Windows NPS Drucker meldet sich als User

Hallo,

ich habe meinem Drucker per SCEP ein Zertifikat zugewiesen.
Nun soll der Drucker per 802.1x sich an meinem NPS anmelden, allerdings bekomme ich dort den Fehler, dass der Benutzer nicht gefunden wurde:


Ursachencode: 8
Ursache: Das angegebene Benutzerkonto ist nicht vorhanden nicht.
Ereignis-ID: 6273

Dieser versucht sich mit dem Druckernamen anzumelden, was dann fehlgeschlägt, da kein User Account vorhanden ist.

Erstelle ich einen Useraccount mit diesem Namen, dann bekomme ich einen Fehler, dass Passwort sei falsch.

Sofern ich es richtig verstanden habe, brauche ich aber normalerweise keinen AD-Account mehr, sofern ich mich per Zertifikat am Netzwerk anmelden möchte und dieses am Client samt dem Root-Zertifikat vorhanden ist.


Im Drucker (Canon) ist lediglich TLS aktiv und das Zertifikat hinterlegt.

canon 802.1x

Am NPS greift er auf die LAN-Richtlinie der Clients.

nps settings
nps settings2

Jemand eine Idee, wo der Fehler drin steckt?

Danke.

Content-Key: 1487129630

Url: https://administrator.de/contentid/1487129630

Ausgedruckt am: 21.01.2022 um 07:01 Uhr

Mitglied: Dani
Dani 09.11.2021 um 15:31:38 Uhr
Goto Top
Moin,
ich habe meinem Drucker per SCEP ein Zertifikat zugewiesen.
Was für ein Modell kommt zum Einsatz? Hast du die neuste Firmware auf dem Gerät am Laufen?

Am NPS greift er auf die LAN-Richtlinie der Clients.
Was möchtest du mit der Windows-Gruppe im letzten Screenshot bewirken?


Gruß,
Dani
Mitglied: westberliner
westberliner 09.11.2021 um 17:48:46 Uhr
Goto Top
Hallo Dani,

mein Testgerät ist hier ein Canon IR-ADV C257, Firmware ist auf den letzten Stand aktualisiert worden.


Im NPS habe ich in der Richtlinie eine Gruppe erstellt, in der die Computer-Objekte des AD Mitglied sein müssen, ansonsten bekommen die zwar ein Zertifikat, werden aber immer noch nicht authentifiziert.

Das gleiche wollte ich für Drucker einrichten, daher noch eine zweite Gruppe. Wenn ein Drucker ein Zertifikat hat, sollte er dann nicht automatisch freigegeben werden, sondern die Mitgliedschaft geprüft werden. Ist jetzt aber kein Must-Have, vor allem da ich ja an sich kein Computer-Objekt in der AD für den Drucker habe.
Mitglied: lcer00
lcer00 09.11.2021 um 22:11:49 Uhr
Goto Top
Hallo,

Du brauchst ein passendes Computerobjekt im AD, sonst kannst Du die Gruppe nicht prüfen.

Die Häkchen bei MSCHAP können alle weg, Du willst ja kein Passwort sondern Zertifikate nutzen.

Und dann poste mal anonymisierten die Einstellungen aus EAPTypen/MicrosoftZertifikat/Bearbeiten

Was sagt die NPS Logdatei?

Grüße

lcer
Mitglied: westberliner
westberliner 10.11.2021 um 10:02:35 Uhr
Goto Top
Hallo,



Du brauchst ein passendes Computerobjekt im AD, sonst kannst Du die Gruppe nicht prüfen.

Ich habe jetzt mal den Vorgang ohne Computerobjekt durchgeführt.

Die Häkchen bei MSCHAP können alle weg, Du willst ja kein Passwort sondern Zertifikate nutzen.
Danke, das habe ich eben noch nachgezogen.

Und dann poste mal anonymisierten die Einstellungen aus EAPTypen/MicrosoftZertifikat/Bearbeiten

Meinst du diese Einstellungen?

nps settings3

Was sagt die NPS Logdatei?


Und nun mit angelegtem Computerobjekt mit dem Namen des Druckers:

Mitglied: lcer00
lcer00 10.11.2021 um 10:15:42 Uhr
Goto Top
beide werden abgelehnt, mit 8 = IAS_NO_SUCH_USER

Der NPS kann also den Usernamen nicht zuordnen. Gibt es denn einen User mit
im AD?

Grüße

lcer
Mitglied: westberliner
westberliner 10.11.2021 um 10:32:22 Uhr
Goto Top
Der NPS kann also den Usernamen nicht zuordnen. Gibt es denn einen User mit
im AD?

User im AD angelegt, in die Gruppe LAN_Printers allow hinzugefügt, nun folgender "Fehler":

Mitglied: lcer00
lcer00 10.11.2021 um 10:46:43 Uhr
Goto Top
Hallo,

16 = IAS_AUTH_FAILURE

Das Zertifikat passt wohl nicht zum User. Vergleiche mal den DistinguishedName im Zertifikat und im Active Directory (Leerzeichen und Kommas ignorieren, der Rest muss passen).

übrigens siehe https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/window ...

Grüße

lcer
Mitglied: westberliner
westberliner 10.11.2021 um 11:09:03 Uhr
Goto Top
Ist der DN beim Zertifikat dann der Anstragssteller der CN, also in dem Fall VM-CS-MSCEP?

cert1

Dies kommt ja von dem SCEP/NDES direkt, im Drucker habe ich das bei der Registrierung nirgends angegeben...
Mitglied: lcer00
lcer00 10.11.2021 um 11:18:16 Uhr
Goto Top
Hallo,
Zitat von @westberliner:

Ist der DN beim Zertifikat dann der Anstragssteller der CN, also in dem Fall VM-CS-MSCEP?

Dies kommt ja von dem SCEP/NDES direkt, im Drucker habe ich das bei der Registrierung nirgends angegeben...
Nee, das ist falsch. Schau mal bei den Ausgestellten Zertifikaten auf der Zertifizierungsstelle nach, welches für Deinen Drucker war.

grüße

lcer
Mitglied: westberliner
westberliner 10.11.2021 um 11:29:43 Uhr
Goto Top
Das ist das Druckerzertifikat im Screenshot oben. Das wird vom SCEP für "VM-CS-MSCEP" ausgestellt und nicht für "PRSBG01" (also den Druckernnamen). Dann ist das wohl der Fehler, woher der auch dann herkommt?

In der Vorlage zur Registrierung ist folgendes eingestellt:

vorlage nps
Mitglied: lcer00
lcer00 10.11.2021 um 11:35:54 Uhr
Goto Top
Das ist schon richtig so, bei der Antragstellung im SCEP-Verfahren muss der DN halt richtig angegeben sein.

Grüße

lcer
Mitglied: westberliner
westberliner 10.11.2021 aktualisiert um 11:53:16 Uhr
Goto Top
Sorry für die dumme Frage, ich kapiers aber nicht ganz:

Der DN für das AD Objekt ist:
CN=PRSBG01,CN=Users,DC=MYDOMAIN,DC=local

Bei der SCEP Registrierung kann ich im Canon folgendes mitgeben:

canon1

Liegt der Fehler darin, dass ich dann den kompletten DN-Wert als Schlüsselname anlegen muss?
Mitglied: lcer00
lcer00 10.11.2021 um 11:58:08 Uhr
Goto Top
Hallo
Zitat von @westberliner:

Sorry für die Dumme Frage, ich kapiers aber nicht ganz:

Der DN für das AD Objekt ist:
CN=PRSBG01,CN=Users,DC=MYDOMAIN,DC=local
genau. und mindestens CN=PRSBG01 muss irgendwo im Zertifikat landen. Sonst kann der NPS den User nicht dem Zertifikat zuordnen.

Liegt der Fehler darin, dass ich dann den kompletten DN-Wert als Schlüsselname anlegen muss?
Keine Ahnung wie die Drucker-GUI das zusammenbastelt. Entweder gibts ein Handbuch oder Du musst es ausprobieren. Das erzeugte Zertifikat würde ich in der Zertifiziungsstelle direkt öffnen und überprüfen. Achtung: in der Ansicht der zertifizierungsstelle sind "Antragsstellername" in der Liste und "Antragssteller" im Zertifikat verschiedene Dinge.

Grüße

lcer
Mitglied: 149569
149569 10.11.2021 aktualisiert um 12:06:22 Uhr
Goto Top
Zitat von @lcer00:
genau. und mindestens CN=PRSBG01 muss irgendwo im Zertifikat landen. Sonst kann der NPS den User nicht dem Zertifikat zuordnen.
Und die SANs nicht vergessen...
Hier stehen alle Cert Voraussetzungen für solche Zertifikate im Zusammenhang mit dem NPS
Konfigurieren von Zertifikatvorlagen für PEAP- und EAP-Anforderungen

Mitglied: colinardo
colinardo 11.11.2021 aktualisiert um 11:34:32 Uhr
Goto Top
Servus @westberliner,

du brauchst folgendes:
  • Das Computer-Zertifikat muss den FQDN des Druckers (PRSBG01.domain.tld) sowohl im CN(commonName) als auch als SAN als DNS-Eintrag enthalten des weiteren muss die EKU-Erweiterung "Clientauthentifizierung" enthalten sein.
https://docs.microsoft.com/de-de/windows-server/networking/technologies/ ...
  • Du musst ein Computer-Objekt mit dem Namen des Druckers anlegen (PRSBG01)
  • Wenn du in der Netzwerkrichtlinie im NPS eine Gruppe als "Bedingung" anlegst dann muss das angelegte Computer-Objekt auch dort Mitglied sein.
  • WICHTIG: Als Login-Name am Drucker verwendest du dann den Namen mit abschließendem Dollarzeichen PRSBG01$, damit erzwingst du am NPS einen Abgleich mit den Computerobjekten im AD.

So klappt das hier auch einwandfrei.

Hier ein Auszug aus einem der Drucker, der sich via EAP-TLS authentifiziert

screenshot

Und hier das Event auf dem NPS das dem Drucker Zugriff gewährt

screenshot

Grüße Uwe
Mitglied: westberliner
westberliner 12.11.2021 um 14:35:30 Uhr
Goto Top
Bei mir fehlt in den ausgestellten Zertifikaten der SAN komplett, deswegen komme ich hier nicht weiter. Als Anstragstellername habe ich gemäß der Anleitungen "Informationen werden in der Anforderung angegeben" aktiviert, sodass ich aktuell in der Zertifikatsvorlage keine Option sehe, wo ich den SAN überhaupt noch aktivieren kann für die Zertifikate?

SAN (DNS-Name) kann ich nur auswählen, wenn ich die Informationen aus dem AD hole.

Muss ich die Vorlage ändern?
zertifkatsvorlage
Mitglied: colinardo
colinardo 12.11.2021 aktualisiert um 17:26:17 Uhr
Goto Top
Zitat von @westberliner:
Bei mir fehlt in den ausgestellten Zertifikaten der SAN komplett, deswegen komme ich hier nicht weiter. Als Anstragstellername habe ich gemäß der Anleitungen "Informationen werden in der Anforderung angegeben" aktiviert, sodass ich aktuell in der Zertifikatsvorlage keine Option sehe, wo ich den SAN überhaupt noch aktivieren kann für die Zertifikate?
Bei der ersten Option muss der der das Zertifikat anfordert diese Informationen liefern
Bei der zweiten Information kommen die Infos automatisch aus dem AD, das klappt aber nur wenn der Drucker richtig in die Domäne eingebunden ist.
Muss ich die Vorlage ändern?
Nein die Option muss der Drucker in seiner Anfrage mitteilen und die Zertifizierungsstelle muss das auch erlauben mittels
https://www.msxfaq.de/signcrypt/scep.htm#konfiguration_der_templates

Gibt es auf dem Drucker keine Möglichkeit den SAN zu konfigurieren wirst du wohl das Zertifikat manuell erstellen und auf dem Drucker einbinden müssen, ich kenne da ehrlich gesagt jetzt keinen anderen Weg.
Mitglied: westberliner
westberliner 15.11.2021 um 15:17:49 Uhr
Goto Top
So, nachdem ich nirgends geschafft habe, den SAN im Zertifikat anzugeben, habe ich mich an Canon direkt gewandt.

"Unfortunately, this is not possible with SCEP to obtain a certificate with SAN.
When using IEEE802.1X, a SAN extension is not necessarily required."

Habe auch bei der manuellen Anforderung am Drucker, nirgends ein Feld gefunden, in dem ich SAN angeben kann.

Habe ich nun etwa Pech gehabt damit?
Mitglied: colinardo
Lösung colinardo 15.11.2021 aktualisiert um 16:00:38 Uhr
Goto Top
Zitat von @westberliner:
"Unfortunately, this is not possible with SCEP to obtain a certificate with SAN.
Wenn die damit meinen das wäre mit SCEP generell nicht möglich, liegen sie absolut falsch ;-) face-wink. Mache das hier mit Mikrotik-Routern schon seit eh und je inkl. SANs auch mit einer Windows CA mit aktivem SCEP.
When using IEEE802.1X, a SAN extension is not necessarily required."
Das ist bzw. war früher so richtig, aber jeder Radius-Server kann das so oder so implementieren. Ist aber mittlerweile in aktuellen SSL Implementierungen überall so das sich der CN auch in den SANs wiederfinden muss damit ein Zertifikat als gültig anerkannt werden kann.
Hier siehst du bspw. was passiert wenn man dem NPS ein Zertifikat nur mit CN und ohne SAN präsentiert:

screenshot

Das mag der wie man sieht gar nicht.

Aktuelle Spezifikationen verlangen das wie gesagt mittlerweile fast überall.
https://stackoverflow.com/questions/5935369/how-do-common-names-cn-and-s ...

Habe auch bei der manuellen Anforderung am Drucker, nirgends ein Feld gefunden, in dem ich SAN angeben kann.
Dann mach dir doch einfach eine Vorlage mit manueller Angabe beim Ausstellen und erzeuge ein Zertifikat mit der MMC und das exportierst du von der Maschine dann als *.pfx und dann importierst du das in den Drucker, fertig. Wenn der Drucker das als PEM und KEY braucht wandelst du dir das *.pfx schnell mit OpenSSL oder XCA um.

screenshot

Nicht vergessen für den Computer der das Zertifikat anfordern soll auf dem Reiter Sicherheit des Templates diesen mit "Registrieren" Rechten zu versehen, sonst siehst du das Template beim Anfordern in der MMC nicht.

screenshot

Und in der Vorlage nicht vergessen die Option zu aktivieren das der private Schlüssel exportiert werden kann.

screenshot
Mitglied: westberliner
westberliner 16.11.2021 aktualisiert um 16:59:23 Uhr
Goto Top
So, ich habe es nun mit manueller Erstellung des Zertifikats gemacht und damit klappt es auch auf Anhieb. Mit SCEP wäre es natürlich noch cooler, aber damit muss ich leben - zumal so oft die Drucker nicht wechseln.

Mit Zertifikaten und Windows-Radius muss man sich eindeutig mehr beschäftigen.

Vielen Dank für euere Hilfe!
Mitglied: colinardo
colinardo 16.11.2021 um 17:11:12 Uhr
Goto Top
Zitat von @westberliner:
So, ich habe es nun mit manueller Erstellung des Zertifikats gemacht und damit klappt es auch auf Anhieb.
👍
Vielen Dank für euere Hilfe!
Jederzeit.

Grüße Uwe
Heiß diskutierte Beiträge
question
Windows XP: IE 8 zeigt keine Seiten mehr an :-) gelöst altmetallerVor 1 TagFrageWindows XP21 Kommentare

Huhu, ich habe hier tatsächlich noch einen Dell Dimension 9100 (Pentium IV, 3Ghz) stehen, den ich mit einer NVIDIA Quadro FX 540 und 4GB RAM ...

question
Datensicherung nach Geschäftsaufgabefboy33Vor 1 TagFrageBackup8 Kommentare

Guten Tag liebe (ex) Kollegen, nun nach 50 Jahren EDV, habe ich meine Firma abgemeldet und bin in den Ruhestand gegangen. Mein Problem, was mache ...

question
Ethernet über Telefonleitung gelöst Net-ZwerKVor 1 TagFrageLAN, WAN, Wireless8 Kommentare

Moin! Ich suche einen Konverter, mit dem ich auf eine Telefonleitung (2 Draht) ein Netzwerksignal legen kann. Geht darum, dass ich beim einem Kunden einen ...

question
PLEX bricht im HEIMNETZ nach 1 Minute Film abStrahlemann-69Vor 1 TagFrageUbuntu9 Kommentare

Hallo an alle, ich hab mir den Plexserver auf Proxmox installiert und mein NAS eingebunden. Er ließt auch alles ein und funktioniert. Nun laß ich, ...

question
O365 Outlook + Teams sperren gelöst sraL91Vor 19 StundenFrageMicrosoft Office16 Kommentare

Hallo Zusammen, wir haben in unserer Firma Office 365 ausgerollt und ich stehe nun vor folgendem Problem. Unsere Firma sind in 50 Standorte unterteilt und ...

question
MFA mit Microsoft?cseVor 16 StundenFrageWindows Userverwaltung5 Kommentare

Hi Leute, ich hoffe ihr könnt mir ein wenig helfen. Von unserer Gruppe (central IT im Ausland) verlange ich (im Zuge TISAX Audit) auf unseren ...

question
Image auf zweiten Laptop kopierenmario28Vor 1 TagFrageWindows Installation5 Kommentare

Hallo zusammen, ich habe mir für daheim zwei Mal den gleichen Laptop bestellt (Schenker Via 15 Pro M20) und nach Erhalten mit dem ersten begonnen, ...

question
PC - Komplettsicherunggreenhorn1Vor 20 StundenFrageBackup10 Kommentare

Hallo, welche Möglichkeit gibt es an Sicherungen, wo man das gesamte System Win10 sichern kann? Sodass ich mit einer Sicherung einen neuen PC 1 zu ...