NPS, DUO 2FA und Watchguard
Hallo zusammen,
ich beisse mir mal grade die Zähne aus.
Folgende Konfiguration liegt bei mir vor:
Watchguard Fireall 12.6.4
Windows NPS Server W2016
DUO Proxy Server W2016
Ich habe die Konfiguration 1:1 so durchgeführt wie auf der Watchguard Seite angegeben.
Watchguard DUO
Der NPS Server wurde installaliert und dem im AD registriert.
Wenn ich nun testweise beim NPS Server in den Verbindungsanforderungen "ohne Benutzerprüfung authentifizieren" angebe, geht die Anmeldung von der Watchguard zum Radius Server durch, die 2 Fakor Authentifizierung funktioniert also mit DUO. Nun möchte ich aber natürlich auch das das Passwort geprüft wird.
Es wird zwar im Fehlerprotokoll der richtige Domänenuser angezeigt, aber ich erhalte hier die Fehlermeldung:
Da bei Watchguard nur PAP verwendet wird, ist hier nicht der Einsatz von Zertifkaten notwendig. Dazu habe ich relativ viele Lösungsansätze im WWW gefunden, die ich trotzdem testweise durchprobiert habe. Der Fehler ist der gleiche geblieben.
Mir scheint so, also würde der NPS das AD erst gar nicht abfragen, und deshalb quitiert DUO auch im Log das er keine Rückmeldung von NPS bekommt.
Vielleicht kann mir ja hier jemand weiterhelfen.
Besten Dank im Vorraus...
Grüße
Stefan
ich beisse mir mal grade die Zähne aus.
Folgende Konfiguration liegt bei mir vor:
Watchguard Fireall 12.6.4
Windows NPS Server W2016
DUO Proxy Server W2016
Ich habe die Konfiguration 1:1 so durchgeführt wie auf der Watchguard Seite angegeben.
Watchguard DUO
Der NPS Server wurde installaliert und dem im AD registriert.
Wenn ich nun testweise beim NPS Server in den Verbindungsanforderungen "ohne Benutzerprüfung authentifizieren" angebe, geht die Anmeldung von der Watchguard zum Radius Server durch, die 2 Fakor Authentifizierung funktioniert also mit DUO. Nun möchte ich aber natürlich auch das das Passwort geprüft wird.
Es wird zwar im Fehlerprotokoll der richtige Domänenuser angezeigt, aber ich erhalte hier die Fehlermeldung:
Der Netzwerkrichtlinienserver hat einem Benutzer den Zugriff verweigert.
Ursachencode: 16
Ursache: Authentifizierungsfehler aufgrund der Nichtübereinstimmung von Benutzeranmeldeinformationen. Der angegebene Benutzername ist keinem vorhandenen Benutzerkonto zugeordnet, oder das Kennwort war falsch.
Da bei Watchguard nur PAP verwendet wird, ist hier nicht der Einsatz von Zertifkaten notwendig. Dazu habe ich relativ viele Lösungsansätze im WWW gefunden, die ich trotzdem testweise durchprobiert habe. Der Fehler ist der gleiche geblieben.
Mir scheint so, also würde der NPS das AD erst gar nicht abfragen, und deshalb quitiert DUO auch im Log das er keine Rückmeldung von NPS bekommt.
2021-02-06T14:06:08+0100 [duoauthproxy.lib.log#info] (('192.168.4.1', 58910), xxxx, 28): login attempt for username 's.amrein'
2021-02-06T14:06:08+0100 [duoauthproxy.lib.log#info] Sending request for user 'xxxx' to ('192.168.4.66', 1812) with id 160
2021-02-06T14:06:08+0100 [duoauthproxy.lib.log#info] Got response for id 160 from ('192.168.4.66', 1812); code 3
2021-02-06T14:06:08+0100 [duoauthproxy.lib.log#info] (('192.168.4.1', 58910), xxxx, 28): Primary credentials rejected - No reply message in packet
2021-02-06T14:06:08+0100 [duoauthproxy.lib.log#info] (('192.168.4.1', 58910), xxxx, 28): Returning response code 3: AccessReject
2021-02-06T14:06:08+0100 [duoauthproxy.lib.log#info] (('192.168.4.1', 58910), xxxx, 28): Sending response
Vielleicht kann mir ja hier jemand weiterhelfen.
Besten Dank im Vorraus...
Grüße
Stefan
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 648777
Url: https://administrator.de/forum/nps-duo-2fa-und-watchguard-648777.html
Ausgedruckt am: 22.12.2024 um 12:12 Uhr
2 Kommentare
Neuester Kommentar