_type="3">10.128.84.254</Client-IP-Address><Client-Vendor data_type="0">0</Client-Vendor><Client-Friendly-Name data_type="1">VLAN_120</Client-Friendly-Name><MS-RAS-Vendor data_type="0">11</MS-RAS-Vendor><Proxy-Policy-Name data_type="1"> LAN Office</Proxy-Policy-Name><Provider-Type data_type="0">1</Provider-Type><SAM-Account-Name data_type="1">MYDOMAIN\PRSBG01</SAM-Account-Name><Fully-Qualifed-User-Name data_type="1">MYDOMAIN\PRSBG01</Fully-Qualifed-User-Name><Class data_type="1">311 1 10.128.84.16 11/08/2021 08:27:17 2566</Class><Authentication-Type data_type="0">5</Authentication-Type><Packet-Type data_type="0">1</Packet-Type><Reason-Code data_type="0">0</Reason-Code></Event>
<Event><Timestamp data_type="4">11/10/2021 09:59:52.472</Timestamp><Computer-Name data_type="1">VM-CS</Computer-Name><Event-Source data_type="1">IAS</Event-Source><Class data_type="1">311 1 10.128.84.16 11/08/2021 08:27:17 2566</Class><Authentication-Type data_type="0">5</Authentication-Type><Fully-Qualifed-User-Name data_type="1">MYDOMAIN\PRSBG01</Fully-Qualifed-User-Name><SAM-Account-Name data_type="1">MYDOMAIN\PRSBG01</SAM-Account-Name><Provider-Type data_type="0">1</Provider-Type><Proxy-Policy-Name data_type="1"> LAN Office</Proxy-Policy-Name><Client-Friendly-Name data_type="1">VLAN_120</Client-Friendly-Name><Client-Vendor data_type="0">0</Client-Vendor><Client-IP-Address data_type="3">10.128.84.254</Client-IP-Address><Packet-Type data_type="0">3</Packet-Type><Reason-Code data_type="0">8</Reason-Code></Event>
beide werden abgelehnt, mit 8 = IAS_NO_SUCH_USER
Der NPS kann also den Usernamen nicht zuordnen. Gibt es denn einen User mit im AD?
Grüße
lcer
Der NPS kann also den Usernamen nicht zuordnen. Gibt es denn einen User mit
<SAM-Account-Name data_type="1">MYDOMAIN\PRSBG01</SAM-Account-Name> Grüße
lcer
1Der NPS kann also den Usernamen nicht zuordnen. Gibt es denn einen User mit im AD?
<SAM-Account-Name data_type="1">MYDOMAIN\PRSBG01</SAM-Account-Name> User im AD angelegt, in die Gruppe LAN_Printers allow hinzugefügt, nun folgender "Fehler":
<Event><Timestamp data_type="4">11/10/2021 10:28:43.470</Timestamp><Computer-Name data_type="1">VM-CS</Computer-Name><Event-Source data_type="1">IAS</Event-Source><Framed-MTU data_type="0">1480</Framed-MTU><NAS-IP-Address data_type="3">10.128.80.254</NAS-IP-Address><NAS-Identifier data_type="1">BBSBG001</NAS-Identifier><Service-Type data_type="0">2</Service-Type><Framed-Protocol data_type="0">1</Framed-Protocol><NAS-Port data_type="0">65</NAS-Port><NAS-Port-Type data_type="0">15</NAS-Port-Type><NAS-Port-Id data_type="1">2/13</NAS-Port-Id><Called-Station-Id data_type="1">08-97-34-01-55-cb</Called-Station-Id><Calling-Station-Id data_type="1">74-bf-c0-fa-33-6a</Calling-Station-Id><Connect-Info data_type="1">CONNECT Ethernet 1000Mbps Full duplex</Connect-Info><Tunnel-Type data_type="0">13</Tunnel-Type><Tunnel-Medium-Type data_type="0">6</Tunnel-Medium-Type><Tunnel-Pvt-Group-ID data_type="1">200</Tunnel-Pvt-Group-ID><Vendor-Specific data_type="2">0000000BFF09011A0000000B28</Vendor-Specific><Vendor-Specific data_type="2">0000000BFF09011A0000000B2E</Vendor-Specific><Vendor-Specific data_type="2">0000000BFF09011A0000000B30</Vendor-Specific><Vendor-Specific data_type="2">0000000BFF09011A0000000B3D</Vendor-Specific><Vendor-Specific data_type="2">0000000BFF09011A0000000B18</Vendor-Specific><Vendor-Specific data_type="2">0000000BFF09011A0000000B19</Vendor-Specific><Vendor-Specific data_type="2">0000000BFF09011A0000000B1B</Vendor-Specific><Vendor-Specific data_type="2">0000000BFF040138</Vendor-Specific><Vendor-Specific data_type="2">0000000BFF04013A</Vendor-Specific><Vendor-Specific data_type="2">0000000BFF040140</Vendor-Specific><Vendor-Specific data_type="2">0000000BFF040141</Vendor-Specific><Vendor-Specific data_type="2">0000000BFF040151</Vendor-Specific><Client-IP-Address data_type="3">10.128.84.254</Client-IP-Address><Client-Vendor data_type="0">0</Client-Vendor><Client-Friendly-Name data_type="1">VLAN_120</Client-Friendly-Name><MS-RAS-Vendor data_type="0">11</MS-RAS-Vendor><User-Name data_type="1">PRSBG01</User-Name><Proxy-Policy-Name data_type="1"> S LAN Office</Proxy-Policy-Name><Provider-Type data_type="0">1</Provider-Type><SAM-Account-Name data_type="1">MYDOMAIN\PRSBG01</SAM-Account-Name><Fully-Qualifed-User-Name data_type="1">MYDOMAIN\PRSBG01</Fully-Qualifed-User-Name><Authentication-Type data_type="0">5</Authentication-Type><NP-Policy-Name data_type="1"> S LAN Office</NP-Policy-Name><Class data_type="1">311 1 10.128.84.16 11/08/2021 08:27:17 2617</Class><EAP-Friendly-Name data_type="1">Microsoft: Smartcard- oder anderes Zertifikat</EAP-Friendly-Name><Quarantine-Update-Non-Compliant data_type="0">1</Quarantine-Update-Non-Compliant><Packet-Type data_type="0">1</Packet-Type><Reason-Code data_type="0">0</Reason-Code></Event>
<Event><Timestamp data_type="4">11/10/2021 10:28:43.470</Timestamp><Computer-Name data_type="1">VM-CS</Computer-Name><Event-Source data_type="1">IAS</Event-Source><Class data_type="1">311 1 10.128.84.16 11/08/2021 08:27:17 2617</Class><EAP-Friendly-Name data_type="1">Microsoft: Smartcard- oder anderes Zertifikat</EAP-Friendly-Name><Quarantine-Update-Non-Compliant data_type="0">1</Quarantine-Update-Non-Compliant><NP-Policy-Name data_type="1"> S LAN Office</NP-Policy-Name><Authentication-Type data_type="0">5</Authentication-Type><Fully-Qualifed-User-Name data_type="1">MYDOMAIN\PRSBG01</Fully-Qualifed-User-Name><SAM-Account-Name data_type="1">MYDOMAIN\PRSBG01</SAM-Account-Name><Provider-Type data_type="0">1</Provider-Type><Proxy-Policy-Name data_type="1"> S LAN Office</Proxy-Policy-Name><Client-Friendly-Name data_type="1">VLAN_120</Client-Friendly-Name><Client-Vendor data_type="0">0</Client-Vendor><Client-IP-Address data_type="3">10.128.84.254</Client-IP-Address><Packet-Type data_type="0">3</Packet-Type><Reason-Code data_type="0">16</Reason-Code></Event>
Hallo,
16 = IAS_AUTH_FAILURE
Das Zertifikat passt wohl nicht zum User. Vergleiche mal den DistinguishedName im Zertifikat und im Active Directory (Leerzeichen und Kommas ignorieren, der Rest muss passen).
übrigens siehe https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/window ...
Grüße
lcer
16 = IAS_AUTH_FAILURE
Das Zertifikat passt wohl nicht zum User. Vergleiche mal den DistinguishedName im Zertifikat und im Active Directory (Leerzeichen und Kommas ignorieren, der Rest muss passen).
übrigens siehe https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/window ...
Grüße
lcer
1
Ist der DN beim Zertifikat dann der Anstragssteller der CN, also in dem Fall VM-CS-MSCEP?
Dies kommt ja von dem SCEP/NDES direkt, im Drucker habe ich das bei der Registrierung nirgends angegeben...
Dies kommt ja von dem SCEP/NDES direkt, im Drucker habe ich das bei der Registrierung nirgends angegeben...
Hallo,
grüße
lcer
Zitat von @westberliner:
Ist der DN beim Zertifikat dann der Anstragssteller der CN, also in dem Fall VM-CS-MSCEP?
Dies kommt ja von dem SCEP/NDES direkt, im Drucker habe ich das bei der Registrierung nirgends angegeben...
Nee, das ist falsch. Schau mal bei den Ausgestellten Zertifikaten auf der Zertifizierungsstelle nach, welches für Deinen Drucker war.Ist der DN beim Zertifikat dann der Anstragssteller der CN, also in dem Fall VM-CS-MSCEP?
Dies kommt ja von dem SCEP/NDES direkt, im Drucker habe ich das bei der Registrierung nirgends angegeben...
grüße
lcer
1
Das ist das Druckerzertifikat im Screenshot oben. Das wird vom SCEP für "VM-CS-MSCEP" ausgestellt und nicht für "PRSBG01" (also den Druckernnamen). Dann ist das wohl der Fehler, woher der auch dann herkommt?
In der Vorlage zur Registrierung ist folgendes eingestellt:
In der Vorlage zur Registrierung ist folgendes eingestellt:
Das ist schon richtig so, bei der Antragstellung im SCEP-Verfahren muss der DN halt richtig angegeben sein.
Grüße
lcer
Grüße
lcer
1
Sorry für die dumme Frage, ich kapiers aber nicht ganz:
Der DN für das AD Objekt ist:
CN=PRSBG01,CN=Users,DC=MYDOMAIN,DC=local
Bei der SCEP Registrierung kann ich im Canon folgendes mitgeben:
Liegt der Fehler darin, dass ich dann den kompletten DN-Wert als Schlüsselname anlegen muss?
Der DN für das AD Objekt ist:
CN=PRSBG01,CN=Users,DC=MYDOMAIN,DC=local
Bei der SCEP Registrierung kann ich im Canon folgendes mitgeben:
Liegt der Fehler darin, dass ich dann den kompletten DN-Wert als Schlüsselname anlegen muss?
Hallo
Liegt der Fehler darin, dass ich dann den kompletten DN-Wert als Schlüsselname anlegen muss?
Keine Ahnung wie die Drucker-GUI das zusammenbastelt. Entweder gibts ein Handbuch oder Du musst es ausprobieren. Das erzeugte Zertifikat würde ich in der Zertifiziungsstelle direkt öffnen und überprüfen. Achtung: in der Ansicht der zertifizierungsstelle sind "Antragsstellername" in der Liste und "Antragssteller" im Zertifikat verschiedene Dinge.
Grüße
lcer
Zitat von @westberliner:
Sorry für die Dumme Frage, ich kapiers aber nicht ganz:
Der DN für das AD Objekt ist:
CN=PRSBG01,CN=Users,DC=MYDOMAIN,DC=local
genau. und mindestens CN=PRSBG01 muss irgendwo im Zertifikat landen. Sonst kann der NPS den User nicht dem Zertifikat zuordnen.Sorry für die Dumme Frage, ich kapiers aber nicht ganz:
Der DN für das AD Objekt ist:
CN=PRSBG01,CN=Users,DC=MYDOMAIN,DC=local
Liegt der Fehler darin, dass ich dann den kompletten DN-Wert als Schlüsselname anlegen muss?
Grüße
lcer
1
Zitat von @lcer00:
genau. und mindestens CN=PRSBG01 muss irgendwo im Zertifikat landen. Sonst kann der NPS den User nicht dem Zertifikat zuordnen.
Und die SANs nicht vergessen...genau. und mindestens CN=PRSBG01 muss irgendwo im Zertifikat landen. Sonst kann der NPS den User nicht dem Zertifikat zuordnen.
Hier stehen alle Cert Voraussetzungen für solche Zertifikate im Zusammenhang mit dem NPS
Konfigurieren von Zertifikatvorlagen für PEAP- und EAP-Anforderungen
Bei Computerzertifikaten muss die Subject Alternative Name SubjectAltName-Erweiterung im Zertifikat den vollqualifizierten Domänennamen FQDN des Clients enthalten, der auch als ( ) ( ) DNS-Name bezeichnet wird. So konfigurieren Sie diesen Namen in der Zertifikatvorlage:
Servus @westberliner,
du brauchst folgendes:
Der Vorteil dieser Methode ist, das man später wenn man Zertifikate mit objectSID verwendet die Einwahl ebenfalls gelingt. Legt man das Computerobjekt nämlich nur so an funktioniert das Strong-Mapping über die SID nicht!
KB5014754 – Änderungen der zertifikatbasierten Authentifizierung auf Windows-Domänencontrollern
So klappt das hier auch einwandfrei.
Hier ein Auszug aus einem der Drucker, der sich via EAP-TLS authentifiziert
Und hier das Event auf dem NPS das dem Drucker Zugriff gewährt
Grüße Uwe
du brauchst folgendes:
- Das Computer-Zertifikat sollte den FQDN des Druckers (PRSBG01.domain.tld) sowohl im CN(commonName) als auch als SAN als DNS-Eintrag enthalten des weiteren muss die EKU-Erweiterung "Clientauthentifizierung" enthalten sein.
- Du musst ein Computer-Objekt mit dem Namen des Druckers mittels folgenden Befehls in die Domain anlegen und "offline joinen"
djoin /provision /domain "DOMAINNAME" /machine "PRSBG01" /reuse /savefile unused.txt - Wenn du in der Netzwerkrichtlinie im NPS eine Gruppe als "Bedingung" anlegst dann muss das angelegte Computer-Objekt auch dort Mitglied sein.
- WICHTIG: Als Login-Name am Drucker verwendest du dann den Namen mit abschließendem Dollarzeichen PRSBG01$, damit erzwingst du am NPS einen Abgleich mit den Computerobjekten im AD.
- #Nachtrag# Nach den Sicherheits-Updates von Mai 2022 muss in der Registry des/der DCs noch der folgende Schlüssel hinzugefügt werden wenn kein Strong-Mapping über die objectSID im Zertifikat vorhanden ist:
Pfad: HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL
Wert: CertificateMappingMethods
Typ: DWORD
Wert (hex): 1FSo klappt das hier auch einwandfrei.
Hier ein Auszug aus einem der Drucker, der sich via EAP-TLS authentifiziert
Und hier das Event auf dem NPS das dem Drucker Zugriff gewährt
Grüße Uwe
3
Bei mir fehlt in den ausgestellten Zertifikaten der SAN komplett, deswegen komme ich hier nicht weiter. Als Anstragstellername habe ich gemäß der Anleitungen "Informationen werden in der Anforderung angegeben" aktiviert, sodass ich aktuell in der Zertifikatsvorlage keine Option sehe, wo ich den SAN überhaupt noch aktivieren kann für die Zertifikate?
SAN (DNS-Name) kann ich nur auswählen, wenn ich die Informationen aus dem AD hole.
Muss ich die Vorlage ändern?
SAN (DNS-Name) kann ich nur auswählen, wenn ich die Informationen aus dem AD hole.
Muss ich die Vorlage ändern?
Zitat von @westberliner:
Bei mir fehlt in den ausgestellten Zertifikaten der SAN komplett, deswegen komme ich hier nicht weiter. Als Anstragstellername habe ich gemäß der Anleitungen "Informationen werden in der Anforderung angegeben" aktiviert, sodass ich aktuell in der Zertifikatsvorlage keine Option sehe, wo ich den SAN überhaupt noch aktivieren kann für die Zertifikate?
Bei der ersten Option muss der der das Zertifikat anfordert diese Informationen liefernBei mir fehlt in den ausgestellten Zertifikaten der SAN komplett, deswegen komme ich hier nicht weiter. Als Anstragstellername habe ich gemäß der Anleitungen "Informationen werden in der Anforderung angegeben" aktiviert, sodass ich aktuell in der Zertifikatsvorlage keine Option sehe, wo ich den SAN überhaupt noch aktivieren kann für die Zertifikate?
Bei der zweiten Information kommen die Infos automatisch aus dem AD, das klappt aber nur wenn der Drucker richtig in die Domäne eingebunden ist.
Muss ich die Vorlage ändern?
Nein die Option muss der Drucker in seiner Anfrage mitteilen und die Zertifizierungsstelle muss das auch erlauben mittelsCertUtil -SetReg Policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2
net stop certsvc & net start certsvcGibt es auf dem Drucker keine Möglichkeit den SAN zu konfigurieren wirst du wohl das Zertifikat manuell erstellen und auf dem Drucker einbinden müssen, ich kenne da ehrlich gesagt jetzt keinen anderen Weg.
1
So, nachdem ich nirgends geschafft habe, den SAN im Zertifikat anzugeben, habe ich mich an Canon direkt gewandt.
"Unfortunately, this is not possible with SCEP to obtain a certificate with SAN.
When using IEEE802.1X, a SAN extension is not necessarily required."
Habe auch bei der manuellen Anforderung am Drucker, nirgends ein Feld gefunden, in dem ich SAN angeben kann.
Habe ich nun etwa Pech gehabt damit?
"Unfortunately, this is not possible with SCEP to obtain a certificate with SAN.
When using IEEE802.1X, a SAN extension is not necessarily required."
Habe auch bei der manuellen Anforderung am Drucker, nirgends ein Feld gefunden, in dem ich SAN angeben kann.
Habe ich nun etwa Pech gehabt damit?
Zitat von @westberliner:
"Unfortunately, this is not possible with SCEP to obtain a certificate with SAN.
Wenn die damit meinen das wäre mit SCEP generell nicht möglich, liegen sie absolut falsch "Unfortunately, this is not possible with SCEP to obtain a certificate with SAN.
. Mache das hier mit Mikrotik-Routern schon seit eh und je inkl. SANs auch mit einer Windows CA mit aktivem SCEP.When using IEEE802.1X, a SAN extension is not necessarily required."
Das ist bzw. war früher so richtig, aber jeder Radius-Server kann das so oder so implementieren. Ist aber mittlerweile in aktuellen SSL Implementierungen überall so das sich der CN auch in den SANs wiederfinden muss damit ein Zertifikat als gültig anerkannt werden kann.Hier siehst du bspw. was passiert wenn man dem NPS ein Zertifikat nur mit CN und ohne SAN präsentiert:
Das mag der wie man sieht gar nicht.
Aktuelle Spezifikationen verlangen das wie gesagt mittlerweile fast überall.
https://stackoverflow.com/questions/5935369/how-do-common-names-cn-and-s ...
Habe auch bei der manuellen Anforderung am Drucker, nirgends ein Feld gefunden, in dem ich SAN angeben kann.
Dann mach dir doch einfach eine Vorlage mit manueller Angabe beim Ausstellen und erzeuge ein Zertifikat mit der MMC und das exportierst du von der Maschine dann als *.pfx und dann importierst du das in den Drucker, fertig. Wenn der Drucker das als PEM und KEY braucht wandelst du dir das *.pfx schnell mit OpenSSL oder XCA um.
Nicht vergessen für den Computer der das Zertifikat anfordern soll auf dem Reiter Sicherheit des Templates diesen mit "Registrieren" Rechten zu versehen, sonst siehst du das Template beim Anfordern in der MMC nicht.
Und in der Vorlage nicht vergessen die Option zu aktivieren das der private Schlüssel exportiert werden kann.
1
So, ich habe es nun mit manueller Erstellung des Zertifikats gemacht und damit klappt es auch auf Anhieb. Mit SCEP wäre es natürlich noch cooler, aber damit muss ich leben - zumal so oft die Drucker nicht wechseln.
Mit Zertifikaten und Windows-Radius muss man sich eindeutig mehr beschäftigen.
Vielen Dank für euere Hilfe!
Mit Zertifikaten und Windows-Radius muss man sich eindeutig mehr beschäftigen.
Vielen Dank für euere Hilfe!
Zitat von @westberliner:
So, ich habe es nun mit manueller Erstellung des Zertifikats gemacht und damit klappt es auch auf Anhieb.
👍So, ich habe es nun mit manueller Erstellung des Zertifikats gemacht und damit klappt es auch auf Anhieb.
Vielen Dank für euere Hilfe!
Jederzeit.Grüße Uwe
1
