Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWünsch Dir wasWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Zertifikatsbasierte Mobile Device Authentifizierung am Windows NPS

Mitglied: IT-HRS

IT-HRS (Level 1) - Jetzt verbinden

02.07.2020 um 08:49 Uhr, 253 Aufrufe, 6 Kommentare

Hallo Community,

aktuell versuchen wir Windows-Systeme, iOS und Android per Zertifikat an einem Windows-Radius für das WLAN zu authentifizieren. Die Systeme welche in der AD sind, können ohne Probleme sich authentifizieren. Doch leider erhalten wir beim Anmeldeversuch von nicht AD-Systemen (iOS und Android) die Fehlermeldung 23.

"Fehler während der Netzwerkrichtlinienserver-Verwendung des Extensible Authentication-Protokolls (EAP). Überprüfen Sie die EAP-Protokolldateien auf EAP-Fehler."


Zur aktuellen Konfiguration und Struktur:

- APs sind von Sophos und sind Clients des RADIUS

- Der RADIUS ist in der AD bekannt und hat ein Zertifikat durch die interne PKI

- Das Zertifikat des RADIUS und die der PKI sind auf allen Systemen bekannt und Vertrauenswürdig

- CRL kann von extern heruntergeladen werden

- Verbindungsanforderung und Netzwerkrichtlinie akzeptieren nur den EAP-Typ: Microsoft: Smartcard- oder anderes Zertifikat
keine weniger sicheren Authentifizierungsmethoden

- Auf dem iOS und Android wird ein Zertifikat durch das MDM von der PKI per SCEP ausgerollt, das Zertifikat beinhaltet UPN und E-Mail des AD-Users


Habt Ihr hier Ideen, was müssen wir ändern müssen, damit das Problem gelöst wird, gibt es eventuell sogar bessere Wege als unseren?

Vielen Dank für eure Unterstützung.
Mitglied: RalphT
02.07.2020 um 12:28 Uhr
Moin,

nur noch mal eine Rückfrage:

Alle Clients benötigen ein eigenes Zertifkat? Oder reicht den Clients, dass die dem ROOT-Zertifikat vertrauen?
Hast du das mal mit einem NB ausprobiert, welches nicht in dieser AD ist?

Auf dem iOS und Android wird ein Zertifikat durch das MDM von der PKI per SCEP ausgerollt, das Zertifikat beinhaltet UPN und E-Mail des AD-Users

Nur mal eben aus dem blauen Dunst:
Vielleicht sollte bei den Zertifikat unter "Allgemeiner Name" der FQDN vom Client stehen.
Bitte warten ..
Mitglied: IT-HRS
02.07.2020 um 12:43 Uhr
Hi, vielen Dank für deine Antwort.

Zitat von RalphT:
Alle Clients benötigen ein eigenes Zertifkat?
Wir würden es gerne so handhaben der Sicherheit zur liebe.
Zitat von RalphT:
Hast du das mal mit einem NB ausprobiert, welches nicht in dieser AD ist?
Ein Notebook welches nicht in der AD ist hat die selbe Problem wie ein iOS oder Android, sprich Fehlercode 23.
Zitat von RalphT:
Vielleicht sollte bei den Zertifikat unter "Allgemeiner Name" der FQDN vom Client stehen.
Die Notebooks in der AD erhalten bereits Zertifikate wo der FQDN im CN des Zertifikats steht. Teste aktuell ein Zertifikat ohne Domänen-Suffix, da dieser ja ein Missmatch auf einem System außerhalb der AD verursacht.
Bitte warten ..
Mitglied: RalphT
02.07.2020, aktualisiert um 13:30 Uhr
Verate doch mal was du im NPS unter EAP-Typ eingestellt hast. Hier die Möglichkeiten:

EAP-Typen auf dem Reiter Einschränkungen:

Microsoft: EAP Gesichertes Kennwort (EAP MSCHAP v2)
Microsoft: Geschütztes EAP (PEAP) unter EAP-Typen: Gesichertes Kennwort (EAP MSCHAP v2)
Microsoft: Geschütztes EAP (PEAP) unter EAP-Typen: Smartcard- oder anderes Zertifikat
Microsoft: Smartcard oder anderes Zertifikat

Und wie gesagt, das Zertifikat für den Client muss unter "Allgemeiner Name" den FQDN des Clients haben. Das gilt nur die Rechner/Geräte außerhalb der Domäne. Daher muss die Zertifikatvorlage so gestrickt sein, dass der Client diese Frage beim Anfordern des Zertifikats beantworten kann. Daher ist es notwendig, dass du in der CA für diese Zertifikate auf dem Reiter "Antragstellername" die Option bei "Informationen werden in der Anforderung...". Für die Clients in der AD braucht man das nicht. Sieht man ja auch, denn du schreibst, dass das ja funktioniert. Daher habe ich in der CA 2 Vorlagen erstellt.
Bitte warten ..
Mitglied: IT-HRS
02.07.2020 um 15:04 Uhr
Microsoft: Smartcard oder anderes Zertifikat
Ist eingestellt

Und wie gesagt, das Zertifikat für den Client muss unter "Allgemeiner Name" den FQDN des Clients haben. Das gilt nur die Rechner/Geräte außerhalb der Domäne. Daher muss die Zertifikatvorlage so gestrickt sein, dass der Client diese Frage beim Anfordern des Zertifikats beantworten kann. Daher ist es notwendig, dass du in der CA für diese Zertifikate auf dem Reiter "Antragstellername" die Option bei "Informationen werden in der Anforderung...". Für die Clients in der AD braucht man das nicht. Sieht man ja auch, denn du schreibst, dass das ja funktioniert. Daher habe ich in der CA 2 Vorlagen erstellt.
Nun funktioniert auch ein AD-Fremdes System mit dem FQDN eines AD-Systems im CN.
Der Windows NPS versucht den FQDN in der AD zu validieren, sonst kommt es zur keiner Authentifizierung. Was mache ich also mit einem iOS und Android, hier wird es nie einen gültigen FQDN geben, wenn das Gerät iPhonevonUser heißt?
Bitte warten ..
Mitglied: RalphT
02.07.2020 um 16:56 Uhr
Was mache ich also mit einem iOS und Android, hier wird es nie einen gültigen FQDN geben, wenn das Gerät iPhonevonUser heißt?

Ja das stimmt, das wäre nicht praktikabel. Bei den Smartphones würde ich anders agieren. Jetzt ist natürlich die Frage, über wieviele Geräte reden wir hier? Hast du jeden Tag andere Gäste?
Ich würde das für die Smartphones ohne ein Computerzertifikat lösen. Entweder mit einem Benutzerzertifikat oder mit Name/Passwort.
Wobei ich die Variante mit Name und Passwort besser finde. Das gibt man ja nur einmal ein und gut ist. Ein Benutzerzertifikat muss der jeweilige Hanynutzer bekommen. Enweder per USB oder per Mail. Ich bin der Meinung, das nervt auf beiden Seiten.

Dazu erstellt du im NPS eine weitere Regel. Du legst im AD eine neue Gruppe an. In diese Gruppe packst du alle Handynutzer mit Namen, die vorher in der AD alle angelegt worden sind. Diese Gruppe muss im NPS in der neuen Regel erlaubt werden. Dann darf der EAP-Typ nicht auf Zertifikat stehen. Hier muss das hier stehen:
"Microsoft: Geschütztes EAP (PEAP) unter EAP-Typen: Gesichertes Kennwort (EAP MSCHAP v2)"
Wichtig ist hier folgendes:
Bei deiner ersten Regel, arbeitest du im NPS und in der AD mit einer Gruppe in der COMPUTER sind. Bei der neuen, zweiten Regel arbeitest du im NPS und in der AD mit einer Gruppe in der NUTZER sind. Das wird schnell mal vergessen.

Wenn du später ein Handynutzer nicht mehr magst, dann deaktivierst du in der AD sein Benutzerkonto. Damit hättest du die Leute schnell ausgesperrt. Alle Hanynutzer müssen jeoch das ROOT-Zertifkat haben. Aber das sollte ja kein Problem darstellen, da dieses Zertifikat eine lange Laufzeit hat.
Bitte warten ..
Mitglied: IT-HRS
08.07.2020 um 08:23 Uhr
Ja das stimmt, das wäre nicht praktikabel. Bei den Smartphones würde ich anders agieren. Jetzt ist natürlich die Frage, über wieviele Geräte reden wir hier? Hast du jeden Tag andere Gäste?
Ca. 5000-8000 Systeme, da wir auch die PDAs so ins WLAN heben wollen.
Ich würde das für die Smartphones ohne ein Computerzertifikat lösen. Entweder mit einem Benutzerzertifikat oder mit Name/Passwort.
MSCHAPv2 ist aktuell konfiguriert und ist leider auch für uns ein Problem, da wir freiwillige Mitarbeiter haben, die somit die Geräte nutzen ohne einen AD-Account zu haben.
Wobei ich die Variante mit Name und Passwort besser finde. Das gibt man ja nur einmal ein und gut ist. Ein Benutzerzertifikat muss der jeweilige Hanynutzer bekommen. Enweder per USB oder per Mail. Ich bin der Meinung, das nervt auf beiden Seiten.
Wir verteilen die Zertifikate per MDM, dort ist ein SCEP-Proxy hinterlegt mit Zugriff auf die interne PKI

Darf ein Benutzerzertifikat die Schlüsselverwendung "Client-Authentifizierung" haben? Denn ich denke das stört den NPS aktuell.
Unsere Zertifikate bestehen aus den Informationen des MDM-Users und wird auf Geräte außerhalb der Domäne verteilt.
Bitte warten ..
Ähnliche Inhalte
Windows Server

NPS - MAC Authentifizierung - Windows Server 2016

gelöst Frage von PhillusWindows Server7 Kommentare

Guten Tag, ich habe mich nun schon durch viele Foren gearbeitet und auch viele Beiträge gelesen, die leider keine ...

LAN, WAN, Wireless

802.1x Authentifizierung - NPS - RADIUS MAC

gelöst Frage von LKaderavekLAN, WAN, Wireless4 Kommentare

Hallo, ich erstelle gerade eine WiFi Lösung mit XIRRUS Access Points, die ich in der Cloud verwalte. Als Authentifizierungsmethode ...

LAN, WAN, Wireless

Radius (NPS) Authentifizierung VLAN auf MAC Basis

Frage von DanLeiLAN, WAN, Wireless2 Kommentare

Hallo, ich möchte gerne Clients die sich mit dem WLan verbinden mit Hilfe des Radius verschiedene VLans zuweisen. Prinzipiell ...

LAN, WAN, Wireless

WLan-Authentifizierung über NPS mit EAP-TLS

Frage von KopeckLAN, WAN, Wireless1 Kommentar

Hallo, ich habe folgendes Problem: Ich würde gerne mein WLan mit Hilfe von (Benutzer)Zertifikaten absichern. Habe nun in einer ...

Neue Wissensbeiträge
Monitoring

Unabhängiger Ansatz - IoT (frei von Cloud- oder Appzwang) - Hier mit Schaltsteckdosen

Anleitung von beidermachtvongreyscull vor 1 TagMonitoring1 Kommentar

Tach Kollegen, ich erzähle Euch mal von meiner Ausgangslage und den/m Problem(chen) Ich benutze ein NAS zur Lagerung meiner ...

Microsoft
Microsoft Advanced Threat Protection for Linux
Information von Dani vor 3 TagenMicrosoft

Microsoft Defender Advanced Threat Protection (MD ATP) support for Linux with kernel version 3.10.0-327 or later, including the following ...

Humor (lol)
! ! Today ist SysAdmin-Day ! !
Information von VGem-e vor 4 TagenHumor (lol)5 Kommentare

Moin, "Happy Birthday" an alle Systemadministratoren, Mausschubser, System-/EDV-Betreuer, SysOps etc!! Siehe auch. Edit (Video hinzugefügt): Gruß VGem-e

Exchange Server
Basic Authentication and Exchange Online
Information von Dani vor 6 TagenExchange Server

Today we are pleased to announce some new changes to Modern Authentication controls in the Microsoft 365 Admin Center, ...

Heiß diskutierte Inhalte
Google Android
Handy gehackt ? - Gegemassnahmen
Frage von hushpuppiesGoogle Android26 Kommentare

Hallo zusammen, folgendes Szenario: Kollegin kommt heute zu mir und erzählt, dass ihre Tochter gestern über WhatsApp von einem ...

Google Android
Smartphone - Internes Radio auf Bluetooth Lautsprecher abspielen
Frage von emeriksGoogle Android25 Kommentare

Hi, vielleicht kann ja einer von Euch auch sowas beantworten. Ich habe hier ein Samsung Smartphone - S10 Lite. ...

Cloud-Dienste
Cisco 8841 - Enter activation code
gelöst Frage von c0d3.r3dCloud-Dienste21 Kommentare

Guten Morgen, ich habe gerade von einem Mitarbeiter den Hinweis bekommen, dass sein Telefon (Cisco 8841) einen Welcome-Screen mit ...

Windows Server
DCPromo bleibt bei Migration Server 2008R2 auf 2016 hängen
gelöst Frage von Leo-leWindows Server20 Kommentare

Hallo Forum, wir sind gerade dabei, unsere beiden DCs auf Server 2016 zu migrieren. Aktuell hängt der zusätzlich ins ...

Weniger Werbung?
Administrator Magazin
07 | 2020 In der Juli-Ausgabe beleuchtet das IT-Administrator Magazin den Themenschwerpunkt "Monitoring & Support". Darin zeigt die Redaktion unter anderem, wie Sie die Leistung von Terminalservern im Blick behalten und welche Neuerungen das Ticketsystem OTRS 8 mitbringt. Auch die Überwachung von USV-Anlagen darf nicht fehlen. In ...