Zertifikatsbasierte Zugriffskontrolle (802.1X) und Netzwerkrichtlinien (NPS)

Mitglied: DennisTM
Liebe Leute,

wieder mal das selbe Thema. Ich bin am verzweifeln. Es will einfach nicht funktionieren. Ich denke ich bin schon weit gekommen aber es gelingt mir einfach nicht die Aufgabe abzuschließen.

In der Hoffnung dass ich Eure Nerven nicht über Gebühr in Anspruch nehme, und mir jemand helfen kann, noch einmal die ganze Geschichte von vorn.

Ziel des Ganzen ist es, dass nur Geräte Zugang zum Netzwerk bekommen, die über ein gültiges Zertifikat verfügen. Nicht mehr und nicht weniger.

Die Situation

Windows Server 2019

Serverrollen:

- Active Directory
- NPS (NAP)
- CS

Im Vorfeld habe ich die Zertifizierungsstelle eingerichtet. Per Autoenrollment werden die Zertifikate zuverlässig ausgestellt, verteilt und aktualisiert.

Am Authenticator (WLAN AP) ist die Authentifizierung per WPA-Enterprise konfiguriert (es wurde die IP des NPS und das Shared Secret eingetragen, ansonsten ist alles auf Werkseinstellung. Die Zeit holt er sich per ntp).

Grundsätzlich habe ich es so verstanden, dass jeder WLAN Client (Endgerät) der selbiges nutzen möchte, sich beim Radius Client (Authenticator/WLAN AP) meldet und den Zugang zum Netzwerk anfordert. Dieser "erkundigt" sich beim Radius / NAP Server (Authentication Server) ob eine Berechtigung erteilt wird oder nicht.

Ist dem so, lässt der Authenticator den WLAN Client in das Netzwerk.

Ob der Radius Server die Berechtigung erteilt oder ablehnt, hängt von den Netzwerkzugangsrichtlinien ab (Verbindungsanforderungsrichtlinien / Netzwerkrichtlinien) die in der NPS Konfiguration eingetragen sind.

Ob ein Gerät generell überhaupt das LAN / WLAN nutzen darf, wird per GPO festgelegt (Drahtlosnetzwerkrichtlinien / WLAN Authentifizierung). Damit die GPO greift, muss ein Sicherheistfilter erstellt werden, der festlegt, für wenn die Richtlinie gilt (z.B. für alle Computer der Domäne).



Im WPA-Enterprise
Protected EAP (PEAP)
ARS-CCMP

Wo kann ich konkret festlegen dass Computer ohne gültiges Zertifikat NICHT ins Netzwerk kommen?

Content-Key: 1417583828

Url: https://administrator.de/contentid/1417583828

Ausgedruckt am: 27.11.2021 um 18:11 Uhr

Mitglied: aqui
Lösung aqui 23.10.2021 aktualisiert um 15:50:16 Uhr
Goto Top
Ist das ein Followup dieses_Threads ? Wenn ja, solltest du das ggf. dort kennzeichnen oder den auf "gelöst" setzen...

Das "Szenario 4" beschreibt hier alle erforderlichen ToDos:
https://itsecblog.de/netzwerk-authentifizierung-802-1x-zertifikaten-wind ...
Wo kann ich konkret festlegen dass Computer ohne gültiges Zertifikat NICHT ins Netzwerk kommen?
Das macht der Radius Server. Wenn dort ein Request ohne User Zertifikat eingeht schickt der sofort ein "Access Denied". Was soll er auch sonst anderes machen, denn er hat ja keine anderen Credentials für den User zur Authentisierung ?!
Wichtig ist natürlich das im Client die Authentisierungsmethode auf "Smartcard oder anderes Zertifikat" gesetzt wurde.
Wie immer wäre die Ereignisanzeige des NPS mehr als hilfreich hier und sollte logischerweise immer deine erste Anlaufstelle sein ! Ansonsten ist das doch immer Raten im Blindflug mit Kristallkugel.
Mitglied: DennisTM
DennisTM 23.10.2021 um 15:56:21 Uhr
Goto Top
Lieber Aqui,
eigentlich ist das noch der Entwurf. Ich bin noch am formulieren. Das mit dem Speichern ist etwas irreführend. Ich werde meine Formulierung noch weiter ausführen.
Mitglied: aqui
aqui 23.10.2021 aktualisiert um 16:07:39 Uhr
Goto Top
Speichern ?, Bahnhof ?, Ägypten ? 🤔
Nachts ist's kälter als draußen...
Du sprichst in Rätseln... Die Antwort ist jetzt irgendwie unverständlich. Hat sie etwas mit dem Thread zu tun bzw. hast du gar kein Problem und fragst nur nach Textformulierungen deiner Arbeit oder was soll uns allen diese kryptische Antwort denn nun sagen ??
Mitglied: DennisTM
DennisTM 23.10.2021 um 16:14:52 Uhr
Goto Top
Ein Missverständnis. Mit Speichern meinte ich die versehentliche Veröffentlichung meines eigentlichen Entwurfs. Ich war noch nicht fertig damit mein Problem nachvollziehbar zu beschreiben und habe eigentlich nur abspeichern wollen. Den Entwurf. Das ist mir misslungen. Ich werde die Formulierung noch fertigstellen damit es ein ordentlicher Beitrag ist. So meinte ich das. Bitte vielmals um Entschuldigung. Das Privatleben funkt mir hier gerade permanent dazwischen und lässt mich nicht vernünftig konzentrieren. Bitte etwas Geduld. Ich kuck mir später Deinen Hinweis mit Variante 4 an und schließe dann den unvollendeten Anfangsbeitrag adäquat ab. VG
Mitglied: hacktor
Lösung hacktor 23.10.2021, aktualisiert am 24.10.2021 um 16:13:26 Uhr
Goto Top
Wo kann ich konkret festlegen dass Computer ohne gültiges Zertifikat NICHT ins Netzwerk kommen?
In der Netzwerkzugriffsrichtlinie im NPS, indem du dort nur die entsprechende Methode hinzufügst die nur eine Authentifizierung mittels Zertifikaten zulässt:

screenshot

Das Privatleben funkt mir hier gerade permanent dazwischen und lässt mich nicht vernünftig konzentrieren.
Prioritäten setzen ;-) face-wink.
Mitglied: DennisTM
DennisTM 25.10.2021 um 08:38:00 Uhr
Goto Top
Ok, inzwischen habe ich es endlich hinbekommen. Die Informationen aus den beiden als Lösung markierten Beiträge haben letztendlich zum Ziel geführt.

Vielen Dank nochmal an dieser Stelle, Ihr habt mir Beide sehr geholfen. :) face-smile
Heiß diskutierte Beiträge
question
Windows Server 2019 AD MigrationjamesbrownVor 1 TagFrageWindows Server8 Kommentare

Hallo zusammen Langsam habe ich Panik, die komplette Domäne zerschossen zu haben. Bevor ich weiter vergehe, wollte ich darum hier um Rat bitten. Was ist ...

question
Mobilfunk-Internet ins Heimnetzwerk integrieren? gelöst AvarianVor 1 TagFrageNetzwerkmanagement7 Kommentare

Hallo, Ich bin neu hier. Wir sind vorletztes Jahr umgezogen. Die Gelegenheit habe ich damals direkt genutzt, um künftig auf wackelige WLAN-Lösungen (Repeater, Mesh-Repeater, Powerlines ...

question
Maximale Empfänger bei Office365 gelöst mmpmmpVor 1 TagFrageMicrosoft Office11 Kommentare

Hallo, ich verwende nun Office365 (Exchange Online) für Emails und würde gerne die Weihnachtsgrüße per Mail versenden. Wo liegen die Beschränkungen der maximalen Empfänger? ...

report
Mailversand durch Sophos XG gestört (25.11.2021)kgbornVor 1 TagErfahrungsberichtFirewall2 Kommentare

Kurze Information - vielleicht hat jemand eine ähnliche Beobachtung gemacht. Ein IT-Admin hat mich darauf hingewiesen, dass es wohl gestern (25.11.2021) ein Update des Antivirus-Pattern ...

question
Über das Notebook per Simkarte von unterwegs aus ins Internet?isarc01Vor 1 TagFrage5G, 4G, LTE, UMTS, EDGE & GPRS8 Kommentare

Hallo, folgende Frage: Wenn ich über mein Notebook über eine angemeldete SIM Karte mit einer Datenflatrate ins Internet gehen möchte, benötige ich hier einen bestimmten ...

question
Reinigung der Apple Watch gelöst honeybeeVor 18 StundenFrageApple6 Kommentare

Hallo, mit welchem Reinigungsmittel kann ich das Armband meiner Apple Watch schonend reinigen? Auf dem Bild seht ihr, dass es in einem guten Zustand ist. ...

question
NAS-Fileserver für KassenverbundsystemGastroVor 1 TagFrageSAN, NAS, DAS4 Kommentare

Hallo IT-Community, vor weg - Ich bin kein IT Adminstrator, sondern einfacher Anwender. Die Situation: Unsere Betriebe arbeiten mit Kassenverbundsystemen. Drei bis fünf PC's (Intel ...

question
HP Notebook startet nicht mehrben1300Vor 20 StundenFrageHardware4 Kommentare

Hallo zusammen, mein HP Notebook Modell 17-ca1300ng startet nicht mehr. Wenn ich den Power Knopf drücke, blinkt die LED neben der Ladebuchse 3x weiß. Jemand ...