15
RADIUS (NPS) - Access denied
Hallo Forum!
Ich bin momentan dabei, an meinem Abschlussprojekt zu arbeiten.
Mein Projekt ist das Aufsetzen eines RADIUS Servers (nur LAN) innerhalb einer Testumgebung. Als Authentifizierung wird der (Test)AD benutzt.
Zum Anfang ein paar Infos:
- Windows Server 2016 (DELL Optiplex 780.. ja, lustig, ich weiß. Erfüllt aber seinen Zweck)
- CISCO Switch SG-200-08 (fungiert als Authenticator)
- DELL Latitude E5520 (fungiert als LAN-Client, Windows 10 Pro 1709)
Der RADIUS Server wurde anhand folgender Anleitung installiert:
https://www.andysblog.de/windows-drahtgebundenes-lan-802-1x-und-nps
D.h. Switch etc. wurde auch entsprechend konfiguriert. Am Client wurde ebenso (siehe Tutorial oben) der Dienst "automatische Konfiguration (verkabelt)" aktiviert.
Nun zum eigentlichen:
Beim anschließen des LAN Kabels an dem Laptop kommt wie erwartet das Anmeldefenster auf (ich habe die Hintergrund-Authentifizierung vor erst mal ausgestellt). Danach gebe ich die Anmeldedaten des Domain-Users ein (dieser ist auch in der RADIUS richtlinie mit drin). Danach kommt sofort die Meldung am LAN Adapter "authentifiziernug fehlgeschlagen"
Habe anschließend mal Wireshark auf dem Server installiert und geschaut. Es kommt wie erwartet eine Request, Challenge aber leider dann ein Access Denied.
Kennt sich jemand aus und möchte mal über das Wireshark-Log schauen?
https://www.file-upload.net/download-13529223/RADIUS.pcapng.html
... oder Pastebin.....
https://pastebin.com/1UJ3d754
Server: 192.168.1.1
Switch 192.168.1.50
Client: 192.168.1.51 (dieser bekommt aber dadurch, dass er sich nicht mit dem Server verbinden kann, eine APIPA adresse)
Viel Vorwissen habe ich leider nicht dies bzgl. und es ist auch meine erste Einrichtung. Also sind irgendwelche blöden Fehler nicht auszuschließen.
Ich bedanke mich im voraus!
Ich bin momentan dabei, an meinem Abschlussprojekt zu arbeiten.
Mein Projekt ist das Aufsetzen eines RADIUS Servers (nur LAN) innerhalb einer Testumgebung. Als Authentifizierung wird der (Test)AD benutzt.
Zum Anfang ein paar Infos:
- Windows Server 2016 (DELL Optiplex 780.. ja, lustig, ich weiß. Erfüllt aber seinen Zweck)
- CISCO Switch SG-200-08 (fungiert als Authenticator)
- DELL Latitude E5520 (fungiert als LAN-Client, Windows 10 Pro 1709)
Der RADIUS Server wurde anhand folgender Anleitung installiert:
https://www.andysblog.de/windows-drahtgebundenes-lan-802-1x-und-nps
D.h. Switch etc. wurde auch entsprechend konfiguriert. Am Client wurde ebenso (siehe Tutorial oben) der Dienst "automatische Konfiguration (verkabelt)" aktiviert.
Nun zum eigentlichen:
Beim anschließen des LAN Kabels an dem Laptop kommt wie erwartet das Anmeldefenster auf (ich habe die Hintergrund-Authentifizierung vor erst mal ausgestellt). Danach gebe ich die Anmeldedaten des Domain-Users ein (dieser ist auch in der RADIUS richtlinie mit drin). Danach kommt sofort die Meldung am LAN Adapter "authentifiziernug fehlgeschlagen"
Habe anschließend mal Wireshark auf dem Server installiert und geschaut. Es kommt wie erwartet eine Request, Challenge aber leider dann ein Access Denied.
Kennt sich jemand aus und möchte mal über das Wireshark-Log schauen?
https://www.file-upload.net/download-13529223/RADIUS.pcapng.html
... oder Pastebin.....
https://pastebin.com/1UJ3d754
Server: 192.168.1.1
Switch 192.168.1.50
Client: 192.168.1.51 (dieser bekommt aber dadurch, dass er sich nicht mit dem Server verbinden kann, eine APIPA adresse)
Viel Vorwissen habe ich leider nicht dies bzgl. und es ist auch meine erste Einrichtung. Also sind irgendwelche blöden Fehler nicht auszuschließen.
Ich bedanke mich im voraus!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 426298
Url: https://administrator.de/contentid/426298
Printed on: April 27, 2024 at 02:04 o'clock
15 Comments
Latest comment
Warum abgelehnt wurde, sieht man im Log des NPS.
Hallo und danke für die Antwort,
leider zeigt das NPS nichts an. Es hatte vorher mal Fehler angezeigt als ich vergessen habe, das Secret auf dem LAN Switch zu einzutragen. Das wurde aber behoben.
Anbei auch nochmal ein Pastebin link des Wireshark-Logs:
https://pastebin.com/1UJ3d754
leider zeigt das NPS nichts an. Es hatte vorher mal Fehler angezeigt als ich vergessen habe, das Secret auf dem LAN Switch zu einzutragen. Das wurde aber behoben.
Anbei auch nochmal ein Pastebin link des Wireshark-Logs:
https://pastebin.com/1UJ3d754
Client: 192.168.1.51 (dieser bekommt aber dadurch, dass er sich nicht mit dem Server verbinden kann, eine APIPA adresse)
Dann verpasse dem Client als erstes mal eine feste IP Adresse, damit der schonmal im richtigen Netzwerk ist.
Dann verpasse dem Client als erstes mal eine feste IP Adresse, damit der schonmal im richtigen Netzwerk ist.
Leider erfolglos.
Als nächstes mal die Switch-Konfig ansehen. Sind die Ports entsprechend konfiguriert? Soll der Client in ein VLAN geschoben werden bei erfolgreicher Anmeldung? Ist hier ein DHCP erreichbar?
Hi,
bei der NPS-Konfiguration muss man ja AD-Gruppe(n) angeben, die sich am NPS dann authentifizieren dürfen.
Ist dein Computerkonto und/oder dein AD-Benutzer, mit dem du dich am NPS authentifizieren willst, denn Mitglied dieser AD-Gruppe?
bei der NPS-Konfiguration muss man ja AD-Gruppe(n) angeben, die sich am NPS dann authentifizieren dürfen.
Ist dein Computerkonto und/oder dein AD-Benutzer, mit dem du dich am NPS authentifizieren willst, denn Mitglied dieser AD-Gruppe?
Als nächstes mal die Switch-Konfig ansehen. Sind die Ports entsprechend konfiguriert?
Ja. Der Port, an dem der Server (also auch NPS) hängt, ist mit "Force Authorized" hinterlegt, also immer authorisiert. Die restlichen Switches stehen auf "auto". Der CISCO Switch wurde gemäßg anleitung konfigurierthttps://www.andysblog.de/windows-drahtgebundenes-lan-802-1x-und-nps
Soll der Client in ein VLAN geschoben werden bei erfolgreicher Anmeldung?
NeinIst hier ein DHCP erreichbar?
Der DHCP läuft auf dem Optiplex Server. Habe ich die Frage richtig verstanden?Zitat von @chgorges:
Hi,
bei der NPS-Konfiguration muss man ja AD-Gruppe(n) angeben, die sich am NPS dann authentifizieren dürfen.
Ist dein Computerkonto und/oder dein AD-Benutzer, mit dem du dich am NPS authentifizieren willst, denn Mitglied dieser AD-Gruppe?
Hi,
bei der NPS-Konfiguration muss man ja AD-Gruppe(n) angeben, die sich am NPS dann authentifizieren dürfen.
Ist dein Computerkonto und/oder dein AD-Benutzer, mit dem du dich am NPS authentifizieren willst, denn Mitglied dieser AD-Gruppe?
Hallo,
ja. Dies wurde direkt bei der installation gemacht.
Schau in die Logs. Da steht garantiert was drin.
Moin,
puh, das Thema ist sehr umfangreich zum Fehlersuchen.
Hast du die Thematik mit dem Zertifikaten sauber umgesetzt?
Gruß,
Dani
puh, das Thema ist sehr umfangreich zum Fehlersuchen.
Hast du die Thematik mit dem Zertifikaten sauber umgesetzt?
Gruß,
Dani
Screenshot des Switch Setups wäre sehr hilfreich ! (Und bitte nicht wieder extern als Pastbin sondern hier !)
Andy beschreibt ja auch das in seinem Blog !
https://www.andysblog.de/windows-drahtgebundenes-lan-802-1x-und-nps
Vermutlich (oder eigentlich sicher) der NPS fehlerhaft konfiguriert ?!
Hättest du jetzt einen FreeRadius würde man sagen starte den im Debug Mode, denn dann sieht man sofort woran es liegt. Ob das auf einem NPS auch geht muss ein Windows Spezl hier beantworten.
Andy beschreibt ja auch das in seinem Blog !
https://www.andysblog.de/windows-drahtgebundenes-lan-802-1x-und-nps
Soll der Client in ein VLAN geschoben werden bei erfolgreicher Anmeldung?
Nein ist richtig, denn der SG200 supportet KEINE dynamischen VLANs !! Das kann nur der 300er oder 250er bzw. 350er. Du kannst nur eine Port Authentisierung machen.Es kommt wie erwartet eine Request, Challenge aber leider dann ein Access Denied.
Das zeigt eigentlich sehr sicher das das Problem einzig auf dem Radius Server liegt und nicht auf den Netzwerk Komponenten ! Damit ist dann auch ein Screenshot eher zweitrangig.Vermutlich (oder eigentlich sicher) der NPS fehlerhaft konfiguriert ?!
Hättest du jetzt einen FreeRadius würde man sagen starte den im Debug Mode, denn dann sieht man sofort woran es liegt. Ob das auf einem NPS auch geht muss ein Windows Spezl hier beantworten.
Vielen Dank für die Kommentare!
Ich habe den Fehler gefunden... Beim erstellen der NPS Rirchtlinie hatte ich das davor erstelle NPS Zertifikat nicht der Richtlinie hinzugefügt... Jetzt geht es.
Edit: Außerdem wurde das EAP-MSCHAP v2 Protokoll ausgewählt (damit hat es nicht funktioniert) erst beim auswählen des richtigen Protokolles EAP(PEAP) konnte ich das NPS Zertifikat auswählen und es hat funktioniert.
Ich werde mir für mein Projekt jetzt noch zusätzlich die FreeRadius Lösung anschauen. D.h. alles noch mal platt machen und damit testen.
Danke nochmal!
Ich habe den Fehler gefunden... Beim erstellen der NPS Rirchtlinie hatte ich das davor erstelle NPS Zertifikat nicht der Richtlinie hinzugefügt... Jetzt geht es.
Edit: Außerdem wurde das EAP-MSCHAP v2 Protokoll ausgewählt (damit hat es nicht funktioniert) erst beim auswählen des richtigen Protokolles EAP(PEAP) konnte ich das NPS Zertifikat auswählen und es hat funktioniert.
Hättest du jetzt einen FreeRadius würde man sagen starte den im Debug Mode, denn dann sieht man sofort woran es liegt. Ob das auf einem NPS auch geht muss ein Windows Spezl hier beantworten.
Ich werde mir für mein Projekt jetzt noch zusätzlich die FreeRadius Lösung anschauen. D.h. alles noch mal platt machen und damit testen.
Danke nochmal!
für mein Projekt jetzt noch zusätzlich die FreeRadius Lösung anschauen.
Ein simpler kleiner Raspberry Pi reicht dafür 
Netzwerk Management Server mit Raspberry Pi
oder hier komplett mit AD-Anbindung:
Ubuntu 14.04 - 16.04 - 18.04 - 20.04 LTS Server - Freeradius mit AD-Anbindung
Ubuntu 14.04 - 16.04 - 18.04 - 20.04 LTS Server - Freeradius mit AD-Anbindung
Richtig !
Sorry, dieses Top Tutorial hatte ich im Eifer des Gefechts gar nicht auf dem Radar...!
Sorry, dieses Top Tutorial hatte ich im Eifer des Gefechts gar nicht auf dem Radar...!