habunus
Goto Top

Verständnisfragen zum IAS Server 2003

Hallo an euch,

ich habe paar Fragen zum Verständnis zu dem IAS Server 2003. Habe mir auch schon seit 3 Tagen etliche How Tos im Google gesucht aber hätte da noch paar Dinge die mir unklar sind.
Also für einen IAS Server zu erstellen benötige ich einen Domain - Controller auf diesem müssen folgende Dienste installiert sein.

- Der Zertifikat Dienst, IAS Dienst und der Ras Dienst

Nun sollte man eine Zertifikat erstellen für den IAS Dienst. Was ich nicht verstehe wie sagt ich dem IAS Dienst das er dieses Zertifikat dann nutzen soll für die Client Authentifizierung??

Muss man im IAS Dienst weitere Richtlinien erstellen für die Clients das die sich einwählen können (EAP-Mschap-v2)?

oder weitere Richtlinien erstellen für den IAS Dienst?

Wie kann ich es realisieren das der Client der sich am IAS Server anwählt sich das Zertifikat selbst zieht?

Habe auch hier im Forum gelesen das das Zertifikat genau stimmen muss für den IAS. Auf was sollte man da drauf Achten?

Sorry meine vielen Fragen aber würde mich freuen wenn mir einer von euch ein Tipp geben könnte, das ich den Testserver hier zum laufen bekomme.

Bedanke mich im Voraus.
Habunus

Content-ID: 94934

Url: https://administrator.de/contentid/94934

Ausgedruckt am: 21.11.2024 um 17:11 Uhr

spacyfreak
spacyfreak 20.08.2008 um 22:51:19 Uhr
Goto Top
Na da hast du aber ganz schön Glück dass du mich hast, sag ich mal ganz bescheiden... face-wink

Wenn du für WLAN 802-1X PEAP (MSCHAPv2) nutzen willst brauchst du

1. einen IAS. Dieser kann auf dem DC installiert werden, ODER als Memberserver. Der Memberserver MUSS jedoch im AD registriert sein damit er User aus diesem AD authentierien kann, d.h. das Computerkonto des IAS muss in der Gruppe "IAS u. RAS SErver" sein oder so ähnlich

2. ein Serverzertifikat für den Radius. Bei PEAP sendet der IAS Radius Server an den Client sein Serverzertifikat, um sich zum einen beim Client zu authentisieren, zum anderen enthält das Zertifkat den öffentl. Schlüssel des Radiusservers. Mit diesem wird beim Authentisierungsvorgang das EAP Paket das das MSCHAPv2 mit den Usercredentials enthält, eingekapselt (ein Tunnel im Tunnel im Tunnel...).

3. Das IAS Server zertifikat bekommst du von einer Zertifizierungsstelle, z. B. Verisign. ODER du installierst selber eine Zertifizierungsstelle. Installiere diese am gesten auf einem TEst-Domaincontroller, der kann z. B. test.de heissen. Instaliere diese Root CA als "Enterprise Root CA" auf diesem DC! Nicht als Standalone CA, das hat bei mir nicht funktioniert.
Wenn du dei CA instalierst wird auch ein IIS Webserver installiert. Wenn die CA fertig installiert ist greifst du mit dem IAS Radiusserver per Web-Browser auf diesen Test-DC auf dem die CA läuft zu, per http://ip-des-test-dc/certsrv
Mit dieser Webseite kannst du ein Zertifikat incl. privatem Schlüssel erzeugen lassen von der CA,Wähle als Zeritifikats-Art "Webserver" aus. Verschlüsselung 1024bit. (2048 hat beimir nicht geklappt..).
und das Zertifikat incl. private Key wird auf dem IAS installiert.
In aller REgel jedoch im falschen certstore!!!! Auf dem IAS öffnest du das Snapin "´Certificate Store" und kopierst das IAS Serverzertifikat in den Certstore "Lokaler Computer". DANN kannst du auf dem IAS unter "RAS Richtlinien" eine Richtline machen wo das Computerkonto des Users im AD in der Gruppe "Computers" drin sein muss. Bei dieser RAS-Policy wählst du unter "Profile"..."Authentisierung" glaub ich "eAP PeAP MSCHAPv2) aus. Wenn du auf edit gehst siehst du auch das Serverzeritifkat. FAlls da ne Fehlermeldung kommt, dann ist das Zertifikat im falshcen Certstore, der IAS kann es nicht finden.
Dann machst du darunter eine zweite Richtlinie, die prüft ob der User in der Gruppe "Domain Users" drinne ist (Windowsgroup..). Dort das selbe unter Profle und "Authentisierung" einstellen mit EAP PEAP!!! Dann den IAS neu starten nach jeder Änderung an den Richtlinien.


Bei den WLAN Clients letztendlich musst du das Root CA Zertifikat (also das Certifikate der CA !!!) in denr Client Zeritifikatsstore installieren, und zwar unter lokaler Computer!!!! DAs geht nur mit lokalen adm. Rechten. Beim WLAN Adapter musst du dann auch EAP PEAP MSCHAP v2 wählen (standardmässig EAP-TLS).

Viel Erfolg! Da hast du dir ne schön komplexe Geschichte ausgesucht! Umso schöner wenns letztendlich läuft... face-wink
habunus
habunus 20.08.2008 um 23:00:33 Uhr
Goto Top
Mercy das es dich gibt spacyfreak face-wink

Das hört sich alles sehr komplex zuerst mal an, werde mich aber morgen nochmal an die Sache machen.

Kanz kurz was wir vorhaben. Ich habe bei uns im Ort etliche Funktstrecken via 5 GHz aufgebaut wo wir TV Stationen pflegen und Video Clips von unserer Kundschaft einspielen.

Nun wollten wir das auch User per Laptop oder Wireless Karte im PC unsere Internet Verbindung nutzen können.

Ich kann aber nicht davon ausgehen das jeder der unsere Internet Verbindung nun nutzen will sich einen Zertifikat auf den PC spiel.

Gibt es keinen andere möglichkeit das der Kunden sich z.B.: sich mit Username und Passwort einwählen kann oder benötige ich unbediengt eine Radius Server dazu.

Mich stört nur das der Kunde sich was installieren muß.
Oder habe ich da was falsch verstanden?

Habunus
spacyfreak
spacyfreak 20.08.2008 um 23:09:36 Uhr
Goto Top
Der muss sich ja nix installieren - nur das Root CA Zertifikat. Und da ist ja kein Programm im herk. Sinne.
Der User braucht jedenfalls ein userkonto im AD, das ist halt die gängige u. sichere Methode per 802.1X. Alterniative wären WLAN WPA Keys pre shard, doch da skalliert nicht bei vielen u. wechselnden usern, und wird unsicher wernn der Key weitergereicht wird.

Ja es ist rech tkompliziert. Wenn du weder von AD noch von Radius geschweigedenn Certifizierungsstlelle ne Ahnung hast was di eso machen dann wird das recht hakelig das zum laufen zu bringen geschweige denn zu erklären. Ist im Prinzip ganz einfach wenn mans mal kapiert hat, doch es sind viele Abhängigkeiten und kompl. Protokolle die da mitscpielen müssen...
habunus
habunus 20.08.2008 um 23:12:02 Uhr
Goto Top
OKI werde mich morgen mal an die Sache machen und berichten face-wink

Vielen Dank nochmals für deine Hilfe face-wink
habunus
habunus 21.08.2008 um 23:12:27 Uhr
Goto Top
Hallo Spacyfreak,

denke mal das ich das so nicht hinbekomme mit der Authentifizierung am IAS. Nervt mich zwar voll ab aber naja.

Lese nun schon etliche Tage Englische HOWTS aber es will nicht Funktionieren face-sad

Du bist doch in der Sache ein Freak hast du vieleicht einen HOWTO oder so was ähnlich?


Währe Toll wenn du mir da Helfen könntest.
spacyfreak
spacyfreak 22.08.2008 um 06:55:06 Uhr
Goto Top
Ja aller anfang ist schwer.
Das HowTo in "Grobform" steht ja schon oben in meinem ersten Post. face-wink
Da stehen die ganzen "Spezialdinger" drin auf die man aufpassen muss und die grobe Vorgehensweise.
Eine Step-by-Step Anleitung hab ich leider nur im Kopf, das würde wohl nen Tag dauern das alles aufzuschreiben.
Doch wer soll das bezahlen?
Wo hängts denn konkret bei Dir? Was tut denn nicht?
habunus
habunus 25.08.2008 um 17:13:18 Uhr
Goto Top
Hallo spacyfreak,

also habe mir das Thema nun mal richtig in Ruhe durchgelesen.

Habe einen DC erstellt test.local, IAS,DHCP und den Zertifikatdienst installiert.

Habe alles nun soweit konfiguriert mit Zertifikat usw und bekomme wenn ich mich einwählen will folgende Fehlermeldung:


Benutzer "test.local\testuser" wurde Zugriff verweigert.
Vollqualifizierter Benutzername = <unbestimmt>
NAS-IP-Adresse = 192.168.1.3
NAS-Kennung = Tegro-Master1
Kennung der Anrufstation = 02-0B-6B-B0-2B-EF:Internet
Kennung der Empfängerstation = 00-19-D2-B8-2D-C8
Clientanzeigename = Access point
Client-IP-Adresse = 192.168.1.3
NAS-Porttyp = Wireless - IEEE 802.11
NAS-Port = 1
Proxyrichtlinienname = <kein>
Authentifizierungsanbieter = <unbestimmt>
Authentifizierungsserver = <unbestimmt>
Richtlinien-Name = <unbestimmt>
Authentifizierungstyp = <unbestimmt>
EAP-Typ = <unbestimmt>
Code = 49
Ursache = Der Verbindungsversuch stimmt mit keiner Verbindungsanforderungsrichtlinie überein.

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.

Habe dem User (testuser) in der AD das einwählen über IAS Richtlinienen erlaubt. Der Laptop mit dem ich mich in das W-Lan einwählen will ist nicht in der Domain test.local. Dieser ist einfach nur in einer Arbeitsgruppe.

Vieleicht hast du ein Plan wo mann da noch eingreifen kann.

Mfg

Habunus
spacyfreak
spacyfreak 25.08.2008 um 19:10:36 Uhr
Goto Top
Yo wie die Fehlermeldung sagt, hat keine der Richtlinien im IAS "gematcht". Da muss man ansetzen.
Du musst im IAS in der Richtlinenkonfiguration die Windows Gruppe eingeben, in der der User der authentisiert werden soll drin sein muss, z. B. "Domänen Benutzer".
Je nachdem musst du auf dem IAS dazu eine Universelle Gruppe nehmen, FALLS Domänenlokale oder globale nicht funktioniert.
Diese Universelle Gruppe muss auf dem DC zuvor eingerichtet sein, und alle User die WLAN machen können sollen müssen in diese Gruppe gesteckt werden.

Unter Verbindungsanforderungsrichtlinie oder wie der shit heisst muss zumindest eine Richtlinie drn sein, z. B. die Tag- u. Nachtzeit in der man sich authentiiseren darf.

Der Test-DC sollte eigentlich nur für die Installation der Zertifizierungsstelle genutzt werden!
Auf dem Test-DC die CA installieren und das IAS Serverzertifikat dort erstellen und auf dem "produktiven" IAS dann das Zertifikat als auch das Root CA Zertifikat der CA installieren!

Auf jeden Fall bist du auf dem richtigen Weg....
#
Wir können ja mal ne online session machen wenn du magst über VNC oder sowas dann schau ich mir das an. Bei ausufernder Hilfestellung würds allerdings paar Euronen kosten.