manuelw
Goto Top

Sophos UTM Radius Authentifizierung

Hallo!

Ich versuche soeben meine UTM 9.1 mit meinem Windows Server Active Directory zu Verbinden. Da ich für VPN Verbindungen als Authentifizierungsmethode nur Radius oder Lokal nehmen kann.

Den Windows Server habe ich wie in der Anleitung von Sophos (http://www.sophos.com/de-de/support/knowledgebase/115050.aspx) beschrieben konfiguriert.

In der UTM habe ich dann auch alles eingegeben und habe auf "Servereinstellungen Testen" geklickt.
Sofort erschien die Meldung "Servertest bestanden" und im LOG stand:

2013:12:05-12:52:04 firewall aua[8168]: id="3006" severity="info" sys="System" sub="auth" name="Bind test request: radius"
2013:12:05-12:52:04 firewall aua[8168]: id="3006" severity="info" sys="System" sub="auth" name="Bind test successfull. Method: radius"

Gleich darunter habe ich die Möglichkeit mich mit einem Beispielbenutzer zu authentifizieren.
Wenn ich allerdings da meinen Benutzernamen, welcher auch in der Berechtigten Gruppe ist, eingebe und dann auf "Test" klicke, erhalte ich die Meldung:
Benutzerauthentifizierung:  Authentication test passed. Benutzer ist Mitglied folgender Gruppen: Für diesen Benutzer wurden keine Gruppen gefunden

Hier habe ich auch die Möglichkeit die NAS-Kennung anzugeben. Ich habe am Windows Server nur die Kennung für das Benutzerportal (portal) hinterlegt. Wenn ich jetzt die Kennung auf der UTM auswähle und erneut auf "Test" klicke, erhalte ich folgende Meldung:
Benutzerauthentifizierung:Radius authentication failedBenutzer ist Mitglied folgender Gruppen:
Für diesen Benutzer wurden keine Gruppen gefunden

Und im LOG steht:

2013:12:05-12:56:21 firewall aua[8535]: id="3006" severity="info" sys="System" sub="auth" name="Spawned child for authentication test"
2013:12:05-12:56:21 firewall aua[8535]: id="3006" severity="info" sys="System" sub="auth" name="Authentication test request: m:radius, f:portal, u:manuel, ip:0.0.0.0"
2013:12:05-12:56:21 firewall aua[8535]: id="3006" severity="info" sys="System" sub="auth" name="Authentication test failed: Radius authentication failed"

Habe ich hierbei einen Punkt übersehen, der noch konfiguriert werden muss?

L.G.
Manuel

Content-ID: 223778

Url: https://administrator.de/contentid/223778

Ausgedruckt am: 26.11.2024 um 07:11 Uhr

spacyfreak
Lösung spacyfreak 05.12.2013, aktualisiert am 06.12.2013 um 14:50:34 Uhr
Goto Top
schaumal im eventlog im IAS (system eventlog) oder NPS (security eventlog) server WARUM er den user abgelehnt hat.
hast du auch ne ras-policy auf dem radius angelegt?

Die NAS-Kennung (network access server) kann (optional) benutzt werden wenn man viele RAS-Policies für verschiedene Zwecke betreibt, als Attribut das man als Bedingung nutzen kann damit die spezifische RAS-Policy "matcht".
Da kann dann eine RAS-Policy das User Portal regeln (wer darf sich da anmelden), eine andere RAS-Policy zb wlan-anwender authentisieren usw.

Ansonsten muss die NAS-Kennung in der RAS Policy und auf dem UTM gleich sein, egal wie die heisst, hautpsache sie heisst auf beiden gleich.
Wenn man eh nur einen zweck für den radius hat muss man die NAS Kennung garnicht verwenden. NAS Identifier ist nur ein radius attribut von vielen.
Welches Attribut man nimmt hängt davon ab was man erreichen will.

Wichtig ist vor allem dass die UTM als RAdiusClient mit gleichem Secret auf dem RAdius angelegt ist und der Radius im UTM mit dem selben SEcret eingetragen ist.
Wenn das gegeben ist, schaut man die RAS Policy an und die BEDINGUNG(EN) die erfüllt sein müssen, damit der Radius den User im AD authentisiert.
Einfachste Bedingung wäre "es ist Mo-So zwischen 00:00 und 24:00" (glaube das ist die default policy).
Alternativ kann man als Bedingung verwenden "User ist Mitglied in AD Gruppe VPN Users".
Hilfreich ist oft auch networksniffer wie network monitor oder wireshark, da radius pakete nicht verschlüsselt sind kann man in den paketen guggen was der so treibt und rückschlüsse ziehen.
Kann auch sein dass die Sophos den NAS-identifier eintrag "verhunzt" und zb "porrtal" statt "portal" schickt oder sowas. (bug).
DAs sieht man dann in den gesnifften paketen was da konkret für werte und attribute geschickt werden grade bei radius sehr schön.
Man kann auch auf dem UTM schön sniffen via ssh / putty kommandozeile drauf (ssh erst aktivieren unter management glaub ich in der UTM).


tcpdump -i eth0 -vvv | grep 10.20.30.40 z. B.

oder in ne datei schreiben und diese dann per scp auf den rechner kopieren und in wireshark öffnen

tcpdump -i eth0 -vvv | grep 10.20.30.40 >> superdump


Erster Blick jedoch ist eventlog im radiussrever, da steht allermeist drin warum nix geht.
Und - nach jeder RAdius-Konfig Änderung muss der IAS/NPS Dienst neu gestartet werden sonst liest der die Änderung nicht ein.
manuelw
manuelw 05.12.2013 um 19:54:15 Uhr
Goto Top
Hallo Spacyfreak,

ich hab mir soeben den EventLog am NPS Server angesehen und da steht bei den einzelnen Verbindungsversuchen der Benutzer (egal welcher Benutzer) folgendes im Log:
SubjectUserName test.user 
  SubjectDomainName **** 
  FullyQualifiedSubjectUserName ****.local/Benutzer/Standard/Test User 
  SubjectMachineSID S-1-0-0 
  SubjectMachineName - 
  FullyQualifiedSubjectMachineName - 
  MachineInventory - 
  CalledStationID - 
  CallingStationID - 
  NASIPv4Address - 
  NASIPv6Address - 
  NASIdentifier portal 
  NASPortType - 
  NASPort - 
  ClientName UTM9 
  ClientIPAddress 10.1.1.1 
  ProxyPolicyName Use Windows authentication for all users 
  NetworkPolicyName UTM9 
  AuthenticationProvider Windows 
  AuthenticationServer server.****.local 
  AuthenticationType PAP 
  EAPType - 
  AccountSessionIdentifier - 
  ReasonCode 66 
  Reason Der Benutzer hat versucht, eine Authentifizierungsmethode zu verwenden, die in der entsprechenden Netzwerkrichtlinie nicht aktiviert wurde. 
  LoggingResult Die Kontoinformationen wurden in die lokale Protokolldatei geschrieben. 

Leider kenne ich mich damit noch nicht so aus, dass ich jetzt sofort wissen würde was zu machen ist.
Deswegen würde es mir sehr viel helfen wenn Du mir sagen könntest was eventuelle zu Probieren bzw. zu machen wäre.

Ich muss nur noch dazu sagen, dass ich am Windows Server keinen RAS Dienst installiert habe! Ich habe lediglich bei der Installation der Rolle den NPS Dienst ausgewählt, so wie es halt in der Anleitung beschrieben war.


L.G.
Manuel
spacyfreak
Lösung spacyfreak 05.12.2013, aktualisiert am 06.12.2013 um 14:50:24 Uhr
Goto Top
AuthenticationType PAP
Reason Der Benutzer hat versucht, eine Authentifizierungsmethode zu verwenden, die in der entsprechenden Netzwerkrichtlinie nicht aktiviert wurde.


Da steht alles in Doitsch.
In den RAS-Policies kann man verschiedene Auth-Methoden aktivieren wie PAP, CHAP, MSchap, MSchapv2 und sowas (RAS-Policy...Profile.. Authentication).
Da ist ein "mismatch" - die UTM will eine Auth-Methode verwenden die in deiner Policy nicht aktiviert ist. Ich wette bei dir ists PAP deaktiviert.
PAP ist unverschlüsselt - aber das ist auch wieder egal weil das Radiusprotokoll das Kennwort des Anwenders verschlüsselt überträgt zwischen UTM und Radius-Server.

http://cn.cbsimg.net/cnwk.1d/i/tr/Eve/figs05022007/graphic8.png
Aktivier doch ma alle verfügbaren Methoden in der RAS-Policy, starte den Radius service neu und hol dir nen Kaffee?
Du bist fast am Ziel! Ansonsten denke ich passt alles wie es aussieht..
manuelw
manuelw 05.12.2013 um 20:46:03 Uhr
Goto Top
Danke für die Hilfe!

Jetzt funktioniert es schon mal im "Testfenster". Hier erhalte ich nach Eingabe des Benutzers und dem Passwort eine Erfolgsmeldung:
917acdfd27f5de8902e0aa4d9c43124e

Leider klappt die Anmeldung im Benutzerportal noch immer nicht:
123fe209eb0826a6f019965c1be5d0e7

Im Log der UTM steht allerdings:
<code type="plain“>
2013:12:05-20:43:45 firewall aua[3240]: id="3006" severity="info" sys="System" sub="auth" name="Child 1374 is running too long. Terminating child"
2013:12:05-20:43:45 firewall aua[1549]: id="3006" severity="info" sys="System" sub="auth" name="Trying 10.1.1.2 (radius)"
2013:12:05-20:43:45 firewall aua[1549]: id="3005" severity="warn" sys="System" sub="auth" name="Authentication failed" srcip="10.1.1.10" user="manuel" caller="portal" reason=„DENIED“

Und im Log des Servers steht:

<code type="plain“>
SubjectUserSid S-1-5-21-3386300757-2188757975-3600010004-1139
SubjectUserName manuel
SubjectDomainName
FullyQualifiedSubjectUserName .local/Benutzer/Standard/Manuel
SubjectMachineSID S-1-0-0
SubjectMachineName -
FullyQualifiedSubjectMachineName -
MachineInventory -
CalledStationID -
CallingStationID -
NASIPv4Address -
NASIPv6Address -
NASIdentifier portal
NASPortType -
NASPort -
ClientName UTM9
ClientIPAddress 10.1.1.1
ProxyPolicyName Use Windows authentication for all users
NetworkPolicyName UTM9
AuthenticationProvider Windows
AuthenticationServer server..local
AuthenticationType PAP
EAPType -
AccountSessionIdentifier -
QuarantineState Vollzugriff
ExtendedQuarantineState -
QuarantineSessionID -
QuarantineHelpURL -
QuarantineSystemHealthResult -
spacyfreak
spacyfreak 05.12.2013 um 21:02:46 Uhr
Goto Top
Setz im NPS den Haken bei "Ignore User Dial-in properties".
manuelw
manuelw 05.12.2013 um 21:46:44 Uhr
Goto Top
Hab ich soeben gemacht. Den NPS neu gestartet, aber funktioniert leider trotzdem nicht.

Hat es vielleicht etwas mit dieser Meldung im UTM Log zu tun:

".... Child 9370 is running too long. Terminating child"
spacyfreak
spacyfreak 06.12.2013 aktualisiert um 07:53:38 Uhr
Goto Top
Die Radiusgeschichte ist funktional, sonst hättest nicht die "DENIED" <meldung gekriegt im log.
Aus irgendeinem Grund lehnt der RAdius deine Anfrage ab. Berechtigungsthema glaub ich.

Probier mal dein AD Kennwort zu ändern, manchmal gibts probleme mit gewissen Sonderzeichen im Kennwort.
Versuch mal ein ganz einfaches so als Test.
manuelw
manuelw 06.12.2013 um 13:32:12 Uhr
Goto Top
Ok, am Kennwort kann's aber auch nicht liegen,
da ich zum Probieren Extra ein einfaches (12345bb) genommen hab.

Ich hab's auch schon mit verschiedenen Usern Probiert welche die Berechtigung "VPN User" haben. Aber es ist bei allen die selbe Meldung.
manuelw
manuelw 06.12.2013 um 14:50:08 Uhr
Goto Top
Jetzt funktioniert es!

Auf der UTM musste noch der Punkt "Benutzer automatisch erstellen:" angehakt werden.

Danke für deine Hilfe, ohne Dich hätte ich dass nicht geschafft!

L.G.
Manuel
spacyfreak
spacyfreak 07.12.2013 um 18:01:49 Uhr
Goto Top
Superb! face-smile
HarryX3
HarryX3 24.03.2018 um 10:16:21 Uhr
Goto Top
Hallo Leute,

ich bekomme echt die Kriese, versuch seit mehrere Tagen den Radius Server zu konfigurieren, ich bin schon nach zig Anleitungen vorgegangen, aber leider immer das gleiche Resultat...

Log Auszug:

SRVDC-RS 6273 Informationen Microsoft Windows security auditing. Sicherheit 24.03.2018 09:46:47

Der Netzwerkrichtlinienserver hat einem Benutzer den Zugriff verweigert.

Wenden Sie sich an den Administrator des Netzwerkrichtlinienservers, um weitere Informationen zu erhalten.

Benutzer:
Sicherheits-ID: S-1-0-0
Kontoname: 5toff\Harry
Kontodomäne: -
Vollqualifizierter Kontoname: -

Clientcomputer:
Sicherheits-ID: S-1-0-0
Kontoname: -
Vollqualifizierter Kontoname: -
ID der Empfangsstation: -
ID der Anrufstation: -

NAS:
NAS-IPv4-Adresse: -
NAS-IPv6-Adresse: -
NAS-ID: portal
NAS-Porttyp: -
NAS-Port: -

RADIUS-Client:
Clientanzeigename: Sophos
Client-IP-Adresse: 192.168.14.1

Authentifizierungsdetails:
Name der Verbindungsanforderungsrichtlinie: -
Netzwerkrichtlinienname: -
Authentifizierungsanbieter: -
Authentifizierungsserver: SRVDC-RS.5toff.local
Authentifizierungstyp: -
EAP-Typ: -
Kontositzungs-ID: -
Protokollierungsergebnisse: Die Kontoinformationen wurden in die lokale Protokolldatei geschrieben.
Ursachencode: 49
Ursache: Die RADIUS-Anforderung stimmte mit keiner konfigurierten Verbindungsanforderungsrichtlinie (Connection Request Policy, CRP) überein.
policy
sophos_verwaltung
radius-clients
verbindungsanforderung
HarryX3
HarryX3 24.03.2018 um 10:17:45 Uhr
Goto Top
Wo bekommst Du genau diesen Logauszug her?
HarryX3
HarryX3 24.03.2018 um 10:20:19 Uhr
Goto Top
Der Netzwerkrichtlinienserver hat einem Benutzer den Zugriff verweigert.

Wenden Sie sich an den Administrator des Netzwerkrichtlinienservers, um weitere Informationen zu erhalten.

Benutzer:
Sicherheits-ID: S-1-0-0
Kontoname: host/xxxxxx
Kontodomäne: -
Vollqualifizierter Kontoname: -

Clientcomputer:
Sicherheits-ID: S-1-0-0
Kontoname: -
Vollqualifizierter Kontoname: -
ID der Empfangsstation: 00-1A-8C-7B-85-2A:Radius
ID der Anrufstation: 54-8C-A0-38-02-9C

NAS:
NAS-IPv4-Adresse: -
NAS-IPv6-Adresse: -
NAS-ID: Radius
NAS-Porttyp: Drahtlos (IEEE 802.11)
NAS-Port: 1

RADIUS-Client:
Clientanzeigename: Sophos
Client-IP-Adresse: 192.168.14.1

Authentifizierungsdetails:
Name der Verbindungsanforderungsrichtlinie: -
Netzwerkrichtlinienname: -
Authentifizierungsanbieter: -
Authentifizierungsserver: SRVDC-RS.5toff.local
Authentifizierungstyp: -
EAP-Typ: -
Kontositzungs-ID: -
Protokollierungsergebnisse: Die Kontoinformationen wurden in die lokale Protokolldatei geschrieben.
Ursachencode: 49
Ursache: Die RADIUS-Anforderung stimmte mit keiner konfigurierten Verbindungsanforderungsrichtlinie (Connection Request Policy, CRP) überein.