NPS und Mac-Authentifizierung

Mitglied: samet22

samet22 (Level 1) - Jetzt verbinden

29.12.2015 um 10:32 Uhr, 3331 Aufrufe, 10 Kommentare

Hallo Leute,

Ich kenne mich leider gar nicht mehr aus... deshalb hätte ich einpaar Fragen an euch:

Ich will für meine AP's einen NPS-Server einrichten für die MAC-Authentifizierung. Zur Zeit ist es leider so das ich folgende Fehlermeldung bekomme: "Ursache 16. Authentifizierungsfehler aufgrund der Nichtübereinstimmung von Benutzeranmeldeinformationen. Der angegebene Benutzername ist keinem vorhandenen Benutzerkonto zugeordnet, oder das Kennwort war falsch."

Was ich bis jetzt gemacht habe:

1.)Habe in der AD einen user mit MAC-Adresse@Domain erzeugt (Frage: MUSS das Passwort auch genau so wie die Mac-Adresse lauten - oder kann ich da etwas beliebiges nehmen?)

2.) Am NPS habe ich einen Radius-Client erzeugt wo die IP und der Name der AP steht. Herstellername = RADIUS Standard

3.) Habe eine Netzwerkrichtlinie unter Richtlinien->Netzwerkrichtlinien erzeugt. Habe "Benutzerkonto-Einwähleigenschaften ignorieren" ausgewählt. Unter Bedingungen habe ich Nas-Porttyp: FUNK (IEEE 802.11) OR FUNK (sonstige) - zusätzlich habe ich noch Benutzergruppen Domain\Domänen-Benutzer hinzugefügt. Unter Einschränkungen habe ich "Unverschlüsselte Authentifizierung (PAP,SPAP)" ausgewählt.

Das sind jetzt mal grob die Einstellungen welche ich getroffen habe, zu der Fehlermeldung habe ich folgendes im Internet gefunden was mich dann zu folgender Seite geführt hat: https://technet.microsoft.com/en-us/library/dd197535(WS.10).aspx - Der NPS ist auf einem Domain Controller installiert somit habe ich Angst diese beiden Registry Einträge hinzuzufügen - da sich dann der Anmeldevorgang am Server ändert! Was meint ihr dazu könnte das auf die AD einen Einfluss haben? (bitte hier nur Antworten wenn ihr sicher seit, danke).

Glaube ihr sind die Registry Einträge der Grund warum es nicht funktioniert?

DANKE!

lg
Mitglied: killtec
29.12.2015 um 10:45 Uhr
Hi,
wie genau wolltest du dich am NPS authentifizieren?
Der Normale Weg ist, dass man sich ja via User + Pass über den NPS authentifiziert.
Dabei wird am NPS der AP als Client eingerichtet.
Am WiFi Client gibst du dann User und Passwort ein.

Gruß
Bitte warten ..
Mitglied: samet22
29.12.2015 um 10:50 Uhr
Hallo killtec, Ich möchte mich über MAC-Adresse Authentifizieren. Geräte mit den eingetragenen Mac-Adressen sollen sich zum AP verbinden können.
Bitte warten ..
Mitglied: aqui
29.12.2015, aktualisiert um 11:56 Uhr
Ich kenne mich leider gar nicht mehr aus... deshalb hätte ich einpaar Fragen an euch:
Keine gute Voraussetzung für eine zielführende Hilfe hier :-( face-sad
Nimm dir bei diesem Thema besser jemanden an die Hand der weiss was er tut und die entsprechenden Protokolle kennt. In der Regel ist die Umsetzung aber nicht schwer sofern man nur annähernd etwas von den verwendeten Mechanismen (Radius, EAPol) kennt. Was du aber wasserdicht klären musst ist die Frage ob deine Switchhardware auch überhaupt Mac Authentisierung via Radius supportet.
Viele Billigprodukte können das nicht oder supporten einzig nur die Port Authentisierung auf Basis von 802.1x mit Usernamen und Passwort oder Zertifikaten aber eben keine Macs.
Was sehr häufig falsch gemacht wird ist die Nomenklatur der Mac Adressen in den Userdefinitionen des Radius. Es gibt mehrer Schreibweisen mit : getrennt ala 0a:00:ca usw. dann nur als Großbuchstaben, mit . statt : als Trennsymbol oder oder... Für die Authentisierung MUSS es aber immer zwingend eine 100%ige Übereinstimmung geben sonst schlägt die Authentisierung fehl.
Auch deine Schreibweise mit Mac@Domain ist vollkommen unüblich und vermutlich scheitert es daran.
Üblich bei Switches ist in der Regel nur einzig die Mac Adresse in entsprender Nomenklatur wie es das Handbch vorgibt ohne irgendwelche Extensions. Passwort ist dann ebenfalls die Mac. So ist es bei 98% aller Switchhardware üblich.
Nimm dir bei Fragen zur Schreibweise immer einen Wireshark Sniffer zur Hand und sniffer die Radius Pakete des Switches mit. Darin steht schwarz auf weiss wie die Schreibweise genau aussehen muss.
2tes wichtiges Hilfsmittel ist das Radius Log. Das sagt in seinen Log Message fast immer im Klartext wo der Fehler ist.
Leider hast du hier keinerlei solche Infos weder Sniffer noch Log gepostet, was eine gezielte Hilfe sehr schwer macht ohne ins Raten abgleiten zu müssen :-( face-sad

Grundlagen und übliche Switcheinstellungen zu dem Thema erklärt dir dieses Forumstutorial:
https://www.administrator.de/wissen/netzwerk-zugangskontrolle-802-1x-fre ...
Bitte warten ..
Mitglied: samet22
29.12.2015 um 12:17 Uhr
Hallo Aqui, Danke für deine Antwort. Es geht nicht um die Mac-Authentifizierung am Switch sondern am Accesspoint. Es sollen sich nur Geräte am Accesspoint anmelden dürfen welche auch zugelassen sind. Diese Zulassung soll durch die Mac-Adresse geregelt werden. Die Authentifizierung bis zum NPS geht durch ich kriege folgende Meldung im Eventlog:

Der Netzwerkrichtlinienserver verweigerte einem Benutzer den Zugriff.

Wenden Sie sich an den Administrator des Netzwerkrichtlinienservers, um weitere Informationen zu erhalten.

Benutzer:
Sicherheits-ID: NULL SID
Kontoname: 94659c16XXXX
Kontodomäne: Domain
Vollqualifizierter Kontoname: Domain\94659c16XXXX

Clientcomputer:
Sicherheits-ID: NULL SID
Kontoname: -
Vollqualifizierter Kontoname: -
Betriebssystemversion: -
Empfänger-ID: 02-20-A6-F1-XX-XX
Anrufer-ID: 94-65-9C-16-XX-XX;WLAN-INTERN

NAS:
NAS-IPv4-Adresse: -
NAS-IPv6-Adresse: -
NAS-ID: -
NAS-Porttyp: Funk (IEEE 802.11)
NAS-Port: -

RADIUS-Client:
Clientanzeigenname: AP03
Client-IP-Adresse: 192.168.0.XXX

Authentifizierungsdetails:
Name der Verbindungsanforderungsrichtlinie: Sichere Drahtlosverbindungen
Netzwerkrichtlinienname: -
Authentifizierungsanbieter: Windows
Authentifizierungsserver: DC02.domain.local
Authentifizierungstyp: PAP
EAP-Typ: -
Kontositzungs-ID: -
Protokollierungsergebnisse: Die Kontoinformationen wurden in die lokale Protokolldatei geschrieben.
Ursachencode: 16
Ursache: Authentifizierungsfehler aufgrund der Nichtübereinstimmung von Benutzeranmeldeinformationen. Der angegebene Benutzername ist keinem vorhandenen Benutzerkonto zugeordnet, oder das Kennwort war falsch.


und was meint ihr dazu: https://technet.microsoft.com/en-us/library/dd197535(WS.10).aspx - muss das in meinem Falle gemacht werden? und wie würde sich diese Einstellung an einem Domain-Controller auswirken?

DANKE!
Bitte warten ..
Mitglied: 122990
122990 (Level 2)
29.12.2015, aktualisiert um 15:37 Uhr
MAC based auth muss der AP unterstützen ...
https://documentation.meraki.com/MR/Encryption_and_Authentication/Creati ...

Gruß grexit
Bitte warten ..
Mitglied: aqui
29.12.2015, aktualisiert um 15:49 Uhr
Es geht nicht um die Mac-Authentifizierung am Switch sondern am Accesspoint.
Schon klar.... Jeder Netzwerker weiss aber auch das das technisch genau das gleiche ist. Die Infrastruktur spielt doch da keinerlei Rolle, deshalb ist es Latte ob Switch oder AP.
Ist beides 802.1x !
Wie schon Kollege grexit sagt muss der AP eine Mac Authentisierung supporten. Wenn er "nur" 802.1x kann bedeutet das noch lange nicht das er auch Mac Auth kann. Das Datenbaltt ist da entscheidend !
Die Authentisierung ist übrigens fast immer PEAP oder TLS basierend und nie PAP.
Bitte warten ..
Mitglied: samet22
29.12.2015 um 16:12 Uhr
Hallo Leute, Vielen Dank für eure Antworten! Habe es nun geschafft:) face-smile

1.) Mein AP supported Mac Authentisierung - sonst würde in meinem Eventlog der oben angeführte Eintrag nicht stehen.

Lösung OHNE ZERTIFIKAT:
Ich habe in der AD am "Mac-Adressen-User" unter Eigenschaften->Einwählen den Punkt "Zugriff gestatten" ausgewählt. Zusätzlich habe ich damit der User sich nirgends anmelden kann unter dem Punkt "Anmelden an" einen Computer Namens XYZ eingetragen (da es den nicht gibt). Habe es auch schon getestet, deaktiviere ich den Mac-Adressen-User dann komme ich nicht mehr ins WLAN.

Somit ist mein internes Wlan mit WPA2 UND Mac-Authentisierung "geschützt" (da weit und breit nichts in der nähe ist reicht es für mich)... das erspart mir eine menge arbeit was Zertifikate und deren Verteilung angeht.

lg Samet
Bitte warten ..
Mitglied: aqui
30.12.2015 um 20:44 Uhr
Ohne Zertifikat für den Radius zu arbeiten ist aber mehr als fahrlässig. Damit kann dir jeder belibige User einen illegalen Radius unterschieben, denn der AP überprüft das nun nicht mehr.
Ein kleiner Raspberry Pi und FreeRadius und das Unglück nimmt seinen Lauf.
Eigentlich hast du dir damit einen Bärendienst erwiesen. Im Grunde ist dann die Authentisierung sinnfrei.
Aber wenn du damit ein sanftes Ruhekissen hast ist ja ok...
Bitte warten ..
Mitglied: samet22
31.12.2015 um 09:21 Uhr
Naja also so einfach dann auch wieder nicht hehe :D Die Mac-Authentifizierung geht über den NPS und der WPA2 key ist am Accesspoint hinterlegt somit spielen zwei verschiedene Stellen mit. Den WPA2 Key für das Interne-Wlan-Netzwerk liegt nur bei mir und den darf auch nur ich eingeben.

Die Geschichte mit dem FreeRadius mag schon stimmen aber somit würde er nur einen Teil der Authentifizierung hinter sich bringen - um ganz ehrlich zu sein, nicht einmal die meisten IT-Techniker (traurig aber war) könnten einen FreeRadius so einrichten und ins Netzwerk schließen, so wie du es meinst, geschweige den ein user welcher fortgeschrittenes IT-Wissen hat.

lg Samet
Bitte warten ..
Mitglied: aqui
31.12.2015, aktualisiert um 11:12 Uhr
nicht einmal die meisten IT-Techniker (traurig aber war) könnten einen FreeRadius so einrichten und ins Netzwerk schließen,
Das wäre auch wirklich in der Tat sehr traurig und diese "IT Techniker" haben dann auch diesen Namen bzw. Berufsbezeichnung wahrlich nicht verdient. Das ist dann nur ein dümmlicher Klicki Bunti Knecht.
Jeder Grundschüler oder Bastler bekommt sowas heute auf einem Ubuntu oder Raspberry Pi hin. apt-get install freeradius und das wars.
Der FreeRadius kommt schon mit den Default Settings so das zu 90% schon jegliche Authentisierung klappt. Lediglich Usernamen und Passwort muss man noch eintippen in eine simple Textdatei. Das sollte dann jeder können der des Lesens und Schreibens kundig ist.
Mit ein klein wenig laienhaften Wissen wie man Dr. Google bedient lässt sich dann auch der Rest leicht ergründen. Um es ehrlich zu sagen: Jemand der sich ernsthaft mit 802.1x Authentisierung beschäftigt sollte dieses minimale Rüstzeug eigentlich mitbringen....
Bitte warten ..
Heiß diskutierte Inhalte
Off Topic
Realistische Gehaltsvorstellung für eine "IT-Allroundkraft"
gelöst JiggyLeeVor 1 TagFrageOff Topic19 Kommentare

Hallo an alle, ich hege momentan den Wunsch mich von der alten verstaubten Behörden Bürokratie und langweiliger Aufgaben los zu lösen und in einem ...

Windows 10
Windows 10 Geschwindigkeitprobleme trotz viel mehr Gb Ram
Matthes88Vor 1 TagFrageWindows 1045 Kommentare

Hallo ihr lieben aaaalso : Da mein neuer Arbeitsspeicher (32gb) von meiner alten Windows 7 version (max mit 8gb kompatibel) nicht angenommen wurde, habe ...

Humor (lol)
Tipp: Dinge, die man besser nicht klaut
altmetallerVor 1 TagTippHumor (lol)12 Kommentare

Hallo, so wurde meiner Hündin z.B. heute der (eingeschaltete) GPS-Tracker mit Mobilfunkanbindung quasi "direkt vom Halsband weggefunden". Akku hatte noch 60% :-P Und ich ...

Windows Server
GPU Passthrough HYPER-V 2019
bintesVor 1 TagFrageWindows Server8 Kommentare

Hallo, ich habe ein ein Problem mit der Bereitstellung einer Grafikkarte an eine virtuelle Maschine. Hardware: - HPE ProLiant DL380 Gen9 V4 Rack Server ...

Video & Streaming
Videoaufnahme funktioniert nur bis zum ersten Reboot (0x80040217)
IllusionFACTORYVor 1 TagFrageVideo & Streaming11 Kommentare

Ich nehme über eine Video-Software von einem USB-Hardware-Encoder Video auf. Das funktioniert exakt bis zum ersten Reboot - danach bekomme ich beim Starten der ...

Windows Server
Windows Admin Center DC
maximidVor 1 TagFrageWindows Server3 Kommentare

Hallo, ich hätte mal eine Frage zu Windows Admin Center und zwar schaue ich es mir aktuell etwas an da mir die zentrale Verwaltung ...

Grafikkarten & Monitore
Monitorhalterung mit 80cm Armlänge
ben1300Vor 1 TagFrageGrafikkarten & Monitore7 Kommentare

Guten Abend ! ich bin auf der Suche nach einer Monitorhalterung, im besten Fall ohne Bohrung für einen 28" Monitor (Vesa Halterung). Nun kommt ...

SAN, NAS, DAS
Synology DS213j - Volume nach HDD Austausch vergrößern
gelöst JasperBeardleyVor 1 TagFrageSAN, NAS, DAS4 Kommentare

Moin, ich hab meinem NAS zwei neue 8TB spendiert, da die 3TB Platten jetzt 6 Jahre alt sind. Da die beiden Platten im JBOD ...