8
RADIUS-Authentifizierung an Server 2008 R2 funktioniert nicht
Ich habe Probleme, die RADIUS-Authentifizierung für WLAN-Zugänge erfolgrich umzusetzen. Der Server meldet ständig ein Problem mit dem EAP.
Hallo zusammen,
vor ein paar Tagen habe ich angefangen, mittels einem Windows Server 2008 R2 und einem Cisco AP541N eine gesicherte WLAN-Umgebung zu testen. Die Installation des RADIUS-Servers verlief problemlos und auch das Eintragen des APs ist erledigt. Wenn ich versuche, mich mit meinem Laptop anzumelden, erhalte ich den üblichen Fehler "Keine Verbindung mit Netzwerk möglich".
Wenn ich mir dann die NPS-Logs ansehe, meldet mir der Server immer Einträge mit der ID 6273, welche mir sagen, dass meine Anmeldung abgewiesen wurde, da der Server den Client nicht authenifizieren konnte, da der angegebene EAP-Typ vom Server nicht verarbeitet werden kann.
Der Zugang soll später für Mitarbeiter dienen, die sich mit ihren eigenen Laptops, Smartphones, etc. mit dem internen Netz verbinden möchten. Daher möchte ich die Anmeldung lediglich mit Benutzername/Kennwort-Kombination einrichten.
Recherchen im Internet haben die Vermutung hervorgerufen, dass ich hier mit Zertifikaten arbeiten muss. Allerdings habe ich noch nie mit Zertifikaten gearbeitet und habe somit keine Erfahrung. Stimmt meine Vermutung ?
Hinzu kommt, dass ich mir bzgl. der RADIUS-Einstellungen noch nicht sicher bin, ob diese bzgl. der Sicherheit optimal gewählt sind. Daher habe ich hier ein paar Screenshots von der Netzwerkrichtlinie eingefügt (nicht gezeigte Einstellungen wurden nicht angepasst):
Ich habe auch eine Verbindungsanforderungsrichtlinie, dort aber keine weiteren EInstellungen gemacht, bis auf den NAS-Typ. Kann ich mir die Richtlinie dann auch sparen ? Schließlich werden keine NPS-Einstellungen übergangen.
Es wäre klasse, wenn Ihr mir helfen könntet, eine erfolgreiche und simple Anmeldung zu ermöglichen.
Viele Grüße und schönes Wochenende !
tbnwadm
Hallo zusammen,
vor ein paar Tagen habe ich angefangen, mittels einem Windows Server 2008 R2 und einem Cisco AP541N eine gesicherte WLAN-Umgebung zu testen. Die Installation des RADIUS-Servers verlief problemlos und auch das Eintragen des APs ist erledigt. Wenn ich versuche, mich mit meinem Laptop anzumelden, erhalte ich den üblichen Fehler "Keine Verbindung mit Netzwerk möglich".
Wenn ich mir dann die NPS-Logs ansehe, meldet mir der Server immer Einträge mit der ID 6273, welche mir sagen, dass meine Anmeldung abgewiesen wurde, da der Server den Client nicht authenifizieren konnte, da der angegebene EAP-Typ vom Server nicht verarbeitet werden kann.
Der Zugang soll später für Mitarbeiter dienen, die sich mit ihren eigenen Laptops, Smartphones, etc. mit dem internen Netz verbinden möchten. Daher möchte ich die Anmeldung lediglich mit Benutzername/Kennwort-Kombination einrichten.
Recherchen im Internet haben die Vermutung hervorgerufen, dass ich hier mit Zertifikaten arbeiten muss. Allerdings habe ich noch nie mit Zertifikaten gearbeitet und habe somit keine Erfahrung. Stimmt meine Vermutung ?
Hinzu kommt, dass ich mir bzgl. der RADIUS-Einstellungen noch nicht sicher bin, ob diese bzgl. der Sicherheit optimal gewählt sind. Daher habe ich hier ein paar Screenshots von der Netzwerkrichtlinie eingefügt (nicht gezeigte Einstellungen wurden nicht angepasst):
Ich habe auch eine Verbindungsanforderungsrichtlinie, dort aber keine weiteren EInstellungen gemacht, bis auf den NAS-Typ. Kann ich mir die Richtlinie dann auch sparen ? Schließlich werden keine NPS-Einstellungen übergangen.
Es wäre klasse, wenn Ihr mir helfen könntet, eine erfolgreiche und simple Anmeldung zu ermöglichen.
Viele Grüße und schönes Wochenende !
tbnwadm
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 201841
Url: https://administrator.de/contentid/201841
Ausgedruckt am: 21.11.2024 um 22:11 Uhr
8 Kommentare
Neuester Kommentar
Du musst nicht mit Zertifikaten arbeiten es geht auch PSK obwohl es mit Radius sinnvoller wäre.
Du hast aber beide Optionen offen, Zertifikate sind definitiv KEIN Muss !
Vielleicht hilft dir dieses Tutorial etwas:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Die Client Einstellungen gelten universal. Wichtig sind Informationen WELCHE Authentisierung die Clients benutzen EAP, PEAP, TLS usw. ? Sonst ist ein Troubleshooting nicht gerade einfach.
Du hast aber beide Optionen offen, Zertifikate sind definitiv KEIN Muss !
Vielleicht hilft dir dieses Tutorial etwas:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Die Client Einstellungen gelten universal. Wichtig sind Informationen WELCHE Authentisierung die Clients benutzen EAP, PEAP, TLS usw. ? Sonst ist ein Troubleshooting nicht gerade einfach.
Hallo @aqui, danke für die schnelle Reaktion.
Das bedeutet also, dass wenn ich auf PSKs verzichte, automatisch Zertifikate ins Spiel kommen... Aber die muss ich nicht auf den Clients einrichten, oder ? Das wäre ja nicht machbar, da ich ja nicht an jedem Endgerät die Einstellungen anpassen kann/will.
Was die Clients betrifft, kann ich Dir nicht sagen, wie die sich authentifizieren. Ich klicke auf das WLAN und werde nach Benutzername/Kennwort gefragt - so wie ich es haben will.
Sind die oben gemachten Einstellungen denn sicherheitstechnisch unbedenklich ? Kann ich die unsicheren Optionen aus Screenshot 5 ohne Folgen deaktivieren ? Routing und RAS nutze ich ja nicht.
Wie soll ich denn jetzt weiter vorgehen ?
Welche weiteren Infos würden Dir helfen ? Was die Authentifizierung angeht, habe ich wie gesagt nix Besonderes. Eine WLAN-Verbindung soll wie zu Hause hergestellt werden - nur eben mit Benutzername/Kennwort statt PSK.
Viele Grüße
tbnwadm
Das bedeutet also, dass wenn ich auf PSKs verzichte, automatisch Zertifikate ins Spiel kommen... Aber die muss ich nicht auf den Clients einrichten, oder ? Das wäre ja nicht machbar, da ich ja nicht an jedem Endgerät die Einstellungen anpassen kann/will.
Was die Clients betrifft, kann ich Dir nicht sagen, wie die sich authentifizieren. Ich klicke auf das WLAN und werde nach Benutzername/Kennwort gefragt - so wie ich es haben will.
Sind die oben gemachten Einstellungen denn sicherheitstechnisch unbedenklich ? Kann ich die unsicheren Optionen aus Screenshot 5 ohne Folgen deaktivieren ? Routing und RAS nutze ich ja nicht.
Wie soll ich denn jetzt weiter vorgehen ?
Welche weiteren Infos würden Dir helfen ? Was die Authentifizierung angeht, habe ich wie gesagt nix Besonderes. Eine WLAN-Verbindung soll wie zu Hause hergestellt werden - nur eben mit Benutzername/Kennwort statt PSK.
Viele Grüße
tbnwadm
Nein ! So leicht ist das natürlich nicht.
Du musst dir dann eine vollständige CA installieren auf deinem Server und Zertifikate erzeugen die du entweder automatisch an die Clients überträgst oder manuell. MS bietet auch die Möglichkeit das User sich ihre Zertifikate per Web Download vom Server runterladen und installieren.
Ohne eine vollständige CA ist ein Zertifikats basierendes Authentisierungsverfahren unmöglich.
Desalb ist es einfacher erstmal mit Preshared Keys zu starten wenn du wenig Erfahrungen hast mit der CA. Sicherer ist natürlich letztere, denn Pre Shared Keys kann man leichter weitergeben.... Zertifikate nicht..
Du musst dir dann eine vollständige CA installieren auf deinem Server und Zertifikate erzeugen die du entweder automatisch an die Clients überträgst oder manuell. MS bietet auch die Möglichkeit das User sich ihre Zertifikate per Web Download vom Server runterladen und installieren.
Ohne eine vollständige CA ist ein Zertifikats basierendes Authentisierungsverfahren unmöglich.
Desalb ist es einfacher erstmal mit Preshared Keys zu starten wenn du wenig Erfahrungen hast mit der CA. Sicherer ist natürlich letztere, denn Pre Shared Keys kann man leichter weitergeben.... Zertifikate nicht..
Alles klar. Hast Du zufällig auch einen Tutorial-Tipp, was CAs betrifft ?
Gibt es keine Möglichkeit sowas ohne Zertifikate zu machen ? Es gilt ja im Prinzip nur noch die Verbindung zwischen AP und Client zu sichern. Falls nein: Gibt es evtl. eine weniger sichere Alternative ? Bspw. per Shared Key wie bei der Verbindung zwischen AP und RADIUS-Server ? Das wäre in meinem Fall auch ausreichend, da keine hoch-brisanten Daten übertragen werden.
Funktioniert eine automatische Übertragung an die Clients auch in meinem Fall, wo es sich schließlich nicht um Domänen-Mitglieder handelt ? Wichtig ist in meinem Fall halt, dass ich keine Kontrolle über die Clients habe und der Anwender einfach eine User/PW-Kombi nutzen soll, ohne noch zig EInstellungen zu setzen, mit denen er nix anfangen kann.
Ein großes Danke für Deine Mühe !
Viele Grüße
tbnwadm
Gibt es keine Möglichkeit sowas ohne Zertifikate zu machen ? Es gilt ja im Prinzip nur noch die Verbindung zwischen AP und Client zu sichern. Falls nein: Gibt es evtl. eine weniger sichere Alternative ? Bspw. per Shared Key wie bei der Verbindung zwischen AP und RADIUS-Server ? Das wäre in meinem Fall auch ausreichend, da keine hoch-brisanten Daten übertragen werden.
Funktioniert eine automatische Übertragung an die Clients auch in meinem Fall, wo es sich schließlich nicht um Domänen-Mitglieder handelt ? Wichtig ist in meinem Fall halt, dass ich keine Kontrolle über die Clients habe und der Anwender einfach eine User/PW-Kombi nutzen soll, ohne noch zig EInstellungen zu setzen, mit denen er nix anfangen kann.
Ein großes Danke für Deine Mühe !
Viele Grüße
tbnwadm
Guckst du hier:
http://bit.ly/UnV2wg
oder hier offiziell:
http://technet.microsoft.com/de-de/library/cc731183%28v=ws.10%29.aspx
Natürlich gibt es eine Möglichkeit das ohne Zertifikate zu machen ! Das obige Tutorial erklärt dir das ja am Beispiel eines FreeRadius Servers wie es ganz genau geht !!
Beim MS Radius Server NPS ist das keineswegs anders und funktioniert dort auch problemlos...Radius ist Radius...
http://bit.ly/UnV2wg
oder hier offiziell:
http://technet.microsoft.com/de-de/library/cc731183%28v=ws.10%29.aspx
Natürlich gibt es eine Möglichkeit das ohne Zertifikate zu machen ! Das obige Tutorial erklärt dir das ja am Beispiel eines FreeRadius Servers wie es ganz genau geht !!
Beim MS Radius Server NPS ist das keineswegs anders und funktioniert dort auch problemlos...Radius ist Radius...
Danke für die Tipps.
Wenn ich damit weiterkomme, setze ich den Thread auf gelöst.
Danke nochmals.
Viele Grüße
tbnwadm
Wenn ich damit weiterkomme, setze ich den Thread auf gelöst.
Danke nochmals.
Viele Grüße
tbnwadm
Funktioniert es denn nun ??
Wenn ja bitte dann auch:
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !!
Wenn ja bitte dann auch:
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !!
Upps, ganz vergessen, sorry!
Da ich nicht mit Zertifikaten arbeiten kann, habe ich den PSK-Weg gewählt.
Es hat daher im Prinzip nicht funktioniert.
VG
Da ich nicht mit Zertifikaten arbeiten kann, habe ich den PSK-Weg gewählt.
Es hat daher im Prinzip nicht funktioniert.
VG
