rkraemer
Goto Top

IGEL Thin Client an 802.1x WLAN authentifizieren

Hi,

ich habe ein Notebook mit dem Igel Desktop Converter bespielt und in die UMS aufgenommen. (Konfig läuft, sobald per Kabel mit dem Netzwerk verbunden)
Dieser Igel soll sich allerdings an einem 802.1x WLAN anmelden.

Dafür habe ich bisher ein Benutzerkonto im Active Directory angelegt, in dem ich CN, DN, DNS Host Name und SPN eingetragen habe. (anhand des Computernamens des TCs)

Für dieses Computerkonto habe ich anschließend ein Zertifikat in verschiedenen Formaten angefordert (pfx, cer, pem, cer mit base64) und dem Thin Client über die UMS zur Verfügung gestellt. Die Zertifikate habe ich testweise mit allen Attributen (CN,DN etc. ) erstellt, teilweise auch nur mit einem.
Das Zertifikat wurde nach bestem Gewissen genau so erstellt wie bereits vorher für ein Windowsgerät (eigenes Notebook, WLAN klappt)
Bisher kann sich der Igel durch diese Konfiguration allerdings nicht mit dem WLAN verbinden. (bisher auch keine Eintrage in den RADIUS Logs)
WLAN Konfig am IGEL wurde vom IGEL-Support geprüft und als richtig empfunden.

Aktuell denke ich, das es an fehlenden Informationen im Computerkonto in der Active Directory liegt, oder das man das Notebook(IGEL OC) durch die Igel Konfig in der AD anmelden muss, da das Computerkonto sonst keine "Verbindung" zu dem tatsächlichen Computer herstellen kann?!

Hat jemand Erfahrung mit IGEL Thin Clients die sich mit einem 802.1x WLAN verbinden sollen?

Kurz nochmal zusammengefasst alle Eckdaten:

RADIUS: Windows Srv 2012
CA: Windows Srv 2012
Notebook : Lenovo T420 - 4GB Ram, i5
IGEL Firmware: IGEL Universal Desktop OS 3 - 10.03.550.01


Bin für jeden Tipp dankbar face-wink

Content-Key: 362879

Url: https://administrator.de/contentid/362879

Ausgedruckt am: 29.03.2024 um 10:03 Uhr

Mitglied: aqui
aqui 30.01.2018 aktualisiert um 10:15:12 Uhr
Goto Top
Wie immer an dieser Stelle die ewig wiederkehrende Frage: WAS steht im Log des Radius Servers ??
Anhand der dortigen Log Messages wenn du dich mit dem "Igel" anmeldest sollte schnell klar sein was da schief läuft.
Wir gehen hier mal davon aus das der Igel auch einen .1x Client an Bord hat und dieser im OS entsprechend konfiguriert wurde am WLAN Interface ?! Das Zertifikat ist nämlich nur die halbe Miete.
Ferner setzen wir mal voraus das mit anderen .1x Clients (Winblows, MacOS, Smartphones, usw.) der 802.1x Zugang wasserdicht vorher getestet und verifiziert wurde ?!
Mitglied: rkraemer
rkraemer 30.01.2018 um 10:30:29 Uhr
Goto Top
Im Radius wird bisher nichts geloggt, Konfig am Igel ist wie gesagt laut IGEL richtig konfiguriert. WPA2 Enterprise, SSID, Verschlüsselung etc.

Zertifikate die für Windowsggeräte erstellt werden funktionieren, selbes Prinzip. Die Zertifikate bin ich in den Details auch Punkt für Punkt durchgegangen.
Mitglied: Dani
Dani 30.01.2018 um 21:57:35 Uhr
Goto Top
Moin,
hast du das Zertifikat deiner RootCA ebenfalls im DER bzw. PEM Format auf dem Thinclient eingespielt? Der FQDN sollte als CN bzw. AltName völlig ausreichend sein.

Im Radius wird bisher nichts geloggt, Konfig am Igel ist wie gesagt laut IGEL richtig konfiguriert.
Sicher? Denn das würde bedeuten, dass der Client gar nichts bis zum RADIUS kommt. Andersherum was steht im Logfile des Thinclients.


Gruß
Dani
Mitglied: rkraemer
rkraemer 31.01.2018 um 15:56:47 Uhr
Goto Top
Moin,

Das Zertifikat der RootCA habe ich bisher nicht auf den Thin Client geschoben, das erstellte Zertifikat beinhaltet aber RootCA und SubCA. Im Igel Setup kann ich allerdings auch nur ein Zertifikat angeben, welchen für die WLAN-authentifizierung verwendet werden soll.
Das der Client nicht bis zum Radius kommt habe ich auch befürchtet, weil eben nichts in den Logs steht.

Um die Igel Logs zu lesen, bin ich scheinbar zu blöd, der Export klappt einfach nicht.
Mitglied: Dani
Dani 31.01.2018 um 20:47:22 Uhr
Goto Top
Moin,
Das Zertifikat der RootCA habe ich bisher nicht auf den Thin Client geschoben, das erstellte Zertifikat beinhaltet aber RootCA und SubCA.
laut der Doku gibt es in Web Interface dazu aber zwei getrennte Bereiche. Evtl. habe ich auch die Falsche angeschaut.

das erstellte Zertifikat beinhaltet aber RootCA und SubCA.
Sprich eine PEM-Datei, welche die Zertifikate in der Reihenfolge Client, SubCA und RootCA?!


Gruß,
Dani
Mitglied: rkraemer
rkraemer 01.02.2018 um 07:12:14 Uhr
Goto Top
Also bisher habe ich das Zertifkat nur unter Netzwerk --> WLAN --> Standard-WLAN bei CA-Stammzertifikat eingetragen. Unter /wfs/ca-certs/ liegt das hinzugefügte Zertifkat über die UMS.
Format ist bei der Erstellung ist base-64-codiert X509 CER, mit OPENSSL dann in PEM gewandelt. Aber auch sämtliche andere Formate habe ich bereits ausprobiert. Laut Igel solls aber DER oder PEM sein.
Mitglied: Dani
Dani 01.02.2018 um 07:26:11 Uhr
Goto Top
Moin,
entweder bin ich blind oder es gibt für IGEL Universal Desktop OS 3 kein Handbuch online (ohne Kundenzugang)?!

Um die Igel Logs zu lesen, bin ich scheinbar zu blöd, der Export klappt einfach nicht.
Da kann ich dir leider nicht helfen, da wir keine IGELs mehr haben.


Gruß,
Dani
Mitglied: rkraemer
rkraemer 01.02.2018 um 08:30:29 Uhr
Goto Top
es gibt http://edocs.igel.com/#10204465.htm da kann man einiges nachlesen. Hilft bei dem Thema hier aber nur bedingt.
Mitglied: Dani
Dani 02.02.2018 aktualisiert um 12:11:20 Uhr
Goto Top
Hey,
noch nie so eine schlechte Hilfe gelesen...
Gibt es kein PDF Dokument vom Support, wo das anständig dokuementiert ist.


Gruß,
Dnai
Mitglied: rkraemer
rkraemer 05.02.2018 um 07:07:07 Uhr
Goto Top
Moin,

seit zirka 7 Tagen meldet sich der second level bei Igel, mehr gibts aktuell scheinbar nicht.