ueba3ba
Goto Top

Android 13 und Radius Authentication

Hallo und guten Tag.

Mein Problem am Freitag face-smile

Ich sitze eben bei einem Kunden, bei dem ich die 802.1X Auth. mit Unifi AP's eingerichtet habe.

Das funktioniert auch soweit alles.

Die Benutzer existieren alle im AD und können sich von ihren Mobile Phones am Wlan anmelden.

Jetzt hab ich hier noch 8 Tablets mit Android 13, die sich leider nicht anmelden können.

Habe das "Microsoft REMOTE Attestaton Service" Zertifikat exportiert und auf die Tablets übertragen.

Ohne das Zertifikat erhalte ich im Log folgende Meldung:

Der Netzwerkrichtlinienserver hat einem Benutzer den Zugriff verweigert.

Wenden Sie sich an den Administrator des Netzwerkrichtlinienservers, um weitere Informationen zu erhalten.

Benutzer:
	Sicherheits-ID:			MusterFirma\techniker
	Kontoname:			techniker
	Kontodomäne:			MusterFirma
	Vollqualifizierter Kontoname:	MusterFirma\techniker

Clientcomputer:
	Sicherheits-ID:			NULL SID
	Kontoname:			-
	Vollqualifizierter Kontoname:	-
	ID der Empfangsstation:		7A-AC-B9-65-AA-4D:MusterFirma
	ID der Anrufstation:		7A-12-11-34-FD-DC

NAS:
	NAS-IPv4-Adresse:		192.168.3.100
	NAS-IPv6-Adresse:		-
	NAS-ID:			7aacb965ac4d
	NAS-Porttyp:			Drahtlos (IEEE 802.11)
	NAS-Port:			-

RADIUS-Client:
	Clientanzeigename:		Anbau Büro
	Client-IP-Adresse:			192.168.3.100

Authentifizierungsdetails:
	Name der Verbindungsanforderungsrichtlinie:	Sichere Drahtlosverbindungen
	Netzwerkrichtlinienname:		Sichere Drahtlosverbindungen
	Authentifizierungsanbieter:		Windows
	Authentifizierungsserver:		Con-xxxxx.xxxxlocal
	Authentifizierungstyp:		PEAP
	EAP-Typ:			-
	Kontositzungs-ID:		41414530313445344136364144313035
	Protokollierungsergebnisse:			Die Kontoinformationen wurden in die lokale Protokolldatei geschrieben.
	Ursachencode:			265
	Ursache:				Die Zertifikatskette wurde von einer nicht vertrauenswürdigen Zertifizierungsstelle ausgestellt.

Mit Zertifikat kommt folgende Meldung:

Der Netzwerkrichtlinienserver hat einem Benutzer den Zugriff verweigert.

Wenden Sie sich an den Administrator des Netzwerkrichtlinienservers, um weitere Informationen zu erhalten.

Benutzer:
	Sicherheits-ID:			MusterFirma\tab-qm1
	Kontoname:			tab-qm1
	Kontodomäne:			MusterFirma
	Vollqualifizierter Kontoname:	MusterFirma\tab-qm1

Clientcomputer:
	Sicherheits-ID:			NULL SID
	Kontoname:			-
	Vollqualifizierter Kontoname:	-
	ID der Empfangsstation:		7A-AC-B9-60-AA-4D:MusterFirma
	ID der Anrufstation:		7A-12-11-35-FD-DC

NAS:
	NAS-IPv4-Adresse:		192.168.3.100
	NAS-IPv6-Adresse:		-
	NAS-ID:			7aacb965ac4d
	NAS-Porttyp:			Drahtlos (IEEE 802.11)
	NAS-Port:			-

RADIUS-Client:
	Clientanzeigename:		Anbau Büro
	Client-IP-Adresse:			192.168.3.100

Authentifizierungsdetails:
	Name der Verbindungsanforderungsrichtlinie:	Sichere Drahtlosverbindungen
	Netzwerkrichtlinienname:		Sichere Drahtlosverbindungen
	Authentifizierungsanbieter:		Windows
	Authentifizierungsserver:		Con-MusterFirma.MusterFirma.local
	Authentifizierungstyp:		PEAP
	EAP-Typ:			-
	Kontositzungs-ID:		33303143344531414134464334413036
	Protokollierungsergebnisse:			Die Kontoinformationen wurden in die lokale Protokolldatei geschrieben.
	Ursachencode:			16
	Ursache:				Authentifizierungsfehler aufgrund der Nichtübereinstimmung von Benutzeranmeldeinformationen. Der angegebene Benutzername ist keinem vorhandenen Benutzerkonto zugeordnet, oder das Kennwort war falsch.

Wie in der zweiten Meldung zu sehen ist, klappt die Anmeldung ebenfalls nicht.
Wenn ich mich mit dem selben Benutzer, hier tab-qm1, an meinem Mobile Phone anmelde, klappt es aber.


An den Tablets stelle ich folgendes ein:

EAP-Methode -> PEAP
Phase-2-Authentifizierung-> MS-CHAP v2

CA-Zertifikat-> Radius (Das exportierte)

Domain-> MusterFirma.local
Identität-> tab-qm1
Anonyme Identität-> wir leer gelassen
PAssword-> Benutzer Password

Ich hoffe allen benötigen Informationen erwähnt zu haben.

Ja, leider klappt die Anmeldung wie bereits erwähnt an den Tablets nicht.


Daher hoffe ich das jemand aus dem Forum eine Lösung anbieten kann.

Content-Key: 13999642430

Url: https://administrator.de/contentid/13999642430

Printed on: June 23, 2024 at 09:06 o'clock

Member: Looser27
Looser27 Jun 07, 2024 at 09:54:04 (UTC)
Goto Top
Moin,

in der zweiten Meldung steht doch im Klartext:

Authentifizierungsfehler aufgrund der Nichtübereinstimmung von Benutzeranmeldeinformationen. Der angegebene Benutzername ist keinem vorhandenen Benutzerkonto zugeordnet...

Mit welchem AD-Namen versuchst Du die Anmeldung? domain\samaccountname oder e-mail-adresse? Schon mal das jeweils andere versucht?

Gruß

Looser
Member: Ueba3ba
Ueba3ba Jun 07, 2024 at 09:57:56 (UTC)
Goto Top
Hey Looser, danke für deinen Beitrag.

Ja, habe schon versucht mich mit: benutzername@domain.local anzumelden.

Funktioniert nicht.

Mit dem selben Benutzer an einem Iphone oder Android Handy funktioniert es.
Member: aqui
aqui Jun 07, 2024 updated at 10:03:25 (UTC)
Goto Top
Domain-> MusterFirma.local
Mal wieder die gleiche falsche Leier mit einer falschen TLD... face-sad
Hinweise zur Verwendung der Domäne .local in DNS und mDNS
Manche lernen es nie, aber andere Baustelle...

Fakt ist ja das Username und Passwort nicht stimmen wie die Fehlermeldung ja klar sagt.
Folglich also einmal am Server debuggen und checken was dort überhaupt als Username ankommt.
Siehe zu der Thematik auch HIER im Kapitel Win Clients.
Member: Ueba3ba
Ueba3ba Jun 07, 2024 at 10:11:36 (UTC)
Goto Top
Hallo qaui, danke für deinen Beitrag.


Zu meiner Verteidigung: Die Domain ist schon 8 Jahre alt und wurde vor meiner Zeit erstellt.

Habe Benutzername und Password überprüft. Wurde beides korrekt eingegeben.

Kontoname:			tab-qm1

Für mich sieht es so aus, das der Benutzername korrekt ankommt.
Member: Looser27
Looser27 Jun 07, 2024 at 10:35:44 (UTC)
Goto Top
Versuche mal folgende Syntax beim Benutzernamen:

domain\\samaccountname

(ja die 2 \ sind Absicht)
Member: Ueba3ba
Ueba3ba Jun 07, 2024 at 10:44:06 (UTC)
Goto Top
Versuche mal folgende Syntax beim Benutzernamen:

Leider ohne Erfolg.
Member: Looser27
Looser27 Jun 07, 2024 at 10:52:28 (UTC)
Goto Top
Passen die Netzwerk-Einstellungen an den Geräten? Können die Problemlos alle benötigten Resourcen erreichen? Grätscht da vielleicht eine Firewall-Regel dazwischen?
Member: Ueba3ba
Ueba3ba Jun 07, 2024 at 11:00:30 (UTC)
Goto Top
IP soll via DHCP bezogen werden, das passt.

Bei allen anderen Geräten funktioniert es ja. Selbst am PC hab ich Wlan Adapter aktiviert und mich erfolgreich verbinden können.

Nur die Tablets machen mir einen Strich durch die Rechnung.

Ich check das eben mit WireShark mal ab.
Member: Ueba3ba
Ueba3ba Jun 07, 2024 at 11:08:40 (UTC)
Goto Top
Auch im WireShark sehe ich, das der Benutzername korrekt übertragen wird.
Danach folgt: Access-Reject
radius1
radius2
Member: hempel
hempel Jun 07, 2024 updated at 11:20:14 (UTC)
Goto Top
Das wird wohl entweder noch am NPS Server-Zertifikat liegen mit dem der Android-Client seine Probleme hat oder an den TLS-Ciphers. Checke das NPS Zertifkat und dessen Eigenschaften und poste diese hier.

Dann NPS-Dienst stoppen, Zertifikat neu zuweisen und wieder starten.

Stammt das NPS Zertfikat von einer Windows CA oder ist das eine andere/externe CA?
Member: hempel
hempel Jun 07, 2024 updated at 11:22:27 (UTC)
Goto Top
Zusätzlich prüfen welche TLS-Protokolle und Ciphers auf dem NPS aktiv sind und aktuelle Chiper-Suites aktivieren.
https://www.nartac.com/Products/IISCrypto

Ciphersuites die auf Androids möglich sind stehen hier
https://developer.android.com/reference/javax/net/ssl/SSLEngine
Member: Ueba3ba
Ueba3ba Jun 07, 2024 updated at 11:28:19 (UTC)
Goto Top
Danke hempel, für deinen Beitrag.

Hier mal die Eigenschaften der Zertifikats und die aktivierten TLS-Protokolle.

Ciphers sind alle aktiv
crt1
crt4
crt2
crt3
Member: hempel
hempel Jun 07, 2024 updated at 11:38:24 (UTC)
Goto Top
Zitat von @Ueba3ba:
Hier mal die Eigenschaften der Zertifikats und die aktivierten TLS-Protokolle.
Mit Bildchen siehst man hier ja so gut wie nix ...
Ciphers sind alle aktiv
Schlecht! Alle unsicheren gehören deaktiviert, nach Best Practice!
Und vor allem die wichtigen ChipherSuites sehen wir auch nicht (2. Punkt). Prüfe und vergleiche mit dem Link zu den Ciphersuites die unter Android supported sind.

SSL_RSA_WITH_3DES_EDE_CBC_SHA
TLS_AES_128_GCM_SHA256
TLS_AES_256_GCM_SHA384
TLS_CHACHA20_POLY1305_SHA256
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256
TLS_ECDHE_PSK_WITH_AES_128_CBC_SHA
TLS_ECDHE_PSK_WITH_AES_256_CBC_SHA
TLS_ECDHE_PSK_WITH_CHACHA20_POLY1305_SHA256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
TLS_PSK_WITH_AES_128_CBC_SHA
TLS_PSK_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_256_GCM_SHA384

Welche OS hat der NPS?
Member: hempel
hempel Jun 07, 2024 updated at 11:44:34 (UTC)
Goto Top
Außerdem macht ein CA Zertifikat das du da aus den Zwischenzertifikzierungsstellen ausgewählt hast keinen Sinn als Server Zertifikat, das ist Bullshit. Ein Server-Zertifikat liegt auch nicht im User-Store den du da offen hast sondern im Machine Store!!
Member: Ueba3ba
Ueba3ba Jun 07, 2024 at 11:42:44 (UTC)
Goto Top
Welche OS hat der NPS?

Windows Server 2016 DC

Die von Android 13 unterstützten Chiphers sind aktiviert.

Ich werde nichts deaktivieren, da ich nicht weiß welche Auswirkungen das auf das Netzwerk hat.
Ich soll heute nur 802.1X zum laufen bringen. Was ja eigentlich schon läuft, eben nur auf den Tablets nicht.
crt5
Member: hempel
hempel Jun 07, 2024 updated at 12:05:44 (UTC)
Goto Top
Meine Vermutung geht immer noch auf das Zertifikat.
  • Stammt das von einer Windows CA?
  • Läuft diese AD integriert?
  • Ist es ein Wildcard-Zertifikat?

Aber bitte jetzt keine Screenshots aus dem User-Store mehr ... Als Admin solltest du eigentlich wissen das die im Machine-Store und nicht im User-Store abgelegt sind!

Details lassen sich auch auf der Konsole abfragen (certutil -v -store my <THUMBPRINT>) oder Powershell (Get-Item cert:\LocalMachine\My\<THUMBPRINT> | fl *)
Member: pebcak7123
pebcak7123 Jun 07, 2024 at 12:03:56 (UTC)
Goto Top
Denke auch das das zertifikat nicht passt, im grunde müsstest du doch das root-ca zertifikat importieren auf den androids und nicht das nps server zertifikat.
Warum eigentlich PEAP-MSCHAPv2 und nicht EAP-TLS ?
Member: Ueba3ba
Ueba3ba Jun 07, 2024 at 12:10:28 (UTC)
Goto Top
Warum eigentlich PEAP-MSCHAPv2 und nicht EAP-TLS ?

Es ist Benutzername und Passwort Authentifizierung gewollt, nicht Zertifikat basierte Authentifizierung.

Stammt das von einer Windows CA?

Ich habe kein Zertifikat erstellt. Denke also nein.

Läuft diese AD integriert?

Weiß ich nicht, denke aber nein.


Ist es ein Wildcard-Zertifikat?

Nein

Wenn ich das Zertifikat aus den Vertrauenswürdigen Stelle exportieren möchte, lässt er mich den Privaten Schlüssel nicht mit exportieren.

Ich denke pebcak hat recht, ich habe das falsche Zertifikat(NPS Zertifikat) in die Tablets importiert.

Habe ich nur getan, da ich wie oben erwähnt:

Wenn ich das Zertifikat aus den Vertrauenswürdigen Stelle exportieren möchte, lässt er mich den Privaten Schlüssel nicht mit exportieren.
Member: pebcak7123
pebcak7123 Jun 07, 2024 at 12:16:06 (UTC)
Goto Top
Der private schlüssel des server ( oder ca ) zertifikats wird auch nicht auf den clients benötigt ( und hat da natürlich auch nichts zu suchen)
Member: hempel
hempel Jun 07, 2024 updated at 12:21:43 (UTC)
Goto Top
Wenn ich das Zertifikat aus den Vertrauenswürdigen Stelle exportieren möchte, lässt er mich den Privaten Schlüssel nicht mit exportieren.
Autsch da fehlen wohl schon sämtliche Zertifikatsgrundlagen ... face-sad. Freitag halt... 🐟

Auf das Tablet gehört nur die CA die das Serverzertifikat ausgestellt hat als Vertrauenswürdig importiert sonst nüscht!
Member: Ueba3ba
Ueba3ba Jun 07, 2024 at 12:36:11 (UTC)
Goto Top
Autsch da fehlen wohl schon sämtliche Zertifikatsgrundlagen ..

Zugegeben, ja. Da fehlt mir noch Erfahrung.

Als ich das Zertifikat exportiert habe und auf dem Tablet importiert habe, kam eine Fehlermeldung:

Das Zertifikat konnte wegen fehlendem Privaten Schlüssel nicht importiert werden.

Hatte auch nicht die Mögichkeit es als .pem zu exportieren. Nur als .cer
Member: hempel
hempel Jun 07, 2024 updated at 12:59:01 (UTC)
Goto Top
Zitat von @Ueba3ba:
Als ich das Zertifikat exportiert habe und auf dem Tablet importiert habe, kam eine Fehlermeldung:

Das Zertifikat konnte wegen fehlendem Privaten Schlüssel nicht importiert werden.
Dann hast du es versucht als User-Zertifikat zu importieren, das ist natürlich falsch. Das CA Zertifikat muss man in die vertrauenswürdigen Zertifizierungsstellen importieren!

Sicherheit > Weitere Sicherheitseinstellungen > Verschlüsselung und Anmeldedaten > Ein Zertifikat installieren > CA-Zertifikat

1000003600

NICHT als WLAN Zertifikat installieren, das braucht man nur wenn man mit EAP-TLS arbeitet !!!

Hatte auch nicht die Mögichkeit es als .pem zu exportieren. Nur als .cer
Das ist egal das ist nur die Endung, im inneren ist es Klartext. Mehr braucht man vom CA Cert nicht. Der Public Key reicht.
Member: Ueba3ba
Ueba3ba Jun 07, 2024 at 12:52:56 (UTC)
Goto Top
NICHT als WLAN Zertifikat installieren, das braucht man nur wenn man mit EAP-TLS arbeitet !!!

Ja, ich hatte auf WLAN gedrückt und nicht auf auf CA-Zertifikat.

Werde ich gleich ausprobieren.

Vielen Dank.
Member: Ueba3ba
Ueba3ba Jun 07, 2024 at 13:37:14 (UTC)
Goto Top
Selbe Fehler wenn ich es als CA-Zertifikat importieren möchte.

Meldung vom Tablet: Für die Installation von Zertifikaten ist ein Privater Schlüssel notwendig

Habe ich das falsche Zertifikat exportiert??
Member: hempel
hempel Jun 07, 2024 updated at 13:44:47 (UTC)
Goto Top
Zitat von @Ueba3ba:
Meldung vom Tablet: Für die Installation von Zertifikaten ist ein Privater Schlüssel notwendig
Das ist falsch, für das Importieren einer CA braucht man keinen private Key!
Habe ich das falsche Zertifikat exportiert??
Ja. Ein CA Cert muss in den basicConstraints CA:True stehen haben. Wieder Screenshots mit denen man nix anfangen kann. Immer das selbe, habe ich oben aber schon angemahnt face-sad

Da hat wohl jemand bei euch richtigen Bullshit getrieben als er das eingerichtet hat. Hol dir jemanden ins Boot der das für euch gerade zieht wenn du nicht die nötige Expertise dafür hast. Im Zweifel neue CA aufziehen, Server-Cert generieren einbinden und CA verteilen.
Member: Ueba3ba
Ueba3ba Jun 07, 2024 updated at 13:45:50 (UTC)
Goto Top
Das ist falsch, für das Importieren einer CA braucht man keinen private Key!

Gut, zur Kenntnis genommen.

Da hat wohl jemand bei euch richtigen Bullshit getrieben als er das eingerichtet hat.

Auf dem Server habe ich gestern nur den NPS installiert. Unifi AP's als Clients hinzugefügt und Secret vergeben.
AD Gruppe angelegt und Benutzer hinzugefügt.
Sonst habe ich an dem System nichts verändert.
Und der Server ist der Domain Controller.
Member: Ueba3ba
Ueba3ba Jun 07, 2024 at 13:47:02 (UTC)
Goto Top
Wieder Screenshots mit denen man nix anfangen kann. Immer das selbe, habe ich oben aber schon angemahnt

Verzeihung.
Member: hempel
hempel Jun 07, 2024 updated at 13:57:59 (UTC)
Goto Top
Also hast du den B... selbst verbrochen face-big-smile.
Dann bau dir als erstes eine vernünftige CA auf, entweder eine CA im AD installieren oder selbst eine mit XCA oder OpenSSL erstellen, sonst wird das nichts.
Fürs Flugzeug fliegen braucht man ja auch erst mal gewisse Grundkenntnisse, ohne landet man schnell wieder auf dem Boden der Tatsachen face-wink.
Also als erstes mal ein paar Tutorials zu CAs reinziehen bevor du mit dem NPS weiter machst.

Good luck.
Member: Ueba3ba
Ueba3ba Jun 07, 2024 at 14:19:43 (UTC)
Goto Top
Dann bau dir als erstes eine vernünftige CA auf, entweder eine CA im AD installieren oder selbst eine mit XCA oder OpenSSL erstellen, sonst wird das nichts.

Heißt das, das ich auf dem Server die Active-Directory-Zertifikatdienste installieren muss?

Angenommen ich erstelle eines mit XCA. Wie wäre das weitere Vorgehen??
Member: hempel
Solution hempel Jun 07, 2024 updated at 14:33:22 (UTC)
Goto Top
Zitat von @Ueba3ba:
Heißt das, das ich auf dem Server die Active-Directory-Zertifikatdienste installieren muss?
Muss man nicht zwingend, ist aber komfortabel und an Bord und da Verteilen der CA und Zertifikate unter Windows in der Domain gehen damit quasi automatisch, ist halt eine Variante von vielen unter Windows aber sicherilch eine bevorzugte Variante.
Angenommen ich erstelle eines mit XCA. Wie wäre das weitere Vorgehen??
Du solltest dir dringend erst mal die Grundlagen zu Zertifizierungsstellen anlesen, da kann man beim Aufsetzen viel falsch machen was du hinterher nur wieder gerade biegen kannst wenn du die CA neu aufsetzt. Es gibt dabei diverse Dinge zu beachten die dir jetzt vielleicht nicht wichtig sind hinterher aber wichtig werden.
Wie man eine CA praktisch aufsetzt kannst du ja überall nachlesen. Aber Planung der CA Struktur CRL Distribution Points etc. ist hier wie gesagt alles, das eigentliche Erstellen ist dann PillePalle.

https://sid-500.com/2017/03/31/active-directory-zertifikatsdienste-teil- ...
https://docs.insys-icom.de/pages/en_m3_creating_certificates_xca.html
Member: aqui
aqui Jun 07, 2024 updated at 15:13:46 (UTC)
Goto Top
Angenommen ich erstelle eines mit XCA. Wie wäre das weitere Vorgehen??
Hier einmal am Beispiel von OpenSSL:
EAP-PEAP über Radius: cert "wird nicht vertraut"
IPhone Authentifizierung am NPS nur mit Zertifikat
Oder wenn man eine pfSense oder OPNsense sein eigen nennt:
IKEv2 VPN Server für Windows und Apple Clients mit Raspberry Pi
Member: Ueba3ba
Ueba3ba Jun 07, 2024 at 16:51:59 (UTC)
Goto Top
Danke hempel und aqui.

Werds mir jetzt ansehen.
Member: Ueba3ba
Ueba3ba Jun 10, 2024 at 10:24:19 (UTC)
Goto Top
Nachdem ich die Zertifizierungsstelle installiert und eingerichtet hatte,
funktionierte es auch mit den Zertifikaten.

Viel Dank nochmals an hempel. face-wink