Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWünsch Dir wasWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst WLAN mit EAP TLS gegen IAS mit Computerzertifikaten

Mitglied: Sveeny

Sveeny (Level 1) - Jetzt verbinden

27.04.2010 um 22:04 Uhr, 8194 Aufrufe, 2 Kommentare

Ziel ist es WLAN Clients per Computerzertifikaten (EAP-TLS) zu authentifizieren. Setze einen 2003er DC mit IAS und einen 2003er (Std.)mit CA ein. Mit Benutzerzertifikaten funktioniert es schon mit Computer Certs bekomme funktioniert es nicht.

Folgende Änderungen habe ich nach erflogreicher Authentifizierung mit Benutzerzertifikaten durchgeführt: Computerzertifikat per mmc snap-in angefordert und im Computer Zertifikatscontainer unter meine Zertifikate abgelegt. Des weiteren habe ich in den WLAN Einstellungen unter Sicherheit->Erweiterte EInstellungen 802.1x-Einstellungen Authentifizierungsmethode auswählen:Computerauthentifizierung eingestellt. Nur leider bekomme ich keine Authentifizierung hin. Muß ich noch an anderer Stelle was konfigurieren?.

Bin für jeden Tip dankbar.

Gruß,

Sven
Mitglied: aqui
28.04.2010 um 12:40 Uhr
Das kommt darauf an... Man kann leider nur raten denn du teilst uns deine Konfig ja nicht mit
Was sagt denn das Event Log...das wäre ja ein wichtiger Indikator was schief geht ??
Bitte warten ..
Mitglied: Sveeny
29.04.2010 um 13:11 Uhr
Hi Aqui,

hier also mehr Details. Eingestzt wird ein SBS2003 mit IAS und ein 2003 Std. als DC mit CA. Als AP nutzen wir einen HP MSM310.
CA als Stammzertifizierungsstelle des Unternehmen erstellt. RootZertifikat auf die CLients verteilt. Anschließend auf dem SBS
ein Domänencontrollerzertifikat angefordert(einziges Zertifikat, daß auf einem 2003 Std. für die Serverauthentifizierung eingesetzt werden kann, wenn man keinen Enterprise Server zur Hand hat.
Nun zur IAS Konfiguration. Als erstes eine Gruppe WLAN_Zugriff im AD erstellt. Dann HP AP als Radius Client eingerichtet(Clienthersteller Radius Std.)
RasRichtlinie über Assi eingerichtet ->Wireless->Smartcard oder anderes Zertifikat->Konfigurieren->Das zuvor angeforderte Domänencontroller Zertifikat hinterlegt.
Zum Client (Windows7) User und Computer Zertifikat angefordert.
WLAN eingerichtet:

WPA2 Enterprise
AES
Auth: MS Smartcard oder anderes Zertifikat -> Einstellungen:
Zertifikat auf diesem Computer verwenden
Serverzertifikat überprüfen
Vertratuenswürdige Stammzertifizierungstelle: austellende Root CA

Unter Erweitert kann ich jetzt den Zertifizierungsmodus angeben:
Computer oder Benutzer

That´s all.

Übrigens ich habe das Problem mitlerweile gefunden. Der Safeword OTP Agent für den IAS verursacht den reject. Im Agent wird konfiguriert welche Benutzer zwingend per Token
authentifizieren müssen. Allerdings fragt der Agent nur Userobjekte im AD ab. Wenn er kein entsprechendes Objekt findet, wird generell abgewiesen und da es sich um ein Computerobjekt
handelt......
Meldung im Eventlog: Code21 Ursache: Diese Anforderung wurde von einer Drittanbietererweiterungsdll zurückgewiesen
Meldung im Agenten: ERR_UserNotFound: Cannot find user record NetUserGetGroups(DC=\\sbs.firma.local, NAME=host/notebook.firma.local) result - (2221) ER=0 TE=0 Cannot find user record

Gruß,

Sven
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless

WLAN EAP-TLS mit FreeRadius unsupported certificate

Frage von Phill93LAN, WAN, Wireless6 Kommentare

Hallo, bin hier am verzweifeln. Bekomme von meinem FreeRadius immer die Fehlermeldung "TLS Alert write:fatal:unsupported certificate ". Beide (Radius ...

LAN, WAN, Wireless

WLan-Authentifizierung über NPS mit EAP-TLS

Frage von KopeckLAN, WAN, Wireless1 Kommentar

Hallo, ich habe folgendes Problem: Ich würde gerne mein WLan mit Hilfe von (Benutzer)Zertifikaten absichern. Habe nun in einer ...

LAN, WAN, Wireless

802.1x EAP-TLS WLAN Problem (AD-CA, NPS)

Frage von glad0sLAN, WAN, Wireless5 Kommentare

Hi zusammen, ich habe die schöne Aufgabe unser WLAN mittels EAP-TLS abzusichern. Also ich habe eine Domänenzertifikatsdienststelle und ein ...

Firewall

PfSense: Freeradius, NUR EAP-TLS

Frage von mrserious73Firewall

Hallo zusammen, gibt's eine Möglichkeit, den Radiusserver in pfSense wirklich NUR EAP-TLS machen zu lassen? Man kann die restlichen ...

Neue Wissensbeiträge
Windows Server
Windows DNS Server Denial of Service Vulnerability
Information von Dani vor 20 StundenWindows Server

Moin, Microsoft is aware of a vulnerability involving packet amplification that affects Windows DNS servers. An attacker who successfully ...

Batch & Shell

Automatisches Mailing im Batch mit mit sTunnel und Blat.exe

Anleitung von JHB-Kaltduscher vor 1 TagBatch & Shell2 Kommentare

Ich habe die Lösung für die Frage: Ich kann GoogleMail SMTP nicht einrichten? Folgende Teile nötig: sTunnel + blat.exe ...

Entwicklung
NVIDIA KI programmiert PacMan neu
Information von lcer00 vor 2 TagenEntwicklung

Hallo, Das dürfte ein wichtiger Meilenstein in der Evolution von KI sein. Die Matrix und Skynet lassen schon mal ...

Windows Tools
Windows Terminal 1.0 erschienen
Information von Frank vor 5 TagenWindows Tools

Auf der Microsoft Build hat Microsoft Windows Terminal Version 1.0 veröffentlicht. Die finale Version kann entweder über den Windows ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
Internet über 8-adrige Telefonleitung: dennoch nur 100 Mbits erkannt
gelöst Frage von AnazhirLAN, WAN, Wireless40 Kommentare

Guten Tag, ich habe mich die letzten Wochen, speziell auch in diesem Forum über das Thema Ethernet über Telefonleitungen ...

Hardware
Gaming-Laptop
Frage von MrLabelHardware32 Kommentare

Hallo, ich würde mir gerne meinen ersten Gaming Laptop kaufen. Meine Frage ist, komme ich mit maximal 1000,- hin ...

Microsoft
100 Prozent CPU Last gleich Volllast, Pustekuchen, nicht bei Microsoft!!!
Frage von MysticFoxDEMicrosoft31 Kommentare

Moin Zusammen, ich bin dem Letzt beim Debuggen einer Netzwerkproblematik auf ein meiner Ansicht nach sehr kritisches Problem in ...

Netzwerkgrundlagen
Konfiguration VOIP: Grundsätzliche Fragen
gelöst Frage von scriptoriusNetzwerkgrundlagen20 Kommentare

Hallo, Ziel: IP-Telefon (Gigaset C430A Go) hinter einer pfsense als "Festnetztelefon" betreiben Mein Router/Firewall ist ein Apu2, darauf pfsense ...