Experte für RADIUS-Authentifizierung
Guten Tag
Ich möchte mich gerne über meinen Laptop mit einem WLAN verbinden ohne angabe von PSK sondern über Zugangsdaten vom AD.
Ich habe mir bereits einen Access Point gekauft mit RADIUS unterstützung. Ich habe auch bereits alles konfiguriert (mit Hilfe von board hier und diversen Anleitungen) nur funktioniert die Anmeldung noch nicht.
Hier der Fehler:
Wenn ich in unter NPS in der Richtlinie -> "Verbindungsanforerungsrichtlinie" -> "Authentifizierung" -> "Benutzer ohne Überprüfung der Anmeldeinformationen akzeptieren"
einstelle bekomme ich keinen Fehler mehr im eventlog (Der Netzwerkrichtlinienserver hat einem Benutzer Zugriff gewährt.). Die Verbindung klappt aber dann trotzdem nicht zum Access Point. Siehe Screenshots.
Hier noch die Konfiguration der GPO für den Client:
+
Zum Schluss noch die Konfigurations der NPS, Netzwerkrichtlinie:
+
Benötigt der Client nun ein Zertifikat oder nicht von der meiner CA? Ich habe die AD Zertifizierungsstelle installiert weil die angeblich nötig ist stimmt das?
Danke für die Hilfe.
Gruss
Nicolas
Ich möchte mich gerne über meinen Laptop mit einem WLAN verbinden ohne angabe von PSK sondern über Zugangsdaten vom AD.
Ich habe mir bereits einen Access Point gekauft mit RADIUS unterstützung. Ich habe auch bereits alles konfiguriert (mit Hilfe von board hier und diversen Anleitungen) nur funktioniert die Anmeldung noch nicht.
Hier der Fehler:
Der Netzwerkrichtlinienserver verweigerte einem Benutzer den Zugriff.
Wenden Sie sich an den Administrator des Netzwerkrichtlinienservers, um weitere Informationen zu erhalten.
Benutzer:
Sicherheits-ID: DEB\test-acc01
Kontoname: DEB\test-acc01
Kontodomäne: DEB
Vollqualifizierter Kontoname: deb.test/Users/test-acc01
Clientcomputer:
Sicherheits-ID: NULL SID
Kontoname: -
Vollqualifizierter Kontoname: -
Betriebssystemversion: -
Empfänger-ID: 4C-9E-FF-73-18-42:deb_wlan_lab-RADIUS
Anrufer-ID: 00-23-4D-97-F6-97
NAS:
NAS-IPv4-Adresse: 192.168.0.4
NAS-IPv6-Adresse: -
NAS-ID: -
NAS-Porttyp: Funk (IEEE 802.11)
NAS-Port: 0
RADIUS-Client:
Clientanzeigenname: deb-lab-ap-01
Client-IP-Adresse: 192.168.0.4
Authentifizierungsdetails:
Name der Verbindungsanforderungsrichtlinie: WLAN-RADIUS
Netzwerkrichtlinienname: Verbindungen mit anderen Zugriffsservern
Authentifizierungsanbieter: Windows
Authentifizierungsserver: testsrv2.deb.test
Authentifizierungstyp: EAP
EAP-Typ: -
Kontositzungs-ID: -
Protokollierungsergebnisse: Die Kontoinformationen wurden in die lokale Protokolldatei geschrieben.
Ursachencode: 66
Ursache: Der Benutzer hat versucht, eine Authentifizierungsmethode zu verwenden, die in der entsprechenden Netzwerkrichtlinie nicht aktiviert wurde.
Wenn ich in unter NPS in der Richtlinie -> "Verbindungsanforerungsrichtlinie" -> "Authentifizierung" -> "Benutzer ohne Überprüfung der Anmeldeinformationen akzeptieren"
einstelle bekomme ich keinen Fehler mehr im eventlog (Der Netzwerkrichtlinienserver hat einem Benutzer Zugriff gewährt.). Die Verbindung klappt aber dann trotzdem nicht zum Access Point. Siehe Screenshots.
Hier noch die Konfiguration der GPO für den Client:
+
Zum Schluss noch die Konfigurations der NPS, Netzwerkrichtlinie:
+
Benötigt der Client nun ein Zertifikat oder nicht von der meiner CA? Ich habe die AD Zertifizierungsstelle installiert weil die angeblich nötig ist stimmt das?
Danke für die Hilfe.
Gruss
Nicolas
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 314272
Url: https://administrator.de/forum/experte-fuer-radius-authentifizierung-314272.html
Ausgedruckt am: 22.12.2024 um 14:12 Uhr
16 Kommentare
Neuester Kommentar
Moin,
diese Anleitung sollte deine Fragen beantworten.
http://www.heise.de/netze/artikel/Radius-mit-Windows-Server-2087800.htm ...
Gruß
Uwe
diese Anleitung sollte deine Fragen beantworten.
http://www.heise.de/netze/artikel/Radius-mit-Windows-Server-2087800.htm ...
Gruß
Uwe
Ich habe mir bereits einen Access Point gekauft mit RADIUS unterstützung.
Hilfreich wäre zu wissen welcher ? Ebenso ein Screenshot des AP Setups.Was steht im Log des AP
Was sagt ein Wireshark Trace der Authentisierung zw. AP und Radius beim Client Login ? Irgendwelche Fehler ?
Ansonsten: siehe Posting vom Kollegen transocean !
Moin,
Gruß,
Dani
Ich möchte mich gerne über meinen Laptop mit einem WLAN verbinden ohne angabe von PSK sondern über Zugangsdaten vom AD.
dir ist aber klar, dass somit jeder MA jedes Gerät ins WLAN mit seinen Zugangsdaten einbinden kann. Sicherer wäre es wenn sich das Computerkonto gegenüber dem AD mit Hilfe eines Zertifikats authentifiziert. Ist ein aufwendiges Setup aber wenn's läuft - läufts. Hier kannst du die groben Eckdaten nachlesen.Gruß,
Dani
Auch ganz hilfreich für Winblows Knechte:
http://www.andysblog.de/windows-wireless-lan-802-1x-und-nps
http://www.andysblog.de/windows-wireless-lan-802-1x-und-nps
Aber der AP müsste richtig konfiguriert sein da ich mich ja verbinden kann ich jedoch gleich wieder raus fliege.
Was sagt denn da ein Wireshark Trace ???Sendet der AP dann auch eine Radius Abfrage an den Radius Server mit den entsprechenden Credentials ??
All das zeigt dir doch der Kabelhai !!
Dann weisst du wenigstens wasserdicht das der Radius Request raus geht !
Übrigens hat das Forum hier eine wunderbare Upload Funktion !! Schon mal auf das Kamerasymbol geklickt ??
"Von der ungültigen RADIUS-Client-IP-Adresse 192.168.0.4 wurde eine RADIUS-Meldung empfangen."
Hört sich so danach an als ob das keine erlaubte Radius Adresse einens Clients ist.Jedem Radius Server egal ob NPS oder Freeradius muss man die Hostadressen oder das Netzwerk angeben aus dem dieser Radius Requests passwortgeschützt annehmen darf.
Ohne das nimmt der Radius keine Requests an und genau danach sieht es bei dir oben aus.
Bei Freeradius ist das übrigens die clients.cfg Datei die das regelt.
Moin,
nächstes Mal auch den Link zur Lösung posten.
Unabhängig davon ist dies ein Forum welches von vielen in ihrer Freizeit oder evtl. Mittagspause unterstützen. Daher nach Hilfe förmlich zu schreien und ist meiner Meinung nach der falsche Weg. Es gibt neben den Beruf und ein Privatleben und somit bleibt eben das Forum bei mir zur Zeit öfters auf der Strecke.
Nachdem das Problem nun ausgestanden ist, setze bitte beide Fragen aufgelöst.
Gruß,
Dani
nächstes Mal auch den Link zur Lösung posten.
Unabhängig davon ist dies ein Forum welches von vielen in ihrer Freizeit oder evtl. Mittagspause unterstützen. Daher nach Hilfe förmlich zu schreien und ist meiner Meinung nach der falsche Weg. Es gibt neben den Beruf und ein Privatleben und somit bleibt eben das Forum bei mir zur Zeit öfters auf der Strecke.
Nachdem das Problem nun ausgestanden ist, setze bitte beide Fragen aufgelöst.
Gruß,
Dani