10
NPS und Mac-Authentifizierung
Hallo Leute,
Ich kenne mich leider gar nicht mehr aus... deshalb hätte ich einpaar Fragen an euch:
Ich will für meine AP's einen NPS-Server einrichten für die MAC-Authentifizierung. Zur Zeit ist es leider so das ich folgende Fehlermeldung bekomme: "Ursache 16. Authentifizierungsfehler aufgrund der Nichtübereinstimmung von Benutzeranmeldeinformationen. Der angegebene Benutzername ist keinem vorhandenen Benutzerkonto zugeordnet, oder das Kennwort war falsch."
Was ich bis jetzt gemacht habe:
1.)Habe in der AD einen user mit MAC-Adresse@domain erzeugt (Frage: MUSS das Passwort auch genau so wie die Mac-Adresse lauten - oder kann ich da etwas beliebiges nehmen?)
2.) Am NPS habe ich einen Radius-Client erzeugt wo die IP und der Name der AP steht. Herstellername = RADIUS Standard
3.) Habe eine Netzwerkrichtlinie unter Richtlinien->Netzwerkrichtlinien erzeugt. Habe "Benutzerkonto-Einwähleigenschaften ignorieren" ausgewählt. Unter Bedingungen habe ich Nas-Porttyp: FUNK (IEEE 802.11) OR FUNK (sonstige) - zusätzlich habe ich noch Benutzergruppen Domain\Domänen-Benutzer hinzugefügt. Unter Einschränkungen habe ich "Unverschlüsselte Authentifizierung (PAP,SPAP)" ausgewählt.
Das sind jetzt mal grob die Einstellungen welche ich getroffen habe, zu der Fehlermeldung habe ich folgendes im Internet gefunden was mich dann zu folgender Seite geführt hat: https://technet.microsoft.com/en-us/library/dd197535(WS.10).aspx - Der NPS ist auf einem Domain Controller installiert somit habe ich Angst diese beiden Registry Einträge hinzuzufügen - da sich dann der Anmeldevorgang am Server ändert! Was meint ihr dazu könnte das auf die AD einen Einfluss haben? (bitte hier nur Antworten wenn ihr sicher seit, danke).
Glaube ihr sind die Registry Einträge der Grund warum es nicht funktioniert?
DANKE!
lg
Ich kenne mich leider gar nicht mehr aus... deshalb hätte ich einpaar Fragen an euch:
Ich will für meine AP's einen NPS-Server einrichten für die MAC-Authentifizierung. Zur Zeit ist es leider so das ich folgende Fehlermeldung bekomme: "Ursache 16. Authentifizierungsfehler aufgrund der Nichtübereinstimmung von Benutzeranmeldeinformationen. Der angegebene Benutzername ist keinem vorhandenen Benutzerkonto zugeordnet, oder das Kennwort war falsch."
Was ich bis jetzt gemacht habe:
1.)Habe in der AD einen user mit MAC-Adresse@domain erzeugt (Frage: MUSS das Passwort auch genau so wie die Mac-Adresse lauten - oder kann ich da etwas beliebiges nehmen?)
2.) Am NPS habe ich einen Radius-Client erzeugt wo die IP und der Name der AP steht. Herstellername = RADIUS Standard
3.) Habe eine Netzwerkrichtlinie unter Richtlinien->Netzwerkrichtlinien erzeugt. Habe "Benutzerkonto-Einwähleigenschaften ignorieren" ausgewählt. Unter Bedingungen habe ich Nas-Porttyp: FUNK (IEEE 802.11) OR FUNK (sonstige) - zusätzlich habe ich noch Benutzergruppen Domain\Domänen-Benutzer hinzugefügt. Unter Einschränkungen habe ich "Unverschlüsselte Authentifizierung (PAP,SPAP)" ausgewählt.
Das sind jetzt mal grob die Einstellungen welche ich getroffen habe, zu der Fehlermeldung habe ich folgendes im Internet gefunden was mich dann zu folgender Seite geführt hat: https://technet.microsoft.com/en-us/library/dd197535(WS.10).aspx - Der NPS ist auf einem Domain Controller installiert somit habe ich Angst diese beiden Registry Einträge hinzuzufügen - da sich dann der Anmeldevorgang am Server ändert! Was meint ihr dazu könnte das auf die AD einen Einfluss haben? (bitte hier nur Antworten wenn ihr sicher seit, danke).
Glaube ihr sind die Registry Einträge der Grund warum es nicht funktioniert?
DANKE!
lg
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 291836
Url: https://administrator.de/contentid/291836
Ausgedruckt am: 24.11.2024 um 19:11 Uhr
10 Kommentare
Neuester Kommentar
Hi,
wie genau wolltest du dich am NPS authentifizieren?
Der Normale Weg ist, dass man sich ja via User + Pass über den NPS authentifiziert.
Dabei wird am NPS der AP als Client eingerichtet.
Am WiFi Client gibst du dann User und Passwort ein.
Gruß
wie genau wolltest du dich am NPS authentifizieren?
Der Normale Weg ist, dass man sich ja via User + Pass über den NPS authentifiziert.
Dabei wird am NPS der AP als Client eingerichtet.
Am WiFi Client gibst du dann User und Passwort ein.
Gruß
Hallo killtec, Ich möchte mich über MAC-Adresse Authentifizieren. Geräte mit den eingetragenen Mac-Adressen sollen sich zum AP verbinden können.
Ich kenne mich leider gar nicht mehr aus... deshalb hätte ich einpaar Fragen an euch:
Keine gute Voraussetzung für eine zielführende Hilfe hier 
Nimm dir bei diesem Thema besser jemanden an die Hand der weiss was er tut und die entsprechenden Protokolle kennt. In der Regel ist die Umsetzung aber nicht schwer sofern man nur annähernd etwas von den verwendeten Mechanismen (Radius, EAPol) kennt. Was du aber wasserdicht klären musst ist die Frage ob deine Switchhardware auch überhaupt Mac Authentisierung via Radius supportet.
Viele Billigprodukte können das nicht oder supporten einzig nur die Port Authentisierung auf Basis von 802.1x mit Usernamen und Passwort oder Zertifikaten aber eben keine Macs.
Was sehr häufig falsch gemacht wird ist die Nomenklatur der Mac Adressen in den Userdefinitionen des Radius. Es gibt mehrer Schreibweisen mit : getrennt ala 0a:00:ca usw. dann nur als Großbuchstaben, mit . statt : als Trennsymbol oder oder... Für die Authentisierung MUSS es aber immer zwingend eine 100%ige Übereinstimmung geben sonst schlägt die Authentisierung fehl.
Auch deine Schreibweise mit Mac@Domain ist vollkommen unüblich und vermutlich scheitert es daran.
Üblich bei Switches ist in der Regel nur einzig die Mac Adresse in entsprender Nomenklatur wie es das Handbch vorgibt ohne irgendwelche Extensions. Passwort ist dann ebenfalls die Mac. So ist es bei 98% aller Switchhardware üblich.
Nimm dir bei Fragen zur Schreibweise immer einen Wireshark Sniffer zur Hand und sniffer die Radius Pakete des Switches mit. Darin steht schwarz auf weiss wie die Schreibweise genau aussehen muss.
2tes wichtiges Hilfsmittel ist das Radius Log. Das sagt in seinen Log Message fast immer im Klartext wo der Fehler ist.
Leider hast du hier keinerlei solche Infos weder Sniffer noch Log gepostet, was eine gezielte Hilfe sehr schwer macht ohne ins Raten abgleiten zu müssen
Grundlagen und übliche Switcheinstellungen zu dem Thema erklärt dir dieses Forumstutorial:
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Hallo Aqui, Danke für deine Antwort. Es geht nicht um die Mac-Authentifizierung am Switch sondern am Accesspoint. Es sollen sich nur Geräte am Accesspoint anmelden dürfen welche auch zugelassen sind. Diese Zulassung soll durch die Mac-Adresse geregelt werden. Die Authentifizierung bis zum NPS geht durch ich kriege folgende Meldung im Eventlog:
Der Netzwerkrichtlinienserver verweigerte einem Benutzer den Zugriff.
Wenden Sie sich an den Administrator des Netzwerkrichtlinienservers, um weitere Informationen zu erhalten.
Benutzer:
Sicherheits-ID: NULL SID
Kontoname: 94659c16XXXX
Kontodomäne: Domain
Vollqualifizierter Kontoname: Domain\94659c16XXXX
Clientcomputer:
Sicherheits-ID: NULL SID
Kontoname: -
Vollqualifizierter Kontoname: -
Betriebssystemversion: -
Empfänger-ID: 02-20-A6-F1-XX-XX
Anrufer-ID: 94-65-9C-16-XX-XX;WLAN-INTERN
NAS:
NAS-IPv4-Adresse: -
NAS-IPv6-Adresse: -
NAS-ID: -
NAS-Porttyp: Funk (IEEE 802.11)
NAS-Port: -
RADIUS-Client:
Clientanzeigenname: AP03
Client-IP-Adresse: 192.168.0.XXX
Authentifizierungsdetails:
Name der Verbindungsanforderungsrichtlinie: Sichere Drahtlosverbindungen
Netzwerkrichtlinienname: -
Authentifizierungsanbieter: Windows
Authentifizierungsserver: DC02.domain.local
Authentifizierungstyp: PAP
EAP-Typ: -
Kontositzungs-ID: -
Protokollierungsergebnisse: Die Kontoinformationen wurden in die lokale Protokolldatei geschrieben.
Ursachencode: 16
Ursache: Authentifizierungsfehler aufgrund der Nichtübereinstimmung von Benutzeranmeldeinformationen. Der angegebene Benutzername ist keinem vorhandenen Benutzerkonto zugeordnet, oder das Kennwort war falsch.
und was meint ihr dazu: https://technet.microsoft.com/en-us/library/dd197535(WS.10).aspx - muss das in meinem Falle gemacht werden? und wie würde sich diese Einstellung an einem Domain-Controller auswirken?
DANKE!
Der Netzwerkrichtlinienserver verweigerte einem Benutzer den Zugriff.
Wenden Sie sich an den Administrator des Netzwerkrichtlinienservers, um weitere Informationen zu erhalten.
Benutzer:
Sicherheits-ID: NULL SID
Kontoname: 94659c16XXXX
Kontodomäne: Domain
Vollqualifizierter Kontoname: Domain\94659c16XXXX
Clientcomputer:
Sicherheits-ID: NULL SID
Kontoname: -
Vollqualifizierter Kontoname: -
Betriebssystemversion: -
Empfänger-ID: 02-20-A6-F1-XX-XX
Anrufer-ID: 94-65-9C-16-XX-XX;WLAN-INTERN
NAS:
NAS-IPv4-Adresse: -
NAS-IPv6-Adresse: -
NAS-ID: -
NAS-Porttyp: Funk (IEEE 802.11)
NAS-Port: -
RADIUS-Client:
Clientanzeigenname: AP03
Client-IP-Adresse: 192.168.0.XXX
Authentifizierungsdetails:
Name der Verbindungsanforderungsrichtlinie: Sichere Drahtlosverbindungen
Netzwerkrichtlinienname: -
Authentifizierungsanbieter: Windows
Authentifizierungsserver: DC02.domain.local
Authentifizierungstyp: PAP
EAP-Typ: -
Kontositzungs-ID: -
Protokollierungsergebnisse: Die Kontoinformationen wurden in die lokale Protokolldatei geschrieben.
Ursachencode: 16
Ursache: Authentifizierungsfehler aufgrund der Nichtübereinstimmung von Benutzeranmeldeinformationen. Der angegebene Benutzername ist keinem vorhandenen Benutzerkonto zugeordnet, oder das Kennwort war falsch.
und was meint ihr dazu: https://technet.microsoft.com/en-us/library/dd197535(WS.10).aspx - muss das in meinem Falle gemacht werden? und wie würde sich diese Einstellung an einem Domain-Controller auswirken?
DANKE!
MAC based auth muss der AP unterstützen ...
https://documentation.meraki.com/MR/Encryption_and_Authentication/Creati ...
Gruß grexit
https://documentation.meraki.com/MR/Encryption_and_Authentication/Creati ...
Gruß grexit
Es geht nicht um die Mac-Authentifizierung am Switch sondern am Accesspoint.
Schon klar.... Jeder Netzwerker weiss aber auch das das technisch genau das gleiche ist. Die Infrastruktur spielt doch da keinerlei Rolle, deshalb ist es Latte ob Switch oder AP.Ist beides 802.1x !
Wie schon Kollege grexit sagt muss der AP eine Mac Authentisierung supporten. Wenn er "nur" 802.1x kann bedeutet das noch lange nicht das er auch Mac Auth kann. Das Datenbaltt ist da entscheidend !
Die Authentisierung ist übrigens fast immer PEAP oder TLS basierend und nie PAP.
Hallo Leute, Vielen Dank für eure Antworten! Habe es nun geschafft
1.) Mein AP supported Mac Authentisierung - sonst würde in meinem Eventlog der oben angeführte Eintrag nicht stehen.
Lösung OHNE ZERTIFIKAT:
Ich habe in der AD am "Mac-Adressen-User" unter Eigenschaften->Einwählen den Punkt "Zugriff gestatten" ausgewählt. Zusätzlich habe ich damit der User sich nirgends anmelden kann unter dem Punkt "Anmelden an" einen Computer Namens XYZ eingetragen (da es den nicht gibt). Habe es auch schon getestet, deaktiviere ich den Mac-Adressen-User dann komme ich nicht mehr ins WLAN.
Somit ist mein internes Wlan mit WPA2 UND Mac-Authentisierung "geschützt" (da weit und breit nichts in der nähe ist reicht es für mich)... das erspart mir eine menge arbeit was Zertifikate und deren Verteilung angeht.
lg Samet
1.) Mein AP supported Mac Authentisierung - sonst würde in meinem Eventlog der oben angeführte Eintrag nicht stehen.
Lösung OHNE ZERTIFIKAT:
Ich habe in der AD am "Mac-Adressen-User" unter Eigenschaften->Einwählen den Punkt "Zugriff gestatten" ausgewählt. Zusätzlich habe ich damit der User sich nirgends anmelden kann unter dem Punkt "Anmelden an" einen Computer Namens XYZ eingetragen (da es den nicht gibt). Habe es auch schon getestet, deaktiviere ich den Mac-Adressen-User dann komme ich nicht mehr ins WLAN.
Somit ist mein internes Wlan mit WPA2 UND Mac-Authentisierung "geschützt" (da weit und breit nichts in der nähe ist reicht es für mich)... das erspart mir eine menge arbeit was Zertifikate und deren Verteilung angeht.
lg Samet
Ohne Zertifikat für den Radius zu arbeiten ist aber mehr als fahrlässig. Damit kann dir jeder belibige User einen illegalen Radius unterschieben, denn der AP überprüft das nun nicht mehr.
Ein kleiner Raspberry Pi und FreeRadius und das Unglück nimmt seinen Lauf.
Eigentlich hast du dir damit einen Bärendienst erwiesen. Im Grunde ist dann die Authentisierung sinnfrei.
Aber wenn du damit ein sanftes Ruhekissen hast ist ja ok...
Ein kleiner Raspberry Pi und FreeRadius und das Unglück nimmt seinen Lauf.
Eigentlich hast du dir damit einen Bärendienst erwiesen. Im Grunde ist dann die Authentisierung sinnfrei.
Aber wenn du damit ein sanftes Ruhekissen hast ist ja ok...
Naja also so einfach dann auch wieder nicht hehe :D Die Mac-Authentifizierung geht über den NPS und der WPA2 key ist am Accesspoint hinterlegt somit spielen zwei verschiedene Stellen mit. Den WPA2 Key für das Interne-Wlan-Netzwerk liegt nur bei mir und den darf auch nur ich eingeben.
Die Geschichte mit dem FreeRadius mag schon stimmen aber somit würde er nur einen Teil der Authentifizierung hinter sich bringen - um ganz ehrlich zu sein, nicht einmal die meisten IT-Techniker (traurig aber war) könnten einen FreeRadius so einrichten und ins Netzwerk schließen, so wie du es meinst, geschweige den ein user welcher fortgeschrittenes IT-Wissen hat.
lg Samet
Die Geschichte mit dem FreeRadius mag schon stimmen aber somit würde er nur einen Teil der Authentifizierung hinter sich bringen - um ganz ehrlich zu sein, nicht einmal die meisten IT-Techniker (traurig aber war) könnten einen FreeRadius so einrichten und ins Netzwerk schließen, so wie du es meinst, geschweige den ein user welcher fortgeschrittenes IT-Wissen hat.
lg Samet
nicht einmal die meisten IT-Techniker (traurig aber war) könnten einen FreeRadius so einrichten und ins Netzwerk schließen,
Das wäre auch wirklich in der Tat sehr traurig und diese "IT Techniker" haben dann auch diesen Namen bzw. Berufsbezeichnung wahrlich nicht verdient. Das ist dann nur ein dümmlicher Klicki Bunti Knecht.Jeder Grundschüler oder Bastler bekommt sowas heute auf einem Ubuntu oder Raspberry Pi hin. apt-get install freeradius und das wars.
Der FreeRadius kommt schon mit den Default Settings so das zu 90% schon jegliche Authentisierung klappt. Lediglich Usernamen und Passwort muss man noch eintippen in eine simple Textdatei. Das sollte dann jeder können der des Lesens und Schreibens kundig ist.
Mit ein klein wenig laienhaften Wissen wie man Dr. Google bedient lässt sich dann auch der Rest leicht ergründen. Um es ehrlich zu sagen: Jemand der sich ernsthaft mit 802.1x Authentisierung beschäftigt sollte dieses minimale Rüstzeug eigentlich mitbringen....
