sql-gott
Goto Top

Radius Authentifizierung mit IAS Server 2003

Guten Abend miteinander,

mir schwirrt durch den Kopf mit dem IAS Server von Windows 2003 Standard Edition einen Radius Server zu realisieren.

Hab mich jetzt teilweise eingelesen und gibt noch paar offene Fragen bezüglich meinem Vorhaben.

Wie sieht das mit den Zertifikatvorlagen aus, diese sind ja zwingend für Eap Peap oder MSCHAP erforderlich. Gibt es dort welche die frei verfügbar sind ausser denen von Microsoft.

Die von Microsoft angebotenen Zertifikate sollen offiziell nur mit Enterprise oder Datacenter Edition funktionieren.

Hoffe ihr habt Tipps bezüglich des Einrichtens einer CA bzw. ausstellen des Zertifikats unter Windows 2003.

Mfg

Content-Key: 87260

Url: https://administrator.de/contentid/87260

Ausgedruckt am: 28.03.2024 um 23:03 Uhr

Mitglied: spacyfreak
spacyfreak 08.05.2008 um 18:58:09 Uhr
Goto Top
Prinzipell ist es egal wo das Zertifikat herkommt, hauptsache es hat das richtige Format mit dem der Radiusserver was anfangen kann.

Das Problem ist nur - ist es für die Client-PCs vertrauenswürdig?
Um die Vertrauenswürdigkeit des Zertifikates auf dem Client automatisch prüfen zu lassen muss jeder client das Root CA Zertifikat importieren, sonst kriegt er zum einen Fehlermeldungen beim Zugriff, zum anderen besteht das Risiko dass sich ein Angreifer zwischenmogelt (ob das so oft vorkommt sei mal dahingestellt...).

Wenn man auf Microsoft Server die CA aufsetzt hat das den Vorteil dass man mit einem Klick auf dem Radius das Serverzertifikat des Radiusservers erneuern kann wenn es am Ablaufen ist ohne Request zu erzeugen und was sonst so dazugehört.

Wichtig in Bezug auf EAP und Radius ist dass das Serverzertifikat das richtige Format hat,sonst funktioniert es nicht. Ausserdem muss das Serverzertifikat im richtigen Zertstore auf dem Radiusserver liegen damit der Radiusserver es dort findet wo er es vermutet.
Das kann recht fricklig sein da es ettliche Zertstores für alle Lebenslagen gibt.
Welcher der richtige ist - da müsst ich erstmal nachschauen...

Ansonsten ist die EAP Geschichte mit dem IAS recht einfach einzurichten, wenn man mal das Prinzip von EAP usw kapiert hat. PEAP (EAP-MSChap-v2) ist gut wenn der Radiusserver beim Client mit Zertifikat authentisiert, der Client aber mit Username und Passwort.

PEAP (EAP-TLS) dagegen ist noch etwas sicherer, da authentisieren sich beide gegenseitig mit Zertifikaten. Ist jedoch etwas aufwendiger da jeder Client nen Zertifikat braucht.
Ich finde EAP-Mschap-v2 völlig ausreichend und easy einzurichten. Übrigens cacht Windows XP die Anmeldedaten - hat der User sich einmal erfolgreich angemeldet, wird das Passwort als Hash in der Registry hinterlegt, und jeder der sich an diesem Laptop anmeldet kann sofort auch ohne Authentisierung am WLAN per 802.1X teilnehmen, ohne Authentisierung..
Suche in der Registry nach "EAPOL". Da wird der Hash hinterlegt soweit ich mich erinnere.
Also nicht wundern wenn man sich nicht ständig anmelden muss am WLAN...

Es gibt paar Fallstricke bei der Einrichtung - wenn du Probleme hast dann frag einfach.
Viel Erfolg!
Mitglied: SQL-Gott
SQL-Gott 08.05.2008 um 20:30:56 Uhr
Goto Top
Vielen dank spacyfreak, für die ausführliche und sehr hilfreiche Beschreibung. Werd den heutigen Abend mal dazu nutzen mir in Ruhe nochmal das EAP Prinzip und die verschiedenen Authentifizierungsarten angucken und mal meinen Testserver soweit fertig machen. Schönen Abend noch
Mitglied: SQL-Gott
SQL-Gott 10.05.2008 um 10:19:36 Uhr
Goto Top
Also hab mich jetzt mal bisschen mit der Materie befasst und soweit auch mal einen Windows 2003 Server aufgesetzt, mit IAS und Zertifizierungsstelle. Mein Vorhaben is quasi ein Server der Zertifikat- aussteller sowie - Verteiler ist. Nur hab ich nun gelesen das man für die V2 Vorlagen von Microsoft die anscheinend für die 802.1x Zertifizierung notwendig sind einen Enterprise oder Database Server braucht. Beschränkt sich das soweit nur aufs Editieren oder auch auf das austellen von Zertifikaten(sprich das nur ein Enterprise oder Database Server einen Client ein Zertifikat ausstellen kann)? Und wenn das der Fall sein sollte gibt es noch andere Alternativen, wie z.B.: selbst ein Zertifikat aus einer frei verfügbaren Vorlage zu erstellen und zu verteilen. Steh wenns das geht noch bissl auffen Schlauch, hab zwar einen Trick im Internet gefunden mit denen diese Vorlagen auch auf 2003 funktioneren, jedoch sieht es so aus als wenn das nicht gerade im Sinne des Erfinders wäre.

Mfg
Mitglied: SQL-Gott
SQL-Gott 13.05.2008 um 14:31:01 Uhr
Goto Top
Hallo nochmal,

also hab mich übers WE mal hingesetzt und mal alles schön installiert, mit CA,IAS und ganzem drumherum.

Schaff es nun sogar über PEAP MS-CHAP-v2 den Client am IAS (mit meinem im ADS hinterlegten Account) anzumelden und eine Verbindung herzustellen. Im IAS LOG erscheint auch ein Eintrag das der Client sich erfolgreich angemeldet hat. Soweit ja alles gut jedoch geht weiter leider garnix kann weder auf Serververzeichnisse zugreifen noch krieg ich einen erfolgreichen Ping auf die Server IP hin.

Hat jemand ne Ahnung was genau dafür verantwortlich sein könnte. Sollte ich eher die RAS Richtlinie nochmal überdenken oder könnts an den GPo´s liegen? bin um jeden Rat dankbar.
Mitglied: spacyfreak
spacyfreak 13.05.2008 um 19:33:57 Uhr
Goto Top
Dass die Authentisierung klappt heisst noch nicht dass der client auch nach erfolgreicher Authentisierung mit dem Netzwerk kommunizieren kann.

Wenn der Client mit dem WLAN AP sich verbindet, hat er ja noch gar keine IP-Adresse.
Er kommuniziert nur über EAP mit dem Accesspoint, und nicht über IP.
EAP braucht keine IP-adresse.

Der Access Point widerum kommumiziert mit dem Radiusserver über Radiusprotokoll (IP).
Wenn der Radius dem AP sein "OK" gibt (Auth. erfolgreich) generiert der AP einen WPA Schlüssel (je nachdem was auf dem AP einestellt ist) und ab dann soltle die Verbindung client---AP stehen.

Wenn nicht, liegt das wahrscheinlich am netzwerk.

1. AP bekommt keine IP vom DHCP (Checken ob UDP 67 und UDP68 zwischen client und DHCP Server freigeschaltet ist, eventuell brauchst nen IP-Helper bzw. DHCP Relay Agent)

2. Routingproblem (der Client bekommt eine IP, aber das Routing zwischen dieser IP und dem internen Netz stimmt nicht. Checke mit pathping oder tracert)
Mitglied: SQL-Gott
SQL-Gott 22.05.2008 um 17:48:05 Uhr
Goto Top
Hallo,

konnt leider nicht früher antworten war unterwegs, aktuell ist alles so eingerichtet das der Testserver einen DHCP Server am laufen hat, der auch im normalen Lan funktioniert. Der Access Point, ein Cisco Router hat eine statische IP. Die Radius Anmeldung über PEAP-MSCHAP v2 klappt nur wenn der Wireless PC eine fest zugewiesene IP hat dann geht es aber nur soweit das die Identität anhand von Zertifikat und "Benutzername+Passwort" bestätigt wird und er ist mit dem WLAN verbunden jedoch weiter geht es nicht, sprich kein Ping zu AP oder IAS Server möglich. Muss ich da am AP nochwas einstellen damit das IP weitergeleitet wird? komm mit dem DHCP Relay Agent nich so ganz klar immo.

Mfg
Mitglied: spacyfreak
spacyfreak 22.05.2008 um 19:04:07 Uhr
Goto Top
Ich weiss nicht welchen AP du benutzt.
Die Cisco APs 1200 usw sind keine WLAN Router sondern reine Layer2 Access Points.
Der AP routet nicht. Die IP die der AP bekommt (Interface BVI 1) dient nur dem Management des Access Points. Ansonsten kann man sich einen AP bzw. eine SSID einfach so vorstelolen als würde man einen Hub an einen stinknormalen Switchport hängen - nix anderes macht der Access Point, nur eben über die Luftschnittstelle und nicht über ein Kabel.

Poste doch mal die Access Point Config hier rein, damit man schaut wie der AP an sich konfiguriert ist.

ap#show running-config

(Enable passwords usw. u. ipadressen am besten aus dem post entfernen, ausser es ist nur ein test-passwort...)

Wenn die Authentisierung klappt hast du den komplizierten Teil ja schonmal geschafft.
Jetzt muss man schauen warum der Client-PC keine IP-Adresse bekommt.

Wie bereits erwähnt muss - falls im lokalen Netz in dem sich der client befindet kein DHCP Server bereitsteht - ein DHCP Relay Agent oder "ip helper" konfiguriert werden, damit er die DHCP Discover UDP Pakete die der Client nach erfolgreicher Authentisierung ins Netz bläst an den richtigen DHCP Server weiterleitet, der dem Client dann auch eine IP bereitstellt.

Das grundsätzliche Routing muss freilich passen - ich habe keine Ahnung von Deiner Netztoplogie, doch dass ins WLAN Subnetz geroutet werden muss damit man übers WLAN mit anderen Netzen kommunizieren kann dürfte klar sein.

Du kannst ja auch einfach völlig unabhängig vom WLAN einen PC in dieses Subnetz hängen um zu schauen ob überhaupt die grundsätzliche Konnektivität (kriegt er ne IP vom DHCP? Kann der PC Ziele in anderen Subnetzen / Internet erreichen?).

Immer Step by Step! Dat klappt schon...
Mitglied: SQL-Gott
SQL-Gott 23.05.2008 um 15:36:52 Uhr
Goto Top
Das Gerät ist ein Cisco Router der 800er Serie, dieser hat einen eingebauten AP mit 802.1x Unterstützung. Habe diesen auf Bridging (andere Option wäre Routing) gestellt und dort Radius Server usw. eingetragen. Habe der SSID kein VLAN zugeordnet. Und wie gesagt alle Geräte sollte sich im selben Subnetz befinden. Habs versucht alles mal mit dem Cisco SDM zu machen was ein ziemlicher Schwachsinn ist, aber ich des CLI noch nicht so hundert pro mächtig bin. Bin echt am Ende grad und weiss nicht was hakt.


Mfg
Mitglied: SQL-Gott
SQL-Gott 23.05.2008 um 19:15:58 Uhr
Goto Top
Hallo,

wollte nur Bescheid geben das die Authentifizierung nun klappt *freu*, hab einfach die Cisco Kiste resetet und alles Schritt für Schritt nochmal rein hatte einfach keinen Nerv mehr mich damit rumzuplagen. Und siehe da es geht. Will mich hiermit noch einmal ganz herzlich für die Hilfe Bedanken spacyfreak.

Schönes Wochenende an alle
Mitglied: pepperroeni
pepperroeni 20.10.2008 um 13:35:02 Uhr
Goto Top
HI spacyfreak,

du hast irgendwo geschrieben das, "Ausserdem muss das Serverzertifikat im richtigen Zertstore auf dem Radiusserver liegen damit der Radiusserver es dort findet wo er es vermutet."

Kannst du verraten wohin bzw. wo das sein soll?
Mitglied: spacyfreak
spacyfreak 20.10.2008 um 22:06:56 Uhr
Goto Top
Yo. Schön wenns glappt!
Wenn du gehst auf start...ausführen und da mmc.exe eintippst und enter clickst, öffnet sich so eine leere Konsole. Über DAtei..Snapin hinufügen kannst du das Snapin Zertifikate in die konsole hinzufügen.

Da tust zwei Zertifikikatsnapins hinzufügen - einmal lokaler Benutzer, einmal lokaler Computer oder so ähnlich.
Das iAS RAdiuscertifikat muss in "lokaler computer"..Personal liegen weil der IAS in diesen Ordner reinguggt und das Zertifikat das dort liegt lädt, sonst wirds nix mit EAP-MSCHAPv2...


Gruss & Good night