Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWünsch Dir wasWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Windows Server 2008 mit Procurve Switch RADIUS MAC-Authentifikation Verschlüsselungsprobleme

Mitglied: gabeBU

gabeBU (Level 2) - Jetzt verbinden

02.09.2013, aktualisiert 21.10.2013, 4465 Aufrufe, 28 Kommentare, 2 Danke

Hallo Zusammen

Ich hoffe das wird die letzte Frage dazu, aber ich bin schon wieder ein rechtes Stück weitergekommen. Die Authentifizierung läuft jetzt und der Benutzer wird gefunden und akzeptiert. Nur leider behauptet der Server, dass der Benutzer keine umkehrbar verschlüsselte Kennwörter aktiviert seien:
Ich habe mich an die Lösung von Microsoft gehalten;
http://technet.microsoft.com/en-us/library/dd197464%28v=ws.10%29.aspx

...und die Einstellungen vorgenommen, sprich allen Benutzern das umkehrbar verschlüsselte Kennwort aktiviert und die GPO angepasst. Trotzdem wird mir immer noch angezeigt, dass die umkehrbare Verschlüsselung nicht richtig ausgeführt wird. Leider kann mit meinem Switch (HP ProCurve 2520G-8-PoE) nur die CHAP-Verschlüsselung anwenden, EAP ist leider nicht möglich.

Was kann ich noch tun?

Gruss

gabeBU

28 Antworten
Mitglied: ollioe
02.09.2013 um 17:19 Uhr
Ich kann leider nicht erkennen was für ein NAS du betreibst, aber im Grunde scheint es so das auf diesem NAS noch kein CHAP aktiviert ist.
Hier mal ein Beispiel unter iSCSI: https://www.corelan.be/index.php/2007/08/22/connect-to-openfiler-san-usi ...
Bitte warten ..
Mitglied: aqui
02.09.2013 um 19:08 Uhr
Es dreht sich hier NICHT um ein NAS sondern User basierte Port Authentisierung nach dem IEEE 802.1x Standard auf einem LAN Netzwerk Switch:
https://www.administrator.de/wissen/netzwerk-zugangskontrolle-mit-802-1x ...
Bitte warten ..
Mitglied: ollioe
02.09.2013 um 19:26 Uhr
Muss ich glatt übersehen haben, Entschuldigung.
Der Auszug vom Log ist vom Client oder Switch oder Server?
Die Konfig vom Switch sieht man hier auch irgendwo?
Die AD Konfig ist entsprechend angepasst?
Sorry aber ich blicke hier nicht durch
Bitte warten ..
Mitglied: aqui
02.09.2013 um 19:36 Uhr
Sieht so nach Winblows Server Log aus aus.... Im o.a. Tutorial findest du eine Beispielkonfig für einen Switch. Dann solltest du auch durchblicken...
Bitte warten ..
Mitglied: ollioe
02.09.2013 um 19:41 Uhr
Nur das ein Beispiel nicht die reale Config zeigt.
Wird wohl aber eher am Server liegen, so aus der Glaskugel geschossen.
Bitte warten ..
Mitglied: aqui
02.09.2013, aktualisiert um 20:10 Uhr
Richtig...ist zu vermuten ! Von den .1x Feature Einschränkungen bei Billigheimer HP mal abgesehen.
Bitte warten ..
Mitglied: ollioe
02.09.2013 um 20:17 Uhr
Es bleiben auch die Einschränkungen die Konfigurationen nicht zu kennen. Ist eine Firewall dazwischen, Port und VLan etc. Da wird es schwer. Vielleicht legt er einen komplett neuen User an und testet mit dem?
Bitte warten ..
Mitglied: gabeBU
03.09.2013, aktualisiert um 10:10 Uhr
Ooookey sorry, da ich schon 2 Fragen geschrieben haben, bin ich nicht mehr in die Details. Mein Fehler

Hier sind die Verbindungsrichtlinieneinstellungen (bei allen Clients identisch):
29a158ec78365404c21cdf6b16502c46 - Klicke auf das Bild, um es zu vergrößern

Und die Netzwerkeinstellungen der Clients (auch bei allen identisch):

Bedingungen
f654fe5f91a24e68113330ee73b04489 - Klicke auf das Bild, um es zu vergrößern

Einschränkungen
4b8ac434fda222b9e75d1eea4d07e47d - Klicke auf das Bild, um es zu vergrößern

Einstellungen
eaa8c3bac68ebcc2ccfd419044e8fdac - Klicke auf das Bild, um es zu vergrößern

aalso hier die Konfiguration des Switches (die ja meiner Meinung nach richtig sein sollte, da ja die Authentifikation funktioniert):
Bei der letzten haut es leider die Formatierung raus. Ich hoffe man kann es imemr noch erkennen (sonst werde ich noch ein Screenshot beilegen, falls erwünscht).
Die AD Config habe ich euch einen Screenshots des Benutzers für meine Virtuelle Maschine beigelegt. Es sind alle gleich konfiguriert (ja, die MAC-Adresse muss mit Strichen getrennt werden, sonst wird der Benutzer nicht gefunden!):

AD-Einstellungen
Allgemein:
d04e40b70be45b203bf391cd0a0a1849 - Klicke auf das Bild, um es zu vergrößern

Konto:
0d25a1c14d5f1ff2dc9b284397f54b34 - Klicke auf das Bild, um es zu vergrößern

Gruppen:
e2ecdf220b84ea9d978f8df01d3a22ce - Klicke auf das Bild, um es zu vergrößern

Gruppenrichtlinienverwaltung:
Übersicht (die RADIUS-Auth ist die dafür vorhergesene GPO):
52cc082c5bb113cff7d4502ed86cb8c9 - Klicke auf das Bild, um es zu vergrößern

Delegierungen :
edeab0b06e8c4176f9cc77f61e404a38 - Klicke auf das Bild, um es zu vergrößern


Und dann die VLAN's. Aalso:

Ich arbeite in meiner Bude daran als Nebenprojekt (als Übung für die Lehrabschlussprüfung). Dafür habe ich ein unabhängiges VLAN erhalten, dass auf einen unserer grossen Switches geschalten ist (sonst lässt der einfach durch) . Der Server zwischen diesem Switch und dem Server liegt der oben genannte (HP ProCurve 2520G-8-PoE), den ich für die RADIUS-Authentifikation entsprechend konfiguriert habe. Auf der "anderen Seite" habe ich nochmals einen kleinen Switch, der auch einfach nur durchlässt. Dort habe ich dann meinen ArbeitsPC verbunden, der mit einer zwegiten Netzwerkkarte augestattet ist. Dort habe ich eine virtuelle Maschine von VMWare, die ich als Übungsclient nutze und ich greife per Remotedesktop auf den Server. Wie ihr oben sehen könnt, habe ich allen Switches und Clients einen Benutzer via MAC-Adresse angelegt.


Edit: Soo, Bilder sind eingefügt. Ich hoffe, ich habe nichts vergessen.
Bitte warten ..
Mitglied: ollioe
03.09.2013 um 10:01 Uhr
Sieht sauber aus.
Hast du, nach den Änderungen, mal testweise das Passwort geändert?
Und dein hier gezeigter User ist kein Domänenuser sondern "nur" in der Sondergruppe...
Bitte warten ..
Mitglied: gabeBU
03.09.2013, aktualisiert um 10:13 Uhr
Das Passwort kann ich leider nicht ändern, da es auch der MAC-Adresse entsprechen muss (siehe MAC-Authentication for ProCurve Switches):
http://h10032.www1.hp.com/ctg/Manual/c02628207.pdf

Da steht auch, ich soll den Benutzer nicht in die Gruppe Domänenuser legen. Zudem habe ich noch eine zweite Maschine angelegt, die KEINEN Zugriff haben sollte. Der könnte ich einen Zugriff verschaffen und es erneut testen. Danke für den Tipp.
Bitte warten ..
Mitglied: gabeBU
06.09.2013 um 15:06 Uhr
Ja... genau gleiche Meldung...

Ich habe gelesen, dass es seit Vista keine CHAP-Verschlüsselung mehr gibt. Könnte es echt sein, dass mein Switch so veraltet ist, dass ich mit Win 7 Clients das nicht mehr authentifizieren kann?
Bitte warten ..
Mitglied: aqui
06.09.2013 um 15:52 Uhr
Bei HP Hardware wäre das nicht ungewöhnlich....?! Hast du die aktuellste Firmware auf dem Switch ?
Bitte warten ..
Mitglied: gabeBU
06.09.2013 um 16:10 Uhr
Habe bis jetzt nicht geupdated...gut, aber andererseits, haben wir sonst auch Procurve Switches im Einsatz....

werde ich mal machen.
Bitte warten ..
Mitglied: aqui
06.09.2013 um 18:43 Uhr
Solltest du aber besser mal machen das Firmwareupdate !! Ist eigentlich immer ein sicheres ToDo wenn man in solcherlei Test geht wie jeder Netzwerker weis !
Bitte warten ..
Mitglied: gabeBU
09.09.2013, aktualisiert um 11:37 Uhr
Gut, Firmware ist upgedatet: https://h10145.www1.hp.com/downloads/SoftwareReleases.aspx?ProductNumber ...

Kurz ein TFTP gestartet und darüber gehosted. Schint auch geklappt zu haben.

Bin jetzt schon ein grosses Stück weitergekommen. Alle Clients ausser der virtuellen Maschine selbst werden nun authentifiziert und akzeptiert.

Ich teste gerade, ob es mit der zusätzlichen Verschlüsselung "EAP" und nicht nur "EAP-MSCHAP v2" funktioniert.
Bitte warten ..
Mitglied: aqui
10.09.2013 um 12:39 Uhr
Klingt ja vielversprechend.... Obwohl bei Billigheimer HP weiss man nie ?!
Bitte warten ..
Mitglied: gabeBU
10.09.2013 um 13:16 Uhr
Hmm nein es liegt nicht daran...die Konfiguration habe ich bisher nicht verstanden ich blende nochmals die Ausgabe ein:
Bei der MAC-Authentifikation habe ich nun auch PEAP einstellen können (bin nochmals über die Bücher, die Syntax im Handbuch war falsch... naja, ging jetzt) und es funktioniert immer noch nicht. Wenn ich mir aber das Handbuch "MAC-Authentification for Procurve Switches" ansehe, wird da ein Port-Access definiert, der mit einer MAC-Authentifikation konfiguriert wird und hat somit nichts mit der MAC-Auth zu tun. Das heisst, es liegt auch nicht daran.


*seeufz*.
Bitte warten ..
Mitglied: gabeBU
10.09.2013 um 15:55 Uhr
Ok jetzt wird's richtig witzig:

Wenn ich die MAC-Auth auf EAP stelle, dann sagt Microsoft, es könne diese Art von EAP nicht entschlüsseln. Wenn ich auf CHAP stelle behauptet es, dass ich die Rückwärtsverschlüsselung nicht aktiviert habe.

Ich würde mal sagen, ab diesem Moment kann ich wohl langsam aufgeben...es ist wohl einfach so, dass dieser Switch veraltet ist und die Verschlüsselung nicht mehr auf einem 2008 übertragen werden kann.
Bitte warten ..
Mitglied: aqui
10.09.2013 um 17:08 Uhr
Das ist dann in der Tat zu befürchten. Ist das Switchmodel noch unter Support oder schon "End of Life" ?
Ansonsten bringt es ggf. dort einen Bugreport bei HP zu öffnen. Macht aber nur Sinn wenn du noch Wartung auf der Switch Gurke hast.
Hast du diese Security Settings parallel mit einem anderen Switchprodukt (alternativer Hersteller) getestet wo das nachweisslich supportet ist ?
Bitte warten ..
Mitglied: gabeBU
11.09.2013 um 15:21 Uhr
Muss ich zuerst bei cheffe nachfragen, ob ich einen anderen Switch nutzen darf. Der Switch müsste eigentlich noch support haben, ich habe alles an Dokumentation , Firmware etc. gefunden und man kann ihn auch gut auf HP suchen. Der hat bestimmt auch noch Wartung, da wir diese Anfang dieses Jahre erhalten haben.

Dann werde ich mich wohl mit dem HP-Support durchschlagen müssen *seufz*
Bitte warten ..
Mitglied: gabeBU
17.09.2013 um 15:03 Uhr
So! Neustart!

Habe jetzt direkt ein Laptop dran mit Windows 7 ohne Switch dazwischen! Das heisst auch, dass keine anderen MAC-Adressen mehr reinfunken!

Leider kriege ich jetzt komischerweise (und das erst seitdem) Meldungen, dass der Benutzername falsch sei:

Regeln sind natürlich gleich gesetzt. Was mir aber auffällt, ist, dass als Kontoname die MAC-Adresse immer ohne Trennungsstriche gespeichert wird (egal ob ich ihn mit oder ohne Trennungsstrich abspeichere). Kann ich da was dagegen tun / bzw. könnte das der Fehler sein?
Bitte warten ..
Mitglied: gabeBU
19.09.2013 um 17:36 Uhr
SO! Jetzt habe ich es WIRKLICH WIRKLICH geschafft!

ICh musste als Tunnel-ID VLAN angeben. Dann klappte die Authentifikation endlich.
Bitte warten ..
Mitglied: aqui
19.09.2013 um 19:21 Uhr
War ja eine schwere Geburt !! Aber klasse das es jetzt klappt !!

Vielleicht kannst du hier nochmal die vollständig korrekte Konfig posten, damit dann andere was von diesem Forumsthread haben und das Rad nicht 2mal erfinden müssen !
Ggf. kann man die auch mit ins Tutorial übernehmen.
Bitte warten ..
Mitglied: gabeBU
24.09.2013, aktualisiert 25.09.2013
ööhm würde ich gerne, nur habe ich einmal den Switch neugestartet und der Switch erkannte die MAC-Adresse nicht mehr...

zudem musste ich eine Regel erstellen, dass die MAC-Adresse richtig umgewandelt wurde. Weil das für den Betrieb natürlich nicht brauchbar ist, habe ich die entfernt und dann funktioniert die Authentifikation nicht mehr.

Aber nächste Woche sieht der höhere Support mein Projekt an. Falls sie eine Lösung finden, werde ich die Konfig gerne Posten :3
Bitte warten ..
Mitglied: aqui
25.09.2013 um 10:26 Uhr
Na da sind wir dann mal ganz gespannt was der "höhere Support" dann sagt ?!
Bitte warten ..
Mitglied: gabeBU
14.10.2013 um 15:59 Uhr
Jau der Second Level (habe ich damit gemeint) hat sich die Thematik angesehen und mir gesagt, ich soll mir die MAC-Adress-Benutzer ansehen. Wir haben testweise versucht, uns mit den "MAC-Adress"-Benutzern anzumelden und es ging uuunglaublich lange (ca. 15 Minuten). ALso muss ich mich da mal genauer einlesen.
Bitte warten ..
Mitglied: aqui
15.10.2013 um 09:03 Uhr
Ääähhh was bitte meinen diese "Experten" denn mit dem Begriff "die MAC-Adress-Benutzer" genau ??
Mac Adressen sind Mac Adressen und haben mit Benutzern nicht das geringste zu tun ??
Na ja das ist eben die fachkundige HP Hotline...oder besser HP live !
Hat schon einen Grund warum die lieber Server bauen sollten und die Finger von Netzwerken lassen sollten....
Bitte warten ..
Mitglied: gabeBU
15.10.2013 um 09:20 Uhr
Nee nee hör' zu:

Das waren nicht die von HP, das war der Second Level von unserem Betrieb. Ich habe mich falsch ausgedrückt:

Bei HP-Switches muss man ja laut Handbuch im Active Directory für jeden Benutzer eine MAC-Adresse anlegen. Das habe ich damit gemeint.
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless

802.1x Authentifizierung - NPS - RADIUS MAC

gelöst Frage von LKaderavekLAN, WAN, Wireless4 Kommentare

Hallo, ich erstelle gerade eine WiFi Lösung mit XIRRUS Access Points, die ich in der Cloud verwalte. Als Authentifizierungsmethode ...

Windows Server

WLAN authentifizierung über Radius (MAC IOS)

Frage von checknixWindows Server3 Kommentare

Hallo zusammen, bei uns in der Firma wird die WLAN Authentifizierung über den Radius geregelt. Die User melden sich ...

LAN, WAN, Wireless

Radius Identifikation Switch oder Access Point

Frage von esquire1968LAN, WAN, Wireless4 Kommentare

Hallo! Auf meiner pfSense läuft ein Radius Server, daran hängt ein Switch und daran wiederum ein Accesspoint (Unifi UAP-AP-PRO) ...

LAN, WAN, Wireless

Radius (NPS) Authentifizierung VLAN auf MAC Basis

Frage von DanLeiLAN, WAN, Wireless2 Kommentare

Hallo, ich möchte gerne Clients die sich mit dem WLan verbinden mit Hilfe des Radius verschiedene VLans zuweisen. Prinzipiell ...

Neue Wissensbeiträge
Off Topic
Wann gibt es mehr Bits als Atome?
Information von AnkhMorpork vor 1 StundeOff Topic8 Kommentare

Boys 'n' girls, Freitagslektüre: Wenn Computertechnologie und Digitalisierung sich so weiterentwickeln, könnte die Zahl der digitalen Bits in 150 ...

Sicherheits-Tools

TrendMicro Worry-Free Business Security (WFBS) 10.0 SP1 - Critical Patch veröffentlicht!

Information von VGem-e vor 4 StundenSicherheits-Tools3 Kommentare

Servus, siehe hier. Download-Link hier swfbs/10.0WFBS_100_SP1_All_MSA_11.7_HFB1073.exe Nähere Infos habe ich online noch nicht gefunden. Gruß VGem-e

Humor (lol)

Wie verhindere ich, dass Websitebesucher die Werbecookies abschalten?

Information von DerWoWusste vor 2 TagenHumor (lol)9 Kommentare

Ich habe gerade auf die Antwort gefunden: ich täusche einen langwierigen Änderungsprozess vor und biete nebenbei einen Cancelbutton, den ...

Sicherheit

Windows Setup erlaubt elevation of privilege plus DC Updates

Information von DerWoWusste vor 2 TagenSicherheit4 Kommentare

Eine interessante neue Sicherheitslücke. Details gibt es wenig, edit: doch, jetzt hab ich was: aber die klare Empfehlung: ...

Heiß diskutierte Inhalte
Windows Server
Patchday August Server 2019 - zerstört Hyper V Dienste
Frage von ichkriegediekrieseWindows Server19 Kommentare

Guten Morgen alle zusammen Gestern habe ich, wie oft die Sicherheitsupdates vom Patchday eingespielt da ja doch einige Sicherheitsupdates ...

Hardware
Azubi Projekt - Serverhardware
Frage von nachgefragtHardware19 Kommentare

Hallo Administratoren, für ein Azubi-Projekt benötige ich euren Rat, um ihr das Thema Serverhardware näher zu bringen: Server zusammenbauen ...

iOS
Facetime Nummer
gelöst Frage von ral9004iOS16 Kommentare

Hallo Ein Kollege bat mich, ihm für den Videochat meine Facetime Nummer zu mailen. Meine Facetime App läuft auf ...

Windows Server
Administratorrechte im Dateisystem - Windows Server 2019 - DC
Frage von Indy06Windows Server15 Kommentare

Hallo, alle zusammen! Es kommt ja nun doch mal vor, dass man als Administrator auf einem Windows Server 2019, ...

Administrator Magazin
08 | 2020 Cloud-First-Strategien sind inzwischen die Regel und nicht mehr die Ausnahme und Workloads verlagern sich damit in die Cloud – auch Datenbanken. Dort geht es aber nicht nur um die Frage, wie die Datenbestände in die Wolke zu migrieren sind, sondern auch darum, welche Datenbank ...