EAP-TLS Problem mit Zertifikat
Server Rejected Identiy. Verstehe nicht wieso.
Hi ihr lieben Leute,
ich bin zur Zeit daran eine Versuchsumgebung aufzubauen.
Habe auf dem Windows Server 2003 IIS, IAS (als Radiusserver), CA und AD installiert.
Eine Domäne angelegt, Benutzer angelegt, Richtlinien festgelegt.
Switch ist von Cosco Catalyst 6509. auch Schon konfiguriert für 802.1x.
Alles so wie es sein sollte.
Mit meinem Supplicanten (Notebook) (den ich auch auf tls eingestellt habe kann ich mich aber nicht am netzwerk anmelden.
Ich habe über ein anderes Vlan ein Zertifikat erteilen lassen und es installiert. ( natürlich ert nach anmeldung des benutzers wie ich ihn unter AD angelegt hatte) (indiesem fall Karlheinz) also als Karl heinz habe ich mir ein Benutzerzertifikat austellen lassen. es installiert. das root zertifikat des servers habe ich zuvor exportiert und auf meinem supplicanten installiert.
hat jemand ne idee was ich falsch gemacht haben könnte?
paralel hierzu habe ich einen 2ten Server als Radius-Server konfiguriert...aber mit Cisco ACS 3.1 als Radius-Server. (also ohne AD und IAS)...hier bei komme ich um 4 schritte weiter als mit dem IAS-Radiusserver.
der Switch verlangt die identity des Clients (gemeint ist supplicant) um sie während er den client warten lässt an den server weiterzuleiten.
der client (supplicant) schickt dies.
aber die identyity schmeckt dem Server nicht. und daher rejectedt er die identy und somit ist der zugang versperrt.
bei der variante mit dem cisco acs akzeptiert er die identy der bittsteller (supplicanten) akzeptiert aber das zertifikat beim handshake später nicht.
wäre super wenn jemand ne idee haben könnte.
Danke im voraus an alle.
musa
Hi ihr lieben Leute,
ich bin zur Zeit daran eine Versuchsumgebung aufzubauen.
Habe auf dem Windows Server 2003 IIS, IAS (als Radiusserver), CA und AD installiert.
Eine Domäne angelegt, Benutzer angelegt, Richtlinien festgelegt.
Switch ist von Cosco Catalyst 6509. auch Schon konfiguriert für 802.1x.
Alles so wie es sein sollte.
Mit meinem Supplicanten (Notebook) (den ich auch auf tls eingestellt habe kann ich mich aber nicht am netzwerk anmelden.
Ich habe über ein anderes Vlan ein Zertifikat erteilen lassen und es installiert. ( natürlich ert nach anmeldung des benutzers wie ich ihn unter AD angelegt hatte) (indiesem fall Karlheinz) also als Karl heinz habe ich mir ein Benutzerzertifikat austellen lassen. es installiert. das root zertifikat des servers habe ich zuvor exportiert und auf meinem supplicanten installiert.
hat jemand ne idee was ich falsch gemacht haben könnte?
paralel hierzu habe ich einen 2ten Server als Radius-Server konfiguriert...aber mit Cisco ACS 3.1 als Radius-Server. (also ohne AD und IAS)...hier bei komme ich um 4 schritte weiter als mit dem IAS-Radiusserver.
der Switch verlangt die identity des Clients (gemeint ist supplicant) um sie während er den client warten lässt an den server weiterzuleiten.
der client (supplicant) schickt dies.
aber die identyity schmeckt dem Server nicht. und daher rejectedt er die identy und somit ist der zugang versperrt.
bei der variante mit dem cisco acs akzeptiert er die identy der bittsteller (supplicanten) akzeptiert aber das zertifikat beim handshake später nicht.
wäre super wenn jemand ne idee haben könnte.
Danke im voraus an alle.
musa
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 95713
Url: https://administrator.de/forum/eap-tls-problem-mit-zertifikat-95713.html
Ausgedruckt am: 23.12.2024 um 01:12 Uhr
14 Kommentare
Neuester Kommentar
Die IAS Logs die ich meine findest du in der Ereignisanzeige deines Radiusservers! Unter System protokolliet der Radiusdienst erfolgreiche oder erfolglose Auth-Versuche sowie Fehler.
rechtsklick auf "Arbeitsplatz", "Verwalten", "Ereignisanzeige". Die hast du doch bestimmt schonmal gesehen, oder?
IAS-Logviewer ist ein super Tool. Du musst im IAS unter Logging einfach den Pfad angeben, z. B. auf den Desktop des Radiusservers, wo die Logs abgelegt werden sollen.
Mit IAS-Logviewer kannst du diese Textdatei dann öffnen und siehst total übersichtlich wer sich wann erfolgreich oder eben nicht erfolgreich anmelden konnte.
Ich würd dir gern bei dem Probl helfen, hab jedoch grad viel Arbeit. Grübel.
rechtsklick auf "Arbeitsplatz", "Verwalten", "Ereignisanzeige". Die hast du doch bestimmt schonmal gesehen, oder?
IAS-Logviewer ist ein super Tool. Du musst im IAS unter Logging einfach den Pfad angeben, z. B. auf den Desktop des Radiusservers, wo die Logs abgelegt werden sollen.
Mit IAS-Logviewer kannst du diese Textdatei dann öffnen und siehst total übersichtlich wer sich wann erfolgreich oder eben nicht erfolgreich anmelden konnte.
Ich würd dir gern bei dem Probl helfen, hab jedoch grad viel Arbeit. Grübel.
Na ganz einfach - deine 802.1X Authentisierung klappt schon mal - schön.
Der Switchport wird für den Client also freigeschaltet.
Die Frage ist - bekommt der client dann eien IP vom DHCP Server nachdem er Zugriff aufs Netz bekommen hat?
Der Client muss dann freilich einen DHCP Discover aussenden damit er eien IP bekommen kann.
Ich denke mich zu erinnern dass es da u. U. Probleme mit Switches (802.1X im LAN) geben kann, genau mti der DHCP Thematik. Ist ansonsten in dem Netz in das der Client kommt ein DHCP Server, ein DHCP Relay Agent oder ein "IP-Helper" auf dem Rotuerinterface konfiguriert?
Ja, aus Sicht des Radiusservers ist der "Client" nicht etwa der PC, sondern der Switch oder der Access Point.
Der Radius kommuniziert ja NIE direkt mit dem PC der sich authentisieren will, sondern IMMER mit einem zwischengeschalteten RAdiusclient wie VPN Server, Switch, Access Point, RAS-Einwahl-Server, NAS, PAC usw. Die Kommunikation zw. PC und "Authenticator" dagegen läuft stets mit anderen Protokollen, z. B. EAP oder PAP. Diese Protokolle werden zum Radius gesendet - jedoch immer schön in "Radius-Pakete" eingekapselt und nie direkt.
Der Switchport wird für den Client also freigeschaltet.
Die Frage ist - bekommt der client dann eien IP vom DHCP Server nachdem er Zugriff aufs Netz bekommen hat?
Der Client muss dann freilich einen DHCP Discover aussenden damit er eien IP bekommen kann.
Ich denke mich zu erinnern dass es da u. U. Probleme mit Switches (802.1X im LAN) geben kann, genau mti der DHCP Thematik. Ist ansonsten in dem Netz in das der Client kommt ein DHCP Server, ein DHCP Relay Agent oder ein "IP-Helper" auf dem Rotuerinterface konfiguriert?
Ja, aus Sicht des Radiusservers ist der "Client" nicht etwa der PC, sondern der Switch oder der Access Point.
Der Radius kommuniziert ja NIE direkt mit dem PC der sich authentisieren will, sondern IMMER mit einem zwischengeschalteten RAdiusclient wie VPN Server, Switch, Access Point, RAS-Einwahl-Server, NAS, PAC usw. Die Kommunikation zw. PC und "Authenticator" dagegen läuft stets mit anderen Protokollen, z. B. EAP oder PAP. Diese Protokolle werden zum Radius gesendet - jedoch immer schön in "Radius-Pakete" eingekapselt und nie direkt.
Mal so ganz nebenbei - hast du keinen GRÖSSEREN Authenticator gefunden als nen fetten 6509er? Hehe.
Aber egal, ist ja eh alles das selbe, nur halt grösser.
Weiss ja nicht wie dein dhcp eingerichtet ist. eventuell gibt er was falsches raus?
Gateway korrekt usw?
Prinzipell bist du doch quasi schon auf der Zeilgerade!
EAP-TLS und das ganze drum rum is ja nur die Authentisierung - wenn mal erfolgreich authentisiert ist dann verhält sich der Switchport wie ein hundsnormaler Switchport. Das 802.1X hast du also erfolgreich geschafft.
Mir fällt grad kein Grund ein warum es nun mit dhcp nicht klappen sollte. Check nochmal den dhcp ordentlich durch.
Der Client bekommt also vom DHCP, kann jedoch nicht aufs netz zugreifen? Da ist doch garkein unterschied, ob man die iip statisch vergibt oder per dhcp - IP ist IP. Ausser der dhcp gibt was falsches raus was nicht passt.
Grübel.
Aber egal, ist ja eh alles das selbe, nur halt grösser.
Weiss ja nicht wie dein dhcp eingerichtet ist. eventuell gibt er was falsches raus?
Gateway korrekt usw?
Prinzipell bist du doch quasi schon auf der Zeilgerade!
EAP-TLS und das ganze drum rum is ja nur die Authentisierung - wenn mal erfolgreich authentisiert ist dann verhält sich der Switchport wie ein hundsnormaler Switchport. Das 802.1X hast du also erfolgreich geschafft.
Mir fällt grad kein Grund ein warum es nun mit dhcp nicht klappen sollte. Check nochmal den dhcp ordentlich durch.
Der Client bekommt also vom DHCP, kann jedoch nicht aufs netz zugreifen? Da ist doch garkein unterschied, ob man die iip statisch vergibt oder per dhcp - IP ist IP. Ausser der dhcp gibt was falsches raus was nicht passt.
Grübel.
jetzt kommt meine nächste aufgabe. drucker und eap-tls wie
beantrage ich ein zertifikat für einen drucker der 802.1x
unterstützt? wie installiere ich den dadrauf
beantrage ich ein zertifikat für einen drucker der 802.1x
unterstützt? wie installiere ich den dadrauf
Aua! Hehe. Das kannste wohl vergessen.
Ich denke in der "Praxis" würd ich den Drucker (der ja eh meist 99 Jahre am selben Port hängt) einfach an nen switchport hängen und dort "port-security" konfigurieren und den port aus dem 802.1X nehmen. Geht schnell, macht kein dreck und man kann sich schöneren dingen widmen (z. b. dem studium des kantinen-menues).