2
NPS, DUO 2FA und Watchguard
Hallo zusammen,
ich beisse mir mal grade die Zähne aus.
Folgende Konfiguration liegt bei mir vor:
Watchguard Fireall 12.6.4
Windows NPS Server W2016
DUO Proxy Server W2016
Ich habe die Konfiguration 1:1 so durchgeführt wie auf der Watchguard Seite angegeben.
Watchguard DUO
Der NPS Server wurde installaliert und dem im AD registriert.
Wenn ich nun testweise beim NPS Server in den Verbindungsanforderungen "ohne Benutzerprüfung authentifizieren" angebe, geht die Anmeldung von der Watchguard zum Radius Server durch, die 2 Fakor Authentifizierung funktioniert also mit DUO. Nun möchte ich aber natürlich auch das das Passwort geprüft wird.
Es wird zwar im Fehlerprotokoll der richtige Domänenuser angezeigt, aber ich erhalte hier die Fehlermeldung:
Da bei Watchguard nur PAP verwendet wird, ist hier nicht der Einsatz von Zertifkaten notwendig. Dazu habe ich relativ viele Lösungsansätze im WWW gefunden, die ich trotzdem testweise durchprobiert habe. Der Fehler ist der gleiche geblieben.
Mir scheint so, also würde der NPS das AD erst gar nicht abfragen, und deshalb quitiert DUO auch im Log das er keine Rückmeldung von NPS bekommt.
Vielleicht kann mir ja hier jemand weiterhelfen.
Besten Dank im Vorraus...
Grüße
Stefan
ich beisse mir mal grade die Zähne aus.
Folgende Konfiguration liegt bei mir vor:
Watchguard Fireall 12.6.4
Windows NPS Server W2016
DUO Proxy Server W2016
Ich habe die Konfiguration 1:1 so durchgeführt wie auf der Watchguard Seite angegeben.
Watchguard DUO
Der NPS Server wurde installaliert und dem im AD registriert.
Wenn ich nun testweise beim NPS Server in den Verbindungsanforderungen "ohne Benutzerprüfung authentifizieren" angebe, geht die Anmeldung von der Watchguard zum Radius Server durch, die 2 Fakor Authentifizierung funktioniert also mit DUO. Nun möchte ich aber natürlich auch das das Passwort geprüft wird.
Es wird zwar im Fehlerprotokoll der richtige Domänenuser angezeigt, aber ich erhalte hier die Fehlermeldung:
Der Netzwerkrichtlinienserver hat einem Benutzer den Zugriff verweigert.
Ursachencode: 16
Ursache: Authentifizierungsfehler aufgrund der Nichtübereinstimmung von Benutzeranmeldeinformationen. Der angegebene Benutzername ist keinem vorhandenen Benutzerkonto zugeordnet, oder das Kennwort war falsch.Da bei Watchguard nur PAP verwendet wird, ist hier nicht der Einsatz von Zertifkaten notwendig. Dazu habe ich relativ viele Lösungsansätze im WWW gefunden, die ich trotzdem testweise durchprobiert habe. Der Fehler ist der gleiche geblieben.
Mir scheint so, also würde der NPS das AD erst gar nicht abfragen, und deshalb quitiert DUO auch im Log das er keine Rückmeldung von NPS bekommt.
2021-02-06T14:06:08+0100 [duoauthproxy.lib.log#info] (('192.168.4.1', 58910), xxxx, 28): login attempt for username 's.amrein'
2021-02-06T14:06:08+0100 [duoauthproxy.lib.log#info] Sending request for user 'xxxx' to ('192.168.4.66', 1812) with id 160
2021-02-06T14:06:08+0100 [duoauthproxy.lib.log#info] Got response for id 160 from ('192.168.4.66', 1812); code 3
2021-02-06T14:06:08+0100 [duoauthproxy.lib.log#info] (('192.168.4.1', 58910), xxxx, 28): Primary credentials rejected - No reply message in packet
2021-02-06T14:06:08+0100 [duoauthproxy.lib.log#info] (('192.168.4.1', 58910), xxxx, 28): Returning response code 3: AccessReject
2021-02-06T14:06:08+0100 [duoauthproxy.lib.log#info] (('192.168.4.1', 58910), xxxx, 28): Sending response Vielleicht kann mir ja hier jemand weiterhelfen.
Besten Dank im Vorraus...
Grüße
Stefan
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 648777
Url: https://administrator.de/contentid/648777
Ausgedruckt am: 22.11.2024 um 06:11 Uhr
2 Kommentare
Neuester Kommentar
Guck mal nach, ob dein NPS auch wirklich Mitglied der Gruppe "RAS- und IAS-Server" (im AD) ist. Eventuell reboot.
Hallo Luci,
ich habe den Fehler mittlerweile gefunden.
Das Problem war das Passwort. Beim Check des NPS hatte ich keine Fehlermeldung, aber scheinbar kann die Watchguard keine Umlaute in Passwörtern verarbeiten. Das war in meinem Fall extrem blöd, weil sowohl mein Account also auch mein Testuser Umlaute enthalten haben.
Da muss man erstmal drauf kommen, naja hat ja auch lange genug gedauert.
Danke und Grüße
Stefan
ich habe den Fehler mittlerweile gefunden.
Das Problem war das Passwort. Beim Check des NPS hatte ich keine Fehlermeldung, aber scheinbar kann die Watchguard keine Umlaute in Passwörtern verarbeiten. Das war in meinem Fall extrem blöd, weil sowohl mein Account also auch mein Testuser Umlaute enthalten haben.
Da muss man erstmal drauf kommen, naja hat ja auch lange genug gedauert.
Danke und Grüße
Stefan
