Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Windows Server 2008 mit Procurve Switch RADIUS MAC-Authentifikation Login über Active Directory - Windows Protokolle

Mitglied: gabeBU

gabeBU (Level 2) - Jetzt verbinden

22.10.2013 um 13:56 Uhr, 3612 Aufrufe, 5 Kommentare, 1 Danke

Hallo Zusammen

Und damit geht die RADIUS Authentifikation in die 4. Runde. Hier könnt ihr euch alle Informationen zum Thema sammeln:

https://www.administrator.de/contentid/215872

Diesesmal bekam ich eine Hilfe des second Level unseres Geschäftes und sie haben gesagt ich soll mich mehr auf den Active Directory Login sowie auf die Windows-Protokolle in der Ereignisanzeige konzentrieren.

Als erstes haben wir den Login eines der im Active Directory angelegten Benutzer probiert, die als Benutzer-ID die MAC-Adresse benutzen. Der Login ging extrem lange (ca. 15 Minuten). Leider haben wir in kürze keine Lösung gefunden, das wäre das erste, das ich mir ansehen sollte.

Das zweite wäre der Windows-Log. Ich soll provozieren, dass während des NPS-Ereignisses (wenn das ein Wort ist^^) auch ein Ereignis bei "Windows-Protokolle" erscheint. Da habe ich noch keinen blassen schimmer, wie ich das tun kann.

Natürlich bin ich auch hier über jeden Tipp sehr dankbar, damit ich diese verdammte Kiste endlich zum laufen bringe :3.

Gruss

gabeBU
Mitglied: aqui
22.10.2013, aktualisiert um 16:10 Uhr
Man muss sich ja langsam wirklich fragen WAS du da machst...?! Es gibt zuhauf Anleitungen im Netz die die Einrichtung des Radius Servers (NPS) unter Winblows beschreiben:
http://windows.microsoft.com/de-de/windows-vista/enable-802-1x-authenti ...
http://technet.microsoft.com/de-de/library/cc732256.aspx
http://www.andysblog.de/windows-drahtgebundenes-lan-802-1x-und-nps
(letzteres besonders ausführlich !)
Das sollte in 15 Minuten erledigt sein.
Oder du nimmst testweise mal einen FreeRadius wie es hier beschrieben ist für ein detailierteres Debugging ?! (Den kann man übrigens mit 3 Konfig Zeilen auch ans AD anbinden !)

Der LAN Switch erfordert popelige 3 Konfig Zeilen oder 3 bis 5 Mausklicks im GUI um das einzurichten. Dieses Forumstutorial beschreibt im letzten Drittel wie der Switch entsprechend einzurichten ist:
https://www.administrator.de/wissen/netzwerk-zugangskontrolle-mit-802-1x ...

Alles in allem hat man das in nicht mal 30 Minuten zum Fliegen wenn man weiss was man da tut. Sogar billige Popelswitches von NetGear, TP-Link und auch D-Link supporten sowas auf Anhieb.
Bei Cisco preiswerter SG-x00 Serie sind das 3 Mausklicks im GUI bei allen anderen relevanten Herstellern wie Cisco Catalyst, Brocade, Extreme, Juniper entsprechend und es funktioniert völlig fehlerlos !

Langsam kann man nicht mehr wirklich nachvollziehen was du da machst, sorry ?!
Da hilft es auch nicht wenn du einen 2ten Thread zu dem gleichen Thema eröffnest, zumal du den obigen primären Thread ja mit https://www.administrator.de/faq/32 noch nichtmal geschlossen hast.
Vielleicht solltest du mal ernsthaft dadrüber nachdenken den HP Schrott zu entsorgen und was zu beschaffen was das auch supportet. Scheinbar haben die ja, deinen Forschungsergebnissen nach zu urteilen, gravierende Probleme den weltweiten 802.1x Standard auf ihren Produkten umzusetzen ! Eine (getestete) Auswahl ist ja oben genannt.
Das würde uns hier schon das Forumsleben etwas erleichtern....

Oder...ging es dir jetzt doch nur um die Darstellung in den zigtausenden von Logs die der Winblows Server hat ?
Und....was soll "(wenn das ein Wort ist^^)" uns denn sagen ??
Bitte warten ..
Mitglied: gabeBU
23.10.2013, aktualisiert um 16:19 Uhr
Aaalso

Danke für die Links, ich habe das mit den Zertifikaten jetzt zusätzlich auch noch miteingebunden.

Während der Authentifikation spuckt der Server unter der NPS-Ereignisanzeige ein Ereignis über die Authentifikation aus. Gleichzeitig sollte auch eine Meldung unter den "Windows-Protokollen" erscheinen. Leider ist dies nicht der fall. Ich sollte jetzt daran arbeiten, dass zur gleichen Zeit eine Meldung in der Ereignisanzeige erscheint.

Und ich würde sehr gerne wissen, was ich falsch mache...^^

Edit: Gut, ich kam schonmal etwas weiter:

Nun erhalte ich während der Authentifikation dieses Ereignis:
Protokollname: Security
Quelle:        Microsoft-Windows-Security-Auditing
Datum:         23.10.2013 16:04:19
Ereignis-ID:   4625
Aufgabenkategorie:Anmelden
Ebene:         Informationen
Schlüsselwörter:Überwachung gescheitert
Benutzer:      Nicht zutreffend
Computer:      UEBSRV.ueb.lokal
Beschreibung:
Fehler beim Anmelden eines Kontos.

Antragsteller:
	Sicherheits-ID:		SYSTEM
	Kontoname:		UEBSRV$
	Kontodomäne:		UEB
	Anmelde-ID:		0x3e7

Anmeldetyp:			3

Konto, für das die Anmeldung fehlgeschlagen ist:
	Sicherheits-ID:		NULL SID
	Kontoname:		00-9c-02-1b-14-58
	Kontodomäne:		UEB

Fehlerinformationen:
	Fehlerursache:		Unbekannter Benutzername oder ungültiges Kennwort.
	Status:			0xc000006d
	Unterstatus::		0xc000006a

Prozessinformationen:
	Aufrufprozess-ID:	0x380
	Aufrufprozessname:	C:\Windows\System32\svchost.exe

Netzwerkinformationen:
	Arbeitsstationsname:	
	Quellnetzwerkadresse:	-
	Quellport:		-

Detaillierte Authentifizierungsinformationen:
	Anmeldeprozess:		IAS
	Authentifizierungspaket:	MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
	Übertragene Dienste:	-
	Paketname (nur NTLM):	-
	Schlüssellänge:		0

Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.

Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe".

Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).

Die Felder für die Prozessinformationen geben den Prozess und das Konto an, für die die Anmeldung angefordert wurde.

Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an.  Der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.

Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung.
	- Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren.
	- Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an.
	- Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0.
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
    <EventID>4625</EventID>
    <Version>0</Version>
    <Level>0</Level>
    <Task>12544</Task>
    <Opcode>0</Opcode>
    <Keywords>0x8010000000000000</Keywords>
    <TimeCreated SystemTime="2013-10-23T14:04:19.828125000Z" />
    <EventRecordID>2026901</EventRecordID>
    <Correlation />
    <Execution ProcessID="500" ThreadID="4360" />
    <Channel>Security</Channel>
    <Computer>UEBSRV.ueb.lokal</Computer>
    <Security />
  </System>
  <EventData>
    <Data Name="SubjectUserSid">S-1-5-18</Data>
    <Data Name="SubjectUserName">UEBSRV$</Data>
    <Data Name="SubjectDomainName">UEB</Data>
    <Data Name="SubjectLogonId">0x3e7</Data>
    <Data Name="TargetUserSid">S-1-0-0</Data>
    <Data Name="TargetUserName">00-9c-02-1b-14-58</Data>
    <Data Name="TargetDomainName">UEB</Data>
    <Data Name="Status">0xc000006d</Data>
    <Data Name="FailureReason">%%2313</Data>
    <Data Name="SubStatus">0xc000006a</Data>
    <Data Name="LogonType">3</Data>
    <Data Name="LogonProcessName">IAS</Data>
    <Data Name="AuthenticationPackageName">MICROSOFT_AUTHENTICATION_PACKAGE_V1_0</Data>
    <Data Name="WorkstationName">
    </Data>
    <Data Name="TransmittedServices">-</Data>
    <Data Name="LmPackageName">-</Data>
    <Data Name="KeyLength">0</Data>
    <Data Name="ProcessId">0x380</Data>
    <Data Name="ProcessName">C:\Windows\System32\svchost.exe</Data>
    <Data Name="IpAddress">-</Data>
    <Data Name="IpPort">-</Data>
  </EventData>
</Event>
Ich setze mich jetzt ran und schau', was ich hier an Informationen gewinnen kann.
Bitte warten ..
Mitglied: gabeBU
12.11.2013 um 13:50 Uhr
Geschafft! Jetzt funktioniert wirklich alles. Ich werde euch meine Schritt für schritt Anleitungen auf Dropbox freigeben:

https://www.dropbox.com/s/4zdorgs7kn7bcfc/RADIUS%20MAC-Auth%20step%20by% ...

Ist ziemlich primitiv, ich habe es einfach direkt aus der Dokumentation kopiert und noch kurz die Überschriften angepasst^^.
Bitte warten ..
Mitglied: aqui
13.11.2013, aktualisiert um 19:14 Uhr
Schade eigentlich das du nur Dropbox kannst
Schön und erheblich sinnvoller, da nachhaltiger für andere, wäre eine Anleitung hier wie diese_hier wenn du sie hier im Forum erstellst.
Die könnte man mit der FreeRadius Anleitung von oben verlinken und hätte ein kompaktes Paket für alle die sich für eine Netzwerk Zugangssicherung interessieren.
Solltest du mal drüber nachdenken…..
Bitte warten ..
Mitglied: gabeBU
13.11.2013, aktualisiert um 14:30 Uhr
Ja ist gut, falls ich mal Zeit habe, werde ich das umsetzen (muss ja alle Screenshots etc. einzeln hochladen)....
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless

802.1x Authentifizierung - NPS - RADIUS MAC

gelöst Frage von LKaderavekLAN, WAN, Wireless4 Kommentare

Hallo, ich erstelle gerade eine WiFi Lösung mit XIRRUS Access Points, die ich in der Cloud verwalte. Als Authentifizierungsmethode ...

Windows Server

WLAN authentifizierung über Radius (MAC IOS)

Frage von checknixWindows Server3 Kommentare

Hallo zusammen, bei uns in der Firma wird die WLAN Authentifizierung über den Radius geregelt. Die User melden sich ...

LAN, WAN, Wireless

Radius Identifikation Switch oder Access Point

Frage von esquire1968LAN, WAN, Wireless4 Kommentare

Hallo! Auf meiner pfSense läuft ein Radius Server, daran hängt ein Switch und daran wiederum ein Accesspoint (Unifi UAP-AP-PRO) ...

LAN, WAN, Wireless

Radius (NPS) Authentifizierung VLAN auf MAC Basis

Frage von DanLeiLAN, WAN, Wireless2 Kommentare

Hallo, ich möchte gerne Clients die sich mit dem WLan verbinden mit Hilfe des Radius verschiedene VLans zuweisen. Prinzipiell ...

Neue Wissensbeiträge
Administrator.de Feedback

Entwicklertagebuch: Codeblöcke auf unseren Seiten

Information von admtech vor 10 StundenAdministrator.de Feedback3 Kommentare

Hallo Administrator User, Unsere Codeblöcke werden ab sofort anders dargestellt. Die Codeblöcke können nun direkt per Copy&Paste kopiert werden. ...

Humor (lol)
Internet - auch 2020 noch Neuland ?
Erfahrungsbericht von Henere vor 1 TagHumor (lol)2 Kommentare

Heute eine Mail der Schule meiner Tochter bekommen. Blabla Umweltschutz bla bla siehe Anhang. Dumm nur: Da hab ich ...

Sicherheit
Diverse Sicherheitsprobleme aus dem Hause Intel
Tipp von DerWoWusste vor 2 TagenSicherheit

Unter anderem muss man mal wieder die Treiber für Intel HD Graphics updaten

Vmware

ESXi Management über PfSense (IPsec Tunnel) führt zu Massen an TCP Retransmissions

Tipp von Spirit-of-Eli vor 3 TagenVmware7 Kommentare

Moin zusammen, hier ein kurzer Beitrag zu einem Problem sobald man die Management Seite eines ESXs über einen IPsec ...

Heiß diskutierte Inhalte
Festplatten, SSD, Raid
Größe der Partition lässt sich nicht ändern mit gparted
Frage von achkleinFestplatten, SSD, Raid17 Kommentare

Hallo, ich habe eine 480GB auf eine 1TB-SSD geklont. Jetzt möchte ich den freien Speicherplatz per gparted an die ...

Sicherheit
Wie Kann Man eine IT-Notfallhandbuch erstellen für petasan
Frage von 142658Sicherheit14 Kommentare

Hallo Leute ich muss bald meine abschlussprojekt schreiben und brauch dringend hilfe wie man ein IT-Notfallhandbuch erstellen für Petasan(eine ...

Netzwerkmanagement
Werde dauernd aus dem WLAN geworfen (RouterOS)
gelöst Frage von amdkeksNetzwerkmanagement14 Kommentare

Hallo Zusammen, ich habe gestern ein update meiner Mikrotikgeräte gemacht und habe nun überall Version 6.45.5 drauf. Mikrotik Routerboard, ...

Windows Installation
Installation und Admin-Rechte
Frage von UserUWWindows Installation13 Kommentare

Annahme: UAC ist aktiv, der User ist "normaler" Benutzer. Eine Installation via setup.exe kann man in der Regel auf ...