12
Authentifizierung 802.1x über RADIUS und LAN
Hallo,
ich habe hier eine Testumgebung mit einem kleinen Problem:
Ich wolllte hier eine Authentifizierung über einen RADIUS-Server mit Zertifikaten realisieren. Ich habe dazu folgendes aufgebaut:
Ein DC mit Windows 2003 Standard. Auf diesem DC habe ich noch IAS, IIS und eine CA installiert. Das Ganze habe ich über 802.1x-fähigen Switch mit einem PC (Windows XP Prof.) verbunden.
Eingerichtet habe ich folgendes:
Den Switch konfiguriert, eine RAS-Regel im IAS hinzugefügt, in der RAS-Regel steht unter "EAP-Typen" Smartcard oder anderes Zertikat. Dort kann ich auch das Zertikat auf dem Server sehen. Den Client habe ich ein Benutzerzertikat gegeben. Die Authentifizierung funktioniert. Aber, jetzt zu meinem Problem:
Der Client stellt erst eine Verbindung her, nach der erfolgreichen Anmeldung im AD. Jetzt scheint hier das Problem zu sein, dass der Client ein Computerzertifikat haben muss. Auf dem Client habe ich über die MMC ein Computerzertifikat austellen lassen. Das Zertifikat steht auch unter Eigene Zertikate und (Lokaler Computer). Wenn ich dann das Benuterzertikat aus dem Speicher entferne, ist keine Authentifizierung möglich.
Was ist da falsch?
ich habe hier eine Testumgebung mit einem kleinen Problem:
Ich wolllte hier eine Authentifizierung über einen RADIUS-Server mit Zertifikaten realisieren. Ich habe dazu folgendes aufgebaut:
Ein DC mit Windows 2003 Standard. Auf diesem DC habe ich noch IAS, IIS und eine CA installiert. Das Ganze habe ich über 802.1x-fähigen Switch mit einem PC (Windows XP Prof.) verbunden.
Eingerichtet habe ich folgendes:
Den Switch konfiguriert, eine RAS-Regel im IAS hinzugefügt, in der RAS-Regel steht unter "EAP-Typen" Smartcard oder anderes Zertikat. Dort kann ich auch das Zertikat auf dem Server sehen. Den Client habe ich ein Benutzerzertikat gegeben. Die Authentifizierung funktioniert. Aber, jetzt zu meinem Problem:
Der Client stellt erst eine Verbindung her, nach der erfolgreichen Anmeldung im AD. Jetzt scheint hier das Problem zu sein, dass der Client ein Computerzertifikat haben muss. Auf dem Client habe ich über die MMC ein Computerzertifikat austellen lassen. Das Zertifikat steht auch unter Eigene Zertikate und (Lokaler Computer). Wenn ich dann das Benuterzertikat aus dem Speicher entferne, ist keine Authentifizierung möglich.
Was ist da falsch?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 162800
Url: https://administrator.de/contentid/162800
Ausgedruckt am: 22.11.2024 um 14:11 Uhr
12 Kommentare
Neuester Kommentar
Hi,
du brauchst auf dem Client ein Zertifikat vom Server. Das kannst du per GPO austeilen. HowTo gibt hier:
technet.microsoft. Dann ist es wichtig das im AD der User unter "Einwählen" --> "Zugriff über RAS" eingestellt ist. Einstellungen auf dem Client EAP-Typen--> Geschütztes EAP, dann unter Einstellungen Häkchen bei "Verbindung mit Server", dort dein Zert-Server eintragen und Häkchen beim entsprechenden Zertifikat (Von deinem Server).
mfg
Antos
du brauchst auf dem Client ein Zertifikat vom Server. Das kannst du per GPO austeilen. HowTo gibt hier:
technet.microsoft. Dann ist es wichtig das im AD der User unter "Einwählen" --> "Zugriff über RAS" eingestellt ist. Einstellungen auf dem Client EAP-Typen--> Geschütztes EAP, dann unter Einstellungen Häkchen bei "Verbindung mit Server", dort dein Zert-Server eintragen und Häkchen beim entsprechenden Zertifikat (Von deinem Server).
mfg
Antos
@Antos,
erst mal vielen Dank für die Info. Jetzt bin ich gerade dabei und versuche das Zertifikat über eine GPO zu verteilen und scheitere an dem Punkt 12 von Technet: Hier der Auszug:
Und hier sehe meine neu erstellte Kopie nicht. Die Info ist zwar für 2008, ich gehe aber davon aus, dass diese auch für 2003 passt. Warum wird denn die neu erstellte doppelte Vorlage in diesem Fenster nicht sichtbar?
Und dann gleich noch eine Frage:
Wenn ich das Zertifikat per USB-Stick verteilen möchte (vielleicht für Gäste) wie ginge das denn?
erst mal vielen Dank für die Info. Jetzt bin ich gerade dabei und versuche das Zertifikat über eine GPO zu verteilen und scheitere an dem Punkt 12 von Technet: Hier der Auszug:
Klicken Sie in Zertifikatvorlagen aktivieren auf den Namen der gerade konfigurierten Zertifikatvorlage, und klicken Sie dann auf OK. Wenn Sie beispielsweise den standardmäßigen Zertifikatvorlagennamen nicht geändert haben, klicken Sie auf Kopie von RAS- und IAS-Servern, und klicken Sie dann auf OK. <<
Und hier sehe meine neu erstellte Kopie nicht. Die Info ist zwar für 2008, ich gehe aber davon aus, dass diese auch für 2003 passt. Warum wird denn die neu erstellte doppelte Vorlage in diesem Fenster nicht sichtbar?
Und dann gleich noch eine Frage:
Wenn ich das Zertifikat per USB-Stick verteilen möchte (vielleicht für Gäste) wie ginge das denn?
Hi,
jep, du kannst das Zertifikat auch manuell Kopieren und anschließend auf dem Client installieren. Die Verteilung über GPO ist optional, zur besseren Verwaltung halt.
Hier noch ne andere Anleitung:
Simple Configuration of Microsoft NPS as Radius for 802.1X.
Ist allerdings auch für 2008. Aber evtl. auch für deinen IAS brauchbar.
Wenn es im angemeldetem Zustand funktioniert, liegt der Hund evtl. in der Vertrauensstellung (Client-->Server oder Server-->Client) begraben.
Du brauchst auf jeden Fall ein autorisiertes Zertifikat auf deinem Client. Das der Client den Server kennt und vertraut. Die Client zu Server Autorisierung erfolgt dann über die AD Benutzerdaten und Passwort (Sofern das Kriterium AD-Benutzer in der RAS hinterlegt ist). Wenn ich das recht verstanden habe. Ich laß mich natürlich gern eines besseren belehren.
Wie ich allerdings einem Client-Computer unabhängig vom User die Einwahl erlauben/verweigern kann, konnte mir bis jetzt keiner erklären.
mfg
Antos
jep, du kannst das Zertifikat auch manuell Kopieren und anschließend auf dem Client installieren. Die Verteilung über GPO ist optional, zur besseren Verwaltung halt.
Hier noch ne andere Anleitung:
Simple Configuration of Microsoft NPS as Radius for 802.1X.
Ist allerdings auch für 2008. Aber evtl. auch für deinen IAS brauchbar.
Wenn es im angemeldetem Zustand funktioniert, liegt der Hund evtl. in der Vertrauensstellung (Client-->Server oder Server-->Client) begraben.
Du brauchst auf jeden Fall ein autorisiertes Zertifikat auf deinem Client. Das der Client den Server kennt und vertraut. Die Client zu Server Autorisierung erfolgt dann über die AD Benutzerdaten und Passwort (Sofern das Kriterium AD-Benutzer in der RAS hinterlegt ist). Wenn ich das recht verstanden habe. Ich laß mich natürlich gern eines besseren belehren.
Wie ich allerdings einem Client-Computer unabhängig vom User die Einwahl erlauben/verweigern kann, konnte mir bis jetzt keiner erklären.
mfg
Antos
@Antos,
den Fehler, warum die neu erstellte Vorlage nacher nicht sichtbar ist, habe ich gefunden. Ich habe hier Windows 2003 Server Standard. Man kann zwar die 2. Vorlage mit dieser Version erstellen, aber jedoch nicht veröffentlichen.
Tja, jetzt bin ich irgenwie wieder am Anfang. Wie gesagt, nach der Anmeldung funktioniert die Authentifizierung. Vor der Anmeldung keine Reaktion. Aber ich glaube, dass sollte jetzt nicht an der Standrdversion scheitern. Ich denke, dass schon andere diese Authenttifizierung über LAN gelöst haben. Die andere Anleitung von Intel ist zwar nicht schlecht, aber die Konfiguration 2008 zu 2003 sieht doch um einiges anders aus.
Irgendwie müsste doch die Zertifikatsabfrage vor der Anmeldung möglich sein.
den Fehler, warum die neu erstellte Vorlage nacher nicht sichtbar ist, habe ich gefunden. Ich habe hier Windows 2003 Server Standard. Man kann zwar die 2. Vorlage mit dieser Version erstellen, aber jedoch nicht veröffentlichen.
Tja, jetzt bin ich irgenwie wieder am Anfang. Wie gesagt, nach der Anmeldung funktioniert die Authentifizierung. Vor der Anmeldung keine Reaktion. Aber ich glaube, dass sollte jetzt nicht an der Standrdversion scheitern. Ich denke, dass schon andere diese Authenttifizierung über LAN gelöst haben. Die andere Anleitung von Intel ist zwar nicht schlecht, aber die Konfiguration 2008 zu 2003 sieht doch um einiges anders aus.
Irgendwie müsste doch die Zertifikatsabfrage vor der Anmeldung möglich sein.
Ok, ich glaub ich hab da was missverstanden.
Du meldest dich Offline mit einem Servergespeicheicherten Profil am Client an, dieser verbindet sich dann übers WLan zum Netzwerk.
Dann funktioniert grundsätzlich schon mal alles.
Du hättest gerne, wenn der Client bootet sich im Vorfeld am WLan anmeldet bevor der User sich anmeldet.
Richtig?
Unter den WLan-Optionen (Client) gibts einen Haken (XP): "Computer authentifizieren wenn Computerinformationen verfügbar"
Das dem in der RAS-Richtlinie zu definieren, tja, soweit bin ich auch. Zwar gibt es die Möglichkeit Computergruppen zu definieren. Zieht aber nicht, bei mir zumindest. Warum auch immer.
mfg
Antos
Du meldest dich Offline mit einem Servergespeicheicherten Profil am Client an, dieser verbindet sich dann übers WLan zum Netzwerk.
Dann funktioniert grundsätzlich schon mal alles.
Du hättest gerne, wenn der Client bootet sich im Vorfeld am WLan anmeldet bevor der User sich anmeldet.
Richtig?
Unter den WLan-Optionen (Client) gibts einen Haken (XP): "Computer authentifizieren wenn Computerinformationen verfügbar"
Das dem in der RAS-Richtlinie zu definieren, tja, soweit bin ich auch. Zwar gibt es die Möglichkeit Computergruppen zu definieren. Zieht aber nicht, bei mir zumindest. Warum auch immer.
mfg
Antos
Nee nicht ganz. Ich erkläre das nochmal:
Ich habe einen Client, den ich der Domäne hinzugefügt habe. Das Profil ist nicht servergespeichert. Es liegt ganz normal, auf der eigenen Festplatte des Clients.
Dann wollte ich das mit LAN durchführen, nicht mit dem WLAN.
Ich hatte vorher eine recht gute Anleitung gefunden, nach ich mich gerichtet habe. Allerdings geht es in dieser Anleitung um WLAN. Ich dachte mir, dass muss ja auch für das LAN zutreffen.
Dieser Haken, von dem eben geschrieben hattest, den gibt es bei WLAN. Aber nicht beim LAN.
Das Problem was ich noch habe ist, wenn ich anmelde, dann muss das Netzwerk schon funktionsbereit sein. Das ist es nicht. Man merkt es auf zwei Arten:
Ein Ping auf dem Client vor der Useranmeldung geht ins leere.
Nach der Anmeldung wartet der Client, bis der Desktop kommt. Klar er sucht ja seinen Domänencontroller, den er zu diesem Zeitpunkt noch nicht hat.
Es muss so sein, dass wenn der Client sein STRG+ENTF Fenster hat, dass das LAN schon funktionieren muss. Ich hoffe jetzt ist mein Problem etwas klarer.
Achso hier die Anleitung, nach der ich mich gerichtet habe:
http://www.google.de/url?q=http://www.support-netz.de/uploads/tx_dcfile ...
Ich habe einen Client, den ich der Domäne hinzugefügt habe. Das Profil ist nicht servergespeichert. Es liegt ganz normal, auf der eigenen Festplatte des Clients.
Dann wollte ich das mit LAN durchführen, nicht mit dem WLAN.
Ich hatte vorher eine recht gute Anleitung gefunden, nach ich mich gerichtet habe. Allerdings geht es in dieser Anleitung um WLAN. Ich dachte mir, dass muss ja auch für das LAN zutreffen.
Dieser Haken, von dem eben geschrieben hattest, den gibt es bei WLAN. Aber nicht beim LAN.
Das Problem was ich noch habe ist, wenn ich anmelde, dann muss das Netzwerk schon funktionsbereit sein. Das ist es nicht. Man merkt es auf zwei Arten:
Ein Ping auf dem Client vor der Useranmeldung geht ins leere.
Nach der Anmeldung wartet der Client, bis der Desktop kommt. Klar er sucht ja seinen Domänencontroller, den er zu diesem Zeitpunkt noch nicht hat.
Es muss so sein, dass wenn der Client sein STRG+ENTF Fenster hat, dass das LAN schon funktionieren muss. Ich hoffe jetzt ist mein Problem etwas klarer.
Achso hier die Anleitung, nach der ich mich gerichtet habe:
http://www.google.de/url?q=http://www.support-netz.de/uploads/tx_dcfile ...
Da stand nix von WLan, hast recht! Mein Fehler.
Daß Prob wird bei deinem Client sein, das der Switch den Client sperrt. Daher stimmt was mit der Autorisierung nicht.
Den Haken gibt es beim Lan auch.
Guck mal #comment-toc4 hier
mfg
Antos
Daß Prob wird bei deinem Client sein, das der Switch den Client sperrt. Daher stimmt was mit der Autorisierung nicht.
Den Haken gibt es beim Lan auch.
Guck mal #comment-toc4 hier
mfg
Antos
Ach die Anleitung hatte ich auch schon gefunden. Aber jetzt mal eben die Frage: Wo siehst Du diesen Haken? Ich finde ihn nicht.
Mit Haken meinte ich die IEEE802.1x Authentifizierung beim Lan-Adapter wenn der Dienst "Automatische (verkabelt) Konfiguration" gestartet ist.
Im IAS, was haste den für Remote Access Policy's eingerichtet?
Hier nochmal ein Link: www.serverhowto.de
mfg
Antos
Im IAS, was haste den für Remote Access Policy's eingerichtet?
Hier nochmal ein Link: www.serverhowto.de
mfg
Antos
Ach den Link kannte ich noch nicht. Lese ich mir heute abend mal in Ruhe durch. Also die Dienst habe ich natürlich gestartet. Sonst könnte ich am Client ja nichts einstellen.
Im IAS habe ich eine Richtlinie eingerichtet. Mal so in Grobform:
NAS-Port stimmt überein mit "Ethernet" und mit Group "LAN-Nutzer"
Unten Haken bei RAS Berechtigung erteilen.
Dann unter Profil bearbeiten und Reiter Authentifizierung EAP-Methoden Smartcard oder anderes Zertikat. Gehe ich dort auf bearbeiten, dann sehe ich dort mein Server-Zertifikat.
In der Gruppe LAN-Nutzer ist mein Nutzer der auch RAS-Berechtigung hat.
Ich denke, für meinen Fall dürfte eine Nutzerabfrage garnicht in Frage kommen, sondern nur ein Computerzertifikat auf dem Client. Denn vor der Anmeldung ist nichts mit User.
Ich schätze, dass das bestimmt mit Zertifikaten geht, was ich mir aber auch noch vorstellen könnte, wäre eine MAC-Adressen Zuordnung.
Im IAS habe ich eine Richtlinie eingerichtet. Mal so in Grobform:
NAS-Port stimmt überein mit "Ethernet" und mit Group "LAN-Nutzer"
Unten Haken bei RAS Berechtigung erteilen.
Dann unter Profil bearbeiten und Reiter Authentifizierung EAP-Methoden Smartcard oder anderes Zertikat. Gehe ich dort auf bearbeiten, dann sehe ich dort mein Server-Zertifikat.
In der Gruppe LAN-Nutzer ist mein Nutzer der auch RAS-Berechtigung hat.
Ich denke, für meinen Fall dürfte eine Nutzerabfrage garnicht in Frage kommen, sondern nur ein Computerzertifikat auf dem Client. Denn vor der Anmeldung ist nichts mit User.
Ich schätze, dass das bestimmt mit Zertifikaten geht, was ich mir aber auch noch vorstellen könnte, wäre eine MAC-Adressen Zuordnung.
Ggf. hilft das die Zertifikatsfrage zu klären da es mehr oder minder identisch ist:
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
ist ggf. als Richtschnur ganz hilfreich.
Ggf. hilft noch dies Dokument:
Dynamische VLAN-Zuweisung mit FreeRADIUS und Active Directory
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
ist ggf. als Richtschnur ganz hilfreich.
Ggf. hilft noch dies Dokument:
Dynamische VLAN-Zuweisung mit FreeRADIUS und Active Directory
Guten Morgen,
erst mal Danke für Infos. Ich muss mir jetzt erst einmal die Links ansehen. Leider hat man mir gerade einen Azubi aufgebrummt. Daher komme ich nicht gelich zu diesem Thema. Ich melde mich aber jeden Fall nochmal dazu.
erst mal Danke für Infos. Ich muss mir jetzt erst einmal die Links ansehen. Leider hat man mir gerade einen Azubi aufgebrummt. Daher komme ich nicht gelich zu diesem Thema. Ich melde mich aber jeden Fall nochmal dazu.
