osze90
Goto Top

Experte für RADIUS-Authentifizierung

Guten Tag

Ich möchte mich gerne über meinen Laptop mit einem WLAN verbinden ohne angabe von PSK sondern über Zugangsdaten vom AD.

Ich habe mir bereits einen Access Point gekauft mit RADIUS unterstützung. Ich habe auch bereits alles konfiguriert (mit Hilfe von board hier und diversen Anleitungen) nur funktioniert die Anmeldung noch nicht.

Hier der Fehler:

Der Netzwerkrichtlinienserver verweigerte einem Benutzer den Zugriff.

Wenden Sie sich an den Administrator des Netzwerkrichtlinienservers, um weitere Informationen zu erhalten.

Benutzer:
	Sicherheits-ID:			DEB\test-acc01
	Kontoname:				DEB\test-acc01
	Kontodomäne:				DEB


	Vollqualifizierter Kontoname:		deb.test/Users/test-acc01

Clientcomputer:
	Sicherheits-ID:			NULL SID
	Kontoname:				-
	Vollqualifizierter Kontoname:		-
	Betriebssystemversion:			-
	Empfänger-ID:				4C-9E-FF-73-18-42:deb_wlan_lab-RADIUS
	Anrufer-ID:				00-23-4D-97-F6-97

NAS:
	NAS-IPv4-Adresse:			192.168.0.4
	NAS-IPv6-Adresse:			-
	NAS-ID:					-
	NAS-Porttyp:				Funk (IEEE 802.11)
	NAS-Port:				0

RADIUS-Client:
	Clientanzeigenname:				deb-lab-ap-01
	Client-IP-Adresse:			192.168.0.4

Authentifizierungsdetails:
	Name der Verbindungsanforderungsrichtlinie:	WLAN-RADIUS
	Netzwerkrichtlinienname:		Verbindungen mit anderen Zugriffsservern
	Authentifizierungsanbieter:		Windows
	Authentifizierungsserver:		testsrv2.deb.test
	Authentifizierungstyp:		EAP
	EAP-Typ:			-
	Kontositzungs-ID:		-
	Protokollierungsergebnisse:			Die Kontoinformationen wurden in die lokale Protokolldatei geschrieben.
	Ursachencode:			66
	Ursache:				Der Benutzer hat versucht, eine Authentifizierungsmethode zu verwenden, die in der entsprechenden Netzwerkrichtlinie nicht aktiviert wurde.

Wenn ich in unter NPS in der Richtlinie -> "Verbindungsanforerungsrichtlinie" -> "Authentifizierung" -> "Benutzer ohne Überprüfung der Anmeldeinformationen akzeptieren"
einstelle bekomme ich keinen Fehler mehr im eventlog (Der Netzwerkrichtlinienserver hat einem Benutzer Zugriff gewährt.). Die Verbindung klappt aber dann trotzdem nicht zum Access Point. Siehe Screenshots.


Hier noch die Konfiguration der GPO für den Client:

gpo-1
+
gpo-2

Zum Schluss noch die Konfigurations der NPS, Netzwerkrichtlinie:

nps
+
nps-2


Benötigt der Client nun ein Zertifikat oder nicht von der meiner CA? Ich habe die AD Zertifizierungsstelle installiert weil die angeblich nötig ist stimmt das?


Danke für die Hilfe.

Gruss
Nicolas

Content-ID: 314272

Url: https://administrator.de/forum/experte-fuer-radius-authentifizierung-314272.html

Ausgedruckt am: 22.12.2024 um 14:12 Uhr

transocean
transocean 02.09.2016 um 19:52:27 Uhr
Goto Top
Moin,

diese Anleitung sollte deine Fragen beantworten.

http://www.heise.de/netze/artikel/Radius-mit-Windows-Server-2087800.htm ...

Gruß

Uwe
aqui
aqui 02.09.2016 um 20:12:20 Uhr
Goto Top
Ich habe mir bereits einen Access Point gekauft mit RADIUS unterstützung.
Hilfreich wäre zu wissen welcher ? Ebenso ein Screenshot des AP Setups.
Was steht im Log des AP
Was sagt ein Wireshark Trace der Authentisierung zw. AP und Radius beim Client Login ? Irgendwelche Fehler ?
Ansonsten: siehe Posting vom Kollegen transocean !
catachan
catachan 02.09.2016 um 20:46:41 Uhr
Goto Top
Hi

In der GPO hast du konfiguriert dass sich der User authentifizieren muss, am Radius aber der Computer. Passt nicht zusammen.

LG
Dani
Dani 02.09.2016 um 22:44:00 Uhr
Goto Top
Moin,
Ich möchte mich gerne über meinen Laptop mit einem WLAN verbinden ohne angabe von PSK sondern über Zugangsdaten vom AD.
dir ist aber klar, dass somit jeder MA jedes Gerät ins WLAN mit seinen Zugangsdaten einbinden kann. Sicherer wäre es wenn sich das Computerkonto gegenüber dem AD mit Hilfe eines Zertifikats authentifiziert. Ist ein aufwendiges Setup aber wenn's läuft - läufts. face-smile Hier kannst du die groben Eckdaten nachlesen.


Gruß,
Dani
aqui
aqui 03.09.2016 um 13:21:49 Uhr
Goto Top
Auch ganz hilfreich für Winblows Knechte:
http://www.andysblog.de/windows-wireless-lan-802-1x-und-nps
osze90
osze90 08.09.2016 aktualisiert um 15:28:34 Uhr
Goto Top
Zitat von @transocean:

Moin,

diese Anleitung sollte deine Fragen beantworten.

http://www.heise.de/netze/artikel/Radius-mit-Windows-Server-2087800.htm ...

Gruß

Uwe

Also benötigt es diese Rolle doch... Merkwürdig.


Zitat von @aqui:

Ich habe mir bereits einen Access Point gekauft mit RADIUS unterstützung.
Hilfreich wäre zu wissen welcher ? Ebenso ein Screenshot des AP Setups.
Was steht im Log des AP
Was sagt ein Wireshark Trace der Authentisierung zw. AP und Radius beim Client Login ? Irgendwelche Fehler ?
Ansonsten: siehe Posting vom Kollegen transocean !

Modell: ZYXEL NWA1121-NI
Screenshot:
ap03
ap02
ap01

Im Log vom AP steht nichts ausser, dass er die Zeit aktualisiert. Aber der AP müsste richtig konfiguriert sein da ich mich ja verbinden kann ich jedoch gleich wieder raus fliege. Dabei zeigt mir dann der NPS die Fehler wie ich oben bereits geopstet habe.

Ok ich mache mal auf dem Client ein Wireshark track. -> Hier ist er http://www.file-upload.net/download-11921062/RADIUS-authentifizierung-n ...

Ich erkenne nicht viel an dem Track wie siehst du da ob was nicht stimmt?!
osze90
osze90 08.09.2016 aktualisiert um 16:37:36 Uhr
Goto Top
Zitat von @catachan:

Hi

In der GPO hast du konfiguriert dass sich der User authentifizieren muss, am Radius aber der Computer. Passt nicht zusammen.

LG

Wie meinst du das? Was muss ich ändern? Der User muss sich doch auch authentifizieren?


Zitat von @Dani:

Moin,
Ich möchte mich gerne über meinen Laptop mit einem WLAN verbinden ohne angabe von PSK sondern über Zugangsdaten vom AD.
dir ist aber klar, dass somit jeder MA jedes Gerät ins WLAN mit seinen Zugangsdaten einbinden kann. Sicherer wäre es wenn sich das Computerkonto gegenüber dem AD mit Hilfe eines Zertifikats authentifiziert. Ist ein aufwendiges Setup aber wenn's läuft - läufts. face-smile Hier kannst du die groben Eckdaten nachlesen.


Gruß,
Dani

Ja es funktioniert jetzt schon nichts und nun soll ich noch komplizierteres konfigurieren? Wenn du mir genau sagen kannst wie ich vorgehen muss dann gerne... face-smile Mein Schritt wäre erstmal eine simple konfiguration die funktioniert dann kann ich ja immer noch auf diese Konfiguration aufbauen.


Zitat von @aqui:

Auch ganz hilfreich für Winblows Knechte:
http://www.andysblog.de/windows-wireless-lan-802-1x-und-nps

Komme mal wieder nicht weiter.... face-sad

Habe mich für die manuellle Zertifikat ausgabe entschieden. Wenn ich auf dem Server nun das Zertifikat anfordern möchte, die eben erstellte Zertifikatvorlage kommt folgendes:

cert

Wieso kommen immer beim Anfordern von meinen selbst erstellten Zertifikatvorlagen solche ### Meldungen? Dabei habe ich es genau nach Anleitung gemacht...

Weitere Frage in der Anleitung steht ich müsse wenn die Zertifikate automatisch vergeben werden sollen den NPS in die Gruppe RAS und IAS tun nun existiert der NPS nicht. Wie ist das gemeint?

ad
ad2
aqui
aqui 08.09.2016 um 18:18:13 Uhr
Goto Top
Aber der AP müsste richtig konfiguriert sein da ich mich ja verbinden kann ich jedoch gleich wieder raus fliege.
Was sagt denn da ein Wireshark Trace ???
Sendet der AP dann auch eine Radius Abfrage an den Radius Server mit den entsprechenden Credentials ??
All das zeigt dir doch der Kabelhai !!
Dann weisst du wenigstens wasserdicht das der Radius Request raus geht !
Übrigens hat das Forum hier eine wunderbare Upload Funktion !! Schon mal auf das Kamerasymbol geklickt ??
osze90
osze90 08.09.2016 um 22:16:13 Uhr
Goto Top
Zitat von @aqui:

Aber der AP müsste richtig konfiguriert sein da ich mich ja verbinden kann ich jedoch gleich wieder raus fliege.
Was sagt denn da ein Wireshark Trace ???
Sendet der AP dann auch eine Radius Abfrage an den Radius Server mit den entsprechenden Credentials ??
All das zeigt dir doch der Kabelhai !!
Dann weisst du wenigstens wasserdicht das der Radius Request raus geht !
Übrigens hat das Forum hier eine wunderbare Upload Funktion !! Schon mal auf das Kamerasymbol geklickt ??

Habe dir den Log oben hochgeladen! Keine Ahnung wie man das überprüft. Kenne doch die Funktion wie hätte ich meine Screenshots sonst hochladen können?


Zitat von @Dani:

Moin,
Ich möchte mich gerne über meinen Laptop mit einem WLAN verbinden ohne angabe von PSK sondern über Zugangsdaten vom AD.
dir ist aber klar, dass somit jeder MA jedes Gerät ins WLAN mit seinen Zugangsdaten einbinden kann. Sicherer wäre es wenn sich das Computerkonto gegenüber dem AD mit Hilfe eines Zertifikats authentifiziert. Ist ein aufwendiges Setup aber wenn's läuft - läufts. face-smile Hier kannst du die groben Eckdaten nachlesen.


Gruß,
Dani


Super endlich eine Anleitung die mich etwas weitergebracht hat! Nun kann ich mit dem DC immerhin schonmal das Computer Zertifikat registieren. Leider funktioniert jedoch die RADIUS Authentifizierung auf meinem Laptop immernoch nicht. Das Zertifikat müsste doch der Client nun automatisch vom DC beziehen oder?

Fehler des NPS:

"Von der ungültigen RADIUS-Client-IP-Adresse 192.168.0.4 wurde eine RADIUS-Meldung empfangen."

Wie behebt man das Problem?

Zudem wenn ich nun das gleiche Zertifikat welches der DC bezogen hat von der Zertifizierungstelle auch auf dem Notebook registieren will steht dort wieder, dass ich keine Rechte haben das Zertifikat zu beziehen. Also auf dem DC kann ich das erstellte Zertifikat beziehen auf dem Notebook nicht.

Was ich noch versucht habe die WLAN konfiguration statt per GPO direkt am Client nach der Anleitung von aqui einzustellen ebenfalls ohne Erfolg. Das Problem scheint wohl mal wieder am NPS oder an meiner CA zu liegen.

Danke fürs weiterhelfen.
osze90
osze90 12.12.2016 um 16:07:57 Uhr
Goto Top
Leider warte ich immer noch auf Antwort kann mir jemand weiterhelfen?
aqui
aqui 12.12.2016 um 16:16:47 Uhr
Goto Top
"Von der ungültigen RADIUS-Client-IP-Adresse 192.168.0.4 wurde eine RADIUS-Meldung empfangen."
Hört sich so danach an als ob das keine erlaubte Radius Adresse einens Clients ist.
Jedem Radius Server egal ob NPS oder Freeradius muss man die Hostadressen oder das Netzwerk angeben aus dem dieser Radius Requests passwortgeschützt annehmen darf.
Ohne das nimmt der Radius keine Requests an und genau danach sieht es bei dir oben aus.
Bei Freeradius ist das übrigens die clients.cfg Datei die das regelt.
osze90
osze90 12.12.2016 um 18:55:18 Uhr
Goto Top
Einen kleinen Erfolg kann ich feiern, nun kommt schonmal die Anmeldemaske um sich um authentifizieren. Die kam vorhin nie bzw. das letzte mal als der DC lief.

Ok wo ändere ich das im NPS? Merkwürdig ich bin nach Anleitung vorgegangen eigentlich müsste es gehen!
aqui
aqui 13.12.2016 um 10:28:25 Uhr
Goto Top
NPS keine Ahnung. Das muss einer der Winblows Gurus hier beantworten. Beim FreeRadius ist das eine simple Konfig Zeile face-wink
osze90
osze90 13.12.2016, aktualisiert am 15.12.2016 um 18:23:10 Uhr
Goto Top
ES funktioniert endlich!!! face-wink
Dani
Dani 16.12.2016 um 09:02:26 Uhr
Goto Top
Moin,
nächstes Mal auch den Link zur Lösung posten.
Unabhängig davon ist dies ein Forum welches von vielen in ihrer Freizeit oder evtl. Mittagspause unterstützen. Daher nach Hilfe förmlich zu schreien und ist meiner Meinung nach der falsche Weg. Es gibt neben den Beruf und ein Privatleben und somit bleibt eben das Forum bei mir zur Zeit öfters auf der Strecke.

Nachdem das Problem nun ausgestanden ist, setze bitte beide Fragen aufgelöst.


Gruß,
Dani
osze90
osze90 16.12.2016 um 14:22:15 Uhr
Goto Top
Zitat von @Dani:

Moin,
nächstes Mal auch den Link zur Lösung posten.
Unabhängig davon ist dies ein Forum welches von vielen in ihrer Freizeit oder evtl. Mittagspause unterstützen. Daher nach Hilfe förmlich zu schreien und ist meiner Meinung nach der falsche Weg. Es gibt neben den Beruf und ein Privatleben und somit bleibt eben das Forum bei mir zur Zeit öfters auf der Strecke.

Nachdem das Problem nun ausgestanden ist, setze bitte beide Fragen aufgelöst.


Gruß,
Dani

Ok. Das Problem wurde gelöst indem ich noch den Authenticator eingerichtet habe der fehlte... Jedoch war wohl nicht nur das, dass Problem das es nicht funktionierte.