Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Sophos UTM Radius Authentifizierung

Mitglied: manuelw

manuelw (Level 2) - Jetzt verbinden

05.12.2013, aktualisiert 06.12.2013, 9477 Aufrufe, 13 Kommentare, 1 Danke

Hallo!

Ich versuche soeben meine UTM 9.1 mit meinem Windows Server Active Directory zu Verbinden. Da ich für VPN Verbindungen als Authentifizierungsmethode nur Radius oder Lokal nehmen kann.

Den Windows Server habe ich wie in der Anleitung von Sophos (http://www.sophos.com/de-de/support/knowledgebase/115050.aspx) beschrieben konfiguriert.

In der UTM habe ich dann auch alles eingegeben und habe auf "Servereinstellungen Testen" geklickt.
Sofort erschien die Meldung "Servertest bestanden" und im LOG stand:

2013:12:05-12:52:04 firewall aua[8168]: id="3006" severity="info" sys="System" sub="auth" name="Bind test request: radius"
2013:12:05-12:52:04 firewall aua[8168]: id="3006" severity="info" sys="System" sub="auth" name="Bind test successfull. Method: radius"
Gleich darunter habe ich die Möglichkeit mich mit einem Beispielbenutzer zu authentifizieren.
Wenn ich allerdings da meinen Benutzernamen, welcher auch in der Berechtigten Gruppe ist, eingebe und dann auf "Test" klicke, erhalte ich die Meldung:
Benutzerauthentifizierung:  Authentication test passed. Benutzer ist Mitglied folgender Gruppen: Für diesen Benutzer wurden keine Gruppen gefunden
Hier habe ich auch die Möglichkeit die NAS-Kennung anzugeben. Ich habe am Windows Server nur die Kennung für das Benutzerportal (portal) hinterlegt. Wenn ich jetzt die Kennung auf der UTM auswähle und erneut auf "Test" klicke, erhalte ich folgende Meldung:
Benutzerauthentifizierung:Radius authentication failedBenutzer ist Mitglied folgender Gruppen:
Für diesen Benutzer wurden keine Gruppen gefunden
Und im LOG steht:

2013:12:05-12:56:21 firewall aua[8535]: id="3006" severity="info" sys="System" sub="auth" name="Spawned child for authentication test"
2013:12:05-12:56:21 firewall aua[8535]: id="3006" severity="info" sys="System" sub="auth" name="Authentication test request: m:radius, f:portal, u:manuel, ip:0.0.0.0"
2013:12:05-12:56:21 firewall aua[8535]: id="3006" severity="info" sys="System" sub="auth" name="Authentication test failed: Radius authentication failed"
Habe ich hierbei einen Punkt übersehen, der noch konfiguriert werden muss?

L.G.
Manuel
Mitglied: spacyfreak
LÖSUNG 05.12.2013, aktualisiert 06.12.2013
schaumal im eventlog im IAS (system eventlog) oder NPS (security eventlog) server WARUM er den user abgelehnt hat.
hast du auch ne ras-policy auf dem radius angelegt?

Die NAS-Kennung (network access server) kann (optional) benutzt werden wenn man viele RAS-Policies für verschiedene Zwecke betreibt, als Attribut das man als Bedingung nutzen kann damit die spezifische RAS-Policy "matcht".
Da kann dann eine RAS-Policy das User Portal regeln (wer darf sich da anmelden), eine andere RAS-Policy zb wlan-anwender authentisieren usw.

Ansonsten muss die NAS-Kennung in der RAS Policy und auf dem UTM gleich sein, egal wie die heisst, hautpsache sie heisst auf beiden gleich.
Wenn man eh nur einen zweck für den radius hat muss man die NAS Kennung garnicht verwenden. NAS Identifier ist nur ein radius attribut von vielen.
Welches Attribut man nimmt hängt davon ab was man erreichen will.

Wichtig ist vor allem dass die UTM als RAdiusClient mit gleichem Secret auf dem RAdius angelegt ist und der Radius im UTM mit dem selben SEcret eingetragen ist.
Wenn das gegeben ist, schaut man die RAS Policy an und die BEDINGUNG(EN) die erfüllt sein müssen, damit der Radius den User im AD authentisiert.
Einfachste Bedingung wäre "es ist Mo-So zwischen 00:00 und 24:00" (glaube das ist die default policy).
Alternativ kann man als Bedingung verwenden "User ist Mitglied in AD Gruppe VPN Users".
Hilfreich ist oft auch networksniffer wie network monitor oder wireshark, da radius pakete nicht verschlüsselt sind kann man in den paketen guggen was der so treibt und rückschlüsse ziehen.
Kann auch sein dass die Sophos den NAS-identifier eintrag "verhunzt" und zb "porrtal" statt "portal" schickt oder sowas. (bug).
DAs sieht man dann in den gesnifften paketen was da konkret für werte und attribute geschickt werden grade bei radius sehr schön.
Man kann auch auf dem UTM schön sniffen via ssh / putty kommandozeile drauf (ssh erst aktivieren unter management glaub ich in der UTM).


tcpdump -i eth0 -vvv | grep 10.20.30.40 z. B.

oder in ne datei schreiben und diese dann per scp auf den rechner kopieren und in wireshark öffnen

tcpdump -i eth0 -vvv | grep 10.20.30.40 >> superdump


Erster Blick jedoch ist eventlog im radiussrever, da steht allermeist drin warum nix geht.
Und - nach jeder RAdius-Konfig Änderung muss der IAS/NPS Dienst neu gestartet werden sonst liest der die Änderung nicht ein.
Bitte warten ..
Mitglied: manuelw
05.12.2013 um 19:54 Uhr
Hallo Spacyfreak,

ich hab mir soeben den EventLog am NPS Server angesehen und da steht bei den einzelnen Verbindungsversuchen der Benutzer (egal welcher Benutzer) folgendes im Log:
SubjectUserName test.user 
  SubjectDomainName **** 
  FullyQualifiedSubjectUserName ****.local/Benutzer/Standard/Test User 
  SubjectMachineSID S-1-0-0 
  SubjectMachineName - 
  FullyQualifiedSubjectMachineName - 
  MachineInventory - 
  CalledStationID - 
  CallingStationID - 
  NASIPv4Address - 
  NASIPv6Address - 
  NASIdentifier portal 
  NASPortType - 
  NASPort - 
  ClientName UTM9 
  ClientIPAddress 10.1.1.1 
  ProxyPolicyName Use Windows authentication for all users 
  NetworkPolicyName UTM9 
  AuthenticationProvider Windows 
  AuthenticationServer server.****.local 
  AuthenticationType PAP 
  EAPType - 
  AccountSessionIdentifier - 
  ReasonCode 66 
  Reason Der Benutzer hat versucht, eine Authentifizierungsmethode zu verwenden, die in der entsprechenden Netzwerkrichtlinie nicht aktiviert wurde. 
  LoggingResult Die Kontoinformationen wurden in die lokale Protokolldatei geschrieben. 
Leider kenne ich mich damit noch nicht so aus, dass ich jetzt sofort wissen würde was zu machen ist.
Deswegen würde es mir sehr viel helfen wenn Du mir sagen könntest was eventuelle zu Probieren bzw. zu machen wäre.

Ich muss nur noch dazu sagen, dass ich am Windows Server keinen RAS Dienst installiert habe! Ich habe lediglich bei der Installation der Rolle den NPS Dienst ausgewählt, so wie es halt in der Anleitung beschrieben war.


L.G.
Manuel
Bitte warten ..
Mitglied: spacyfreak
LÖSUNG 05.12.2013, aktualisiert 06.12.2013
AuthenticationType PAP
Reason Der Benutzer hat versucht, eine Authentifizierungsmethode zu verwenden, die in der entsprechenden Netzwerkrichtlinie nicht aktiviert wurde.


Da steht alles in Doitsch.
In den RAS-Policies kann man verschiedene Auth-Methoden aktivieren wie PAP, CHAP, MSchap, MSchapv2 und sowas (RAS-Policy...Profile.. Authentication).
Da ist ein "mismatch" - die UTM will eine Auth-Methode verwenden die in deiner Policy nicht aktiviert ist. Ich wette bei dir ists PAP deaktiviert.
PAP ist unverschlüsselt - aber das ist auch wieder egal weil das Radiusprotokoll das Kennwort des Anwenders verschlüsselt überträgt zwischen UTM und Radius-Server.

http://cn.cbsimg.net/cnwk.1d/i/tr/Eve/figs05022007/graphic8.png
Aktivier doch ma alle verfügbaren Methoden in der RAS-Policy, starte den Radius service neu und hol dir nen Kaffee?
Du bist fast am Ziel! Ansonsten denke ich passt alles wie es aussieht..
Bitte warten ..
Mitglied: manuelw
05.12.2013 um 20:46 Uhr
Danke für die Hilfe!

Jetzt funktioniert es schon mal im "Testfenster". Hier erhalte ich nach Eingabe des Benutzers und dem Passwort eine Erfolgsmeldung:
917acdfd27f5de8902e0aa4d9c43124e - Klicke auf das Bild, um es zu vergrößern

Leider klappt die Anmeldung im Benutzerportal noch immer nicht:
123fe209eb0826a6f019965c1be5d0e7 - Klicke auf das Bild, um es zu vergrößern

Im Log der UTM steht allerdings:
01.
2013:12:05-20:43:45 firewall aua[3240]: id="3006" severity="info" sys="System" sub="auth" name="Child 1374 is running too long. Terminating child"
02.
2013:12:05-20:43:45 firewall aua[1549]: id="3006" severity="info" sys="System" sub="auth" name="Trying 10.1.1.2 (radius)"
03.
2013:12:05-20:43:45 firewall aua[1549]: id="3005" severity="warn" sys="System" sub="auth" name="Authentication failed" srcip="10.1.1.10" user="manuel" caller="portal" reason=„DENIED“
Und im Log des Servers steht:

01.
 SubjectUserSid S-1-5-21-3386300757-2188757975-3600010004-1139 
02.
  SubjectUserName manuel 
03.
  SubjectDomainName ****
04.
  FullyQualifiedSubjectUserName ****.local/Benutzer/Standard/Manuel 
05.
  SubjectMachineSID S-1-0-0 
06.
  SubjectMachineName - 
07.
  FullyQualifiedSubjectMachineName - 
08.
  MachineInventory - 
09.
  CalledStationID - 
10.
  CallingStationID - 
11.
  NASIPv4Address - 
12.
  NASIPv6Address - 
13.
  NASIdentifier portal 
14.
  NASPortType - 
15.
  NASPort - 
16.
  ClientName UTM9 
17.
  ClientIPAddress 10.1.1.1 
18.
  ProxyPolicyName Use Windows authentication for all users 
19.
  NetworkPolicyName UTM9 
20.
  AuthenticationProvider Windows 
21.
  AuthenticationServer server.****.local 
22.
  AuthenticationType PAP 
23.
  EAPType - 
24.
  AccountSessionIdentifier - 
25.
  QuarantineState Vollzugriff 
26.
  ExtendedQuarantineState - 
27.
  QuarantineSessionID - 
28.
  QuarantineHelpURL - 
29.
  QuarantineSystemHealthResult - 
Bitte warten ..
Mitglied: spacyfreak
05.12.2013 um 21:02 Uhr
Setz im NPS den Haken bei "Ignore User Dial-in properties".
Bitte warten ..
Mitglied: manuelw
05.12.2013 um 21:46 Uhr
Hab ich soeben gemacht. Den NPS neu gestartet, aber funktioniert leider trotzdem nicht.

Hat es vielleicht etwas mit dieser Meldung im UTM Log zu tun:

".... Child 9370 is running too long. Terminating child"
Bitte warten ..
Mitglied: spacyfreak
06.12.2013, aktualisiert um 07:53 Uhr
Die Radiusgeschichte ist funktional, sonst hättest nicht die "DENIED" <meldung gekriegt im log.
Aus irgendeinem Grund lehnt der RAdius deine Anfrage ab. Berechtigungsthema glaub ich.

Probier mal dein AD Kennwort zu ändern, manchmal gibts probleme mit gewissen Sonderzeichen im Kennwort.
Versuch mal ein ganz einfaches so als Test.
Bitte warten ..
Mitglied: manuelw
06.12.2013 um 13:32 Uhr
Ok, am Kennwort kann's aber auch nicht liegen,
da ich zum Probieren Extra ein einfaches (12345bb) genommen hab.

Ich hab's auch schon mit verschiedenen Usern Probiert welche die Berechtigung "VPN User" haben. Aber es ist bei allen die selbe Meldung.
Bitte warten ..
Mitglied: manuelw
06.12.2013 um 14:50 Uhr
Jetzt funktioniert es!

Auf der UTM musste noch der Punkt "Benutzer automatisch erstellen:" angehakt werden.

Danke für deine Hilfe, ohne Dich hätte ich dass nicht geschafft!

L.G.
Manuel
Bitte warten ..
Mitglied: spacyfreak
07.12.2013 um 18:01 Uhr
Superb!
Bitte warten ..
Mitglied: HarryX3
24.03.2018 um 10:16 Uhr
Hallo Leute,

ich bekomme echt die Kriese, versuch seit mehrere Tagen den Radius Server zu konfigurieren, ich bin schon nach zig Anleitungen vorgegangen, aber leider immer das gleiche Resultat...

Log Auszug:

SRVDC-RS 6273 Informationen Microsoft Windows security auditing. Sicherheit 24.03.2018 09:46:47

Der Netzwerkrichtlinienserver hat einem Benutzer den Zugriff verweigert.

Wenden Sie sich an den Administrator des Netzwerkrichtlinienservers, um weitere Informationen zu erhalten.

Benutzer:
Sicherheits-ID: S-1-0-0
Kontoname: 5toff\Harry
Kontodomäne: -
Vollqualifizierter Kontoname: -

Clientcomputer:
Sicherheits-ID: S-1-0-0
Kontoname: -
Vollqualifizierter Kontoname: -
ID der Empfangsstation: -
ID der Anrufstation: -

NAS:
NAS-IPv4-Adresse: -
NAS-IPv6-Adresse: -
NAS-ID: portal
NAS-Porttyp: -
NAS-Port: -

RADIUS-Client:
Clientanzeigename: Sophos
Client-IP-Adresse: 192.168.14.1

Authentifizierungsdetails:
Name der Verbindungsanforderungsrichtlinie: -
Netzwerkrichtlinienname: -
Authentifizierungsanbieter: -
Authentifizierungsserver: SRVDC-RS.5toff.local
Authentifizierungstyp: -
EAP-Typ: -
Kontositzungs-ID: -
Protokollierungsergebnisse: Die Kontoinformationen wurden in die lokale Protokolldatei geschrieben.
Ursachencode: 49
Ursache: Die RADIUS-Anforderung stimmte mit keiner konfigurierten Verbindungsanforderungsrichtlinie (Connection Request Policy, CRP) überein.
policy - Klicke auf das Bild, um es zu vergrößern
radius-clients - Klicke auf das Bild, um es zu vergrößern
sophos_verwaltung - Klicke auf das Bild, um es zu vergrößern
verbindungsanforderung - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: HarryX3
24.03.2018 um 10:17 Uhr
Wo bekommst Du genau diesen Logauszug her?
Bitte warten ..
Mitglied: HarryX3
24.03.2018 um 10:20 Uhr
Der Netzwerkrichtlinienserver hat einem Benutzer den Zugriff verweigert.

Wenden Sie sich an den Administrator des Netzwerkrichtlinienservers, um weitere Informationen zu erhalten.

Benutzer:
Sicherheits-ID: S-1-0-0
Kontoname: host/xxxxxx
Kontodomäne: -
Vollqualifizierter Kontoname: -

Clientcomputer:
Sicherheits-ID: S-1-0-0
Kontoname: -
Vollqualifizierter Kontoname: -
ID der Empfangsstation: 00-1A-8C-7B-85-2A:Radius
ID der Anrufstation: 54-8C-A0-38-02-9C

NAS:
NAS-IPv4-Adresse: -
NAS-IPv6-Adresse: -
NAS-ID: Radius
NAS-Porttyp: Drahtlos (IEEE 802.11)
NAS-Port: 1

RADIUS-Client:
Clientanzeigename: Sophos
Client-IP-Adresse: 192.168.14.1

Authentifizierungsdetails:
Name der Verbindungsanforderungsrichtlinie: -
Netzwerkrichtlinienname: -
Authentifizierungsanbieter: -
Authentifizierungsserver: SRVDC-RS.5toff.local
Authentifizierungstyp: -
EAP-Typ: -
Kontositzungs-ID: -
Protokollierungsergebnisse: Die Kontoinformationen wurden in die lokale Protokolldatei geschrieben.
Ursachencode: 49
Ursache: Die RADIUS-Anforderung stimmte mit keiner konfigurierten Verbindungsanforderungsrichtlinie (Connection Request Policy, CRP) überein.
Bitte warten ..
Ähnliche Inhalte
Firewall
"Fehlalarm" Sophos UTM
Information von ArnoNymousFirewall1 Kommentar

Moin, Freunde der Sophos haben sich eventuell über eine Vielzahl an Warnmeldungen gewundert: Der Grund hierfür liegt an einer ...

Firewall
UTM Firewall Sophos
gelöst Frage von FingersFirewall8 Kommentare

Moin Moin ich bin schon seit längerem am überlegen eine UTM Firewall von Sophos in meinem Netzwerk (Zuhause) zu ...

DNS
Sophos UTM: DNS
gelöst Frage von ukulele-7DNS20 Kommentare

Morgen, ich versuch mich kurz zu fassen da mein Problem glaube ich leicht lösbar ist und ich es einfach ...

Firewall
Sophos UTM Logging
Frage von Leo-leFirewall3 Kommentare

Hallo zusammen, wenn ich z.B. Checkpoint und Sophos vom Logging gegenüberstelle, finde ich bisher das Logging von der UTM ...

Neue Wissensbeiträge
Viren und Trojaner

Staatstrojaner soll auch per Einbruch installiert werden können

Information von transocean vor 1 TagViren und Trojaner2 Kommentare

Moin, Bundesinnenminister Horst Seehofer will dem Verfassungsschutz Wohnungseinbrüche erlauben, um den geplanten Staatstrojaner zu installieren. Gruß Uwe

Windows 7
Win7 Update scheitert KB4512506
Information von infowars vor 1 TagWindows 7

Falls jemand auch das Problem hat mit dem: Monatliches Sicherheitsqualitätsrollup für Windows 7 für x64-basierte-Systeme (KB4512506) Das scheint mit ...

Humor (lol)
Wenn hacken nach hinten los geht
Information von em-pie vor 2 TagenHumor (lol)5 Kommentare

Moin, weil heute Freitag ist, nachfolgender kurzer Artikel zum schmunzeln:) l+f: NULL ist ein notorischer Falschparker

Windows Update
Windows: August 2019 Patchday-Probleme
Information von kgborn vor 3 TagenWindows Update3 Kommentare

Ich kippe mal einige kurze Informationen hier rein - vielleicht hilft es Betroffenen. Die August 2019-Updates für Windows haben ...

Heiß diskutierte Inhalte
Switche und Hubs
Glasfaser-Anschluss Telekom muss verteilt werden
Frage von cansoniSwitche und Hubs29 Kommentare

Vorweg: Bin nur Anwender und kein Experte Die Situation: Der Vermieter stellt einen Glasfaseranschluss in der Wohnung bereit. Wir ...

Ubuntu
Download manchmal langsam oder komplette Abbrüche bzw. Videos spielen nicht bis zum Schluss
Frage von stefanstpUbuntu18 Kommentare

Immer wieder berichten unsere Kunden, dass Downloads abbrechen oder super langsam sind oder Videos nicht abgespielt werden können bzw. ...

Hyper-V
VMs von Hyper-V auf externer Festplatte
Frage von SnowbirdHyper-V18 Kommentare

Hallo, ich möchte gerne von VirtualBox auf Hyper-V umsteigen und würde auch gerne weiterhin meine VMs auf der externen ...

Festplatten, SSD, Raid
SSDs durch Lagerung ohne Strom nach 6 Monaten defekt?!?
gelöst Frage von GlobetrotterFestplatten, SSD, Raid16 Kommentare

Moin Gemeinde Ich hatte gerade nen Trauerspiel Habe hier etliche NAS-Geräte herumfahren welche ich mal auf die Seite gelegt ...