Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

RADIUS-Anmeldung VOR eigentlicher Domänenanmeldung

Mitglied: Ruuudi

Ruuudi (Level 1) - Jetzt verbinden

11.09.2008, aktualisiert 05.11.2008, 7198 Aufrufe, 17 Kommentare

Hallo

Ich habe folgendes Problem. In meiner Domäne (Win2k3) wurde ein Radius-Server implementiert (IAS). Ich hatte vor, die bestehenden LAN-Clients per RADIUS zu authentifizieren. Authentifizierung klappt auch wunderbar nur besteht jetzt folgendes Problem:

Hatte es eigentlich vor so zu machen, dass beim Domänenanmeldebildschirm der Benutzername und das Passwort eingegeben werden muss. Dann SOLL sich der Benutzer per RADIUS authentifizieren (PEAP-MS-CHAP v2) und DANN erst in der ActiveDirectory (AD). Ist das überhaupt möglich?

Habe es schon so hinbekommen, dass sich der Computer im Hintergrund per RADIUS authentifiziert. Der Port ist ja dann offen und dann können die Benutzerdaten eingegeben werden, doch wird dieser Benutzer ja dann nicht mehr per RADIUS überprüft.

Und ohne diese Authentifizierung des Computers ist z.B. auch kein servergespeichertes Profil möglich, da die 802.1x-Authentifizierung des Benutzers ja erst NACH der Registrierung in der AD erfolgt, und diese kann ja durch den NOCH geschlossenen Port gar nicht vollzogen werden.

Ist es also irgendwie möglich ERST die RADIUS-Anmeldung durchzuführen um dann ANSCHLIEßEND die AD-Anmeldung durchlaufen zu lassen bzw. dass die beiden Anmeldungen gleichzeitig ablaufen?


Gibt es außerdem die Möglichkein das Passwort NICHT in der Registrierung unter "HKEY_CURRENT_USER\Software\Microsoft\Eapol\UserEapInfo" zu speichern? ich weiß, dass ich es per batch-befehl löschen kann nur find ich das ziemlich aufwendig...

Vielen Dank schonmal im voraus.

Gruß Ruuudi
Mitglied: aqui
11.09.2008 um 19:09 Uhr
Du musst nur den Rechner selber als Device auch im AD haben (nicht nur den Benutzer), dann klappt es mit der Domänen und IAS (.1x) Authentifikation problemlos zusammen !
Bitte warten ..
Mitglied: Ruuudi
11.09.2008 um 20:40 Uhr
hallo aqui...
also der rechner ist auch in der AD unter Computers. muss der auch in der IAS-Richtlinie vorhanden sein? oder reicht da der benutzer?!
Bitte warten ..
Mitglied: Cardinal
17.09.2008 um 13:19 Uhr
Dieses Thema interessiert mich auch!

Ich finde schon nicht heraus, wie sich Clients überhaupt als "Computer" automatisch am RADIUS authentifizieren können.

Wäre für Hilfe und Weiterführung dieses Themas sehr dankbar!
Bitte warten ..
Mitglied: Ruuudi
17.09.2008 um 15:33 Uhr
Dafür musst du in den Netzwerkeigenschaften unter dem Reiter "Authentifizierung" den Haken bei "Automatisch anmelden wenn Computerinformationen vorhanden sind" setzen. Dann meldet sich die Maschine automatisch im Hintergrund am Radiusserver an.

Das Problem besteht dann halt nur darin, dass keine Benutzerauthentifikation über IAS dann stattfindet. Per WLAN haut alles hin aber im LAN funktioniert das nicht.

hab auch schon in der Registry den Eintrag "AuthMode"=1 hinzugefügt, der dann ja eigentlich dafür sorgt, dass innerhalb von 60sec nach Computeranmeldung eine Benutzeranmeldung stattfinden muss, doch trotzdem geschieht das nicht...
Bitte warten ..
Mitglied: Cardinal
17.09.2008 um 17:19 Uhr
Danke für die Antwort, das verschafft mit hier schonmal Klarheit aber, diese Option war bei mir ohnehin schon per Default gesetzt.

Deshalb ist für mich vor allem das IAS Setting bzgl Computer-Authentifizierung interessant.

Danke und Gruß
Bitte warten ..
Mitglied: Ruuudi
17.09.2008 um 20:31 Uhr
vielleicht noch n kleiner tipp. installier dir wireshark oder so dann kannste deinen netzwerkverkehr mitloggen und gucken was beim server ankommt?!
ansonsten, was sagt deine ereignisanzeige?
Bitte warten ..
Mitglied: Cardinal
18.09.2008 um 09:58 Uhr
Also,
ich habe zum Test einen XPSP3 Client mit einem Computerzertifikat im Computer-Zertifikatsspeicher, sowie einen IAS unter einem W2K3R2 Std Server, der zugleich auch Zertifizierungsstelle ist.

Eingestellt:
Client:
EAP-Typ: Geschütztes EAP
Als Computer authetifizieren, wenn Computerinformationen verfügbar sind.

Server:
Keine eigenen RAS-Richtlinien

Meldung Client: Keine / Kann keine IP beziehen
Meldung Server: IAS Event ID2: Benutzer Domäne\user wurde Zugriff verweigert
Ursache = .. da der angegebene EAP-Typ vom Server nicht verarbeitet werden kann.

Eingestellt:
Client:
EAP-Typ: Smartcard oder anderes Zertfikat (Zertifikat auf Computer verwenden)
Als Computer authetifizieren, wenn Computerinformationen verfügbar sind.

Server:
Keine eigenen RAS-Richtlinien

Meldung Client: Authentifizierung fehlgeschlagen
Meldung Server: IAS Event ID 2 - RAS-Berechtigung für Benutzer verweigert.


Mein generelles Problem ist eben, dass IAS nur Benutzerspezifische Richtlinien anbietet, abgesehen von IP Adressen etc.
Ich kann jedoch nicht sagen, alle Systeme in der Gruppe "FirmenNotebooks" dürfen verbinden.
Bitte warten ..
Mitglied: Ruuudi
18.09.2008 um 15:15 Uhr
na klar kannst du das machen... mach ne eigene sicherheitsgruppe "RADIUS-CLIENT". da machst du alle computer rein, die sich verbinden dürfen, also die ganzen Notebooks. dann ne eigene RAS-Richtlinie (am besten mit assistenten) wo du dann einstellst, dass die verbindung über WLAN (oder LAN) erfolgen muss und dass der Nutzer/Computer in der Gruppe "RADIUS-CLIENT" sein muss.
danach die richtlinie konfigurieren und bei dem reiter "authentifizierung" stellst du ein:

EAP-Typ: Geschütztes EAP (PEAP)
dann auf konfigureien und unten dann "MS CHAPv2"

dann noch die vertraute Zertifizierungsstelle anklicken.

das gleiche machst du dann auch beim client...

das müsste dann auch klappen.

gruß ruuudi
Bitte warten ..
Mitglied: Cardinal
19.09.2008 um 12:16 Uhr
Das klappt sehr gut, ist dann aber nicht mehr Zertifikatsgebunden.

Aber das mit der Windows Gruppe ist ein sehr guter Tipp, da wäre ich nicht drauf gekommen muss ich gestehen ^^

Vielen Dank!
Bitte warten ..
Mitglied: Ruuudi
19.09.2008 um 13:40 Uhr
wenn du es zertifikatgebunden haben möchtest einfach anstelle von "MS CHAPv2" -> "SmartCard oder anderes Zertifikat" einstellen... dann müste es auch mit zertifikaten klappen ;)
Bitte warten ..
Mitglied: Cardinal
19.09.2008 um 13:50 Uhr
Ja, diesmal bin ich auch selber drauf gekommen ;)

/edit: Kann mich korrigieren. Ein Reboot ist nach Zertifikatseinrichtung erforderlich, klappt nun super!

Vielen Dank!
Bitte warten ..
Mitglied: Ruuudi
20.09.2008 um 22:10 Uhr
na dann glückwunsch wäre auch mein nächster tipp gewesen ;)
Bitte warten ..
Mitglied: flugfaust
03.11.2008 um 11:58 Uhr
Also auch ich teste hier so einiges mit 802.1x.
Die Benutzerauthentifizierung sowie über MAC Adresse klappt ohne Probleme.
Jedoch möchte ich die Authentifizierung über Computerkonten einrichten.
Mir ist aufgefallen, dass sie der Computername einmal am Radius anmeldet und authentifiziert wird. Dann kommt aber ständig wieder die MAC Adresse des Computers an und der Computer verliert den Status "Authenticated" auf dem Switch wieder.
Wie kann ich es machen, dass nur noch der Computername sich am Radius anmeldet und nicht mehr die MAC Adresse?
Bitte warten ..
Mitglied: flugfaust
04.11.2008 um 13:34 Uhr
Kann mir hier niemand mehr weiter helfen?
Bitte warten ..
Mitglied: Ruuudi
04.11.2008 um 13:44 Uhr
sieht mir nach ner einstellungssache am switch aus?! welchen switch benutzt du?!
Bitte warten ..
Mitglied: flugfaust
04.11.2008 um 15:30 Uhr
AT-8000S
Das komische ist, dass ich gestern urplötzlkich den hostnamen im RADIUS Log hatte, aber nichts an den Einstellungen auf dem RADIUS verändert hatte.
Seitdem ist der Hostname aber auch nicht mehr aufgetaucht.

Nun habe ich in der Active Direcgtory im Computerkonto "Zugriff über RAS-Richtlinie steuern durch ZUGRIFF GESTATTEN umgestellt und nun geht es. Der Hostnmame erscheint wieder im RADIUS LOG und authentifiziert wird der Computer auch.
Scheinbar liegt es doch an der RAS Richtlinie im IAS?!
Bitte warten ..
Mitglied: flugfaust
05.11.2008 um 13:41 Uhr
Also so gesehen funktioniert es wenn ich dem Computerkonto in der AD sage ZUGRIFF GESTATTEN.
Allerdings wird der Logonscript des Users nicht gezogen.
Gibts da was, was ich noch verbessern könnte?
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless

RADIUS-Anmeldung vor Benutzeranmledung Win7

gelöst Frage von febayxLAN, WAN, Wireless7 Kommentare

Hallo, ich habe auf einer QNAP TS219II einen RADIUS Server laufen. Die RADIUS-Anfragen werden über einen Netgear GS108T Switch ...

Windows Server

Passwortprobleme Radius Anmeldung über Windows Server 2012R2

Frage von markuswoWindows Server

Hallo Community, folgende Situation: - freeradius auf Ubuntu 14.04.3 - Windows Server 2012 R2 Der Radius Server ist vollständig ...

Windows Server

Domänenanmeldung fehlgeschlagen

Frage von LDoYouKnowWindows Server2 Kommentare

Hallo liebe Mitadministratoren, ich bin noch Azubi also habt Erbarmen. Mein Berufsschulkollege hat fachgerecht nach einer Anleitung einen virtuellen ...

Windows Userverwaltung

Keine Internetverbindung durch Domänenanmeldung

Frage von DrCoxWindows Userverwaltung5 Kommentare

Ich habe seit einigen Wochen immer wieder Ausfälle mit dem Internet. Nun habe ich dies provisiorisch dadurch gelöst, dass ...

Neue Wissensbeiträge
Windows 10

USB Maus und Tastatur versagen Dienst unter Windows 10

Erfahrungsbericht von hardykopff vor 5 StundenWindows 103 Kommentare

Da steht man ziemlich dumm da, wenn der PC sich wegen fehlender USB Tastatur und Maus nicht bedienen lässt. ...

Administrator.de Feedback
Update der Seite: Alles zentriert
Information von Frank vor 8 StundenAdministrator.de Feedback10 Kommentare

Hallo User, die größte Änderung von Release 5.8 ist das Zentrieren der Webseite (auf großen Bildschirmen) und ein "Welcome"-Teaser ...

Humor (lol)

WhatsApp-Nachrichten endlich auch per Bluetooth versendbar

Information von BassFishFox vor 1 TagHumor (lol)4 Kommentare

Genau darauf habe ich gewartet! ;-) Der beliebte Messaging-Dienst WhatsApp erhält eine praktische neue Funktion: Ab dem nächsten Update ...

Google Android

Googles "Android Enterprise Recommended" für Unternehmen

Information von kgborn vor 1 TagGoogle Android3 Kommentare

Hier eine Information, die für Administratoren und Verantwortliche in Unternehmen, die für die Beschaffung und das Rollout von Android-Geräten ...

Heiß diskutierte Inhalte
Server-Hardware
Welche Rolle spielt Design bei Enterprise IT Hardware?
Frage von ApolloXServer-Hardware17 Kommentare

Ich arbeite für einen internationalen Elektronikhersteller in der Forschung und meine Aufgabe ist es, Feedback von Nutzern in Hinsicht ...

Windows Netzwerk
WSUS4 und Windows 10 Updates automatisch installieren
Frage von sammy65Windows Netzwerk15 Kommentare

Hallo miteinander, ich habe mit einen neuen WSUS Server aufgesetzt Server 2016 darauf einen aktuellen WSUS. Grund, wir stellen ...

Speicherkarten
Vergessliche USB-Sticks?
Frage von hanheikSpeicherkarten14 Kommentare

Ich habe in den letzten Tagen 500 USB-Sticks mit Bilddateien bespielt. Obwohl ich die Dateien mit größter Sorgfalt kopiert ...

Switche und Hubs
Cisco SG350X-48 AdminIP in anderes VLAN
Frage von lcer00Switche und Hubs14 Kommentare

Hallo zusammen, ich habe ein Problem mir einem Cisco SG350X-48 bei der Erstinstallation wurde eine IP 192.168.0.254 (Default VLAN ...