NPS, Unifi Switche und MAB

Moin zusammen,

ich habe hier einen Versuchsaufbau:

Domain Controller 2022
Microsoft NPS Server 2022
Unifi Controller 7.2.97.0
Unifi Switch mit Firmware 7.0.44.15586

Auch, wenn es nicht als sicher gilt, möchte ich eine MAC based Authentifizierung ausprobieren. Ich scheitere jedoch an der Tatsache, dass er die MAC Adresse oder das Passwort nicht möchte. In der Ereignisanzeige vom NPS kommt (MAC Adressen und Domain wurden verfremdet):

Der Netzwerkrichtlinienserver hat einem Benutzer den Zugriff verweigert.

Wenden Sie sich an den Administrator des Netzwerkrichtlinienservers, um weitere Informationen zu erhalten.

Benutzer:
	Sicherheits-ID:			mydomain\48a3c1f13ee5
	Kontoname:			48A3C1F13EE5
	Kontodomäne:			MYDOMAIN
	Vollqualifizierter Kontoname:	MYDOMAIN\48A3C1F13EE5

Clientcomputer:
	Sicherheits-ID:			NULL SID
	Kontoname:			-
	Vollqualifizierter Kontoname:	-
	ID der Empfangsstation:		F7-91-B2-A3-AA-CD
	ID der Anrufstation:		48-A3-C1-F1-3E-E5

NAS:
	NAS-IPv4-Adresse:		10.10.1.1
	NAS-IPv6-Adresse:		-
	NAS-ID:			F0-9F-C2-C3-A8-CB
	NAS-Porttyp:			Ethernet
	NAS-Port:			7

RADIUS-Client:
	Clientanzeigename:		Alle Unifi Spots oder Switche
	Client-IP-Adresse:			10.10.1.1

Authentifizierungsdetails:
	Name der Verbindungsanforderungsrichtlinie:	UniFi Ethernet Port Anfrage
	Netzwerkrichtlinienname:		Ins VLAN40
	Authentifizierungsanbieter:		Windows
	Authentifizierungsserver:		nps.mydomain.de
	Authentifizierungstyp:		EAP
	EAP-Typ:			MD5-Challenge
	Kontositzungs-ID:		-
	Protokollierungsergebnisse:			Die Kontoinformationen wurden in die lokale Protokolldatei geschrieben.
	Ursachencode:			16
	Ursache:				Authentifizierungsfehler aufgrund der Nichtübereinstimmung von Benutzeranmeldeinformationen. Der angegebene Benutzername ist keinem vorhandenen Benutzerkonto zugeordnet, oder das Kennwort war falsch.

Ich habe als Username / Passwort Kombination folgende Benutzer ausprobiert bzw im AD angelegt:

User: 48a3c1f13ee5
Pass: 48a3c1f13ee5

User: 48A3C1F13EE5
Pass: 48A3C1F13EE5

User: 48-A3-C1-F1-3E-E5
Pass: 48-A3-C1-F1-3E-E5

Den Registry Eintrag für MD5-Challenge habe ich gesetzt. Ohne diesem kam die Fehlermeldung, dass es mit keinem Authentifizierungsverfahren übereinstimmte.

Liegt es wirklich am falschen Format des Passworts? Wer hat es am Laufen und in welchem Format sind die User und Passwörter im AD angelegt?

Danke schon mal and keep rockin'

Der Mike

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 71131027682

Url: https://administrator.de/contentid/71131027682

Ausgedruckt am: 18.12.2024 um 06:12 Uhr

7 Kommentare

Neuester Kommentar

Welche Mac Format hast du denn im Radius Profil angegeben?
https://help.ui.com/hc/en-us/articles/115004589707-RADIUS-Based-MAC-Auth ...
Unter 2. i hast du ja mehrere Mac Formate die du nicht getestet hast!
(aabbccddeeff, aa-bb-cc-dd-ee-ff, aa:bb:cc:dd:ee:ff, oder AABBCCDDEEFF)
Das letzte Format in den Zeilen 7 und 8 ist offiziell laut UniFi Doku gar nicht supportet!
Nach Murphy ist es vermutlich eins von denen?! 🤔

Relevant ist immer das was du im Radius Profil eingestellt hast WIE der Switch als Authenticator das Mac Format an den Radius Server gibt.
Bei Cisco ist das z.B. das Switch Kommando mab request format oder bei Mikrotik entsprechend im GUI:

Grundlagen dazu auch HIER und den weiterführenden Links.

Zitat von @NordicMike:

Moin zusammen,

Moin,

Unifi Controller 7.2.97.0

das ist mies und macht keinen Sinn, die 7er FW auf den Switchen benötigt streckenweise den aktuellen 8.1 Controller https://community.ui.com/releases/UniFi-Switch-7-0-44/b3433760-115d-4fb0 ...

@aqui

Welche Mac Format hast du denn im Radius Profil angegeben?

Aha, diese Einstellung habe ich im Radius Profil gar nicht. Nur in der Einstellungen der WLAN SSID habe ich die Möglichkeit diese gesagte Einstellung vorzunehmen, nicht bei Swich Ports.

Du hast das wirklich in den Radius Profilen?
Dann ist ein Update fällig. Ich habe nur Angst, dass die alte Darstellung dann nicht mehr funktioniert, in der neuen Darstellung gibt es keine Karte / Map mehr.

@chgorges
Danke dafür. OK, ACLs verwenden wir nicht. Aber gut zu wissen.

diese Einstellung habe ich im Radius Profil gar nicht.

Wundert einen das bei den Unify Gurken ?!

Jeder Chinaböller kann das heutzutage....
Letztlich ist das aber auch völlig egal. Lasse doch einfach den Debugger laufen und der zeigt dir doch genau an welches Format vom Supplicant (Switch o. AP) an den Radius Server gesendet wird.
So sieht das z.B. bei einem Freeradius aus mit einem Cisco oder Ruckus Switch

(0) Received Access-Request Id 2 from 192.168.7.8:1645 to 192.168.7.166:1812 length 157
(0)   User-Name = "002185dd065c"
(0)   User-Password = "002185dd065c"
(0)   Service-Type = Call-Check
(0)   Framed-MTU = 1500
(0)   Called-Station-Id = "00-17-5A-99-FA-01"
(0)   Calling-Station-Id = "00-21-85-DD-06-5C"
(0)   NAS-Port-Type = Ethernet
(0)   NAS-Port = 50001
(0)   NAS-Port-Id = "FastEthernet0/1"
(0)   NAS-IP-Address = 192.168.7.8 

Das Format alles klein, ohne Trennungszeichen ("002185dd065c") kommt dann im Radius Server in die User/Pass Konfig und fertisch!
Mit einem Freeradius eine Sache von 3 Minuten...

Lasse doch einfach den Debugger laufen und der zeigt dir doch genau an welches Format

Das wäre dann das in meinem ersten Bild bzw Log. Da sieht man, dass alles klein wäre.
Und im zweiten Bild bzw Log siehst du dann, dass ich User/Pass mit allem in klein bereits probiert habe.
Trotzdem kommt der Fehler ganz unten im Log, dass die Zugangsdaten nicht stimmen würden.

Vermutlich ist es so das der NPS einen Usernamen MYDOMAIN\48A3C1F13EE5 erwartet, also mit dem String "MYDOMAIN\" vor der Mac Adresse. Kommt der nicht scheitert die Authentisierung.
Das musst du dem NPS ggf. abgewöhnen das er die Domäne vor der Mac Adresse erwartet!
Probiere das doch ganz einfach mal mit dem NTRadPing Testtool (Windows) aus.
Sieht so ein bisschen so aus wie hier bei Dot1x und den automatischen User Credentials.