Verständnisfragen zum IAS Server 2003
Hallo an euch,
ich habe paar Fragen zum Verständnis zu dem IAS Server 2003. Habe mir auch schon seit 3 Tagen etliche How Tos im Google gesucht aber hätte da noch paar Dinge die mir unklar sind.
Also für einen IAS Server zu erstellen benötige ich einen Domain - Controller auf diesem müssen folgende Dienste installiert sein.
- Der Zertifikat Dienst, IAS Dienst und der Ras Dienst
Nun sollte man eine Zertifikat erstellen für den IAS Dienst. Was ich nicht verstehe wie sagt ich dem IAS Dienst das er dieses Zertifikat dann nutzen soll für die Client Authentifizierung??
Muss man im IAS Dienst weitere Richtlinien erstellen für die Clients das die sich einwählen können (EAP-Mschap-v2)?
oder weitere Richtlinien erstellen für den IAS Dienst?
Wie kann ich es realisieren das der Client der sich am IAS Server anwählt sich das Zertifikat selbst zieht?
Habe auch hier im Forum gelesen das das Zertifikat genau stimmen muss für den IAS. Auf was sollte man da drauf Achten?
Sorry meine vielen Fragen aber würde mich freuen wenn mir einer von euch ein Tipp geben könnte, das ich den Testserver hier zum laufen bekomme.
Bedanke mich im Voraus.
Habunus
ich habe paar Fragen zum Verständnis zu dem IAS Server 2003. Habe mir auch schon seit 3 Tagen etliche How Tos im Google gesucht aber hätte da noch paar Dinge die mir unklar sind.
Also für einen IAS Server zu erstellen benötige ich einen Domain - Controller auf diesem müssen folgende Dienste installiert sein.
- Der Zertifikat Dienst, IAS Dienst und der Ras Dienst
Nun sollte man eine Zertifikat erstellen für den IAS Dienst. Was ich nicht verstehe wie sagt ich dem IAS Dienst das er dieses Zertifikat dann nutzen soll für die Client Authentifizierung??
Muss man im IAS Dienst weitere Richtlinien erstellen für die Clients das die sich einwählen können (EAP-Mschap-v2)?
oder weitere Richtlinien erstellen für den IAS Dienst?
Wie kann ich es realisieren das der Client der sich am IAS Server anwählt sich das Zertifikat selbst zieht?
Habe auch hier im Forum gelesen das das Zertifikat genau stimmen muss für den IAS. Auf was sollte man da drauf Achten?
Sorry meine vielen Fragen aber würde mich freuen wenn mir einer von euch ein Tipp geben könnte, das ich den Testserver hier zum laufen bekomme.
Bedanke mich im Voraus.
Habunus
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 94934
Url: https://administrator.de/contentid/94934
Ausgedruckt am: 05.11.2024 um 17:11 Uhr
8 Kommentare
Neuester Kommentar
Na da hast du aber ganz schön Glück dass du mich hast, sag ich mal ganz bescheiden...
Wenn du für WLAN 802-1X PEAP (MSCHAPv2) nutzen willst brauchst du
1. einen IAS. Dieser kann auf dem DC installiert werden, ODER als Memberserver. Der Memberserver MUSS jedoch im AD registriert sein damit er User aus diesem AD authentierien kann, d.h. das Computerkonto des IAS muss in der Gruppe "IAS u. RAS SErver" sein oder so ähnlich
2. ein Serverzertifikat für den Radius. Bei PEAP sendet der IAS Radius Server an den Client sein Serverzertifikat, um sich zum einen beim Client zu authentisieren, zum anderen enthält das Zertifkat den öffentl. Schlüssel des Radiusservers. Mit diesem wird beim Authentisierungsvorgang das EAP Paket das das MSCHAPv2 mit den Usercredentials enthält, eingekapselt (ein Tunnel im Tunnel im Tunnel...).
3. Das IAS Server zertifikat bekommst du von einer Zertifizierungsstelle, z. B. Verisign. ODER du installierst selber eine Zertifizierungsstelle. Installiere diese am gesten auf einem TEst-Domaincontroller, der kann z. B. test.de heissen. Instaliere diese Root CA als "Enterprise Root CA" auf diesem DC! Nicht als Standalone CA, das hat bei mir nicht funktioniert.
Wenn du dei CA instalierst wird auch ein IIS Webserver installiert. Wenn die CA fertig installiert ist greifst du mit dem IAS Radiusserver per Web-Browser auf diesen Test-DC auf dem die CA läuft zu, per http://ip-des-test-dc/certsrv
Mit dieser Webseite kannst du ein Zertifikat incl. privatem Schlüssel erzeugen lassen von der CA,Wähle als Zeritifikats-Art "Webserver" aus. Verschlüsselung 1024bit. (2048 hat beimir nicht geklappt..).
und das Zertifikat incl. private Key wird auf dem IAS installiert.
In aller REgel jedoch im falschen certstore!!!! Auf dem IAS öffnest du das Snapin "´Certificate Store" und kopierst das IAS Serverzertifikat in den Certstore "Lokaler Computer". DANN kannst du auf dem IAS unter "RAS Richtlinien" eine Richtline machen wo das Computerkonto des Users im AD in der Gruppe "Computers" drin sein muss. Bei dieser RAS-Policy wählst du unter "Profile"..."Authentisierung" glaub ich "eAP PeAP MSCHAPv2) aus. Wenn du auf edit gehst siehst du auch das Serverzeritifkat. FAlls da ne Fehlermeldung kommt, dann ist das Zertifikat im falshcen Certstore, der IAS kann es nicht finden.
Dann machst du darunter eine zweite Richtlinie, die prüft ob der User in der Gruppe "Domain Users" drinne ist (Windowsgroup..). Dort das selbe unter Profle und "Authentisierung" einstellen mit EAP PEAP!!! Dann den IAS neu starten nach jeder Änderung an den Richtlinien.
Bei den WLAN Clients letztendlich musst du das Root CA Zertifikat (also das Certifikate der CA !!!) in denr Client Zeritifikatsstore installieren, und zwar unter lokaler Computer!!!! DAs geht nur mit lokalen adm. Rechten. Beim WLAN Adapter musst du dann auch EAP PEAP MSCHAP v2 wählen (standardmässig EAP-TLS).
Viel Erfolg! Da hast du dir ne schön komplexe Geschichte ausgesucht! Umso schöner wenns letztendlich läuft...
Wenn du für WLAN 802-1X PEAP (MSCHAPv2) nutzen willst brauchst du
1. einen IAS. Dieser kann auf dem DC installiert werden, ODER als Memberserver. Der Memberserver MUSS jedoch im AD registriert sein damit er User aus diesem AD authentierien kann, d.h. das Computerkonto des IAS muss in der Gruppe "IAS u. RAS SErver" sein oder so ähnlich
2. ein Serverzertifikat für den Radius. Bei PEAP sendet der IAS Radius Server an den Client sein Serverzertifikat, um sich zum einen beim Client zu authentisieren, zum anderen enthält das Zertifkat den öffentl. Schlüssel des Radiusservers. Mit diesem wird beim Authentisierungsvorgang das EAP Paket das das MSCHAPv2 mit den Usercredentials enthält, eingekapselt (ein Tunnel im Tunnel im Tunnel...).
3. Das IAS Server zertifikat bekommst du von einer Zertifizierungsstelle, z. B. Verisign. ODER du installierst selber eine Zertifizierungsstelle. Installiere diese am gesten auf einem TEst-Domaincontroller, der kann z. B. test.de heissen. Instaliere diese Root CA als "Enterprise Root CA" auf diesem DC! Nicht als Standalone CA, das hat bei mir nicht funktioniert.
Wenn du dei CA instalierst wird auch ein IIS Webserver installiert. Wenn die CA fertig installiert ist greifst du mit dem IAS Radiusserver per Web-Browser auf diesen Test-DC auf dem die CA läuft zu, per http://ip-des-test-dc/certsrv
Mit dieser Webseite kannst du ein Zertifikat incl. privatem Schlüssel erzeugen lassen von der CA,Wähle als Zeritifikats-Art "Webserver" aus. Verschlüsselung 1024bit. (2048 hat beimir nicht geklappt..).
und das Zertifikat incl. private Key wird auf dem IAS installiert.
In aller REgel jedoch im falschen certstore!!!! Auf dem IAS öffnest du das Snapin "´Certificate Store" und kopierst das IAS Serverzertifikat in den Certstore "Lokaler Computer". DANN kannst du auf dem IAS unter "RAS Richtlinien" eine Richtline machen wo das Computerkonto des Users im AD in der Gruppe "Computers" drin sein muss. Bei dieser RAS-Policy wählst du unter "Profile"..."Authentisierung" glaub ich "eAP PeAP MSCHAPv2) aus. Wenn du auf edit gehst siehst du auch das Serverzeritifkat. FAlls da ne Fehlermeldung kommt, dann ist das Zertifikat im falshcen Certstore, der IAS kann es nicht finden.
Dann machst du darunter eine zweite Richtlinie, die prüft ob der User in der Gruppe "Domain Users" drinne ist (Windowsgroup..). Dort das selbe unter Profle und "Authentisierung" einstellen mit EAP PEAP!!! Dann den IAS neu starten nach jeder Änderung an den Richtlinien.
Bei den WLAN Clients letztendlich musst du das Root CA Zertifikat (also das Certifikate der CA !!!) in denr Client Zeritifikatsstore installieren, und zwar unter lokaler Computer!!!! DAs geht nur mit lokalen adm. Rechten. Beim WLAN Adapter musst du dann auch EAP PEAP MSCHAP v2 wählen (standardmässig EAP-TLS).
Viel Erfolg! Da hast du dir ne schön komplexe Geschichte ausgesucht! Umso schöner wenns letztendlich läuft...
Der muss sich ja nix installieren - nur das Root CA Zertifikat. Und da ist ja kein Programm im herk. Sinne.
Der User braucht jedenfalls ein userkonto im AD, das ist halt die gängige u. sichere Methode per 802.1X. Alterniative wären WLAN WPA Keys pre shard, doch da skalliert nicht bei vielen u. wechselnden usern, und wird unsicher wernn der Key weitergereicht wird.
Ja es ist rech tkompliziert. Wenn du weder von AD noch von Radius geschweigedenn Certifizierungsstlelle ne Ahnung hast was di eso machen dann wird das recht hakelig das zum laufen zu bringen geschweige denn zu erklären. Ist im Prinzip ganz einfach wenn mans mal kapiert hat, doch es sind viele Abhängigkeiten und kompl. Protokolle die da mitscpielen müssen...
Der User braucht jedenfalls ein userkonto im AD, das ist halt die gängige u. sichere Methode per 802.1X. Alterniative wären WLAN WPA Keys pre shard, doch da skalliert nicht bei vielen u. wechselnden usern, und wird unsicher wernn der Key weitergereicht wird.
Ja es ist rech tkompliziert. Wenn du weder von AD noch von Radius geschweigedenn Certifizierungsstlelle ne Ahnung hast was di eso machen dann wird das recht hakelig das zum laufen zu bringen geschweige denn zu erklären. Ist im Prinzip ganz einfach wenn mans mal kapiert hat, doch es sind viele Abhängigkeiten und kompl. Protokolle die da mitscpielen müssen...
Ja aller anfang ist schwer.
Das HowTo in "Grobform" steht ja schon oben in meinem ersten Post.
Da stehen die ganzen "Spezialdinger" drin auf die man aufpassen muss und die grobe Vorgehensweise.
Eine Step-by-Step Anleitung hab ich leider nur im Kopf, das würde wohl nen Tag dauern das alles aufzuschreiben.
Doch wer soll das bezahlen?
Wo hängts denn konkret bei Dir? Was tut denn nicht?
Das HowTo in "Grobform" steht ja schon oben in meinem ersten Post.
Da stehen die ganzen "Spezialdinger" drin auf die man aufpassen muss und die grobe Vorgehensweise.
Eine Step-by-Step Anleitung hab ich leider nur im Kopf, das würde wohl nen Tag dauern das alles aufzuschreiben.
Doch wer soll das bezahlen?
Wo hängts denn konkret bei Dir? Was tut denn nicht?
Yo wie die Fehlermeldung sagt, hat keine der Richtlinien im IAS "gematcht". Da muss man ansetzen.
Du musst im IAS in der Richtlinenkonfiguration die Windows Gruppe eingeben, in der der User der authentisiert werden soll drin sein muss, z. B. "Domänen Benutzer".
Je nachdem musst du auf dem IAS dazu eine Universelle Gruppe nehmen, FALLS Domänenlokale oder globale nicht funktioniert.
Diese Universelle Gruppe muss auf dem DC zuvor eingerichtet sein, und alle User die WLAN machen können sollen müssen in diese Gruppe gesteckt werden.
Unter Verbindungsanforderungsrichtlinie oder wie der shit heisst muss zumindest eine Richtlinie drn sein, z. B. die Tag- u. Nachtzeit in der man sich authentiiseren darf.
Der Test-DC sollte eigentlich nur für die Installation der Zertifizierungsstelle genutzt werden!
Auf dem Test-DC die CA installieren und das IAS Serverzertifikat dort erstellen und auf dem "produktiven" IAS dann das Zertifikat als auch das Root CA Zertifikat der CA installieren!
Auf jeden Fall bist du auf dem richtigen Weg....
#
Wir können ja mal ne online session machen wenn du magst über VNC oder sowas dann schau ich mir das an. Bei ausufernder Hilfestellung würds allerdings paar Euronen kosten.
Du musst im IAS in der Richtlinenkonfiguration die Windows Gruppe eingeben, in der der User der authentisiert werden soll drin sein muss, z. B. "Domänen Benutzer".
Je nachdem musst du auf dem IAS dazu eine Universelle Gruppe nehmen, FALLS Domänenlokale oder globale nicht funktioniert.
Diese Universelle Gruppe muss auf dem DC zuvor eingerichtet sein, und alle User die WLAN machen können sollen müssen in diese Gruppe gesteckt werden.
Unter Verbindungsanforderungsrichtlinie oder wie der shit heisst muss zumindest eine Richtlinie drn sein, z. B. die Tag- u. Nachtzeit in der man sich authentiiseren darf.
Der Test-DC sollte eigentlich nur für die Installation der Zertifizierungsstelle genutzt werden!
Auf dem Test-DC die CA installieren und das IAS Serverzertifikat dort erstellen und auf dem "produktiven" IAS dann das Zertifikat als auch das Root CA Zertifikat der CA installieren!
Auf jeden Fall bist du auf dem richtigen Weg....
#
Wir können ja mal ne online session machen wenn du magst über VNC oder sowas dann schau ich mir das an. Bei ausufernder Hilfestellung würds allerdings paar Euronen kosten.