proloader
Goto Top

WLAN Radius mit W2k8R2

WLAN Auth über Netzwerk mit MS Windows Server 2008 R2

Hallo zusammen,

Ich habe schon xx Beiträge gelesen und googlet werde leider mit meinem Problem nicht fertig.

Folgender Aufbau

WLAN AP ----- Server 2008 R2

Was ich erreichen möchte dass man sich nur mit Domain Username und PW anmleden muss ohne ein Cert auf dem Endgerät.

Die Verbindung Server und AP geht. Es kommt folgende Meldung:

Der Netzwerkrichtlinienserver verweigerte einem Benutzer den Zugriff.

Wenden Sie sich an den Administrator des Netzwerkrichtlinienservers, um weitere Informationen zu erhalten.

Benutzer:
Sicherheits-ID: mode\test.user
Kontoname: test.user
Kontodomäne: mode
Vollqualifizierter Kontoname: mode\test.user

Clientcomputer:
Sicherheits-ID: NULL SID
Kontoname: -
Vollqualifizierter Kontoname: -
Betriebssystemversion: -
Empfänger-ID: 00-1A-8C-0E-46-A1:yx_Secure
Anrufer-ID: 70-F3-95-E2-FE-70

NAS:
NAS-IPv4-Adresse: -
NAS-IPv6-Adresse: -
NAS-ID: yx_Secure
NAS-Porttyp: Drahtlos - IEEE 802.11
NAS-Port: 1

RADIUS-Client:
Clientanzeigenname: yx
Client-IP-Adresse: 192.168.0.1

Authentifizierungsdetails:
Name der Verbindungsanforderungsrichtlinie: yx_WLAN
Netzwerkrichtlinienname: RRS_WLAN
Authentifizierungsanbieter: Windows
Authentifizierungsserver: mode.int
Authentifizierungstyp: EAP
EAP-Typ: -
Kontositzungs-ID: -
Protokollierungsergebnisse: Die Kontoinformationen wurden in die lokale Protokolldatei geschrieben.
Ursachencode: 22
Ursache: Der Client konnte nicht authentifiziert werden, da der angegebene EAP (Extensible Authentication-Protokoll)-Typ vom Server nicht verarbeitet werden kann.

Oder Fehler unten auf dem Bild wenn ich die konfigs lade wie auf den Pics:

69c4fda4246af77404201aff03d677a3


Bilder zur konfig.

3a2ea9d9d8983ffab4081b4a261a0ed0
0d4132ea559f16daad720ae481e27b8d
09801cf03e5a5848039279c034ac90fa
3448d821d509bc4f85e5c7ceedade5e6
8e59a56b35c7987fd589d81737c999d5
fe64cc3980b4704eedeeae4c99d41ea4
589eab5825f632fb616b936e17403cdd
48348f54ca3d6d4509115c3cd9487f1f
6562aed441f7ae060e62efdb95c09327
a5508318bd4439f5d486123ce5a6221b
ee5ea8dc36b0d5c6438ae937fe952fb0
69c4fda4246af77404201aff03d677a3


Diagnose: Es liegt am Server, Cert Problem. Wieso ein Cert? Ich tauschen Daten Server und AP mit einem Kennwort aus.

Bin froh wenn mich jemand aufklären kann.


Muss man das Cert über den Webdienst auf nich Dom Client ausrollen:

54bac267eacca234ef83a7f63dd65496

Content-ID: 185448

Url: https://administrator.de/forum/wlan-radius-mit-w2k8r2-185448.html

Ausgedruckt am: 23.12.2024 um 08:12 Uhr

clSchak
clSchak 24.05.2012 um 15:56:37 Uhr
Goto Top
Weil die Verbindung verschlüsselt wird ... darum benötigt der auch ein Cert oder willst du Passwörter ohne Verschlüsselung durch's Netz jagen?

Und das entsprechende Zertifikat kannst einfach per GPO ausrollen, so bekommen es auch alle die es benötigen, achte aber darauf, dass es auch das Zertifikat ist was du bei dem Radius Server verwendest.

Am einfachsten ist es, wenn du das über die Domänen-Zertifizierungsstelle ausstellst.
Proloader
Proloader 24.05.2012 um 16:30:05 Uhr
Goto Top
Das würde heissen dass nur noch ein Cert auf dem Client fehlt?

Es sind nicht alle Endgeräte in der Dom. Iphone usw...

Wie kann ich das Cert ausrollen? Webdienst?

Danke für deine Hilfe.

Ich hörte es gibt die möglichkeit nur username und PW ohne cert.

--> Das Cert einfach einfügen beim Client oder muss man da auch noch was beachten oder einstellen auf dem Endgerät?
Proloader
Proloader 24.05.2012 um 17:00:34 Uhr
Goto Top
Ausrollen über webdienst wie oben angefügt?
clSchak
clSchak 24.05.2012 um 18:55:14 Uhr
Goto Top
öhm per GPO einfach verteilen, Domänenfremde Geräte habe wir bei uns nicht eingebunden ins Standard-WLAN, iPhones und der gesamte Rest sind in einem separaten WLAN bei uns - ebenso die Motorola Handscanner, auch in einem anderem WLAN mit einer höheren Prio weil die Vorrang vor allen anderen haben sollen.
Proloader
Proloader 24.05.2012 um 20:16:47 Uhr
Goto Top
Das heisst es liegt jetzt nur noch am Cert. auf dem Client?

Server -- AP verb. OK laut Protokoll.
aqui
aqui 25.05.2012 um 11:09:30 Uhr
Goto Top
Der Radius Server selber muss ein Zertifikat haben was die .1x Client verifiziert. Ohne das wäre deinen Radius basierte Authentisierung völliger Unsinn, denn sonst könnte man dir jeden x-beliebigen Server unterscheben zur Authentisierung.
Grundlagen dazu siehe hier:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Der Client prüft also nur ob der Radius (sprich NPS bei Winblows) auch der richtige ist den er nach dem User fragt.
Danach kannst du ganz normal mit Username/Passwort aus der AD weitermachen.
Der NPS hat einen Wizzard für Wireless netzwerke den man eigentlich nur folgen muss.
Bedenke das der AP den Radius (IP) als Authentisierung eingetragen haben muss ! (Tutorial)
Proloader
Proloader 25.05.2012 um 11:36:42 Uhr
Goto Top
Hi Aqui

Deine Anleitung ist super face-smile

Die habe ich ganz am Anfang gelesen. De den Assist. habe ich auch durch alles ohne Probleme.

Versuche jetzt das Cert per Webdienst auf den Client zu inst. Habe alles schon konf. muss noch testen.

Den zusammenhang des Cert sehe ich einfach noch nicht so ganz.

Mein Aufbau:

Client --> AP (von Astaro) ----> ASG220 ---> W2k8R2

Wie das Cert zum Server kommt, da blick ich troz Anleitung nicht durch.

Danke für helfende Worte.
aqui
aqui 25.05.2012 aktualisiert um 11:40:47 Uhr
Goto Top
Was ist denn ein ASG220 ?? Aber egal..
Du machst hier einen Denkfehler ! Der Radius Server, sprich NPS, muss hier zertifiziert werden und das Radius Zertifikat dann auf den Client gebracht werden. Nicht andersrum !!
Steht auch so genau im Tutorial. Zwar für FreeRadius aber das Prozedere ist natürlich bei Winblows identisch !
Proloader
Proloader 25.05.2012 um 15:34:08 Uhr
Goto Top
Wurde fündig:

https://support.astaro.com/support/index.php/Astaro_Wireless_and_Radius_ ...

Leider verstehe ich in dieser Situation das mit den Certs. noch nicht da der Radius mit dem AP keinen kontakt hat.
Proloader
Proloader 25.05.2012 um 18:47:53 Uhr
Goto Top
Mit dem Iphone geht es super.

Suchen Anmelden cert bestätigen und los geht.

Mit Windows 7 geht nix.............face-smile lachhafter ###! spricht nicht für Win
aqui
aqui 25.05.2012, aktualisiert am 27.05.2012 um 14:43:55 Uhr
Goto Top
Äääähhh.....da machst du einen gehörigen Denkfehler !! Der AP muss zwingend Kontakt mit dem Radius haben. Das ist der Sinn der ganzen Sache denn genau dort wird im Setup zur Authentisierung das ja auch eingetragen.
Das ist unmöglich das es mit dem iPhone klappt, dann ist das keinen .1x bzw. Radius basierte Authentisierung !
Das geht nur wenn der AP den Radius konfiguriert hat (IP).
Steht ja auch haarklein so erklärt im Tutorial....und tausend anderen Dokumenten im Netz wie den zitierten ct Artikeln im Tutorial Thread.
Das rennt also gehörig was schief bei dir !!
clSchak
clSchak 25.05.2012 um 23:19:10 Uhr
Goto Top
oder gegen deine Settings - was sollte das bringen wenn man das WLAN auswählt und lediglich ein Cert bestätigen muss bei der ersten Anmedung - eigentlich muss man das von Hand/GPO in dem "Vertraute. Stammzertifizierungsstelle"-Speicher reinschieben damit es geht ... und nicht am Client irgendwas bestätigen - das könnt ja dann jeder machen ...