12
WLAN Radius mit W2k8R2
WLAN Auth über Netzwerk mit MS Windows Server 2008 R2
Hallo zusammen,
Ich habe schon xx Beiträge gelesen und googlet werde leider mit meinem Problem nicht fertig.
Folgender Aufbau
WLAN AP ----- Server 2008 R2
Was ich erreichen möchte dass man sich nur mit Domain Username und PW anmleden muss ohne ein Cert auf dem Endgerät.
Die Verbindung Server und AP geht. Es kommt folgende Meldung:
Der Netzwerkrichtlinienserver verweigerte einem Benutzer den Zugriff.
Wenden Sie sich an den Administrator des Netzwerkrichtlinienservers, um weitere Informationen zu erhalten.
Benutzer:
Sicherheits-ID: mode\test.user
Kontoname: test.user
Kontodomäne: mode
Vollqualifizierter Kontoname: mode\test.user
Clientcomputer:
Sicherheits-ID: NULL SID
Kontoname: -
Vollqualifizierter Kontoname: -
Betriebssystemversion: -
Empfänger-ID: 00-1A-8C-0E-46-A1:yx_Secure
Anrufer-ID: 70-F3-95-E2-FE-70
NAS:
NAS-IPv4-Adresse: -
NAS-IPv6-Adresse: -
NAS-ID: yx_Secure
NAS-Porttyp: Drahtlos - IEEE 802.11
NAS-Port: 1
RADIUS-Client:
Clientanzeigenname: yx
Client-IP-Adresse: 192.168.0.1
Authentifizierungsdetails:
Name der Verbindungsanforderungsrichtlinie: yx_WLAN
Netzwerkrichtlinienname: RRS_WLAN
Authentifizierungsanbieter: Windows
Authentifizierungsserver: mode.int
Authentifizierungstyp: EAP
EAP-Typ: -
Kontositzungs-ID: -
Protokollierungsergebnisse: Die Kontoinformationen wurden in die lokale Protokolldatei geschrieben.
Ursachencode: 22
Ursache: Der Client konnte nicht authentifiziert werden, da der angegebene EAP (Extensible Authentication-Protokoll)-Typ vom Server nicht verarbeitet werden kann.
Oder Fehler unten auf dem Bild wenn ich die konfigs lade wie auf den Pics:
Bilder zur konfig.
Diagnose: Es liegt am Server, Cert Problem. Wieso ein Cert? Ich tauschen Daten Server und AP mit einem Kennwort aus.
Bin froh wenn mich jemand aufklären kann.
Muss man das Cert über den Webdienst auf nich Dom Client ausrollen:
Ich habe schon xx Beiträge gelesen und googlet werde leider mit meinem Problem nicht fertig.
Folgender Aufbau
WLAN AP ----- Server 2008 R2
Was ich erreichen möchte dass man sich nur mit Domain Username und PW anmleden muss ohne ein Cert auf dem Endgerät.
Die Verbindung Server und AP geht. Es kommt folgende Meldung:
Der Netzwerkrichtlinienserver verweigerte einem Benutzer den Zugriff.
Wenden Sie sich an den Administrator des Netzwerkrichtlinienservers, um weitere Informationen zu erhalten.
Benutzer:
Sicherheits-ID: mode\test.user
Kontoname: test.user
Kontodomäne: mode
Vollqualifizierter Kontoname: mode\test.user
Clientcomputer:
Sicherheits-ID: NULL SID
Kontoname: -
Vollqualifizierter Kontoname: -
Betriebssystemversion: -
Empfänger-ID: 00-1A-8C-0E-46-A1:yx_Secure
Anrufer-ID: 70-F3-95-E2-FE-70
NAS:
NAS-IPv4-Adresse: -
NAS-IPv6-Adresse: -
NAS-ID: yx_Secure
NAS-Porttyp: Drahtlos - IEEE 802.11
NAS-Port: 1
RADIUS-Client:
Clientanzeigenname: yx
Client-IP-Adresse: 192.168.0.1
Authentifizierungsdetails:
Name der Verbindungsanforderungsrichtlinie: yx_WLAN
Netzwerkrichtlinienname: RRS_WLAN
Authentifizierungsanbieter: Windows
Authentifizierungsserver: mode.int
Authentifizierungstyp: EAP
EAP-Typ: -
Kontositzungs-ID: -
Protokollierungsergebnisse: Die Kontoinformationen wurden in die lokale Protokolldatei geschrieben.
Ursachencode: 22
Ursache: Der Client konnte nicht authentifiziert werden, da der angegebene EAP (Extensible Authentication-Protokoll)-Typ vom Server nicht verarbeitet werden kann.
Oder Fehler unten auf dem Bild wenn ich die konfigs lade wie auf den Pics:
Bilder zur konfig.
Diagnose: Es liegt am Server, Cert Problem. Wieso ein Cert? Ich tauschen Daten Server und AP mit einem Kennwort aus.
Bin froh wenn mich jemand aufklären kann.
Muss man das Cert über den Webdienst auf nich Dom Client ausrollen:
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 185448
Url: https://administrator.de/contentid/185448
Printed on: April 19, 2024 at 16:04 o'clock
12 Comments
Latest comment
Weil die Verbindung verschlüsselt wird ... darum benötigt der auch ein Cert oder willst du Passwörter ohne Verschlüsselung durch's Netz jagen?
Und das entsprechende Zertifikat kannst einfach per GPO ausrollen, so bekommen es auch alle die es benötigen, achte aber darauf, dass es auch das Zertifikat ist was du bei dem Radius Server verwendest.
Am einfachsten ist es, wenn du das über die Domänen-Zertifizierungsstelle ausstellst.
Und das entsprechende Zertifikat kannst einfach per GPO ausrollen, so bekommen es auch alle die es benötigen, achte aber darauf, dass es auch das Zertifikat ist was du bei dem Radius Server verwendest.
Am einfachsten ist es, wenn du das über die Domänen-Zertifizierungsstelle ausstellst.
Das würde heissen dass nur noch ein Cert auf dem Client fehlt?
Es sind nicht alle Endgeräte in der Dom. Iphone usw...
Wie kann ich das Cert ausrollen? Webdienst?
Danke für deine Hilfe.
Ich hörte es gibt die möglichkeit nur username und PW ohne cert.
--> Das Cert einfach einfügen beim Client oder muss man da auch noch was beachten oder einstellen auf dem Endgerät?
Es sind nicht alle Endgeräte in der Dom. Iphone usw...
Wie kann ich das Cert ausrollen? Webdienst?
Danke für deine Hilfe.
Ich hörte es gibt die möglichkeit nur username und PW ohne cert.
--> Das Cert einfach einfügen beim Client oder muss man da auch noch was beachten oder einstellen auf dem Endgerät?
Ausrollen über webdienst wie oben angefügt?
öhm per GPO einfach verteilen, Domänenfremde Geräte habe wir bei uns nicht eingebunden ins Standard-WLAN, iPhones und der gesamte Rest sind in einem separaten WLAN bei uns - ebenso die Motorola Handscanner, auch in einem anderem WLAN mit einer höheren Prio weil die Vorrang vor allen anderen haben sollen.
Das heisst es liegt jetzt nur noch am Cert. auf dem Client?
Server -- AP verb. OK laut Protokoll.
Server -- AP verb. OK laut Protokoll.
Der Radius Server selber muss ein Zertifikat haben was die .1x Client verifiziert. Ohne das wäre deinen Radius basierte Authentisierung völliger Unsinn, denn sonst könnte man dir jeden x-beliebigen Server unterscheben zur Authentisierung.
Grundlagen dazu siehe hier:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Der Client prüft also nur ob der Radius (sprich NPS bei Winblows) auch der richtige ist den er nach dem User fragt.
Danach kannst du ganz normal mit Username/Passwort aus der AD weitermachen.
Der NPS hat einen Wizzard für Wireless netzwerke den man eigentlich nur folgen muss.
Bedenke das der AP den Radius (IP) als Authentisierung eingetragen haben muss ! (Tutorial)
Grundlagen dazu siehe hier:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Der Client prüft also nur ob der Radius (sprich NPS bei Winblows) auch der richtige ist den er nach dem User fragt.
Danach kannst du ganz normal mit Username/Passwort aus der AD weitermachen.
Der NPS hat einen Wizzard für Wireless netzwerke den man eigentlich nur folgen muss.
Bedenke das der AP den Radius (IP) als Authentisierung eingetragen haben muss ! (Tutorial)
Hi Aqui
Deine Anleitung ist super
Die habe ich ganz am Anfang gelesen. De den Assist. habe ich auch durch alles ohne Probleme.
Versuche jetzt das Cert per Webdienst auf den Client zu inst. Habe alles schon konf. muss noch testen.
Den zusammenhang des Cert sehe ich einfach noch nicht so ganz.
Mein Aufbau:
Client --> AP (von Astaro) ----> ASG220 ---> W2k8R2
Wie das Cert zum Server kommt, da blick ich troz Anleitung nicht durch.
Danke für helfende Worte.
Deine Anleitung ist super
Die habe ich ganz am Anfang gelesen. De den Assist. habe ich auch durch alles ohne Probleme.
Versuche jetzt das Cert per Webdienst auf den Client zu inst. Habe alles schon konf. muss noch testen.
Den zusammenhang des Cert sehe ich einfach noch nicht so ganz.
Mein Aufbau:
Client --> AP (von Astaro) ----> ASG220 ---> W2k8R2
Wie das Cert zum Server kommt, da blick ich troz Anleitung nicht durch.
Danke für helfende Worte.
Was ist denn ein ASG220 ?? Aber egal..
Du machst hier einen Denkfehler ! Der Radius Server, sprich NPS, muss hier zertifiziert werden und das Radius Zertifikat dann auf den Client gebracht werden. Nicht andersrum !!
Steht auch so genau im Tutorial. Zwar für FreeRadius aber das Prozedere ist natürlich bei Winblows identisch !
Du machst hier einen Denkfehler ! Der Radius Server, sprich NPS, muss hier zertifiziert werden und das Radius Zertifikat dann auf den Client gebracht werden. Nicht andersrum !!
Steht auch so genau im Tutorial. Zwar für FreeRadius aber das Prozedere ist natürlich bei Winblows identisch !
Wurde fündig:
https://support.astaro.com/support/index.php/Astaro_Wireless_and_Radius_ ...
Leider verstehe ich in dieser Situation das mit den Certs. noch nicht da der Radius mit dem AP keinen kontakt hat.
https://support.astaro.com/support/index.php/Astaro_Wireless_and_Radius_ ...
Leider verstehe ich in dieser Situation das mit den Certs. noch nicht da der Radius mit dem AP keinen kontakt hat.
Mit dem Iphone geht es super.
Suchen Anmelden cert bestätigen und los geht.
Mit Windows 7 geht nix............. lachhafter ###! spricht nicht für Win
Suchen Anmelden cert bestätigen und los geht.
Mit Windows 7 geht nix.............
lachhafter ###! spricht nicht für Win
Äääähhh.....da machst du einen gehörigen Denkfehler !! Der AP muss zwingend Kontakt mit dem Radius haben. Das ist der Sinn der ganzen Sache denn genau dort wird im Setup zur Authentisierung das ja auch eingetragen.
Das ist unmöglich das es mit dem iPhone klappt, dann ist das keinen .1x bzw. Radius basierte Authentisierung !
Das geht nur wenn der AP den Radius konfiguriert hat (IP).
Steht ja auch haarklein so erklärt im Tutorial....und tausend anderen Dokumenten im Netz wie den zitierten ct Artikeln im Tutorial Thread.
Das rennt also gehörig was schief bei dir !!
Das ist unmöglich das es mit dem iPhone klappt, dann ist das keinen .1x bzw. Radius basierte Authentisierung !
Das geht nur wenn der AP den Radius konfiguriert hat (IP).
Steht ja auch haarklein so erklärt im Tutorial....und tausend anderen Dokumenten im Netz wie den zitierten ct Artikeln im Tutorial Thread.
Das rennt also gehörig was schief bei dir !!
oder gegen deine Settings - was sollte das bringen wenn man das WLAN auswählt und lediglich ein Cert bestätigen muss bei der ersten Anmedung - eigentlich muss man das von Hand/GPO in dem "Vertraute. Stammzertifizierungsstelle"-Speicher reinschieben damit es geht ... und nicht am Client irgendwas bestätigen - das könnt ja dann jeder machen ...
