Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Authentifizierung 802.1x über RADIUS und LAN

Mitglied: RalphT

RalphT (Level 1) - Jetzt verbinden

17.03.2011, aktualisiert 18.10.2012, 5637 Aufrufe, 12 Kommentare, 1 Danke

Hallo,

ich habe hier eine Testumgebung mit einem kleinen Problem:
Ich wolllte hier eine Authentifizierung über einen RADIUS-Server mit Zertifikaten realisieren. Ich habe dazu folgendes aufgebaut:

Ein DC mit Windows 2003 Standard. Auf diesem DC habe ich noch IAS, IIS und eine CA installiert. Das Ganze habe ich über 802.1x-fähigen Switch mit einem PC (Windows XP Prof.) verbunden.

Eingerichtet habe ich folgendes:

Den Switch konfiguriert, eine RAS-Regel im IAS hinzugefügt, in der RAS-Regel steht unter "EAP-Typen" Smartcard oder anderes Zertikat. Dort kann ich auch das Zertikat auf dem Server sehen. Den Client habe ich ein Benutzerzertikat gegeben. Die Authentifizierung funktioniert. Aber, jetzt zu meinem Problem:

Der Client stellt erst eine Verbindung her, nach der erfolgreichen Anmeldung im AD. Jetzt scheint hier das Problem zu sein, dass der Client ein Computerzertifikat haben muss. Auf dem Client habe ich über die MMC ein Computerzertifikat austellen lassen. Das Zertifikat steht auch unter Eigene Zertikate und (Lokaler Computer). Wenn ich dann das Benuterzertikat aus dem Speicher entferne, ist keine Authentifizierung möglich.

Was ist da falsch?
Mitglied: Antos
17.03.2011 um 10:02 Uhr
Hi,
du brauchst auf dem Client ein Zertifikat vom Server. Das kannst du per GPO austeilen. HowTo gibt hier:
technet.microsoft. Dann ist es wichtig das im AD der User unter "Einwählen" --> "Zugriff über RAS" eingestellt ist. Einstellungen auf dem Client EAP-Typen--> Geschütztes EAP, dann unter Einstellungen Häkchen bei "Verbindung mit Server", dort dein Zert-Server eintragen und Häkchen beim entsprechenden Zertifikat (Von deinem Server).
mfg
Antos
Bitte warten ..
Mitglied: RalphT
17.03.2011 um 10:53 Uhr
@Antos,

erst mal vielen Dank für die Info. Jetzt bin ich gerade dabei und versuche das Zertifikat über eine GPO zu verteilen und scheitere an dem Punkt 12 von Technet: Hier der Auszug:

Klicken Sie in Zertifikatvorlagen aktivieren auf den Namen der gerade konfigurierten Zertifikatvorlage, und klicken Sie dann auf OK. Wenn Sie beispielsweise den standardmäßigen Zertifikatvorlagennamen nicht geändert haben, klicken Sie auf Kopie von RAS- und IAS-Servern, und klicken Sie dann auf OK. <<

Und hier sehe meine neu erstellte Kopie nicht. Die Info ist zwar für 2008, ich gehe aber davon aus, dass diese auch für 2003 passt. Warum wird denn die neu erstellte doppelte Vorlage in diesem Fenster nicht sichtbar?

Und dann gleich noch eine Frage:

Wenn ich das Zertifikat per USB-Stick verteilen möchte (vielleicht für Gäste) wie ginge das denn?
Bitte warten ..
Mitglied: Antos
17.03.2011 um 11:48 Uhr
Hi,

jep, du kannst das Zertifikat auch manuell Kopieren und anschließend auf dem Client installieren. Die Verteilung über GPO ist optional, zur besseren Verwaltung halt.
Hier noch ne andere Anleitung:
Simple Configuration of Microsoft NPS as Radius for 802.1X.
Ist allerdings auch für 2008. Aber evtl. auch für deinen IAS brauchbar.
Wenn es im angemeldetem Zustand funktioniert, liegt der Hund evtl. in der Vertrauensstellung (Client-->Server oder Server-->Client) begraben.
Du brauchst auf jeden Fall ein autorisiertes Zertifikat auf deinem Client. Das der Client den Server kennt und vertraut. Die Client zu Server Autorisierung erfolgt dann über die AD Benutzerdaten und Passwort (Sofern das Kriterium AD-Benutzer in der RAS hinterlegt ist). Wenn ich das recht verstanden habe. Ich laß mich natürlich gern eines besseren belehren.
Wie ich allerdings einem Client-Computer unabhängig vom User die Einwahl erlauben/verweigern kann, konnte mir bis jetzt keiner erklären.

mfg
Antos
Bitte warten ..
Mitglied: RalphT
17.03.2011 um 13:17 Uhr
@Antos,

den Fehler, warum die neu erstellte Vorlage nacher nicht sichtbar ist, habe ich gefunden. Ich habe hier Windows 2003 Server Standard. Man kann zwar die 2. Vorlage mit dieser Version erstellen, aber jedoch nicht veröffentlichen.

Tja, jetzt bin ich irgenwie wieder am Anfang. Wie gesagt, nach der Anmeldung funktioniert die Authentifizierung. Vor der Anmeldung keine Reaktion. Aber ich glaube, dass sollte jetzt nicht an der Standrdversion scheitern. Ich denke, dass schon andere diese Authenttifizierung über LAN gelöst haben. Die andere Anleitung von Intel ist zwar nicht schlecht, aber die Konfiguration 2008 zu 2003 sieht doch um einiges anders aus.

Irgendwie müsste doch die Zertifikatsabfrage vor der Anmeldung möglich sein.
Bitte warten ..
Mitglied: Antos
17.03.2011 um 13:33 Uhr
Ok, ich glaub ich hab da was missverstanden.
Du meldest dich Offline mit einem Servergespeicheicherten Profil am Client an, dieser verbindet sich dann übers WLan zum Netzwerk.
Dann funktioniert grundsätzlich schon mal alles.
Du hättest gerne, wenn der Client bootet sich im Vorfeld am WLan anmeldet bevor der User sich anmeldet.
Richtig?
Unter den WLan-Optionen (Client) gibts einen Haken (XP): "Computer authentifizieren wenn Computerinformationen verfügbar"
Das dem in der RAS-Richtlinie zu definieren, tja, soweit bin ich auch. Zwar gibt es die Möglichkeit Computergruppen zu definieren. Zieht aber nicht, bei mir zumindest. Warum auch immer.
mfg
Antos
Bitte warten ..
Mitglied: RalphT
17.03.2011 um 13:52 Uhr
Nee nicht ganz. Ich erkläre das nochmal:

Ich habe einen Client, den ich der Domäne hinzugefügt habe. Das Profil ist nicht servergespeichert. Es liegt ganz normal, auf der eigenen Festplatte des Clients.
Dann wollte ich das mit LAN durchführen, nicht mit dem WLAN.

Ich hatte vorher eine recht gute Anleitung gefunden, nach ich mich gerichtet habe. Allerdings geht es in dieser Anleitung um WLAN. Ich dachte mir, dass muss ja auch für das LAN zutreffen.
Dieser Haken, von dem eben geschrieben hattest, den gibt es bei WLAN. Aber nicht beim LAN.

Das Problem was ich noch habe ist, wenn ich anmelde, dann muss das Netzwerk schon funktionsbereit sein. Das ist es nicht. Man merkt es auf zwei Arten:

Ein Ping auf dem Client vor der Useranmeldung geht ins leere.
Nach der Anmeldung wartet der Client, bis der Desktop kommt. Klar er sucht ja seinen Domänencontroller, den er zu diesem Zeitpunkt noch nicht hat.

Es muss so sein, dass wenn der Client sein STRG+ENTF Fenster hat, dass das LAN schon funktionieren muss. Ich hoffe jetzt ist mein Problem etwas klarer.

Achso hier die Anleitung, nach der ich mich gerichtet habe:

http://www.google.de/url?q=http://www.support-netz.de/uploads/tx_dcfile ...
Bitte warten ..
Mitglied: Antos
17.03.2011, aktualisiert 18.10.2012
Da stand nix von WLan, hast recht! Mein Fehler.
Daß Prob wird bei deinem Client sein, das der Switch den Client sperrt. Daher stimmt was mit der Autorisierung nicht.
Den Haken gibt es beim Lan auch.
Guck mal hier
mfg
Antos
Bitte warten ..
Mitglied: RalphT
18.03.2011 um 11:06 Uhr
Ach die Anleitung hatte ich auch schon gefunden. Aber jetzt mal eben die Frage: Wo siehst Du diesen Haken? Ich finde ihn nicht.
Bitte warten ..
Mitglied: Antos
18.03.2011 um 13:09 Uhr
Mit Haken meinte ich die IEEE802.1x Authentifizierung beim Lan-Adapter wenn der Dienst "Automatische (verkabelt) Konfiguration" gestartet ist.
Im IAS, was haste den für Remote Access Policy's eingerichtet?
Hier nochmal ein Link: www.serverhowto.de
mfg
Antos
Bitte warten ..
Mitglied: RalphT
18.03.2011 um 13:24 Uhr
Ach den Link kannte ich noch nicht. Lese ich mir heute abend mal in Ruhe durch. Also die Dienst habe ich natürlich gestartet. Sonst könnte ich am Client ja nichts einstellen.
Im IAS habe ich eine Richtlinie eingerichtet. Mal so in Grobform:

NAS-Port stimmt überein mit "Ethernet" und mit Group "LAN-Nutzer"
Unten Haken bei RAS Berechtigung erteilen.
Dann unter Profil bearbeiten und Reiter Authentifizierung EAP-Methoden Smartcard oder anderes Zertikat. Gehe ich dort auf bearbeiten, dann sehe ich dort mein Server-Zertifikat.

In der Gruppe LAN-Nutzer ist mein Nutzer der auch RAS-Berechtigung hat.

Ich denke, für meinen Fall dürfte eine Nutzerabfrage garnicht in Frage kommen, sondern nur ein Computerzertifikat auf dem Client. Denn vor der Anmeldung ist nichts mit User.
Ich schätze, dass das bestimmt mit Zertifikaten geht, was ich mir aber auch noch vorstellen könnte, wäre eine MAC-Adressen Zuordnung.
Bitte warten ..
Mitglied: aqui
19.03.2011, aktualisiert 18.10.2012
Ggf. hilft das die Zertifikatsfrage zu klären da es mehr oder minder identisch ist:
https://www.administrator.de/wissen/netzwerk-zugangskontrolle-mit-802.1x ...
ist ggf. als Richtschnur ganz hilfreich.
Ggf. hilft noch dies Dokument:
https://www.administrator.de/Dynamische_VLAN-Zuweisung_mit_FreeRADIUS_un ...
Bitte warten ..
Mitglied: RalphT
21.03.2011 um 08:55 Uhr
Guten Morgen,

erst mal Danke für Infos. Ich muss mir jetzt erst einmal die Links ansehen. Leider hat man mir gerade einen Azubi aufgebrummt. Daher komme ich nicht gelich zu diesem Thema. Ich melde mich aber jeden Fall nochmal dazu.
Bitte warten ..
Ähnliche Inhalte
Windows Netzwerk

RADIUS 802.1x Geräte Authentifizierung

gelöst Frage von CloudyWindows Netzwerk3 Kommentare

Hallo, Ich habe hier ein kleines Problem bei der Konfiguration meines neuen RADIUS Servers. Ich möchte, dass sich alle ...

LAN, WAN, Wireless

802.1x Authentifizierung - NPS - RADIUS MAC

gelöst Frage von LKaderavekLAN, WAN, Wireless4 Kommentare

Hallo, ich erstelle gerade eine WiFi Lösung mit XIRRUS Access Points, die ich in der Cloud verwalte. Als Authentifizierungsmethode ...

LAN, WAN, Wireless

802.1X-Authentifizierung

gelöst Frage von Alex29LAN, WAN, Wireless25 Kommentare

Hallo in die Runde, ich bin Hobby-Admin und würde in meinem Netzwerk gern eine 802.1X-Authentifizierung einrichten. Dazu habe ich ...

LAN, WAN, Wireless

Access Point für 802.1X Authentifizierung

gelöst Frage von technikneulingLAN, WAN, Wireless6 Kommentare

Hallo, ich hoffe mir kann hier jemand helfen. Und zwar studiere ich momentan an einer Universität, und nutze in ...

Neue Wissensbeiträge
Windows 10

USB Maus und Tastatur versagen Dienst unter Windows 10

Erfahrungsbericht von hardykopff vor 21 StundenWindows 104 Kommentare

Da steht man ziemlich dumm da, wenn der PC sich wegen fehlender USB Tastatur und Maus nicht bedienen lässt. ...

Administrator.de Feedback
Update der Seite: Alles zentriert
Information von Frank vor 1 TagAdministrator.de Feedback18 Kommentare

Hallo User, die größte Änderung von Release 5.8 ist das Zentrieren der Webseite (auf großen Bildschirmen) und ein "Welcome"-Teaser ...

Humor (lol)

WhatsApp-Nachrichten endlich auch per Bluetooth versendbar

Information von BassFishFox vor 1 TagHumor (lol)4 Kommentare

Genau darauf habe ich gewartet! ;-) Der beliebte Messaging-Dienst WhatsApp erhält eine praktische neue Funktion: Ab dem nächsten Update ...

Google Android

Googles "Android Enterprise Recommended" für Unternehmen

Information von kgborn vor 2 TagenGoogle Android3 Kommentare

Hier eine Information, die für Administratoren und Verantwortliche in Unternehmen, die für die Beschaffung und das Rollout von Android-Geräten ...

Heiß diskutierte Inhalte
Windows Netzwerk
WSUS4 und Windows 10 Updates automatisch installieren
Frage von sammy65Windows Netzwerk15 Kommentare

Hallo miteinander, ich habe mit einen neuen WSUS Server aufgesetzt Server 2016 darauf einen aktuellen WSUS. Grund, wir stellen ...

Speicherkarten
Vergessliche USB-Sticks?
Frage von hanheikSpeicherkarten14 Kommentare

Ich habe in den letzten Tagen 500 USB-Sticks mit Bilddateien bespielt. Obwohl ich die Dateien mit größter Sorgfalt kopiert ...

Windows Netzwerk
Backup über WAN
Frage von petereWindows Netzwerk11 Kommentare

Hallo, ich muss aus einem entfernten WAN (synchrone 1Gbit) Daten sichern. Dabei handelt es sich sowohl um wenige große ...

Hyper-V
Hyper-V mit altem XEON-Server. Was ist falsch?
Frage von LollipopHyper-V11 Kommentare

Hallo Bin etwas frustriert. Kleinbetrieb, ca. 15 PC's, 2 Stk. Server mit einigen virtuellen PC's für Fernwartung, VaultServer für ...