festus94
Goto Top

RADIUS-Authentifizierung an Server 2008 R2 funktioniert nicht

Ich habe Probleme, die RADIUS-Authentifizierung für WLAN-Zugänge erfolgrich umzusetzen. Der Server meldet ständig ein Problem mit dem EAP.

Hallo zusammen,

vor ein paar Tagen habe ich angefangen, mittels einem Windows Server 2008 R2 und einem Cisco AP541N eine gesicherte WLAN-Umgebung zu testen. Die Installation des RADIUS-Servers verlief problemlos und auch das Eintragen des APs ist erledigt. Wenn ich versuche, mich mit meinem Laptop anzumelden, erhalte ich den üblichen Fehler "Keine Verbindung mit Netzwerk möglich".

Wenn ich mir dann die NPS-Logs ansehe, meldet mir der Server immer Einträge mit der ID 6273, welche mir sagen, dass meine Anmeldung abgewiesen wurde, da der Server den Client nicht authenifizieren konnte, da der angegebene EAP-Typ vom Server nicht verarbeitet werden kann.

Der Zugang soll später für Mitarbeiter dienen, die sich mit ihren eigenen Laptops, Smartphones, etc. mit dem internen Netz verbinden möchten. Daher möchte ich die Anmeldung lediglich mit Benutzername/Kennwort-Kombination einrichten.

Recherchen im Internet haben die Vermutung hervorgerufen, dass ich hier mit Zertifikaten arbeiten muss. Allerdings habe ich noch nie mit Zertifikaten gearbeitet und habe somit keine Erfahrung. Stimmt meine Vermutung ?

Hinzu kommt, dass ich mir bzgl. der RADIUS-Einstellungen noch nicht sicher bin, ob diese bzgl. der Sicherheit optimal gewählt sind. Daher habe ich hier ein paar Screenshots von der Netzwerkrichtlinie eingefügt (nicht gezeigte Einstellungen wurden nicht angepasst):

00e6323deee104fa86af2b9021ed96d3

2b72d84bf74bf73c79950547364c7603

ae8c85bbb487cd5c4529ae8c04ca3f58

f308d4880d65031c20ca3e65070e79d4

e8ee45c6b04ed02e40588e669afbfb19

Ich habe auch eine Verbindungsanforderungsrichtlinie, dort aber keine weiteren EInstellungen gemacht, bis auf den NAS-Typ. Kann ich mir die Richtlinie dann auch sparen ? Schließlich werden keine NPS-Einstellungen übergangen.

Es wäre klasse, wenn Ihr mir helfen könntet, eine erfolgreiche und simple Anmeldung zu ermöglichen. face-smile


Viele Grüße und schönes Wochenende !

tbnwadm

Content-Key: 201841

Url: https://administrator.de/contentid/201841

Ausgedruckt am: 29.03.2024 um 00:03 Uhr

Mitglied: aqui
aqui 15.02.2013 um 18:07:37 Uhr
Goto Top
Du musst nicht mit Zertifikaten arbeiten es geht auch PSK obwohl es mit Radius sinnvoller wäre.
Du hast aber beide Optionen offen, Zertifikate sind definitiv KEIN Muss !
Vielleicht hilft dir dieses Tutorial etwas:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Die Client Einstellungen gelten universal. Wichtig sind Informationen WELCHE Authentisierung die Clients benutzen EAP, PEAP, TLS usw. ? Sonst ist ein Troubleshooting nicht gerade einfach.
Mitglied: Festus94
Festus94 15.02.2013 aktualisiert um 18:38:54 Uhr
Goto Top
Hallo @aqui, danke für die schnelle Reaktion.

Das bedeutet also, dass wenn ich auf PSKs verzichte, automatisch Zertifikate ins Spiel kommen... Aber die muss ich nicht auf den Clients einrichten, oder ? Das wäre ja nicht machbar, da ich ja nicht an jedem Endgerät die Einstellungen anpassen kann/will. face-wink

Was die Clients betrifft, kann ich Dir nicht sagen, wie die sich authentifizieren. Ich klicke auf das WLAN und werde nach Benutzername/Kennwort gefragt - so wie ich es haben will.

Sind die oben gemachten Einstellungen denn sicherheitstechnisch unbedenklich ? Kann ich die unsicheren Optionen aus Screenshot 5 ohne Folgen deaktivieren ? Routing und RAS nutze ich ja nicht.

Wie soll ich denn jetzt weiter vorgehen ?
Welche weiteren Infos würden Dir helfen ? Was die Authentifizierung angeht, habe ich wie gesagt nix Besonderes. Eine WLAN-Verbindung soll wie zu Hause hergestellt werden - nur eben mit Benutzername/Kennwort statt PSK.


Viele Grüße

tbnwadm
Mitglied: aqui
aqui 15.02.2013 aktualisiert um 19:15:59 Uhr
Goto Top
Nein ! So leicht ist das natürlich nicht.
Du musst dir dann eine vollständige CA installieren auf deinem Server und Zertifikate erzeugen die du entweder automatisch an die Clients überträgst oder manuell. MS bietet auch die Möglichkeit das User sich ihre Zertifikate per Web Download vom Server runterladen und installieren.
Ohne eine vollständige CA ist ein Zertifikats basierendes Authentisierungsverfahren unmöglich.
Desalb ist es einfacher erstmal mit Preshared Keys zu starten wenn du wenig Erfahrungen hast mit der CA. Sicherer ist natürlich letztere, denn Pre Shared Keys kann man leichter weitergeben.... Zertifikate nicht..
Mitglied: Festus94
Festus94 15.02.2013 um 19:28:51 Uhr
Goto Top
Alles klar. Hast Du zufällig auch einen Tutorial-Tipp, was CAs betrifft ?

Gibt es keine Möglichkeit sowas ohne Zertifikate zu machen ? Es gilt ja im Prinzip nur noch die Verbindung zwischen AP und Client zu sichern. Falls nein: Gibt es evtl. eine weniger sichere Alternative ? Bspw. per Shared Key wie bei der Verbindung zwischen AP und RADIUS-Server ? Das wäre in meinem Fall auch ausreichend, da keine hoch-brisanten Daten übertragen werden.

Funktioniert eine automatische Übertragung an die Clients auch in meinem Fall, wo es sich schließlich nicht um Domänen-Mitglieder handelt ? Wichtig ist in meinem Fall halt, dass ich keine Kontrolle über die Clients habe und der Anwender einfach eine User/PW-Kombi nutzen soll, ohne noch zig EInstellungen zu setzen, mit denen er nix anfangen kann. face-wink

Ein großes Danke für Deine Mühe ! face-smile


Viele Grüße

tbnwadm
Mitglied: aqui
aqui 15.02.2013 aktualisiert um 19:54:13 Uhr
Goto Top
Guckst du hier:
http://bit.ly/UnV2wg

oder hier offiziell:
http://technet.microsoft.com/de-de/library/cc731183%28v=ws.10%29.aspx

Natürlich gibt es eine Möglichkeit das ohne Zertifikate zu machen ! Das obige Tutorial erklärt dir das ja am Beispiel eines FreeRadius Servers wie es ganz genau geht !!
Beim MS Radius Server NPS ist das keineswegs anders und funktioniert dort auch problemlos...Radius ist Radius...
Mitglied: Festus94
Festus94 15.02.2013 um 20:52:40 Uhr
Goto Top
Danke für die Tipps. face-smile

Wenn ich damit weiterkomme, setze ich den Thread auf gelöst.

Danke nochmals.


Viele Grüße

tbnwadm
Mitglied: aqui
aqui 17.05.2013 um 16:07:58 Uhr
Goto Top
Funktioniert es denn nun ??

Wenn ja bitte dann auch:
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !!
Mitglied: Festus94
Festus94 17.05.2013 um 16:10:45 Uhr
Goto Top
Upps, ganz vergessen, sorry!

Da ich nicht mit Zertifikaten arbeiten kann, habe ich den PSK-Weg gewählt.

Es hat daher im Prinzip nicht funktioniert. face-wink


VG