netnox
Goto Top

Windows 2019 NPS mit 802.1x EAP-TLS

Hallo Zusammen,

ich kämpfe jetzt schon 2 Tage mit einer 802.1x Radius Authentifizierung mit EAP-TLS

Habe folgendes Setup

Windows 2019 Server mit:
- AD (dc01.demo.local) mit händisch angelegten Benutzerkonto (Gerät unterstützt keine Domain Anmeldung/Registrierung!)
- Neue Organisationstonseinheit angelegt
- Benutzergruppe (Gruppe-A) erstellt (Global/Sicherheit)
- Benutzer "SI03" für Gerät angelegt und ist Mitglied der "Gruppe-A" zugewiesen (und Mitglied der Domänen-Benutzer)

- CA Installation (am lokalen Server)
- Zertifikatsvorlage Computer
- mit exportierbaren privaten Schlüssel
- Antragstellername
- Aus diesen Informationen in Active Directory erstellen
- Vollständiger definierter Name ... ausgewählt
- DNS-Name ... aktiviert
- Benutzerprizipalname (UPN) ... aktiviert
- Dienstprinzipalname (SPN) ... aktiviert
- NPS Setup
- Radius Client (Switch) mit Radius Key angelegt (Radius Verbindung ist richtig und funktioniert)
- Richtlinien
- Verbindungsanforderungsrichtlinie: (Windows-Authentifizierung für alle Benutzer verwenden)
- Netzwerkrichtlinie (Name "802.1x" angelegt")
- Bedingung
- Windowsgruppe (Gruppe-A)
- Authentifizierungsmethode
- Microsoft: geschütztes EAP (PEAP) mit
- "gesichertes Kennwort (EAP-MSCHAP v2)" und "Smartcard- oder anderes Zertifikat" eingestellt

Folgende Schritte wurden durchgeführt:
- Zertifikat über https:\\servername\certsrv erstellt
- CA Zertifikat und Benutzerzertifikat "SI03" inklusive privaten Schlüssel" im Gerät eingespielt und EAP-TLS aktiviert
- im AD wurde für den User "SI03" unter der "Namenszuordnungen ..." das Zertifikat zugeordnet ("Aussteller für alternative Sicherheitsidentität" ist deaktiviert und "Antragssteller für alternative Sicherheitsidentität" ist aktiviert). Zusätzlich ist unter Kerberos-Namen der "SI03.demo.local.com" eingetragen.
Im Zertifikat steht CN=SI03
- Unter den Benutzereigenschaften - Attribut Editor wurde bei servicePrincipalName der Eintrag host\SI03.demo.local.com

Problem:
- im Wireshark unter Radius sehe ich
1) -> Access-Request
2) <- Access-Challenge
3) -> Access-Request
4) <- Access-Reject

Am Server und der Ereignisanzeige bekomme ich die Fehlermeldung:
Der Netzwerkrichtlinienserver hat einem Benutzer den Zugriff verweigert.

Wenden Sie sich an den Administrator des Netzwerkrichtlinienservers, um weitere Informationen zu erhalten.

Benutzer:
Sicherheits-ID: DEMO\SI03
Kontoname: SI03
Kontodomäne: DEMO
Vollqualifizierter Kontoname: DEMO\SI03

Clientcomputer:
Sicherheits-ID: NULL SID
Kontoname: -
Vollqualifizierter Kontoname: -
ID der Empfangsstation: -
ID der Anrufstation: x-xx-x-xx-xx-xx

NAS:
NAS-IPv4-Adresse: 10.x.x.x
NAS-IPv6-Adresse: -
NAS-ID: -
NAS-Porttyp: -
NAS-Port: 1

RADIUS-Client:
Clientanzeigename: SWxx
Client-IP-Adresse: 10.x.x.x

Authentifizierungsdetails:
Name der Verbindungsanforderungsrichtlinie: 802.1x
Netzwerkrichtlinienname: 802.1x
Authentifizierungsanbieter: Windows
Authentifizierungsserver: dc01.demo.local.com
Authentifizierungstyp: EAP
EAP-Typ: -
Kontositzungs-ID: -
Protokollierungsergebnisse: Die Kontoinformationen wurden in die lokale Protokolldatei geschrieben.
Ursachencode: 22
Ursache: Der Client konnte nicht authentifiziert werden, da der angegebene EAP (Extensible Authentication-Protokoll)-Typ vom Server nicht verarbeitet werden kann.


Wenn vielleicht jemand eine Lösung hätte wäre ich sehr dankbar!

Content-ID: 664948

Url: https://administrator.de/forum/windows-2019-nps-mit-802-1x-eap-tls-664948.html

Ausgedruckt am: 23.12.2024 um 02:12 Uhr

aqui
aqui 21.03.2021 aktualisiert um 12:45:13 Uhr
Goto Top
Die Antwort des Radius Servers ist ja mit "4) <- Access-Reject" recht eindeutig !
Der User ist unbekannt und folglich verwehrt ihm der Radius daraufhin den Zugang. Works as designed... ! face-wink

Die entsprechenden Tutorials zu dem Thema hier hast du gelsesen ?
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik
Cisco SG 350x Grundkonfiguration
usw.
Die weiterführenden Links enthalten auch Hinweise zum korrekten Setup des NPS (Radius)
lcer00
lcer00 21.03.2021 um 15:17:09 Uhr
Goto Top
Hallo,

@aqui - das reject kommt ja vom NPS Server und dem passt das EAP nicht.

Was für eine gerät soll sich denn da anmelden? Normalerweise muss man das nicht anlegen, sondern ins AD joined. Bei Windowsgeräten muss 802.1x zudem konfiguriert werden.

Grüße

lcer
NetNox
NetNox 21.03.2021 um 16:35:37 Uhr
Goto Top
Hallo aqui,

danke für die Links - einige hatte ich vorher schon gelesen ... Leider gibt es hier keine Informationen die mein Problem lösen ....
NetNox
NetNox 21.03.2021 aktualisiert um 16:47:51 Uhr
Goto Top
Es handelte sich um ein Industriegerät. Hier kann ich nur EAP-TLS, CA-Zertifikat (public-key) und SI03 Zertifikat (public+private key) welches ich über die Windows Zertifizierungsstelle https://x.x.x.x/certsrv (Vorlage Benutzerdefiniert wie oben beschrieben erstellt habe) einstellen bzw. importieren.

AD Join ist leider nicht möglich .... face-sad

MfG
NetNox
7Gizmo7
7Gizmo7 21.03.2021 um 17:25:37 Uhr
Goto Top
Hi,

wenn ich dich richtig verstehe, willst du ja zertifikatsbasierte Anmeldung am Radius durchführen. Geh mal hier durch, da wird beschrieben, wie man es beim IPad zb. macht.

https://www.msxfaq.de/windows/sicherheit/8021x.htm

Vielleicht hilfts ja
NetNox
NetNox 21.03.2021 um 21:08:44 Uhr
Goto Top
@7Gizmo7

die Anleitung habe ich befolgt.

Wenn ich das Gerät als Computer anlege, das Passwort über Powershell setzte, Zertifikat im AD hinterlege und den ServicePrincipalName (host\SI03.demo.local.com) einstelle.

Findet der NPS den Rechner nicht.

Wenn ich das Gerät als Benutzer anlege findet der NPS den User und bringt den Fehler "Der Client konnte nicht authentifiziert werden, da der angegebene EAP (Extensible Authentication-Protokoll)-Typ vom Server nicht verarbeitet werden kann"
7Gizmo7
7Gizmo7 23.03.2021 aktualisiert um 19:33:08 Uhr
Goto Top
Zitat von @NetNox:

@7Gizmo7

die Anleitung habe ich befolgt.

Wenn ich das Gerät als Computer anlege, das Passwort über Powershell setzte,

Okay
Zertifikat im AD hinterlege

Das Zertifikat muss aber auf deine industriemaschine !

und den ServicePrincipalName(host\SI03.demo.local.com) einstelle.

Findet der NPS den Rechner nicht.

Wenn ich das Gerät als Benutzer anlege findet der NPS den User und bringt den Fehler "Der Client konnte nicht authentifiziert werden, da der angegebene EAP (Extensible Authentication-Protokoll)-Typ vom Server nicht verarbeitet werden kann"
NetNox
NetNox 23.03.2021 um 21:02:39 Uhr
Goto Top
@7Gizmo7
ist mir schon klar, Public+Private key des Computer und public Key der CA kommt auf den industrie Rechner ....