14
Problem mit IAS und 802.1x mit Zertifikaten
Hallo,
ich habe ein kleines Problem mit dem Windows RADIUS Server (IAS) in Zusammenspiel mit der Zertifikatsstelle. Ich habe die Enterprise CA und das Root Zertifikat auf dem Server installiert. Nun möchte ich 802.1x über Zertifikate im LAN implementieren. Wenn ich allerdings im IAS in der RAS Richtlinie "Smartkart oder anderes Zertifikat" auswähle, erscheint die Fehlermeldung "Es konnte kein Zertifikat gefunden werden, das mit dem Extensible-Authentication-Protokoll verwendet werden kann".
Kann mir da jemand weiter helfen?
DANKE
ich habe ein kleines Problem mit dem Windows RADIUS Server (IAS) in Zusammenspiel mit der Zertifikatsstelle. Ich habe die Enterprise CA und das Root Zertifikat auf dem Server installiert. Nun möchte ich 802.1x über Zertifikate im LAN implementieren. Wenn ich allerdings im IAS in der RAS Richtlinie "Smartkart oder anderes Zertifikat" auswähle, erscheint die Fehlermeldung "Es konnte kein Zertifikat gefunden werden, das mit dem Extensible-Authentication-Protokoll verwendet werden kann".
Kann mir da jemand weiter helfen?
DANKE
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 116803
Url: https://administrator.de/contentid/116803
Printed on: April 26, 2024 at 16:04 o'clock
14 Comments
Latest comment
Du brauchst ein Benutzerzertifikat, das du für EAP verwenden kannst. Ruf
einfach mal die Website der CA über http://Servername/certsrv auf und
beantrage ein Benutzerzertifikat, dann sollte es funktionieren.
einfach mal die Website der CA über http://Servername/certsrv auf und
beantrage ein Benutzerzertifikat, dann sollte es funktionieren.
Das habe ich versucht. Hier kann ich aber nur zwischen Webbrowser und EMail Zertifikat auswählen.
Habe eigentlich unter ZERTIFIKATSVORLAGEN die Vorlage des Benutzerzertifikats kopiert und bearbeitet. Wie kann ich das Zertifikat nun einbinden?
Habe eigentlich unter ZERTIFIKATSVORLAGEN die Vorlage des Benutzerzertifikats kopiert und bearbeitet. Wie kann ich das Zertifikat nun einbinden?
Du kannst grundsätzliche eigene Zertifikats-Vorlagen bzw. Templates nur mit Server 2003 Enterprise Edition erstellen, bzw vorhandene Vorlagen kopieren und die Einträge ändern. Ein KRETZ ist das.
Will man dann noch die Gültigkeitsdauer eines clientzertifikats verlängern muss man das über einen Registrykey machen dessen Aufspüren mich drei graue Sackhaare gekostet hat. Doppelkretz!
Wenn du EAP-TLS verwenden willst brauchen sowohl IAS als auch Client ein Zertifikat, sie authentisieren sich gegenseitig beim Verbindungsaufbau wie Dr. aqui schon erwähnte.
Warum machst nicht einfach PEAP (EAP-MSCHAPv2) - da braucht nur der IAS ein Server-Zertifikat, und die User melden sich automatisch via ihrem Anmeldenamen/Passwort über einen TLS-Tunnel an, bzw. das geht automatisch wenn sie sich am Windows Client anmelden.Theoretisch ist das sicherer als EAP-PEAP. Doch es ist auch sicherer mit Helm und Vollschutzanzug Auto zu fahren, doch das macht keine Sau weil es als schwachsinnig eingestuft wird.
. Sonst musst du im Fall von EAP-TLS die Userzertifikate stets erneuern, was ganz schön nerven kann, wenn die PKI nicht automatisiert auf dem DC läuft und man das ständig manuell machen muss. Auf die clients must du bei dieser Variante lediglich einamlig das recht lange gültige Stammzertifikat der CA installieren, die das IAS Zertifikat ausgestellt hat damti die Clients das IAS Zertifikat als vertrauenswürdig einstufen können.
Damit das Anmelden am WLAN auch noch VOR der Useranmeldung funktioniert (damit Loginskripte ausgeführt werden können) muss man im IAS RAS Policies sowohl für Computerkonto Authentisierung als auch für Benutzer Authentisierung einrichten (2 Policies).
Da musst im IAS RAS Policy dann die Windows Gruppe auswählen wo die Domain Users bzw. Domain Computers drinne sind.
Will man dann noch die Gültigkeitsdauer eines clientzertifikats verlängern muss man das über einen Registrykey machen dessen Aufspüren mich drei graue Sackhaare gekostet hat. Doppelkretz!
Wenn du EAP-TLS verwenden willst brauchen sowohl IAS als auch Client ein Zertifikat, sie authentisieren sich gegenseitig beim Verbindungsaufbau wie Dr. aqui schon erwähnte.
Warum machst nicht einfach PEAP (EAP-MSCHAPv2) - da braucht nur der IAS ein Server-Zertifikat, und die User melden sich automatisch via ihrem Anmeldenamen/Passwort über einen TLS-Tunnel an, bzw. das geht automatisch wenn sie sich am Windows Client anmelden.Theoretisch ist das sicherer als EAP-PEAP. Doch es ist auch sicherer mit Helm und Vollschutzanzug Auto zu fahren, doch das macht keine Sau weil es als schwachsinnig eingestuft wird.
. Sonst musst du im Fall von EAP-TLS die Userzertifikate stets erneuern, was ganz schön nerven kann, wenn die PKI nicht automatisiert auf dem DC läuft und man das ständig manuell machen muss. Auf die clients must du bei dieser Variante lediglich einamlig das recht lange gültige Stammzertifikat der CA installieren, die das IAS Zertifikat ausgestellt hat damti die Clients das IAS Zertifikat als vertrauenswürdig einstufen können.
Damit das Anmelden am WLAN auch noch VOR der Useranmeldung funktioniert (damit Loginskripte ausgeführt werden können) muss man im IAS RAS Policies sowohl für Computerkonto Authentisierung als auch für Benutzer Authentisierung einrichten (2 Policies).
Da musst im IAS RAS Policy dann die Windows Gruppe auswählen wo die Domain Users bzw. Domain Computers drinne sind.
Okok. Also mein Hauptproblem ist, dass ich den IAS das Zertifikat gar nicht einbinden kann da er die Fehlermeldung "Es konnte kein Zertifikat gefunden werden, das mit dem Extensible-Authentication-Protokoll verwendet werden kann" bringt.
Um WLAN gehts eigentlich nicht sondern um 802.1x im Netzwerk mit Dynamischer VLAN zuweisung. Aber das ist erst mal noch irrelevant solange der RADIUS nicht einwandfrei läuft
Könnt ihr mir bei dem Problem helfen.
Um WLAN gehts eigentlich nicht sondern um 802.1x im Netzwerk mit Dynamischer VLAN zuweisung. Aber das ist erst mal noch irrelevant solange der RADIUS nicht einwandfrei läuft
Könnt ihr mir bei dem Problem helfen.
Bei EAP Nutzung muss der IAS Mitglied einer Domain sein, sonst hast du die Option der Benutzerzertifikate gar nicht erst !!! Ist das bei dir der Fall ??? Sonst musst du halt ne Alternative wie Freeradius nehmen, da gehts auch ohne Win Domain !!
Ja der IAS ist auf einem DC sowie die Zertifizierungsstelle auch. Root-Zertifikat ist unter den Vertrauenswürdigen Stammzertifizierungsstellen installiert zudem habe ich über http://servername/certsrv ein Benutzerzertifikat angefordert, ausgestellt und installiert unter EIGENE ZERTIFIKATE.
In einem anderen Testszenario hatte ich den IAS aber schon mal mit Zertifikaten laufen, da hatte ich das Problem nicht.
Wegen Freeradius komme ich später noch zu sprechen da derzeit die Möglichkeiten mit 802.1x im LAN teste und muss auch mit Freeradius arbeiten
In einem anderen Testszenario hatte ich den IAS aber schon mal mit Zertifikaten laufen, da hatte ich das Problem nicht.
Wegen Freeradius komme ich später noch zu sprechen da derzeit die Möglichkeiten mit 802.1x im LAN teste und muss auch mit Freeradius arbeiten
Also d.h. der IAS kann das Server-Zertifikat nicht verwenden bzw. er findet es nicht. Ok.
Kopiere das Radiuszertifikat auf dem Radius vom Certstore "Current User" Personal glaub ich in den Cert Store "Local Mashine" Personal mit dem Zertifikatsmanager (crtmanager.msc glaub ich).
Dann IAS neu starten.
Ach die dynamische VLAN Zuweisung kannst du eventuell mit Radius Attribut 25 (class) machen.
Entweder bei den usereigenschaften im AD bei "Einwahl" die VLAN Nummer eintragen in ein Feld, z. B. callbacknumber, dann kannst du das Radiusattribut als "Träger" benutzen oder eben class und mit versch. RAS Policies arbeiten. Muss man halt schauen welche Radiusattribute der Switch wie interpretiert, sniffen wäre kein Fehler um zu schauen wie Switch und IAS mineinander kommunizieren.
Ja mit Freeradius kann man auch einiges drehen - wenn man jedoch eh User oder computer aus dem Active Directory authentisieren will, warum dann umständlicher machen als nötig. IAS funktioniert wunderbar und ist in die Windows Umgebung voll integriert.
Kopiere das Radiuszertifikat auf dem Radius vom Certstore "Current User" Personal glaub ich in den Cert Store "Local Mashine" Personal mit dem Zertifikatsmanager (crtmanager.msc glaub ich).
Dann IAS neu starten.
Ach die dynamische VLAN Zuweisung kannst du eventuell mit Radius Attribut 25 (class) machen.
Entweder bei den usereigenschaften im AD bei "Einwahl" die VLAN Nummer eintragen in ein Feld, z. B. callbacknumber, dann kannst du das Radiusattribut als "Träger" benutzen oder eben class und mit versch. RAS Policies arbeiten. Muss man halt schauen welche Radiusattribute der Switch wie interpretiert, sniffen wäre kein Fehler um zu schauen wie Switch und IAS mineinander kommunizieren.
Ja mit Freeradius kann man auch einiges drehen - wenn man jedoch eh User oder computer aus dem Active Directory authentisieren will, warum dann umständlicher machen als nötig. IAS funktioniert wunderbar und ist in die Windows Umgebung voll integriert.
.
spacey hat da natürlich Recht obwohl eine Freeradius Integration über LDAP an eine AD natürlich auch machbar ist aber eben erheblich mehr Aufwand wenn man es mit IAS einfacher haben kann.
802.1x Authentisierung und dynmaische VLAN Zuweisung mit Freeradius kannst du in diesem Thread nachlesen:
Dynamisches Vlan bei Freeradius mit Alcatel switch
spacey hat da natürlich Recht obwohl eine Freeradius Integration über LDAP an eine AD natürlich auch machbar ist aber eben erheblich mehr Aufwand wenn man es mit IAS einfacher haben kann.
802.1x Authentisierung und dynmaische VLAN Zuweisung mit Freeradius kannst du in diesem Thread nachlesen:
Dynamisches Vlan bei Freeradius mit Alcatel switch
OK. Werde es heute Abend testen.
Funktionieren tut zumindest schon mal, dass sich die Domänengruppe DOMÄNEN-ADMINS sich mit ihrem Account an den Switches anmelden können um diese zu managen.
Komisch finde ich, dass ich 802.1x Port-Controll auf den Switches auch eingerichtet habe, wenn ich aber meinen Testclient am Switch anstecke, kommt am IAS gar keine Authentifizierungsanfrage an und der Port bleibt logischerweise UNAUTHORIZED und der Client wandert ins Guest VLAN.
Muss ich ier eine bestimmte RAS Richtlinie konfigurieren?
Funktionieren tut zumindest schon mal, dass sich die Domänengruppe DOMÄNEN-ADMINS sich mit ihrem Account an den Switches anmelden können um diese zu managen.
Komisch finde ich, dass ich 802.1x Port-Controll auf den Switches auch eingerichtet habe, wenn ich aber meinen Testclient am Switch anstecke, kommt am IAS gar keine Authentifizierungsanfrage an und der Port bleibt logischerweise UNAUTHORIZED und der Client wandert ins Guest VLAN.
Muss ich ier eine bestimmte RAS Richtlinie konfigurieren?
Das mit dem kopieren der Zertifikate hat jetz twas gebracht, allerdings erst nachdem ich ein SERVERAUTHENTIFIZIERUNGSZERTIFIKAT erstelt habe. Habe das irgendwie überlesen.
Weiter gehts morgen. WErde es mit EAP-TLS sowie mit PEAP EAP-MSCHAPv2 testen. Danach gehts an den Freeradius.
Ich danke euch schon mal mega für die Unterstützung.
Weiter gehts morgen. WErde es mit EAP-TLS sowie mit PEAP EAP-MSCHAPv2 testen. Danach gehts an den Freeradius.
Ich danke euch schon mal mega für die Unterstützung.
Wenn ich PEAP (EAP-MSChap v2) mache, geht die Authentifizierung über die Domänenbenutzeraccounts. VOR der Windows-Anmeldung ist der Client allerdings nicht authorisiert und ich bin der Meinung, dass sobald der Benutzer seinen Benutzernamen und Passwort eingegegeben hat und mit ENTER sich anmeldet, es zu lange dauert bis der Client authorisiert wird und somit das Logonscript übersprungen wird und evtl. auch das Laden des servergespeicherten Profils, oder?
Hast du auf dem IAS eine RAS Policy die auf Computerkonto checkt (Gruppe Domain Computers oder auf germanisch Domänencomputer). Weil der Client kann auch bei EAP-MSchapv2 vor der Anmeldung seine Windous Maschinenkonto SID an den IAS schicken dass es eine wahre pracht ist! Eventuell reicht gar das Windows Computerkonto, das ist ja fast das selbe wie ein Zertifikat vom Prinzip her, nur eben viel einfacher. Zumindest läuft das im WLAN so bei mir. Gibt aber auch noch andere Möglichkeiten, wie so oft im Leben.
So, a
also mittlerweile hab ich es soweit am Laufen. In meiner zweiten Testumgebung habe aber scheinbar ein Porblem mit dem Zertifikat für den IAS. Ich kann mich mit keinem Client über PEAP (MSCAH v2) authentifizieren und im Syslog erscheint immer golgende Meldung:
Zugriffsanforderung für Benutzer "host/vm-srv.test.dom" wurde gelöscht.
Vollqualifizierter Benutzername = test.dom/Computers/VM-SRV
NAS-IP-Adresse = 192.168.0.252
NAS-Kennung = <nicht vorhanden>
ID der Empfängerstation = <nicht vorhanden>
ID der Anrufstation = <nicht vorhanden>
Client-Name = Switch
Client-IP-Adresse = 192.168.0.252
NAS-Porttyp = Ethernet
NAS-Port = 15
Proxyrichtlinienname = Switches
Authentifizierungsanbieter = Windows
Authentifizierunsserver = <unbestimmt>
Ursachencode = 1
Ursache = Ein interner Fehler ist aufgetreten. Weitere Informationen finden Sie im Ereignisprotokoll.
Als zweiter Eintrag kommt dies, mehr aussagende Meldung dazu
Das Zertifikat des RAS-Servers konnte aufgrund des folgenden Fehlers nicht abgerufen werden:
Die Anmeldeinformationen, die dem Paket übergeben wurden, wurden nicht erkannt.
also mittlerweile hab ich es soweit am Laufen. In meiner zweiten Testumgebung habe aber scheinbar ein Porblem mit dem Zertifikat für den IAS. Ich kann mich mit keinem Client über PEAP (MSCAH v2) authentifizieren und im Syslog erscheint immer golgende Meldung:
Zugriffsanforderung für Benutzer "host/vm-srv.test.dom" wurde gelöscht.
Vollqualifizierter Benutzername = test.dom/Computers/VM-SRV
NAS-IP-Adresse = 192.168.0.252
NAS-Kennung = <nicht vorhanden>
ID der Empfängerstation = <nicht vorhanden>
ID der Anrufstation = <nicht vorhanden>
Client-Name = Switch
Client-IP-Adresse = 192.168.0.252
NAS-Porttyp = Ethernet
NAS-Port = 15
Proxyrichtlinienname = Switches
Authentifizierungsanbieter = Windows
Authentifizierunsserver = <unbestimmt>
Ursachencode = 1
Ursache = Ein interner Fehler ist aufgetreten. Weitere Informationen finden Sie im Ereignisprotokoll.
Als zweiter Eintrag kommt dies, mehr aussagende Meldung dazu
Das Zertifikat des RAS-Servers konnte aufgrund des folgenden Fehlers nicht abgerufen werden:
Die Anmeldeinformationen, die dem Paket übergeben wurden, wurden nicht erkannt.
Jetz habe ich die CA deinstalliert und nochmal als Stammzertifizierungsstelle neu installiert.
Wen ich nun auf die CA über den Webserver zugreife, kann ich kein Serverzertifikat mehr ausstellen. Hier liegt mir nur noch BENUTZERZERTIFIKAT und Weitere Zertifikate als Möglichkeit vor wo allerdings nirgends ein Serverzertifikat zur Auswahl steht
Wen ich nun auf die CA über den Webserver zugreife, kann ich kein Serverzertifikat mehr ausstellen. Hier liegt mir nur noch BENUTZERZERTIFIKAT und Weitere Zertifikate als Möglichkeit vor wo allerdings nirgends ein Serverzertifikat zur Auswahl steht