Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst RADIUS-Authentifizierung an Server 2008 R2 funktioniert nicht

Mitglied: Festus94

Festus94 (Level 1) - Jetzt verbinden

15.02.2013 um 17:01 Uhr, 4702 Aufrufe, 8 Kommentare

Ich habe Probleme, die RADIUS-Authentifizierung für WLAN-Zugänge erfolgrich umzusetzen. Der Server meldet ständig ein Problem mit dem EAP.

Hallo zusammen,

vor ein paar Tagen habe ich angefangen, mittels einem Windows Server 2008 R2 und einem Cisco AP541N eine gesicherte WLAN-Umgebung zu testen. Die Installation des RADIUS-Servers verlief problemlos und auch das Eintragen des APs ist erledigt. Wenn ich versuche, mich mit meinem Laptop anzumelden, erhalte ich den üblichen Fehler "Keine Verbindung mit Netzwerk möglich".

Wenn ich mir dann die NPS-Logs ansehe, meldet mir der Server immer Einträge mit der ID 6273, welche mir sagen, dass meine Anmeldung abgewiesen wurde, da der Server den Client nicht authenifizieren konnte, da der angegebene EAP-Typ vom Server nicht verarbeitet werden kann.

Der Zugang soll später für Mitarbeiter dienen, die sich mit ihren eigenen Laptops, Smartphones, etc. mit dem internen Netz verbinden möchten. Daher möchte ich die Anmeldung lediglich mit Benutzername/Kennwort-Kombination einrichten.

Recherchen im Internet haben die Vermutung hervorgerufen, dass ich hier mit Zertifikaten arbeiten muss. Allerdings habe ich noch nie mit Zertifikaten gearbeitet und habe somit keine Erfahrung. Stimmt meine Vermutung ?

Hinzu kommt, dass ich mir bzgl. der RADIUS-Einstellungen noch nicht sicher bin, ob diese bzgl. der Sicherheit optimal gewählt sind. Daher habe ich hier ein paar Screenshots von der Netzwerkrichtlinie eingefügt (nicht gezeigte Einstellungen wurden nicht angepasst):

00e6323deee104fa86af2b9021ed96d3 - Klicke auf das Bild, um es zu vergrößern

2b72d84bf74bf73c79950547364c7603 - Klicke auf das Bild, um es zu vergrößern

ae8c85bbb487cd5c4529ae8c04ca3f58 - Klicke auf das Bild, um es zu vergrößern

f308d4880d65031c20ca3e65070e79d4 - Klicke auf das Bild, um es zu vergrößern

e8ee45c6b04ed02e40588e669afbfb19 - Klicke auf das Bild, um es zu vergrößern

Ich habe auch eine Verbindungsanforderungsrichtlinie, dort aber keine weiteren EInstellungen gemacht, bis auf den NAS-Typ. Kann ich mir die Richtlinie dann auch sparen ? Schließlich werden keine NPS-Einstellungen übergangen.

Es wäre klasse, wenn Ihr mir helfen könntet, eine erfolgreiche und simple Anmeldung zu ermöglichen.


Viele Grüße und schönes Wochenende !

tbnwadm
Mitglied: aqui
15.02.2013 um 18:07 Uhr
Du musst nicht mit Zertifikaten arbeiten es geht auch PSK obwohl es mit Radius sinnvoller wäre.
Du hast aber beide Optionen offen, Zertifikate sind definitiv KEIN Muss !
Vielleicht hilft dir dieses Tutorial etwas:
https://www.administrator.de/contentid/142241
Die Client Einstellungen gelten universal. Wichtig sind Informationen WELCHE Authentisierung die Clients benutzen EAP, PEAP, TLS usw. ? Sonst ist ein Troubleshooting nicht gerade einfach.
Bitte warten ..
Mitglied: Festus94
15.02.2013, aktualisiert um 18:38 Uhr
Hallo @aqui, danke für die schnelle Reaktion.

Das bedeutet also, dass wenn ich auf PSKs verzichte, automatisch Zertifikate ins Spiel kommen... Aber die muss ich nicht auf den Clients einrichten, oder ? Das wäre ja nicht machbar, da ich ja nicht an jedem Endgerät die Einstellungen anpassen kann/will.

Was die Clients betrifft, kann ich Dir nicht sagen, wie die sich authentifizieren. Ich klicke auf das WLAN und werde nach Benutzername/Kennwort gefragt - so wie ich es haben will.

Sind die oben gemachten Einstellungen denn sicherheitstechnisch unbedenklich ? Kann ich die unsicheren Optionen aus Screenshot 5 ohne Folgen deaktivieren ? Routing und RAS nutze ich ja nicht.

Wie soll ich denn jetzt weiter vorgehen ?
Welche weiteren Infos würden Dir helfen ? Was die Authentifizierung angeht, habe ich wie gesagt nix Besonderes. Eine WLAN-Verbindung soll wie zu Hause hergestellt werden - nur eben mit Benutzername/Kennwort statt PSK.


Viele Grüße

tbnwadm
Bitte warten ..
Mitglied: aqui
15.02.2013, aktualisiert um 19:15 Uhr
Nein ! So leicht ist das natürlich nicht.
Du musst dir dann eine vollständige CA installieren auf deinem Server und Zertifikate erzeugen die du entweder automatisch an die Clients überträgst oder manuell. MS bietet auch die Möglichkeit das User sich ihre Zertifikate per Web Download vom Server runterladen und installieren.
Ohne eine vollständige CA ist ein Zertifikats basierendes Authentisierungsverfahren unmöglich.
Desalb ist es einfacher erstmal mit Preshared Keys zu starten wenn du wenig Erfahrungen hast mit der CA. Sicherer ist natürlich letztere, denn Pre Shared Keys kann man leichter weitergeben.... Zertifikate nicht..
Bitte warten ..
Mitglied: Festus94
15.02.2013 um 19:28 Uhr
Alles klar. Hast Du zufällig auch einen Tutorial-Tipp, was CAs betrifft ?

Gibt es keine Möglichkeit sowas ohne Zertifikate zu machen ? Es gilt ja im Prinzip nur noch die Verbindung zwischen AP und Client zu sichern. Falls nein: Gibt es evtl. eine weniger sichere Alternative ? Bspw. per Shared Key wie bei der Verbindung zwischen AP und RADIUS-Server ? Das wäre in meinem Fall auch ausreichend, da keine hoch-brisanten Daten übertragen werden.

Funktioniert eine automatische Übertragung an die Clients auch in meinem Fall, wo es sich schließlich nicht um Domänen-Mitglieder handelt ? Wichtig ist in meinem Fall halt, dass ich keine Kontrolle über die Clients habe und der Anwender einfach eine User/PW-Kombi nutzen soll, ohne noch zig EInstellungen zu setzen, mit denen er nix anfangen kann.

Ein großes Danke für Deine Mühe !


Viele Grüße

tbnwadm
Bitte warten ..
Mitglied: aqui
15.02.2013, aktualisiert um 19:54 Uhr
Guckst du hier:
http://bit.ly/UnV2wg

oder hier offiziell:
http://technet.microsoft.com/de-de/library/cc731183%28v=ws.10%29.aspx

Natürlich gibt es eine Möglichkeit das ohne Zertifikate zu machen ! Das obige Tutorial erklärt dir das ja am Beispiel eines FreeRadius Servers wie es ganz genau geht !!
Beim MS Radius Server NPS ist das keineswegs anders und funktioniert dort auch problemlos...Radius ist Radius...
Bitte warten ..
Mitglied: Festus94
15.02.2013 um 20:52 Uhr
Danke für die Tipps.

Wenn ich damit weiterkomme, setze ich den Thread auf gelöst.

Danke nochmals.


Viele Grüße

tbnwadm
Bitte warten ..
Mitglied: aqui
17.05.2013 um 16:07 Uhr
Funktioniert es denn nun ??

Wenn ja bitte dann auch:
https://www.administrator.de/faq/32
nicht vergessen !!
Bitte warten ..
Mitglied: Festus94
17.05.2013 um 16:10 Uhr
Upps, ganz vergessen, sorry!

Da ich nicht mit Zertifikaten arbeiten kann, habe ich den PSK-Weg gewählt.

Es hat daher im Prinzip nicht funktioniert.


VG
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless
Radius-Server Mac Authentifizierung
gelöst Frage von stifkeLAN, WAN, Wireless6 Kommentare

Guten Morgen liebe Leute. Ich beschäftige mich gerade mit einem Mac Authentifizierung Projekt. Ziel soll es sein, anhand der ...

LAN, WAN, Wireless

RADIUS Authentifizierung am entferntem AD

Frage von Netsn00pLAN, WAN, Wireless4 Kommentare

Hallo zusammen, ich möchte ein Netzwerk über einen RADIUS Server an ein anderes Netzwerk mit einem AD anzubinden. Die ...

Netzwerkgrundlagen

Experte für RADIUS-Authentifizierung

gelöst Frage von osze90Netzwerkgrundlagen16 Kommentare

Guten Tag Ich möchte mich gerne über meinen Laptop mit einem WLAN verbinden ohne angabe von PSK sondern über ...

Windows Server

RADIUS Authentifizierung in WLAN

Frage von osze90Windows Server7 Kommentare

Hallo Ich bin bald sicher 1 Jahr a üben aber bringe es einfach nicht hin. Da das ursprüngliche Thema ...

Neue Wissensbeiträge
Windows 10
Zero-Day-Lücke in Microsoft Edge
Information von kgborn vor 21 StundenWindows 10

In Microsofts Edge-Browser klafft wohl eine nicht geschlossene (0-Day) Sicherheitslücke im Just In Time Compiler (JIT Compiler) für Javascript. ...

Sicherheit
Microsoft und Skype: Sicherheit
Information von kgborn vor 21 StundenSicherheit

Die Tage gab es ja einige Berichte zur Sicherheit des Skype-Updaters. Der Updater von Skype läuft unter dem Konto ...

Datenschutz

Behörden ignorieren Sicherheitsbedenken gegenüber Windows 10

Information von Penny.Cilin vor 1 TagDatenschutz8 Kommentare

Hallo, passend zum Thema Ablösung LIMUX in München ein Beitrag bei Heise (siehe Link folgend). Behörden ignorieren Sicherheitsbedenken gegenüber ...

Sicherheit
Information Security Hub Munich airport
Information von brammer vor 1 TagSicherheit

Hallo, Neues Center für Cyber Kriminalität am Münchener Flughafen brammer

Heiß diskutierte Inhalte
Exchange Server
Exchange Postfach Einbindung Betriebs-rat -Arzt, Bewerbung .
gelöst Frage von YellowcakeExchange Server24 Kommentare

Hey ich habe da mal eine Denksport Aufgabe bekommen Genutzt wird ein Exchange Server 2010. hier gibt es den ...

Windows Server
Delgegierte OU via RDP verwalten - Objektverwaltung zuweisen
gelöst Frage von TOAOICEWindows Server12 Kommentare

Hallo, ich habe folgendes Problem. Ich möchte in meiner Domäne (Server2016), einer Gruppe (OUAdmin) Berechtigungen auf die OU Test ...

LAN, WAN, Wireless
Gigabit-Lan mit zwei 4-adrigen Kabeln?
Frage von ArvedirmerLAN, WAN, Wireless11 Kommentare

Ich habe folgendes Problem: Ich betreue eine kleine Firma die sich im 1.Stock eines Gebäudes befindet. Es existiert ein ...

Datenschutz
Behörden ignorieren Sicherheitsbedenken gegenüber Windows 10
Information von Penny.CilinDatenschutz8 Kommentare

Hallo, passend zum Thema Ablösung LIMUX in München ein Beitrag bei Heise (siehe Link folgend). Behörden ignorieren Sicherheitsbedenken gegenüber ...