23
Probleme mit EAP-TLS Authentifizierung im WLAN mit w2k
eingesetzte Hardware: Proxim AP-2000 Access Point und Proxim PC Card Silver
Hallo,
ich möchte im Firmennetzwerk 802.1x Authentifizierung einsetzen um unser WLAN abzusichern. In einer Teststellung benutze ich dafür die folgenden Komponenten:
1. Domaincontroller auf einem Windows 2003 Server
2. ein IAS Server, der ebenfalls auf dem 2003'er Server installiert ist
3. Einen Proxim AP-2000 Accesspoint, der als NAS dient
4. Notebook mit w2k SP4
5. Notebook mit XP Pro SP2
6. Eingesetzte WLAN Karte: Proxim 8471-WD PC Card
Als EAP Typ möchte ich EAP-TLS einsetzen.
Eine Zertifizierungsstelle ist ebenfalls auf dem 2003'er DC eingerichtet.
Auf einem Notebook mit Windows XP (SP2) sind auch alle notwendigen Zertifikate installiert, sodass ein User sich ohne Probleme am Netzwerk authentifizieren kann. Der IAS gibt grünes Licht und der Verbindungsaufbau klappt ohne Probleme.
Wenn ich das gleiche jedoch mit einem Windows 2000 Rechner versuche, funktioniert dies nicht:
Der IAS Server gibt im LogFile an, das der User xyz sich erfolgreich authentifiziert hat. Die Utilitys der Netzwerkkarte zeigen jedoch statt "Authenticated" lediglich ein "Authentication in progress..." an. Nach einer Weile beginnt dann die WLAN Karte wieder damit, WLAN Kanäle durchzuscannen.
Mir scheint, als ob der Client nicht mitbekommt, das er bereits erfolgreich authentifiziert wurde und deshalb nach einer Weile auf Grund eines TimeOuts wieder von vorne anfängt.
Wie bereits erwähnt: Laut IAS wurde die Authentifizierung erfolgreich durchgeführt.
Das Merkwürdige ist, das ich es 2 oder 3 Mal irgendwie geschafft habe, das ein Ping durchgegangen ist. Nach ca. 1 Minute ist aber der Link wieder zusammengebrochen.
Bei Änderung der Authentifizierungsmethode auf PEAP-MS-CHAP-v2 ergibt sich das gleiche Phänomen. Auch hier gibt es bei dem XP Notebook keine Probleme ( gleiche WLAN Karte ), währen sich das w2k Notebook weiterhin stur stellt.
Muss bei w2k vielleicht irgendetwas nachgepatcht werden? Hat jemand mit Proxim WLAN Karten die selben Erfahrungen gemacht?
Ich wäre für eine Antwort echt dankbar, da ich mir an dem Problem seit ca. 2 Wochen die Zähne ausbeiße.
Vielen Dank,
Grüße
Dirk
ich möchte im Firmennetzwerk 802.1x Authentifizierung einsetzen um unser WLAN abzusichern. In einer Teststellung benutze ich dafür die folgenden Komponenten:
1. Domaincontroller auf einem Windows 2003 Server
2. ein IAS Server, der ebenfalls auf dem 2003'er Server installiert ist
3. Einen Proxim AP-2000 Accesspoint, der als NAS dient
4. Notebook mit w2k SP4
5. Notebook mit XP Pro SP2
6. Eingesetzte WLAN Karte: Proxim 8471-WD PC Card
Als EAP Typ möchte ich EAP-TLS einsetzen.
Eine Zertifizierungsstelle ist ebenfalls auf dem 2003'er DC eingerichtet.
Auf einem Notebook mit Windows XP (SP2) sind auch alle notwendigen Zertifikate installiert, sodass ein User sich ohne Probleme am Netzwerk authentifizieren kann. Der IAS gibt grünes Licht und der Verbindungsaufbau klappt ohne Probleme.
Wenn ich das gleiche jedoch mit einem Windows 2000 Rechner versuche, funktioniert dies nicht:
Der IAS Server gibt im LogFile an, das der User xyz sich erfolgreich authentifiziert hat. Die Utilitys der Netzwerkkarte zeigen jedoch statt "Authenticated" lediglich ein "Authentication in progress..." an. Nach einer Weile beginnt dann die WLAN Karte wieder damit, WLAN Kanäle durchzuscannen.
Mir scheint, als ob der Client nicht mitbekommt, das er bereits erfolgreich authentifiziert wurde und deshalb nach einer Weile auf Grund eines TimeOuts wieder von vorne anfängt.
Wie bereits erwähnt: Laut IAS wurde die Authentifizierung erfolgreich durchgeführt.
Das Merkwürdige ist, das ich es 2 oder 3 Mal irgendwie geschafft habe, das ein Ping durchgegangen ist. Nach ca. 1 Minute ist aber der Link wieder zusammengebrochen.
Bei Änderung der Authentifizierungsmethode auf PEAP-MS-CHAP-v2 ergibt sich das gleiche Phänomen. Auch hier gibt es bei dem XP Notebook keine Probleme ( gleiche WLAN Karte ), währen sich das w2k Notebook weiterhin stur stellt.
Muss bei w2k vielleicht irgendetwas nachgepatcht werden? Hat jemand mit Proxim WLAN Karten die selben Erfahrungen gemacht?
Ich wäre für eine Antwort echt dankbar, da ich mir an dem Problem seit ca. 2 Wochen die Zähne ausbeiße.
Vielen Dank,
Grüße
Dirk
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 41148
Url: https://administrator.de/contentid/41148
Printed on: May 5, 2024 at 10:05 o'clock
23 Comments
Latest comment
Hallo
mich wird das Thema 802.1X im WLAN Bereich auch die nächste Zeit beschäftigen.
Kann dir bei dem w2k Problem leider nicht helfen. Aber es ist interessant zu erfahren, mit welchen Problemen man zu rechnen hat.
Wir haben neben´Windows auch zahlreiche Linux Clients im Netz.
So ziemlich jede Distribution die jemals erfunden wurde fleucht da rum.
Ich glaube das wird recht komplex.
Momentan nutzen wir VPN mit IPSEC für die WLAN User.
Damit ist die vorhandene VPN Infrastruktur einsetzbar, es ist unkompliziert, und funktioniert mit allen Clients prächtig.
Ich werde 802.1X auch erstmal ausgiebig testen. Habe aber das GEfühl dass der Aufwand im Vergleich zum Nutzen zu hoch sein wird.
Ganz nebenbei..
Habe ich das richtig verstanden, dass man bei EAP-TLS sowohl Server als auch Client Zertifikate braucht, bei EAP-PeAP sich jedoch nur der Server beim Client authentifziert?
Bin grade am Einlesen und versuche die komplexe Materie klarzubekommen in der Birne.
mich wird das Thema 802.1X im WLAN Bereich auch die nächste Zeit beschäftigen.
Kann dir bei dem w2k Problem leider nicht helfen. Aber es ist interessant zu erfahren, mit welchen Problemen man zu rechnen hat.
Wir haben neben´Windows auch zahlreiche Linux Clients im Netz.
So ziemlich jede Distribution die jemals erfunden wurde fleucht da rum.
Ich glaube das wird recht komplex.
Momentan nutzen wir VPN mit IPSEC für die WLAN User.
Damit ist die vorhandene VPN Infrastruktur einsetzbar, es ist unkompliziert, und funktioniert mit allen Clients prächtig.
Ich werde 802.1X auch erstmal ausgiebig testen. Habe aber das GEfühl dass der Aufwand im Vergleich zum Nutzen zu hoch sein wird.
Ganz nebenbei..
Habe ich das richtig verstanden, dass man bei EAP-TLS sowohl Server als auch Client Zertifikate braucht, bei EAP-PeAP sich jedoch nur der Server beim Client authentifziert?
Bin grade am Einlesen und versuche die komplexe Materie klarzubekommen in der Birne.
Hi,
Vielleicht liegen die Probleme ja beim IAS-Radius Server. Unter Umständen funktionieren da OpenSource Radius besser
Als nächstes werde ich jedenfalls mal andere WLAN Karten unter w2k ausprobieren.
Grüße Dirk
Vielleicht liegen die Probleme ja beim IAS-Radius Server. Unter Umständen funktionieren da OpenSource Radius besser
Als nächstes werde ich jedenfalls mal andere WLAN Karten unter w2k ausprobieren.
Grüße Dirk
Ich hab sowohl Freeradius als auch IAS im Einsatz.
Im Verbund mit Active Directory ist IAS die erste wahl finde ich.
Sonst muss man den Linux Server dazu bringen, per kerberos das AD zu kontaktieren, was wenig Sinn macht, wo der IAS doch binnen 5 min auf nem DC installiert u. konfiguriert ist.
Im Verbund mit Active Directory ist IAS die erste wahl finde ich.
Sonst muss man den Linux Server dazu bringen, per kerberos das AD zu kontaktieren, was wenig Sinn macht, wo der IAS doch binnen 5 min auf nem DC installiert u. konfiguriert ist.
hallo
hat sich was ergeben wegen des problems? weil ich stehe auch grad vor einem w2000 laptop der nicht so richtig über wlan ins netzwerk kommt. bzw ich bekomm die zertifikate nicht auf den client.
hat sich was ergeben wegen des problems? weil ich stehe auch grad vor einem w2000 laptop der nicht so richtig über wlan ins netzwerk kommt. bzw ich bekomm die zertifikate nicht auf den client.
Ich muss gestehen, das ich mich mittlerweile nicht mehr mit w2k rumschlage. Mittlerweile haben alle WLAN Clients Windows XP und damit läuft das Ganze nahezu reibungslos.
Das Benutzerzertifikat beantragst du ganz einfach über den Browser: http://<Certserver>/certsrv.
Das Computerzertifikat kannst du über die MMC beantragen indem du einfach das Zertifikats SnapIN einbindest.
Viele Grüße
Dirk
Das Benutzerzertifikat beantragst du ganz einfach über den Browser: http://<Certserver>/certsrv.
Das Computerzertifikat kannst du über die MMC beantragen indem du einfach das Zertifikats SnapIN einbindest.
Viele Grüße
Dirk
wenn ich über die webseite mache kommt problem mit active x, evtl nicht richtigen berechtigung. sodass ich das zertifikat nicht anfordern kann. woran kann das liegen? auf dem selber ging das wunderbar. vllt an windows 2000?
bin als administrator der domain aufm dem client eingeloggt.
bin als administrator der domain aufm dem client eingeloggt.
Hmmm... sind vielleicht die Sicherheitseinstellungen im Browser. Stell alles probehalber mal auf niedrig.
Probiere doch auch Mal die MMC auf dem Client: "Start" --> "Ausführen" --> "mmc" --> Über "Datei" den Menüpunkt "Snap In" hinzufügen --> Zertifikate für Benutzer einbinden und dann darüber beantragen ( rechte Maustaste ). Dann hast du auf jeden Fall keine Probleme mehr mit Active X.
Wenns Probleme gibt, sag Bescheid.
Probiere doch auch Mal die MMC auf dem Client: "Start" --> "Ausführen" --> "mmc" --> Über "Datei" den Menüpunkt "Snap In" hinzufügen --> Zertifikate für Benutzer einbinden und dann darüber beantragen ( rechte Maustaste ). Dann hast du auf jeden Fall keine Probleme mehr mit Active X.
Wenns Probleme gibt, sag Bescheid.
ich probiere es direkt aus. danke schonmal. melde mich gleich wieder
also ich finde diese option nicht es zu beantragen über mmc. gibts noch ne andere möglichkeit?
Nicht das ich wüsste.
Schau mal hier:
http://www.msisafaq.de/Anleitungen/2004/Konfiguration/Zertifikate.htm
Unter dem Punkt "Zertifikatsbeantragung" findest du eine Anleitung, wie du es mit der MMC machst.
Schau mal hier:
http://www.msisafaq.de/Anleitungen/2004/Konfiguration/Zertifikate.htm
Unter dem Punkt "Zertifikatsbeantragung" findest du eine Anleitung, wie du es mit der MMC machst.
ok jetzt hab ich den punkt gefunden, nur sagt er mir, dass keine zertifizierungsstelle gefunden wurde.
ich verzweifel langsam an der sache, sitz schon 1 woche dran
ich verzweifel langsam an der sache, sitz schon 1 woche dran
Hast du auf dem Rechner das Zertifikat der Zertifizierungsstelle installiert?
Du musst von einem beliebigen Rechner die Zertifikats Webseite aufrufen und dann auf "Download eine Zertifizierungsstellenzertifikats, einer..." klicken. Dann gehst du auf "Download des Zertifizierungsstellenzertifikats". Auf die Frage, was du damit anstellen sollst, klickst du auf "Speichern". Diese .cer Datei kopierst du dann auf den betreffenden Client und führst dort die Datei mit einem Doppelcklick aus. Damit installierst/importierst du dann das Zertifikat welches die PKI ( Zert. Server ) authentisiert.
Probiere danach einfach noch einmal das Benutzerzertifikat zu beantragen.
Du musst von einem beliebigen Rechner die Zertifikats Webseite aufrufen und dann auf "Download eine Zertifizierungsstellenzertifikats, einer..." klicken. Dann gehst du auf "Download des Zertifizierungsstellenzertifikats". Auf die Frage, was du damit anstellen sollst, klickst du auf "Speichern". Diese .cer Datei kopierst du dann auf den betreffenden Client und führst dort die Datei mit einem Doppelcklick aus. Damit installierst/importierst du dann das Zertifikat welches die PKI ( Zert. Server ) authentisiert.
Probiere danach einfach noch einmal das Benutzerzertifikat zu beantragen.
ok das hat geklappt. danke schön
nächtes problem:
eap-tls verfahren
authentication failed
was muss ich im ias dafür einstellen?
sorry für die fragen. aber ich ich muss das genau wissen für spätere projekte die sich daruf beziehen.
nächtes problem:
eap-tls verfahren
authentication failed
was muss ich im ias dafür einstellen?
sorry für die fragen. aber ich ich muss das genau wissen für spätere projekte die sich daruf beziehen.
Kein Problem,
muss die Antwort aber auf Morgen verschieben, da ich gleich weg muss.
Ciao
Dirk
muss die Antwort aber auf Morgen verschieben, da ich gleich weg muss.
Ciao
Dirk
ok kein problem, hab bis mitte/ende september zeit, aber desto früher desto besser um das ganze noch zu verfeinern.
danke dir auf jedenfall.
in einer stunde ist bei mir auch feierabend =)
gruß Franky
danke dir auf jedenfall.
in einer stunde ist bei mir auch feierabend =)
gruß Franky
So...
Ich habe noch ein wenig im iNet gestöbert und folgende Anleitung für die Radius WLAN Auth. gefunden:
http://www.cryptoshop.com/index.php
Unten auf der Seite findest zwei Downloads ( 1. Einrichten einer Windows PKI Test..., 2. WLAN mit Smart Cards ). Nimm dir mal den Ersten vor. Die Installation der Domäne und des Certservers kannst du dir ja sparen, die hast du ja bereits. Den beschriebenen RRAS Server brauchst du auch nicht. Fang also gleich bei Seite 14 und der Installation des IAS an.
Den Punkt "konfigurieren der Remote Access Policy für VPN" kannst du ebenfalls überspringen, weil du ja kein VPN einsetzt.
Auf Seite 21 findest du die Einstellungen für die Authentifizierungsmethode: Wählst du "Smartcard or other certificates" ist dies gleichbedeutend mit EAP-TLS. Als Alternativmethode kannst du zusätlich auch PEAP-TLS verwenden. Ich habe beispielsweise alles auf PEAP-TLS eingestellt.
Ich empfehle dir übrigens das Ganze erst einmal mit einem Windows XP Client auszuprobieren. Das klappt 1000 Mal besser als mit w2k.
Ich habe noch ein wenig im iNet gestöbert und folgende Anleitung für die Radius WLAN Auth. gefunden:
http://www.cryptoshop.com/index.php
Unten auf der Seite findest zwei Downloads ( 1. Einrichten einer Windows PKI Test..., 2. WLAN mit Smart Cards ). Nimm dir mal den Ersten vor. Die Installation der Domäne und des Certservers kannst du dir ja sparen, die hast du ja bereits. Den beschriebenen RRAS Server brauchst du auch nicht. Fang also gleich bei Seite 14 und der Installation des IAS an.
Den Punkt "konfigurieren der Remote Access Policy für VPN" kannst du ebenfalls überspringen, weil du ja kein VPN einsetzt.
Auf Seite 21 findest du die Einstellungen für die Authentifizierungsmethode: Wählst du "Smartcard or other certificates" ist dies gleichbedeutend mit EAP-TLS. Als Alternativmethode kannst du zusätlich auch PEAP-TLS verwenden. Ich habe beispielsweise alles auf PEAP-TLS eingestellt.
Ich empfehle dir übrigens das Ganze erst einmal mit einem Windows XP Client auszuprobieren. Das klappt 1000 Mal besser als mit w2k.
danke dir, werd mich jetzt mal mit der seite beschäftigen. mmh xp ist schlecht. ist ja im moment auch nur test umgebung. der win2003 serv läuft auf ner virtual machine. und als client dient ein etwas älterer laptop mit win2k pro.
so meld mich später wenn ich noch probleme habe =D
aber auf jeden schonmal fettes merci
so meld mich später wenn ich noch probleme habe =D
aber auf jeden schonmal fettes merci
juuuuuuuuuuuuuhuuuuuuu
es geht!!!
man man.
ich bin glücklich, mein vorgesetzter ist glücklich, und später unser kunde wird glücklich. und dadurch auch die firma
nächste aufgabe wird das ganze auf xp-, windows mobile-, und linux-clients zum laufen zu bekommen. aber das wird auch noch werden. ganzen september für zeit.
ich danke dir für die hilfe.
gruß franky
es geht!!!
man man.
ich bin glücklich, mein vorgesetzter ist glücklich, und später unser kunde wird glücklich. und dadurch auch die firma
nächste aufgabe wird das ganze auf xp-, windows mobile-, und linux-clients zum laufen zu bekommen. aber das wird auch noch werden. ganzen september für zeit.
ich danke dir für die hilfe.
gruß franky
Das freut mich
Ich habe auch einige Stunden damals zugebracht, bis der ganze Kram lief. Hängt auch viel von den WLAN Treibern der Notebooks ab.
Na dann noch viel Erfolg,
Grüße
Dirk
Ich habe auch einige Stunden damals zugebracht, bis der ganze Kram lief. Hängt auch viel von den WLAN Treibern der Notebooks ab.
Na dann noch viel Erfolg,
Grüße
Dirk
im laptop steckt ne cisco karte mit neusten treibern und das util ist doch sehr gut
nu hab ich noch ein problem. weiß aber nicht ob es dafür eine lösung gibt.
wenn ich einen neuen benutzer auf dem client anmelde, der dort bisher noch nicht angemeldet war, muss ich erst lan kabel anschließen, da er wenn nur wlan-verbindung steht meckert, dass benutzername oder passwort nicht stimmen.
er kann wahrscheinlich nicht auf die domäne zugreifen weil dem neuen benutzer noch die zertifikate fehlen um sich am ap anzumelden.
wenn ich es über mschap versuche, gehts auch nicht. (also beim neuen benutzer - so geht mschap einwandfrei)
gibts ne möglichkeit wenn sich neue benutzer am client anmelden, dies ohne kabel zu erledigen?
wenn ich einen neuen benutzer auf dem client anmelde, der dort bisher noch nicht angemeldet war, muss ich erst lan kabel anschließen, da er wenn nur wlan-verbindung steht meckert, dass benutzername oder passwort nicht stimmen.
er kann wahrscheinlich nicht auf die domäne zugreifen weil dem neuen benutzer noch die zertifikate fehlen um sich am ap anzumelden.
wenn ich es über mschap versuche, gehts auch nicht. (also beim neuen benutzer - so geht mschap einwandfrei)
gibts ne möglichkeit wenn sich neue benutzer am client anmelden, dies ohne kabel zu erledigen?
Du wirst nicht drum rumkommen, vorher über ein LAN Kabel ein Zertifikat zu ziehen.
GGf. könntest du aber probieren, über eine Gruppenrichtlinie auf dem Domain Controller die Benutzer & Computer Zertifikate automatisch zu deployen. Das setzt aber in jedem Fall eine vorherige Anbindung/Anmeldung an das LAN/an der Domäne voraus.
Von der Authentifizierung über CHAP würde ich dir abraten. Dann brauchst du zwar keine Zertifikate, allerdings ist das viel zu unsicher, da über Brute Force Attacken die Anmeldung ganz schnell ausgehebelt ist.
Bei besseren Access Points kannst du zusätzlich zur Radius Authentifizierung noch WPA bzw. WPA2 Preshared Keys einetzen. Damit kannst du die User versorgen, die keine Domänenmitglieder sind und sich ggf. nur "zu Besuch" im WLAN aufhalten.
GGf. könntest du aber probieren, über eine Gruppenrichtlinie auf dem Domain Controller die Benutzer & Computer Zertifikate automatisch zu deployen. Das setzt aber in jedem Fall eine vorherige Anbindung/Anmeldung an das LAN/an der Domäne voraus.
Von der Authentifizierung über CHAP würde ich dir abraten. Dann brauchst du zwar keine Zertifikate, allerdings ist das viel zu unsicher, da über Brute Force Attacken die Anmeldung ganz schnell ausgehebelt ist.
Bei besseren Access Points kannst du zusätzlich zur Radius Authentifizierung noch WPA bzw. WPA2 Preshared Keys einetzen. Damit kannst du die User versorgen, die keine Domänenmitglieder sind und sich ggf. nur "zu Besuch" im WLAN aufhalten.
ich hatte das problem auch vorhins mit meinem vorgesetzten durch gesprochen. er wäre dafür, in diesem fall einen 2ten zusätzlichen AP aufzustellen, dieses nur mit WEP verschlüsseln oder gänzlich ohne, damit sich die clients in der domäne anmelden können und zertifikate beziehen können.
beim kabel ist das problem, das die windows mobile geräte keine möglichkeit besitzen ein kabel einzusetzen. also muss es in irgendeiner art und weise über das wlan laufen.
diesen 2ten zusätzlichen AP braucht man ja nur in betrieb zu nehmen wenn es notwendig ist. sprich bei neuen clients oder falls ein anderer benutzer auf einen client muss.
ist ja kein dauert zustand.
beim kabel ist das problem, das die windows mobile geräte keine möglichkeit besitzen ein kabel einzusetzen. also muss es in irgendeiner art und weise über das wlan laufen.
diesen 2ten zusätzlichen AP braucht man ja nur in betrieb zu nehmen wenn es notwendig ist. sprich bei neuen clients oder falls ein anderer benutzer auf einen client muss.
ist ja kein dauert zustand.
