molly11
Goto Top

NPS Anmeldung ohne host

Moin zusammen,

ich sitze gerade an der Installation einer zertifizierten Zugriffsregelung an den Netzwerkports eines Switches.

Jetzt ist es soweit, das der Client sich auch versucht am NPAS anzumelden, nur mit folgender Meldung:

Der Netzwerkrichtlinienserver hat einem Benutzer den Zugriff verweigert.

Wenden Sie sich an den Administrator des Netzwerkrichtlinienservers, um weitere Informationen zu erhalten.

Benutzer:
Sicherheits-ID: S-1-0-0
Kontoname: host/KameraVLAN11
Kontodomäne: VMS
Vollqualifizierter Kontoname: VMS\host/KameraVLAN11

Clientcomputer:
Sicherheits-ID: S-1-0-0
Kontoname: -
Vollqualifizierter Kontoname: -
ID der Empfangsstation: 88-3a-30-39-62-c0
ID der Anrufstation: 9c-7b-ef-40-f0-c8

NAS:
NAS-IPv4-Adresse: 10.156.62.206
NAS-IPv6-Adresse: -
NAS-ID: 420-04-02-Office
NAS-Porttyp: Ethernet
NAS-Port: 20

RADIUS-Client:
Clientanzeigename: Switch420-04-02-Office
Client-IP-Adresse: 10.156.62.206

Authentifizierungsdetails:
Name der Verbindungsanforderungsrichtlinie: Sichere verkabelte (Ethernet-) Verbindungen
Netzwerkrichtlinienname: -
Authentifizierungsanbieter: Windows
Authentifizierungsserver: SRV01.xxxxx.local
Authentifizierungstyp: EAP
EAP-Typ: -
Kontositzungs-ID: -
Protokollierungsergebnisse: Die Kontoinformationen wurden in die lokale Protokolldatei geschrieben.
Ursachencode: 8
Ursache: Das angegebene Benutzerkonto ist nicht vorhanden nicht.


Ich denke mir, das die Aussage des nicht vorhandenen Benutzerkontos aus den Benutzerdaten kommt.
Kontoname: host/KameraVLAN11

Kann der Eintrag host/ oder host deaktiviert werden, oder muß dieser stehen bleiben und bezieht sich auf Authentifizierungsserver?

Danke für Eure Hilfe.

Gruß
M

Content-ID: 666438

Url: https://administrator.de/contentid/666438

Ausgedruckt am: 19.12.2024 um 06:12 Uhr

aqui
aqui 05.05.2021 aktualisiert um 16:22:58 Uhr
Goto Top
Der Netzwerkrichtlinienserver hat einem Benutzer den Zugriff verweigert.
Zeigt ja das deine 802.1x Lösung sauber funktioniert ! face-wink
Der NPS ist ein simpler Radius Server. Du musst also ein zentrales Radius Passwort dort setzen und auch die entsprechenden User und Passwörter.
Wenn du 802.1x machst musst du an den Windows Clients auch diesen Dienst aktivieren.
Bei Mac Passthrough also nur der Authentisierung der User anhand ihrer Mac Adresse muss man den .1x Client nicht aktivieren.
Ein gutes Tool zum Testen deines NPS/Radius ist NTRadPing: Sichere 802.1x WLAN-Benutzer Authentisierung über Radius

Hier findets du ein paar Infos zu dem Thema:
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Cisco SG 350x Grundkonfiguration
Bzw. Windows bezogen:
https://www.msxfaq.de/windows/sicherheit/8021x.htm
https://www.andysblog.de/windows-drahtgebundenes-lan-802-1x-und-nps
https://www.heise.de/ct/artikel/Radius-mit-Windows-Server-2087800.html
https://www.msxfaq.de/windows/sicherheit/8021x.htm
usw. usw.
Molly11
Molly11 05.05.2021 um 16:49:14 Uhr
Goto Top
Danke aqui,

man kann aus der Aussage natürlich jetzt viel heraus lesen face-smile

Also die Authentifizierung ist soweit eingestellt, das der NPAS reagiert und auch der Client auf der Netzwerkschnittstelle über die Authentifizierung konfiguriert ist.

Also der Beitrag https://www.andysblog.de/windows-drahtgebundenes-lan-802-1x-und-nps ist komplett durch gearbeitet .

Und meine Frage besteht darin, ob der host rausgenommen werden kann.

Wenn jetzt die Anmeldung VMS\KameraVLAN11 wäre, denke ich, das der AD DS diesen dann auch erkennt bzw. keine Ablehnung kommt.

Vielleicht hast Du adhoc eine Info, wie wir den host heraus bekommen.
aqui
aqui 05.05.2021 aktualisiert um 17:03:44 Uhr
Goto Top
das der NPAS reagiert und auch der Client auf der Netzwerkschnittstelle über die Authentifizierung konfiguriert ist.
Was ja schonmal gut ist... face-wink
Und meine Frage besteht darin, ob der host rausgenommen werden kann.
Ahhso... Ja, das kann er. Dann musst du aber ein IP Netz angeben.
Der Radius verlangt generell das du den oder die Authenticator(s) (also den Switch) mit seiner Absender IP angeben musst. Logisch, denn der Authenticator muss sich am Radius immer mit einem Passwort authentisieren was ja im Switch auch so entsprechend konfiguriert wird. Z.B. Cisco Ruckus usw. mit
radius-server host 192.168.7.166 auth-port 1812 acct-port 1813 authentication-only key Geheim123
Wenn du nun 2 oder 3 Switches hast kannst du dem Radius diese 2-3 Hosts einzeln angeben.
Wenn du aber 20-30 Switches oder mehr hast macht das wenig Sinn und dann gibt man eben ein ganzes Netzwerk an z.B. das Management IP Netzwerk der Switches. Der Radius akzeptiert dann alles was aus diesem IP Netz kommt. Sofern das Passwort stimmt.
Ohne Authenticator Host oder Netz Angabe würde der Radius logischerweise alle Requests an ihn sofort als unauthorisiert abweisen.
Molly11
Molly11 05.05.2021 um 17:28:56 Uhr
Goto Top
Ja nee ...

Also den Switch haben wir als Client schon mit IP im Netzwerkrichtlinienserver angegeben, welche bei Auflösen / Überprüfen auch gesehen wird.
Und wir haben ja eine Kommunikation.


Nur wo kommt der Eintrag host/ und wo können wir den deaktivieren. Ist m.E. eine Windows Einstellung.
aqui
aqui 05.05.2021 aktualisiert um 17:58:03 Uhr
Goto Top
Nur wo kommt der Eintrag host/ und wo können wir den deaktivieren
Einen "Host" gibt es dann bei 802.1x aber sonst nicht. Was soll das denn sein ?? 🤷‍♂️
Generell hast du beim Client dann nur ganz normale User/Passwort Credentials die zum AD passen müssen. "Hosts" kommen da nicht vor.
Siehe dazu auch HIER.
colinardo
Lösung colinardo 05.05.2021, aktualisiert am 06.05.2021 um 10:29:15 Uhr
Goto Top
Zitat von @Molly11:
Nur wo kommt der Eintrag host/ und wo können wir den deaktivieren. Ist m.E. eine Windows Einstellung.
Servus @Molly11,
wenn du den Benutzernamen nicht auf dem Client schon ändern kannst, z.B. mangels Einstellungsmöglichkeiten dann kannst du den Benutzernamen auf dem NPS entsprechend mittels einer Verbindungs-Anforderungsrichtlinie und einem Attribut-Replace für den Benutzernamen das führende "host/" aus dem Benutzernamen entfernen.

Wenn dein Benutzername also nach dem Schema "host/KameraVLAN11" übermittelt wird, dann machst du das mittels folgender Policy:

screenshot

screenshot

Wenn die Verbindungsanforderunsrichtlinie dann greift wird der Benutzername nach den Vorgaben geändert.

Weitere Details zur Syntax & Co. siehe
https://docs.microsoft.com/de-de/windows-server/networking/technologies/ ...

back-to-topHier der Test mit einem Mikrotik als Radius Client für DOT1X Port Auth:

User authentifiziert sich absichtlich mit dem Benutzernamen host/mmuster:

screenshot

Mikrotik (Anfrage des Cleints an den NPS)

screenshot

NPS erteilt Freigabe mit dem durch die Verbindungsanforderungsrichtlinie modifizierten Usernamen

screenshot

Mikrotik schaltet den Port frei

screenshot

screenshot



Grüße Uwe
aqui
aqui 05.05.2021 aktualisiert um 18:05:11 Uhr
Goto Top
Oha, NPS Feinheiten... Etwas zu FreeRadius geschädigt. 😉 Danke Uwe für die Aufklärung des Rätsels !
colinardo
colinardo 05.05.2021 aktualisiert um 18:09:11 Uhr
Goto Top
Zitat von @aqui:

Oha, NPS Feinheiten...
Eher nicht, sowas kennt der FreeRadius natürlich auch face-smile
https://wiki.freeradius.org/modules/Rlm_attr_rewrite

Grüße Uwe
Molly11
Molly11 06.05.2021 um 11:39:32 Uhr
Goto Top
Hi Uwe,

Chapeau.

Das war ein Volltreffer.
Und danke für den Link. Sehr Hilf- und Aufschlussreich.

Anmeldung läuft.

Vielen lieben Dank.

Gruß
M.
colinardo
colinardo 06.05.2021 um 12:12:30 Uhr
Goto Top
Freut mich wenn ich helfen konnte face-smile

Grüße Uwe