westberliner
Goto Top

Windows NPS Drucker meldet sich als User

Hallo,

ich habe meinem Drucker per SCEP ein Zertifikat zugewiesen.
Nun soll der Drucker per 802.1x sich an meinem NPS anmelden, allerdings bekomme ich dort den Fehler, dass der Benutzer nicht gefunden wurde:


Ursachencode: 8
Ursache: Das angegebene Benutzerkonto ist nicht vorhanden nicht.
Ereignis-ID: 6273

Dieser versucht sich mit dem Druckernamen anzumelden, was dann fehlgeschlägt, da kein User Account vorhanden ist.

Erstelle ich einen Useraccount mit diesem Namen, dann bekomme ich einen Fehler, dass Passwort sei falsch.

Sofern ich es richtig verstanden habe, brauche ich aber normalerweise keinen AD-Account mehr, sofern ich mich per Zertifikat am Netzwerk anmelden möchte und dieses am Client samt dem Root-Zertifikat vorhanden ist.


Im Drucker (Canon) ist lediglich TLS aktiv und das Zertifikat hinterlegt.

canon 802.1x

Am NPS greift er auf die LAN-Richtlinie der Clients.

nps settings
nps settings2

Jemand eine Idee, wo der Fehler drin steckt?

Danke.

Content-Key: 1487129630

Url: https://administrator.de/contentid/1487129630

Printed on: February 2, 2023 at 22:02 o'clock

Member: Dani
Dani Nov 09, 2021 at 14:31:38 (UTC)
Goto Top
Moin,
ich habe meinem Drucker per SCEP ein Zertifikat zugewiesen.
Was für ein Modell kommt zum Einsatz? Hast du die neuste Firmware auf dem Gerät am Laufen?

Am NPS greift er auf die LAN-Richtlinie der Clients.
Was möchtest du mit der Windows-Gruppe im letzten Screenshot bewirken?


Gruß,
Dani
Member: westberliner
westberliner Nov 09, 2021 at 16:48:46 (UTC)
Goto Top
Hallo Dani,

mein Testgerät ist hier ein Canon IR-ADV C257, Firmware ist auf den letzten Stand aktualisiert worden.


Im NPS habe ich in der Richtlinie eine Gruppe erstellt, in der die Computer-Objekte des AD Mitglied sein müssen, ansonsten bekommen die zwar ein Zertifikat, werden aber immer noch nicht authentifiziert.

Das gleiche wollte ich für Drucker einrichten, daher noch eine zweite Gruppe. Wenn ein Drucker ein Zertifikat hat, sollte er dann nicht automatisch freigegeben werden, sondern die Mitgliedschaft geprüft werden. Ist jetzt aber kein Must-Have, vor allem da ich ja an sich kein Computer-Objekt in der AD für den Drucker habe.
Member: lcer00
lcer00 Nov 09, 2021 at 21:11:49 (UTC)
Goto Top
Hallo,

Du brauchst ein passendes Computerobjekt im AD, sonst kannst Du die Gruppe nicht prüfen.

Die Häkchen bei MSCHAP können alle weg, Du willst ja kein Passwort sondern Zertifikate nutzen.

Und dann poste mal anonymisierten die Einstellungen aus EAPTypen/MicrosoftZertifikat/Bearbeiten

Was sagt die NPS Logdatei?

Grüße

lcer
Member: westberliner
westberliner Nov 10, 2021 at 09:02:35 (UTC)
Goto Top
Hallo,



Du brauchst ein passendes Computerobjekt im AD, sonst kannst Du die Gruppe nicht prüfen.

Ich habe jetzt mal den Vorgang ohne Computerobjekt durchgeführt.

Die Häkchen bei MSCHAP können alle weg, Du willst ja kein Passwort sondern Zertifikate nutzen.
Danke, das habe ich eben noch nachgezogen.

Und dann poste mal anonymisierten die Einstellungen aus EAPTypen/MicrosoftZertifikat/Bearbeiten

Meinst du diese Einstellungen?

nps settings3

Was sagt die NPS Logdatei?


Und nun mit angelegtem Computerobjekt mit dem Namen des Druckers:

Member: lcer00
lcer00 Nov 10, 2021 at 09:15:42 (UTC)
Goto Top
beide werden abgelehnt, mit 8 = IAS_NO_SUCH_USER

Der NPS kann also den Usernamen nicht zuordnen. Gibt es denn einen User mit
im AD?

Grüße

lcer
Member: westberliner
westberliner Nov 10, 2021 at 09:32:22 (UTC)
Goto Top
Der NPS kann also den Usernamen nicht zuordnen. Gibt es denn einen User mit
im AD?

User im AD angelegt, in die Gruppe LAN_Printers allow hinzugefügt, nun folgender "Fehler":

Member: lcer00
lcer00 Nov 10, 2021 at 09:46:43 (UTC)
Goto Top
Hallo,

16 = IAS_AUTH_FAILURE

Das Zertifikat passt wohl nicht zum User. Vergleiche mal den DistinguishedName im Zertifikat und im Active Directory (Leerzeichen und Kommas ignorieren, der Rest muss passen).

übrigens siehe https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/window ...

Grüße

lcer
Member: westberliner
westberliner Nov 10, 2021 at 10:09:03 (UTC)
Goto Top
Ist der DN beim Zertifikat dann der Anstragssteller der CN, also in dem Fall VM-CS-MSCEP?

cert1

Dies kommt ja von dem SCEP/NDES direkt, im Drucker habe ich das bei der Registrierung nirgends angegeben...
Member: lcer00
lcer00 Nov 10, 2021 at 10:18:16 (UTC)
Goto Top
Hallo,
Zitat von @westberliner:

Ist der DN beim Zertifikat dann der Anstragssteller der CN, also in dem Fall VM-CS-MSCEP?

Dies kommt ja von dem SCEP/NDES direkt, im Drucker habe ich das bei der Registrierung nirgends angegeben...
Nee, das ist falsch. Schau mal bei den Ausgestellten Zertifikaten auf der Zertifizierungsstelle nach, welches für Deinen Drucker war.

grüße

lcer
Member: westberliner
westberliner Nov 10, 2021 at 10:29:43 (UTC)
Goto Top
Das ist das Druckerzertifikat im Screenshot oben. Das wird vom SCEP für "VM-CS-MSCEP" ausgestellt und nicht für "PRSBG01" (also den Druckernnamen). Dann ist das wohl der Fehler, woher der auch dann herkommt?

In der Vorlage zur Registrierung ist folgendes eingestellt:

vorlage nps
Member: lcer00
lcer00 Nov 10, 2021 at 10:35:54 (UTC)
Goto Top
Das ist schon richtig so, bei der Antragstellung im SCEP-Verfahren muss der DN halt richtig angegeben sein.

Grüße

lcer
Member: westberliner
westberliner Nov 10, 2021 updated at 10:53:16 (UTC)
Goto Top
Sorry für die dumme Frage, ich kapiers aber nicht ganz:

Der DN für das AD Objekt ist:
CN=PRSBG01,CN=Users,DC=MYDOMAIN,DC=local

Bei der SCEP Registrierung kann ich im Canon folgendes mitgeben:

canon1

Liegt der Fehler darin, dass ich dann den kompletten DN-Wert als Schlüsselname anlegen muss?
Member: lcer00
lcer00 Nov 10, 2021 at 10:58:08 (UTC)
Goto Top
Hallo
Zitat von @westberliner:

Sorry für die Dumme Frage, ich kapiers aber nicht ganz:

Der DN für das AD Objekt ist:
CN=PRSBG01,CN=Users,DC=MYDOMAIN,DC=local
genau. und mindestens CN=PRSBG01 muss irgendwo im Zertifikat landen. Sonst kann der NPS den User nicht dem Zertifikat zuordnen.

Liegt der Fehler darin, dass ich dann den kompletten DN-Wert als Schlüsselname anlegen muss?
Keine Ahnung wie die Drucker-GUI das zusammenbastelt. Entweder gibts ein Handbuch oder Du musst es ausprobieren. Das erzeugte Zertifikat würde ich in der Zertifiziungsstelle direkt öffnen und überprüfen. Achtung: in der Ansicht der zertifizierungsstelle sind "Antragsstellername" in der Liste und "Antragssteller" im Zertifikat verschiedene Dinge.

Grüße

lcer
Mitglied: 149569
149569 Nov 10, 2021 updated at 11:06:22 (UTC)
Goto Top
Zitat von @lcer00:
genau. und mindestens CN=PRSBG01 muss irgendwo im Zertifikat landen. Sonst kann der NPS den User nicht dem Zertifikat zuordnen.
Und die SANs nicht vergessen...
Hier stehen alle Cert Voraussetzungen für solche Zertifikate im Zusammenhang mit dem NPS
Konfigurieren von Zertifikatvorlagen für PEAP- und EAP-Anforderungen

Member: colinardo
colinardo Nov 11, 2021 updated at 10:34:32 (UTC)
Goto Top
Servus @westberliner,

du brauchst folgendes:
  • Das Computer-Zertifikat muss den FQDN des Druckers (PRSBG01.domain.tld) sowohl im CN(commonName) als auch als SAN als DNS-Eintrag enthalten des weiteren muss die EKU-Erweiterung "Clientauthentifizierung" enthalten sein.
https://docs.microsoft.com/de-de/windows-server/networking/technologies/ ...
  • Du musst ein Computer-Objekt mit dem Namen des Druckers anlegen (PRSBG01)
  • Wenn du in der Netzwerkrichtlinie im NPS eine Gruppe als "Bedingung" anlegst dann muss das angelegte Computer-Objekt auch dort Mitglied sein.
  • WICHTIG: Als Login-Name am Drucker verwendest du dann den Namen mit abschließendem Dollarzeichen PRSBG01$, damit erzwingst du am NPS einen Abgleich mit den Computerobjekten im AD.

So klappt das hier auch einwandfrei.

Hier ein Auszug aus einem der Drucker, der sich via EAP-TLS authentifiziert

screenshot

Und hier das Event auf dem NPS das dem Drucker Zugriff gewährt

screenshot

Grüße Uwe
Member: westberliner
westberliner Nov 12, 2021 at 13:35:30 (UTC)
Goto Top
Bei mir fehlt in den ausgestellten Zertifikaten der SAN komplett, deswegen komme ich hier nicht weiter. Als Anstragstellername habe ich gemäß der Anleitungen "Informationen werden in der Anforderung angegeben" aktiviert, sodass ich aktuell in der Zertifikatsvorlage keine Option sehe, wo ich den SAN überhaupt noch aktivieren kann für die Zertifikate?

SAN (DNS-Name) kann ich nur auswählen, wenn ich die Informationen aus dem AD hole.

Muss ich die Vorlage ändern?
zertifkatsvorlage
Member: colinardo
colinardo Nov 12, 2021 updated at 16:26:17 (UTC)
Goto Top
Zitat von @westberliner:
Bei mir fehlt in den ausgestellten Zertifikaten der SAN komplett, deswegen komme ich hier nicht weiter. Als Anstragstellername habe ich gemäß der Anleitungen "Informationen werden in der Anforderung angegeben" aktiviert, sodass ich aktuell in der Zertifikatsvorlage keine Option sehe, wo ich den SAN überhaupt noch aktivieren kann für die Zertifikate?
Bei der ersten Option muss der der das Zertifikat anfordert diese Informationen liefern
Bei der zweiten Information kommen die Infos automatisch aus dem AD, das klappt aber nur wenn der Drucker richtig in die Domäne eingebunden ist.
Muss ich die Vorlage ändern?
Nein die Option muss der Drucker in seiner Anfrage mitteilen und die Zertifizierungsstelle muss das auch erlauben mittels
https://www.msxfaq.de/signcrypt/scep.htm#konfiguration_der_templates

Gibt es auf dem Drucker keine Möglichkeit den SAN zu konfigurieren wirst du wohl das Zertifikat manuell erstellen und auf dem Drucker einbinden müssen, ich kenne da ehrlich gesagt jetzt keinen anderen Weg.
Member: westberliner
westberliner Nov 15, 2021 at 14:17:49 (UTC)
Goto Top
So, nachdem ich nirgends geschafft habe, den SAN im Zertifikat anzugeben, habe ich mich an Canon direkt gewandt.

"Unfortunately, this is not possible with SCEP to obtain a certificate with SAN.
When using IEEE802.1X, a SAN extension is not necessarily required."

Habe auch bei der manuellen Anforderung am Drucker, nirgends ein Feld gefunden, in dem ich SAN angeben kann.

Habe ich nun etwa Pech gehabt damit?
Member: colinardo
Solution colinardo Nov 15, 2021 updated at 15:00:38 (UTC)
Goto Top
Zitat von @westberliner:
"Unfortunately, this is not possible with SCEP to obtain a certificate with SAN.
Wenn die damit meinen das wäre mit SCEP generell nicht möglich, liegen sie absolut falsch face-wink. Mache das hier mit Mikrotik-Routern schon seit eh und je inkl. SANs auch mit einer Windows CA mit aktivem SCEP.
When using IEEE802.1X, a SAN extension is not necessarily required."
Das ist bzw. war früher so richtig, aber jeder Radius-Server kann das so oder so implementieren. Ist aber mittlerweile in aktuellen SSL Implementierungen überall so das sich der CN auch in den SANs wiederfinden muss damit ein Zertifikat als gültig anerkannt werden kann.
Hier siehst du bspw. was passiert wenn man dem NPS ein Zertifikat nur mit CN und ohne SAN präsentiert:

screenshot

Das mag der wie man sieht gar nicht.

Aktuelle Spezifikationen verlangen das wie gesagt mittlerweile fast überall.
https://stackoverflow.com/questions/5935369/how-do-common-names-cn-and-s ...

Habe auch bei der manuellen Anforderung am Drucker, nirgends ein Feld gefunden, in dem ich SAN angeben kann.
Dann mach dir doch einfach eine Vorlage mit manueller Angabe beim Ausstellen und erzeuge ein Zertifikat mit der MMC und das exportierst du von der Maschine dann als *.pfx und dann importierst du das in den Drucker, fertig. Wenn der Drucker das als PEM und KEY braucht wandelst du dir das *.pfx schnell mit OpenSSL oder XCA um.

screenshot

Nicht vergessen für den Computer der das Zertifikat anfordern soll auf dem Reiter Sicherheit des Templates diesen mit "Registrieren" Rechten zu versehen, sonst siehst du das Template beim Anfordern in der MMC nicht.

screenshot

Und in der Vorlage nicht vergessen die Option zu aktivieren das der private Schlüssel exportiert werden kann.

screenshot
Member: westberliner
westberliner Nov 16, 2021 updated at 15:59:23 (UTC)
Goto Top
So, ich habe es nun mit manueller Erstellung des Zertifikats gemacht und damit klappt es auch auf Anhieb. Mit SCEP wäre es natürlich noch cooler, aber damit muss ich leben - zumal so oft die Drucker nicht wechseln.

Mit Zertifikaten und Windows-Radius muss man sich eindeutig mehr beschäftigen.

Vielen Dank für euere Hilfe!
Member: colinardo
colinardo Nov 16, 2021 at 16:11:12 (UTC)
Goto Top
Zitat von @westberliner:
So, ich habe es nun mit manueller Erstellung des Zertifikats gemacht und damit klappt es auch auf Anhieb.
­čĹŹ
Vielen Dank für euere Hilfe!
Jederzeit.

Grüße Uwe