16
IAS und Authentifizierung - Probleme über Probleme
Hey,
Ihr sind meine letzte Hoffnung
Im Rahmen meines Abschlussprojekts möchte ich gerne ein (P)EAP-TLS-authentifiziertes WLAN-Netz aufbauen mit Hilfe des IAS in MS Server 2003. Leider funktioniert derzeit leider so gut wie gar nichts. Ich hatte zuvor in einer Testumgebung bereits ein funktionierendes System aufgebaut, doch beim Übertragen in die reale Umgebung klappt leider derzeit gar nichts.
Also kurz zu dem was ich bisher gemacht habe:
1. IIS installiert
2. CA installiert
3. IAS installiert und nach ihrem Webcast und mit Hilfe des Buches "Drahtlose Netzwerke..." aus der Microsoft Press eingerichtet
4. zusätzlich eine Automatische Registrierung von Computerzertifikaten und Drahtlosnetzwerkrichtlinien eingerichtet
5. Client in der Domäne per Netzwerkkabel angemeldet und die Zertifikate per Webinterface installiert (dabei gabs Probleme weil der IIS zunächst nicht lief aufgrund eines benutzten Port 80 durch Apache, die Zertifikatsstelle und den IAS habe ich anschließend noch einmal neuinstalliert)
6. Im WLAN anzumelden versucht per WZC ohne Erfolg (Netzwerk nicht erreichbar)dann per Boingo, um zu sehen was passiert (Client associated sich aber die Authentifizierung timed out)
Naja soviel dazu, jetzt sind allerdings bei mir einige Probleme und Fragen aufgetaucht, bei denen ich nicht mehr weiter weiß:
1.Der IAS Server taucht in der Ereignisanzeige des Servers gar nicht auf, sprich ich kann nicht einmal sehen, warum die Authentifizierung scheitert. Es scheint fast so als liefe der Dienst nicht richtig (Client zeigt Timed out) (Dienst ist aber gestartet), woran kann das liegen ?
2.Eine Authentifizierung mit dem WCZ ist bisher immer gescheitert auch im Testsystem (dort habe ich das Programm von Intel (dem Treiber beiliegend) genutzt und es funktionierte) Was mache ich falsch und gibt es eventuell ein anderes Tool von Microsoft mit dem man speziell 802.1x-Authentifizierung komfortabler durchführen kann? Sprich das ich auch sehe was das Programm tut (ähnlich wie bei Intel und Boingo)
3. wie genau stelle ich eine Authentifizierung per PEAP-TLS her (also was muss ich ändern damit aus der EAP-TLS-Authentifizierung eine PEAP-TLS-Authentifizierung wird?)
4. Wo drauf muss ich bei den Zertifikaten achten und wie kann ich beim Client sehen, welche Computerzertifikate er hat (derzeit kann ich nur Benutzerzertifikate im mmc anzeigen lassen)
Naja das sind erst mal die wichtigsten Fragen die ich im Zusammenhang des Projekts habe. Ich hoffe ich habe Sie jetzt nicht zu sehr mit meinem doch recht langen Text gelangweilt. Ich bedanke mich an dieser Stelle schon einmal für Eure Antwort.
Ihr sind meine letzte Hoffnung
Im Rahmen meines Abschlussprojekts möchte ich gerne ein (P)EAP-TLS-authentifiziertes WLAN-Netz aufbauen mit Hilfe des IAS in MS Server 2003. Leider funktioniert derzeit leider so gut wie gar nichts. Ich hatte zuvor in einer Testumgebung bereits ein funktionierendes System aufgebaut, doch beim Übertragen in die reale Umgebung klappt leider derzeit gar nichts.Also kurz zu dem was ich bisher gemacht habe:
1. IIS installiert
2. CA installiert
3. IAS installiert und nach ihrem Webcast und mit Hilfe des Buches "Drahtlose Netzwerke..." aus der Microsoft Press eingerichtet
4. zusätzlich eine Automatische Registrierung von Computerzertifikaten und Drahtlosnetzwerkrichtlinien eingerichtet
5. Client in der Domäne per Netzwerkkabel angemeldet und die Zertifikate per Webinterface installiert (dabei gabs Probleme weil der IIS zunächst nicht lief aufgrund eines benutzten Port 80 durch Apache, die Zertifikatsstelle und den IAS habe ich anschließend noch einmal neuinstalliert)
6. Im WLAN anzumelden versucht per WZC ohne Erfolg (Netzwerk nicht erreichbar)dann per Boingo, um zu sehen was passiert (Client associated sich aber die Authentifizierung timed out)
Naja soviel dazu, jetzt sind allerdings bei mir einige Probleme und Fragen aufgetaucht, bei denen ich nicht mehr weiter weiß:
1.Der IAS Server taucht in der Ereignisanzeige des Servers gar nicht auf, sprich ich kann nicht einmal sehen, warum die Authentifizierung scheitert. Es scheint fast so als liefe der Dienst nicht richtig (Client zeigt Timed out) (Dienst ist aber gestartet), woran kann das liegen ?
2.Eine Authentifizierung mit dem WCZ ist bisher immer gescheitert auch im Testsystem (dort habe ich das Programm von Intel (dem Treiber beiliegend) genutzt und es funktionierte) Was mache ich falsch und gibt es eventuell ein anderes Tool von Microsoft mit dem man speziell 802.1x-Authentifizierung komfortabler durchführen kann? Sprich das ich auch sehe was das Programm tut (ähnlich wie bei Intel und Boingo)
3. wie genau stelle ich eine Authentifizierung per PEAP-TLS her (also was muss ich ändern damit aus der EAP-TLS-Authentifizierung eine PEAP-TLS-Authentifizierung wird?)
4. Wo drauf muss ich bei den Zertifikaten achten und wie kann ich beim Client sehen, welche Computerzertifikate er hat (derzeit kann ich nur Benutzerzertifikate im mmc anzeigen lassen)
Naja das sind erst mal die wichtigsten Fragen die ich im Zusammenhang des Projekts habe. Ich hoffe ich habe Sie jetzt nicht zu sehr mit meinem doch recht langen Text gelangweilt. Ich bedanke mich an dieser Stelle schon einmal für Eure Antwort.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 111506
Url: https://administrator.de/contentid/111506
Ausgedruckt am: 20.11.2024 um 10:11 Uhr
16 Kommentare
Neuester Kommentar
Da es für dich ein Projekt ist kann ich dir wenig Tipps geben, aber als Praxislösung hat sich folgendes bei uns "bewährt":
Dazu muss ich aber auch noch sagen, dass die Clients keine Domänencomputer sind, sondern eigene Computer der Mitarbeiter, die deshalb auch extra abgetrennt sind und wir verwenden nicht IAS sondern den (chaotischen) Nachfolger NPS.
Grüße
Max
- Einen möglichst großen Bogen um Zertifikate machen (Ja, Zertifikate sind eigentlich ganz toll...)
- Finger weg von EAP-TLS. Benutze PEAP mit EAP-MSCHAPv2 - ohne "Smartcard oder Zertifikate"
- Für die Laptops ist eingestellt, dass keine Zertifikatsprüfung gemacht werden soll und auch nicht die Windows-eigenen Daten verwendet werden sollen - Für das WLAN werden die Logindaten der User benutzt
Dazu muss ich aber auch noch sagen, dass die Clients keine Domänencomputer sind, sondern eigene Computer der Mitarbeiter, die deshalb auch extra abgetrennt sind und wir verwenden nicht IAS sondern den (chaotischen) Nachfolger NPS.
Grüße
Max
Hi.
Ich hatte vor ca 4 Monaten Windows 2003 Server mit IAS für EAP-TLS im WLAN aufgesetzt, war ein riesen Akt. Aber es hatte am Ende funktioniert!
Letzte Woche habe ich eine erfolgreiche Umsetzung unter Linux aufgesetzt... ist zwar auch kompliziert, vor allem wenn man noch nicht so viel Erfahrung mit Linux gesammelt hat, aber es ist machbar. Meiner Meinung nach, würd ich sogar sagen, mit Linux ist einfacher. (Wenn man auf das "Klicken" verzichten kann)
Habe im Moment nicht viel Zeit, werde später nochmal auf deine Fragen zurückkommen.
Aber zu Punkt 4. kann ich schonmal was sagen:
Start -> Ausführen -> "mmc" -> Ok ->
Hier das Snap-In "Zertifikate" hinzufügen, dann bekommst du eine Auswahl angezeigt. Dann das "Eigene Benutzerkonto" auswählen, und nochmal Snap-In "Zertifikate" hinzufügen und dann "Computerkonto" auswählen.
Gruß ausm Saarland
Ich hatte vor ca 4 Monaten Windows 2003 Server mit IAS für EAP-TLS im WLAN aufgesetzt, war ein riesen Akt. Aber es hatte am Ende funktioniert!
Letzte Woche habe ich eine erfolgreiche Umsetzung unter Linux aufgesetzt... ist zwar auch kompliziert, vor allem wenn man noch nicht so viel Erfahrung mit Linux gesammelt hat, aber es ist machbar. Meiner Meinung nach, würd ich sogar sagen, mit Linux ist einfacher. (Wenn man auf das "Klicken" verzichten kann)
Habe im Moment nicht viel Zeit, werde später nochmal auf deine Fragen zurückkommen.
Aber zu Punkt 4. kann ich schonmal was sagen:
Start -> Ausführen -> "mmc" -> Ok ->
Hier das Snap-In "Zertifikate" hinzufügen, dann bekommst du eine Auswahl angezeigt. Dann das "Eigene Benutzerkonto" auswählen, und nochmal Snap-In "Zertifikate" hinzufügen und dann "Computerkonto" auswählen.
Gruß ausm Saarland
Hi nochmal.
PEAP-TLS ist das gleiche wie PEAP. Also nur der Server besitzt ein Zertifikat. Der Benutzer meldet sich mit Benutzername und Passwort an.
EAP-TLS braucht für Server und Client ein Zertifikat welches durch die selbe CA ausgestellt sind.
Ich würde, wenn es wirklich sicher sein soll, doch auf EAP-TLS setzen.
Das wäre so eine Antwort auf deine Frage 3.
PEAP-TLS ist das gleiche wie PEAP. Also nur der Server besitzt ein Zertifikat. Der Benutzer meldet sich mit Benutzername und Passwort an.
EAP-TLS braucht für Server und Client ein Zertifikat welches durch die selbe CA ausgestellt sind.
Ich würde, wenn es wirklich sicher sein soll, doch auf EAP-TLS setzen.
Das wäre so eine Antwort auf deine Frage 3.
Ok also erstmal schonmal vielen Dank für eure Antworten, die waren schonmal recht hilfreich 
Ich habe jetzt mal ein bisschen rumprobiert und der IAS läuft jetzt richtig und gibt auch Meldung
Naja eine Authentifizierung schlägt dennoch fehl... Ich benutze derzeit Intel PROSet/Wireless als Tool um mich zu verbinden. Das Tool gibt eindeutig an, das eine Authentifizierung fehlschlägt, mehr noch es sagt "Possibly no AAA server"...
IAS sagt das hier:
Benutzer "test@test.muster" wurde Zugriff gewährt.
Vollqualifizierter Benutzername = <unbestimmt>
NAS-IP-Adresse = 192.168.0.201
NAS-Kennung = hello
Clientanzeigename = PSD-AP1
Client-IP-Adresse = 192.168.0.201
Kennung der Anruferstation = 00-19-D2-AF-A4-3A
NAS-Porttyp = Wireless - IEEE 802.11
NAS-Port = 0
Proxyrichtlinienname = Windows-Authentifizierung für alle Benutzer verwenden
Authentifizierungsanbieter = <kein>
Authentifizierungsserver = <unbestimmt>
Richtlinienname = <unbestimmt>
Authentifizierungstyp = <unbestimmt>
EAP-Typ = <unbestimmt>
Irgendwie erkenne ich meinen Fehler nicht. Nur das alles unbestimmt erscheint mir seltsam. Jemand nen Plan ?
Ich habe jetzt mal ein bisschen rumprobiert und der IAS läuft jetzt richtig und gibt auch Meldung Naja eine Authentifizierung schlägt dennoch fehl... Ich benutze derzeit Intel PROSet/Wireless als Tool um mich zu verbinden. Das Tool gibt eindeutig an, das eine Authentifizierung fehlschlägt, mehr noch es sagt "Possibly no AAA server"...
IAS sagt das hier:
Benutzer "test@test.muster" wurde Zugriff gewährt.
Vollqualifizierter Benutzername = <unbestimmt>
NAS-IP-Adresse = 192.168.0.201
NAS-Kennung = hello
Clientanzeigename = PSD-AP1
Client-IP-Adresse = 192.168.0.201
Kennung der Anruferstation = 00-19-D2-AF-A4-3A
NAS-Porttyp = Wireless - IEEE 802.11
NAS-Port = 0
Proxyrichtlinienname = Windows-Authentifizierung für alle Benutzer verwenden
Authentifizierungsanbieter = <kein>
Authentifizierungsserver = <unbestimmt>
Richtlinienname = <unbestimmt>
Authentifizierungstyp = <unbestimmt>
EAP-Typ = <unbestimmt>
Irgendwie erkenne ich meinen Fehler nicht. Nur das alles unbestimmt erscheint mir seltsam. Jemand nen Plan ?
Welchen Typ für Authentifizierung benutzt du jetzt? PEAP oder EAP-TLS?
Ist der AP richtig eingestellt? Also auf dem AP die richtige IP und Passwort für den Radius eingegeben? Parallel dazu, ist der AP richtig im Radius (IAS) hinterlegt?
Laut deinem Log ist der Client ja angemeldet.
Mit dem Intel ProWireless Dingens habe ich auch meine Probleme ...
2 Laptops, einen mit Intel WLAN, einen mit Dell WLAN. Auf beiden funktioniert EAP-TLS mit mit dem WZC einwandfrei. Auf dem Laptop mit Dell funktioniert es auch mit dem Dell-Tool. Aber mit auf dem Laptop mit Intel gehts mit dem Intel-Tool nicht! Also versuchs mal lieber mit dem WZC von Windows selbst.
Das WZC nach WLANs suchen lassen, Das gewünschte WLAN auswählen und "Verbinden" drücken. Der Rest funktioniert von alleine, wenn die Zertifikate richtig installiert (und auch erstellt) wurden. Und der Rechner muss schon in die Domäne integriert sein.
Deswegen benutze ich jetzt den Freeradius Server auf Linux. Der braucht keine Domäne, was sehr vorteilhaft für unsere Testclients auf Linux-basis ist.
Ist der AP richtig eingestellt? Also auf dem AP die richtige IP und Passwort für den Radius eingegeben? Parallel dazu, ist der AP richtig im Radius (IAS) hinterlegt?
Laut deinem Log ist der Client ja angemeldet.
Mit dem Intel ProWireless Dingens habe ich auch meine Probleme ...
2 Laptops, einen mit Intel WLAN, einen mit Dell WLAN. Auf beiden funktioniert EAP-TLS mit mit dem WZC einwandfrei. Auf dem Laptop mit Dell funktioniert es auch mit dem Dell-Tool. Aber mit auf dem Laptop mit Intel gehts mit dem Intel-Tool nicht! Also versuchs mal lieber mit dem WZC von Windows selbst.
Das WZC nach WLANs suchen lassen, Das gewünschte WLAN auswählen und "Verbinden" drücken. Der Rest funktioniert von alleine, wenn die Zertifikate richtig installiert (und auch erstellt) wurden. Und der Rechner muss schon in die Domäne integriert sein.
Deswegen benutze ich jetzt den Freeradius Server auf Linux. Der braucht keine Domäne, was sehr vorteilhaft für unsere Testclients auf Linux-basis ist.
Also ich nutze EAP-TLS und habe den Client in der Domäne angemeldet. Über Servername/certsrv habe ich mir ein Zertifizierungsstellen-Zertifikatkette und ein Benutzerzertifikat installiert.
Einstellungen auf AP und Server für Radius und Passwort sind korrekt.
WZC lief bisher bei mir noch gar und da man damit nicht mitbekommt woran es wirklich hakt (Intel hat da so ein Logtool) nutze Intel. Mit dem konnte ich mich in einer vorherigen Testumgebung auch anmelden. Gibt es irgendeine Möglichkeit zu sehen was WZC macht und wo der Fehler liegt ?
Muss ich das Serverzertifikat auch noch extra installieren ? Nein oder, denn die CA habe ich ja auf dem selben Server ?
Linux hätte ich im Nachhinein auch nehmen sollen, aber nun ist es zu spät und ich muss mich durch Windows "klicken"
Einstellungen auf AP und Server für Radius und Passwort sind korrekt.
WZC lief bisher bei mir noch gar und da man damit nicht mitbekommt woran es wirklich hakt (Intel hat da so ein Logtool) nutze Intel. Mit dem konnte ich mich in einer vorherigen Testumgebung auch anmelden. Gibt es irgendeine Möglichkeit zu sehen was WZC macht und wo der Fehler liegt ?
Muss ich das Serverzertifikat auch noch extra installieren ? Nein oder, denn die CA habe ich ja auf dem selben Server ?
Linux hätte ich im Nachhinein auch nehmen sollen, aber nun ist es zu spät und ich muss mich durch Windows "klicken"
Auf dem Client muss das CA Zertifikat und das Benutzer/Client-Zertifikat installiert sein.
Wobei das CA-Zertifikat (bei IAS heißt es Zertifizierungsstellen-Zertifikat <-- böses Wort ) in den Ordner "Vertrauenswürdige Stammzertifizierungsstellen" und das Benutzer/Client-Zertifikat in den Ordner "Eigene Zertifikate". Diese 2 Ordner findest du in der MMC im Snap-In "Zertifikate -> Eigenes Benutzerkonto".
Das Server-Zertifikat brauchst du auf dem Client nicht.
Ein Log für WZC gibts meines Wissens nicht. Jedoch gibt es eine Art Fehlermeldung in Form dieser Sprechblasen aus.
Wobei das CA-Zertifikat (bei IAS heißt es Zertifizierungsstellen-Zertifikat <-- böses Wort ) in den Ordner "Vertrauenswürdige Stammzertifizierungsstellen" und das Benutzer/Client-Zertifikat in den Ordner "Eigene Zertifikate". Diese 2 Ordner findest du in der MMC im Snap-In "Zertifikate -> Eigenes Benutzerkonto".
Das Server-Zertifikat brauchst du auf dem Client nicht.
Ein Log für WZC gibts meines Wissens nicht. Jedoch gibt es eine Art Fehlermeldung in Form dieser Sprechblasen aus.
Wichtig ist auch, dass das Benutzer-Zertifikat durch die CA signiert ist. Lässt sich in den Details des Zertifikats prüfen.
Sollte dann so aussehen:
"Name der CA"
- "Name des Benutzerzertifikats"
Sollte dann so aussehen:
"Name der CA"
- "Name des Benutzerzertifikats"
hatte ich gerade nachgeschaut, ist beides da auch signiert. unter Zertifikate (Lokaler Computer) habe ich jetzt kein eigenes Zertifikat, ist das korrekt ?
Ansonsten habe ich echt langsam keinen Schimmer mehr woran es liegen könnte...
Aber auf jeden Fall schon mal vielen Dank für deine Hilfe an dieser Stelle!
Ansonsten habe ich echt langsam keinen Schimmer mehr woran es liegen könnte...
Aber auf jeden Fall schon mal vielen Dank für deine Hilfe an dieser Stelle!
Ja das ist so korrekt. Ist das Server-Zertifikat auf dem Server installiert? Bzw, ist in den IAS Einstellungen das Server-Zertifikat ausgewählt?
Ich keine deine Situation, war selber beine am verzweifeln und alles kurz vorm Hinschmeißen, aber letzlich hat es ja noch funktioniert.
Ich keine deine Situation, war selber beine am verzweifeln und alles kurz vorm Hinschmeißen, aber letzlich hat es ja noch funktioniert.
Ok das letzte schau ich vermutlich auch in den mmc auf dem server nach, oder ? (ok blöde frage) Wo finde ich das Serverzertifikat in den IAS-Einstellungen ? Unter den Einstellungen für die RAS-Berechtigung ?
Naja ich guck morgen mal nach und mach für heute erstmal Feierabend, dir auch nen schönen Feierabend und schöne Grüße aus dem Ruhrgebiet
Naja ich guck morgen mal nach und mach für heute erstmal Feierabend, dir auch nen schönen Feierabend
und schöne Grüße aus dem Ruhrgebiet
Habe nichts am 2003 Server gemacht und der ist jetzt ausgemustert, da alles auf Linux umgesetzt ist. Daher weiß ich jetzt nicht genau, finde auch meine Doku nicht mehr 
Irgendwo in den Routing- und RAS-Optionen gibts die Option ein Zertifikat festzulegen, dass muss das Zertifikat sein, welches du mit der CA erstellt hast und auf dem Server installiert hast (hoffentlich). Als Authentifizierungsoption musst du dort ebenfalls "Smartcard oder Anderes Zertifikat" auswählen, so heißt das beim IAS, etwas umständlich formuliert finde ich. Dann erscheint die möglich das Server Zertifikat auszuwählen.
Ich hab noch ein bisschen zu tun
Schönen Feierabend bis morgen. Da bin ich noch erreichbar.
Gruß ausm Saarland
Irgendwo in den Routing- und RAS-Optionen gibts die Option ein Zertifikat festzulegen, dass muss das Zertifikat sein, welches du mit der CA erstellt hast und auf dem Server installiert hast (hoffentlich). Als Authentifizierungsoption musst du dort ebenfalls "Smartcard oder Anderes Zertifikat" auswählen, so heißt das beim IAS, etwas umständlich formuliert finde ich. Dann erscheint die möglich das Server Zertifikat auszuwählen.
Ich hab noch ein bisschen zu tun
Schönen Feierabend bis morgen. Da bin ich noch erreichbar.
Gruß ausm Saarland
Morgen
so ich habe jetzt mal nach den Zertifikaten auf dem IAS-Server geschaut (unter Zertifikate (Lokaler Computer) und dann Eigene Zertifikate). Habe dort zwei Zertifikate, eines ist ausgestellt für die CA mit allen Zwecken, Zertifikatvorlage ist Stammzertifizierungsstelle, das andere ist ausgestellt für den Server mit den Zwecken Client- und Serverauthentifizierung, Zertifikatvorlage ist Domänencontroller. Ist das korrekt so ?
so ich habe jetzt mal nach den Zertifikaten auf dem IAS-Server geschaut (unter Zertifikate (Lokaler Computer) und dann Eigene Zertifikate). Habe dort zwei Zertifikate, eines ist ausgestellt für die CA mit allen Zwecken, Zertifikatvorlage ist Stammzertifizierungsstelle, das andere ist ausgestellt für den Server mit den Zwecken Client- und Serverauthentifizierung, Zertifikatvorlage ist Domänencontroller. Ist das korrekt so ?
Hallo
Guten Morgen nachträglich. Etwas später schon, musste noch einiges erledigen.
Ja, das ist so korrekt.
Guten Morgen nachträglich. Etwas später schon, musste noch einiges erledigen.
Ja, das ist so korrekt.
Ok also auf ein Neues. Ich habe da noch eine Frage: IAS scheint bei mir bei jedem Verbindungsversuch ein neues Zertifikat unter den vertrauenswürdigen Stammzertifikatsstellen zu erstellen. Kann da vll mein Fehler liegen ? Ich habe auf den Server mittlerweile 8 Zertifikate der Zertifizierungsstelle....
Das sollte eigentlich nicht sein... für die Zertifizierungsstelle braucht braucht man 1 Zertifikat, jeweils auf Server und dann auf den betroffenen Clients. Kann mir aber auch grad nicht erklären woran das liegen könnte.
