8
Windows 2019 NPS mit 802.1x EAP-TLS
Hallo Zusammen,
ich kämpfe jetzt schon 2 Tage mit einer 802.1x Radius Authentifizierung mit EAP-TLS
Habe folgendes Setup
Windows 2019 Server mit:
- AD (dc01.demo.local) mit händisch angelegten Benutzerkonto (Gerät unterstützt keine Domain Anmeldung/Registrierung!)
- Neue Organisationstonseinheit angelegt
- Benutzergruppe (Gruppe-A) erstellt (Global/Sicherheit)
- Benutzer "SI03" für Gerät angelegt und ist Mitglied der "Gruppe-A" zugewiesen (und Mitglied der Domänen-Benutzer)
- CA Installation (am lokalen Server)
- Zertifikatsvorlage Computer
- mit exportierbaren privaten Schlüssel
- Antragstellername
- Aus diesen Informationen in Active Directory erstellen
- Vollständiger definierter Name ... ausgewählt
- DNS-Name ... aktiviert
- Benutzerprizipalname (UPN) ... aktiviert
- Dienstprinzipalname (SPN) ... aktiviert
- NPS Setup
- Radius Client (Switch) mit Radius Key angelegt (Radius Verbindung ist richtig und funktioniert)
- Richtlinien
- Verbindungsanforderungsrichtlinie: (Windows-Authentifizierung für alle Benutzer verwenden)
- Netzwerkrichtlinie (Name "802.1x" angelegt")
- Bedingung
- Windowsgruppe (Gruppe-A)
- Authentifizierungsmethode
- Microsoft: geschütztes EAP (PEAP) mit
- "gesichertes Kennwort (EAP-MSCHAP v2)" und "Smartcard- oder anderes Zertifikat" eingestellt
Folgende Schritte wurden durchgeführt:
- Zertifikat über https:\\servername\certsrv erstellt
- CA Zertifikat und Benutzerzertifikat "SI03" inklusive privaten Schlüssel" im Gerät eingespielt und EAP-TLS aktiviert
- im AD wurde für den User "SI03" unter der "Namenszuordnungen ..." das Zertifikat zugeordnet ("Aussteller für alternative Sicherheitsidentität" ist deaktiviert und "Antragssteller für alternative Sicherheitsidentität" ist aktiviert). Zusätzlich ist unter Kerberos-Namen der "SI03.demo.local.com" eingetragen.
Im Zertifikat steht CN=SI03
- Unter den Benutzereigenschaften - Attribut Editor wurde bei servicePrincipalName der Eintrag host\SI03.demo.local.com
Problem:
- im Wireshark unter Radius sehe ich
1) -> Access-Request
2) <- Access-Challenge
3) -> Access-Request
4) <- Access-Reject
Am Server und der Ereignisanzeige bekomme ich die Fehlermeldung:
Der Netzwerkrichtlinienserver hat einem Benutzer den Zugriff verweigert.
Wenden Sie sich an den Administrator des Netzwerkrichtlinienservers, um weitere Informationen zu erhalten.
Benutzer:
Sicherheits-ID: DEMO\SI03
Kontoname: SI03
Kontodomäne: DEMO
Vollqualifizierter Kontoname: DEMO\SI03
Clientcomputer:
Sicherheits-ID: NULL SID
Kontoname: -
Vollqualifizierter Kontoname: -
ID der Empfangsstation: -
ID der Anrufstation: x-xx-x-xx-xx-xx
NAS:
NAS-IPv4-Adresse: 10.x.x.x
NAS-IPv6-Adresse: -
NAS-ID: -
NAS-Porttyp: -
NAS-Port: 1
RADIUS-Client:
Clientanzeigename: SWxx
Client-IP-Adresse: 10.x.x.x
Authentifizierungsdetails:
Name der Verbindungsanforderungsrichtlinie: 802.1x
Netzwerkrichtlinienname: 802.1x
Authentifizierungsanbieter: Windows
Authentifizierungsserver: dc01.demo.local.com
Authentifizierungstyp: EAP
EAP-Typ: -
Kontositzungs-ID: -
Protokollierungsergebnisse: Die Kontoinformationen wurden in die lokale Protokolldatei geschrieben.
Ursachencode: 22
Ursache: Der Client konnte nicht authentifiziert werden, da der angegebene EAP (Extensible Authentication-Protokoll)-Typ vom Server nicht verarbeitet werden kann.
Wenn vielleicht jemand eine Lösung hätte wäre ich sehr dankbar!
ich kämpfe jetzt schon 2 Tage mit einer 802.1x Radius Authentifizierung mit EAP-TLS
Habe folgendes Setup
Windows 2019 Server mit:
- AD (dc01.demo.local) mit händisch angelegten Benutzerkonto (Gerät unterstützt keine Domain Anmeldung/Registrierung!)
- Neue Organisationstonseinheit angelegt
- Benutzergruppe (Gruppe-A) erstellt (Global/Sicherheit)
- Benutzer "SI03" für Gerät angelegt und ist Mitglied der "Gruppe-A" zugewiesen (und Mitglied der Domänen-Benutzer)
- CA Installation (am lokalen Server)
- Zertifikatsvorlage Computer
- mit exportierbaren privaten Schlüssel
- Antragstellername
- Aus diesen Informationen in Active Directory erstellen
- Vollständiger definierter Name ... ausgewählt
- DNS-Name ... aktiviert
- Benutzerprizipalname (UPN) ... aktiviert
- Dienstprinzipalname (SPN) ... aktiviert
- NPS Setup
- Radius Client (Switch) mit Radius Key angelegt (Radius Verbindung ist richtig und funktioniert)
- Richtlinien
- Verbindungsanforderungsrichtlinie: (Windows-Authentifizierung für alle Benutzer verwenden)
- Netzwerkrichtlinie (Name "802.1x" angelegt")
- Bedingung
- Windowsgruppe (Gruppe-A)
- Authentifizierungsmethode
- Microsoft: geschütztes EAP (PEAP) mit
- "gesichertes Kennwort (EAP-MSCHAP v2)" und "Smartcard- oder anderes Zertifikat" eingestellt
Folgende Schritte wurden durchgeführt:
- Zertifikat über https:\\servername\certsrv erstellt
- CA Zertifikat und Benutzerzertifikat "SI03" inklusive privaten Schlüssel" im Gerät eingespielt und EAP-TLS aktiviert
- im AD wurde für den User "SI03" unter der "Namenszuordnungen ..." das Zertifikat zugeordnet ("Aussteller für alternative Sicherheitsidentität" ist deaktiviert und "Antragssteller für alternative Sicherheitsidentität" ist aktiviert). Zusätzlich ist unter Kerberos-Namen der "SI03.demo.local.com" eingetragen.
Im Zertifikat steht CN=SI03
- Unter den Benutzereigenschaften - Attribut Editor wurde bei servicePrincipalName der Eintrag host\SI03.demo.local.com
Problem:
- im Wireshark unter Radius sehe ich
1) -> Access-Request
2) <- Access-Challenge
3) -> Access-Request
4) <- Access-Reject
Am Server und der Ereignisanzeige bekomme ich die Fehlermeldung:
Der Netzwerkrichtlinienserver hat einem Benutzer den Zugriff verweigert.
Wenden Sie sich an den Administrator des Netzwerkrichtlinienservers, um weitere Informationen zu erhalten.
Benutzer:
Sicherheits-ID: DEMO\SI03
Kontoname: SI03
Kontodomäne: DEMO
Vollqualifizierter Kontoname: DEMO\SI03
Clientcomputer:
Sicherheits-ID: NULL SID
Kontoname: -
Vollqualifizierter Kontoname: -
ID der Empfangsstation: -
ID der Anrufstation: x-xx-x-xx-xx-xx
NAS:
NAS-IPv4-Adresse: 10.x.x.x
NAS-IPv6-Adresse: -
NAS-ID: -
NAS-Porttyp: -
NAS-Port: 1
RADIUS-Client:
Clientanzeigename: SWxx
Client-IP-Adresse: 10.x.x.x
Authentifizierungsdetails:
Name der Verbindungsanforderungsrichtlinie: 802.1x
Netzwerkrichtlinienname: 802.1x
Authentifizierungsanbieter: Windows
Authentifizierungsserver: dc01.demo.local.com
Authentifizierungstyp: EAP
EAP-Typ: -
Kontositzungs-ID: -
Protokollierungsergebnisse: Die Kontoinformationen wurden in die lokale Protokolldatei geschrieben.
Ursachencode: 22
Ursache: Der Client konnte nicht authentifiziert werden, da der angegebene EAP (Extensible Authentication-Protokoll)-Typ vom Server nicht verarbeitet werden kann.
Wenn vielleicht jemand eine Lösung hätte wäre ich sehr dankbar!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 664948
Url: https://administrator.de/contentid/664948
Printed on: April 26, 2024 at 17:04 o'clock
8 Comments
Latest comment
Die Antwort des Radius Servers ist ja mit "4) <- Access-Reject" recht eindeutig !
Der User ist unbekannt und folglich verwehrt ihm der Radius daraufhin den Zugang. Works as designed... !
Die entsprechenden Tutorials zu dem Thema hier hast du gelsesen ?
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik
Cisco SG 350x Grundkonfiguration
usw.
Die weiterführenden Links enthalten auch Hinweise zum korrekten Setup des NPS (Radius)
Der User ist unbekannt und folglich verwehrt ihm der Radius daraufhin den Zugang. Works as designed... !
Die entsprechenden Tutorials zu dem Thema hier hast du gelsesen ?
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik
Cisco SG 350x Grundkonfiguration
usw.
Die weiterführenden Links enthalten auch Hinweise zum korrekten Setup des NPS (Radius)
Hallo,
@aqui - das reject kommt ja vom NPS Server und dem passt das EAP nicht.
Was für eine gerät soll sich denn da anmelden? Normalerweise muss man das nicht anlegen, sondern ins AD joined. Bei Windowsgeräten muss 802.1x zudem konfiguriert werden.
Grüße
lcer
@aqui - das reject kommt ja vom NPS Server und dem passt das EAP nicht.
Was für eine gerät soll sich denn da anmelden? Normalerweise muss man das nicht anlegen, sondern ins AD joined. Bei Windowsgeräten muss 802.1x zudem konfiguriert werden.
Grüße
lcer
Hallo aqui,
danke für die Links - einige hatte ich vorher schon gelesen ... Leider gibt es hier keine Informationen die mein Problem lösen ....
danke für die Links - einige hatte ich vorher schon gelesen ... Leider gibt es hier keine Informationen die mein Problem lösen ....
Es handelte sich um ein Industriegerät. Hier kann ich nur EAP-TLS, CA-Zertifikat (public-key) und SI03 Zertifikat (public+private key) welches ich über die Windows Zertifizierungsstelle https://x.x.x.x/certsrv (Vorlage Benutzerdefiniert wie oben beschrieben erstellt habe) einstellen bzw. importieren.
AD Join ist leider nicht möglich ....
MfG
NetNox
AD Join ist leider nicht möglich ....
MfG
NetNox
Hi,
wenn ich dich richtig verstehe, willst du ja zertifikatsbasierte Anmeldung am Radius durchführen. Geh mal hier durch, da wird beschrieben, wie man es beim IPad zb. macht.
https://www.msxfaq.de/windows/sicherheit/8021x.htm
Vielleicht hilfts ja
wenn ich dich richtig verstehe, willst du ja zertifikatsbasierte Anmeldung am Radius durchführen. Geh mal hier durch, da wird beschrieben, wie man es beim IPad zb. macht.
https://www.msxfaq.de/windows/sicherheit/8021x.htm
Vielleicht hilfts ja
@7Gizmo7
die Anleitung habe ich befolgt.
Wenn ich das Gerät als Computer anlege, das Passwort über Powershell setzte, Zertifikat im AD hinterlege und den ServicePrincipalName (host\SI03.demo.local.com) einstelle.
Findet der NPS den Rechner nicht.
Wenn ich das Gerät als Benutzer anlege findet der NPS den User und bringt den Fehler "Der Client konnte nicht authentifiziert werden, da der angegebene EAP (Extensible Authentication-Protokoll)-Typ vom Server nicht verarbeitet werden kann"
die Anleitung habe ich befolgt.
Wenn ich das Gerät als Computer anlege, das Passwort über Powershell setzte, Zertifikat im AD hinterlege und den ServicePrincipalName (host\SI03.demo.local.com) einstelle.
Findet der NPS den Rechner nicht.
Wenn ich das Gerät als Benutzer anlege findet der NPS den User und bringt den Fehler "Der Client konnte nicht authentifiziert werden, da der angegebene EAP (Extensible Authentication-Protokoll)-Typ vom Server nicht verarbeitet werden kann"
Zitat von @NetNox:
@7Gizmo7
die Anleitung habe ich befolgt.
Wenn ich das Gerät als Computer anlege, das Passwort über Powershell setzte,
@7Gizmo7
die Anleitung habe ich befolgt.
Wenn ich das Gerät als Computer anlege, das Passwort über Powershell setzte,
Okay
Zertifikat im AD hinterlege
Das Zertifikat muss aber auf deine industriemaschine !
und den ServicePrincipalName(host\SI03.demo.local.com) einstelle.
Findet der NPS den Rechner nicht.
Wenn ich das Gerät als Benutzer anlege findet der NPS den User und bringt den Fehler "Der Client konnte nicht authentifiziert werden, da der angegebene EAP (Extensible Authentication-Protokoll)-Typ vom Server nicht verarbeitet werden kann"
Findet der NPS den Rechner nicht.
Wenn ich das Gerät als Benutzer anlege findet der NPS den User und bringt den Fehler "Der Client konnte nicht authentifiziert werden, da der angegebene EAP (Extensible Authentication-Protokoll)-Typ vom Server nicht verarbeitet werden kann"
@7Gizmo7
ist mir schon klar, Public+Private key des Computer und public Key der CA kommt auf den industrie Rechner ....
ist mir schon klar, Public+Private key des Computer und public Key der CA kommt auf den industrie Rechner ....