Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Authentifizierung 802.1x über RADIUS und LAN

Frage Netzwerke

Mitglied: RalphT

RalphT (Level 1) - Jetzt verbinden

17.03.2011, aktualisiert 18.10.2012, 5307 Aufrufe, 12 Kommentare, 1 Danke

Hallo,

ich habe hier eine Testumgebung mit einem kleinen Problem:
Ich wolllte hier eine Authentifizierung über einen RADIUS-Server mit Zertifikaten realisieren. Ich habe dazu folgendes aufgebaut:

Ein DC mit Windows 2003 Standard. Auf diesem DC habe ich noch IAS, IIS und eine CA installiert. Das Ganze habe ich über 802.1x-fähigen Switch mit einem PC (Windows XP Prof.) verbunden.

Eingerichtet habe ich folgendes:

Den Switch konfiguriert, eine RAS-Regel im IAS hinzugefügt, in der RAS-Regel steht unter "EAP-Typen" Smartcard oder anderes Zertikat. Dort kann ich auch das Zertikat auf dem Server sehen. Den Client habe ich ein Benutzerzertikat gegeben. Die Authentifizierung funktioniert. Aber, jetzt zu meinem Problem:

Der Client stellt erst eine Verbindung her, nach der erfolgreichen Anmeldung im AD. Jetzt scheint hier das Problem zu sein, dass der Client ein Computerzertifikat haben muss. Auf dem Client habe ich über die MMC ein Computerzertifikat austellen lassen. Das Zertifikat steht auch unter Eigene Zertikate und (Lokaler Computer). Wenn ich dann das Benuterzertikat aus dem Speicher entferne, ist keine Authentifizierung möglich.

Was ist da falsch?
Mitglied: Antos
17.03.2011 um 10:02 Uhr
Hi,
du brauchst auf dem Client ein Zertifikat vom Server. Das kannst du per GPO austeilen. HowTo gibt hier:
technet.microsoft. Dann ist es wichtig das im AD der User unter "Einwählen" --> "Zugriff über RAS" eingestellt ist. Einstellungen auf dem Client EAP-Typen--> Geschütztes EAP, dann unter Einstellungen Häkchen bei "Verbindung mit Server", dort dein Zert-Server eintragen und Häkchen beim entsprechenden Zertifikat (Von deinem Server).
Mit freundlichen Grüßen
Antos
Bitte warten ..
Mitglied: RalphT
17.03.2011 um 10:53 Uhr
@Antos,

erst mal vielen Dank für die Info. Jetzt bin ich gerade dabei und versuche das Zertifikat über eine GPO zu verteilen und scheitere an dem Punkt 12 von Technet: Hier der Auszug:

Klicken Sie in Zertifikatvorlagen aktivieren auf den Namen der gerade konfigurierten Zertifikatvorlage, und klicken Sie dann auf OK. Wenn Sie beispielsweise den standardmäßigen Zertifikatvorlagennamen nicht geändert haben, klicken Sie auf Kopie von RAS- und IAS-Servern, und klicken Sie dann auf OK. <<

Und hier sehe meine neu erstellte Kopie nicht. Die Info ist zwar für 2008, ich gehe aber davon aus, dass diese auch für 2003 passt. Warum wird denn die neu erstellte doppelte Vorlage in diesem Fenster nicht sichtbar?

Und dann gleich noch eine Frage:

Wenn ich das Zertifikat per USB-Stick verteilen möchte (vielleicht für Gäste) wie ginge das denn?
Bitte warten ..
Mitglied: Antos
17.03.2011 um 11:48 Uhr
Hi,

jep, du kannst das Zertifikat auch manuell Kopieren und anschließend auf dem Client installieren. Die Verteilung über GPO ist optional, zur besseren Verwaltung halt.
Hier noch ne andere Anleitung:
Simple Configuration of Microsoft NPS as Radius for 802.1X.
Ist allerdings auch für 2008. Aber evtl. auch für deinen IAS brauchbar.
Wenn es im angemeldetem Zustand funktioniert, liegt der Hund evtl. in der Vertrauensstellung (Client-->Server oder Server-->Client) begraben.
Du brauchst auf jeden Fall ein autorisiertes Zertifikat auf deinem Client. Das der Client den Server kennt und vertraut. Die Client zu Server Autorisierung erfolgt dann über die AD Benutzerdaten und Passwort (Sofern das Kriterium AD-Benutzer in der RAS hinterlegt ist). Wenn ich das recht verstanden habe. Ich laß mich natürlich gern eines besseren belehren.
Wie ich allerdings einem Client-Computer unabhängig vom User die Einwahl erlauben/verweigern kann, konnte mir bis jetzt keiner erklären.

Mit freundlichen Grüßen
Antos
Bitte warten ..
Mitglied: RalphT
17.03.2011 um 13:17 Uhr
@Antos,

den Fehler, warum die neu erstellte Vorlage nacher nicht sichtbar ist, habe ich gefunden. Ich habe hier Windows 2003 Server Standard. Man kann zwar die 2. Vorlage mit dieser Version erstellen, aber jedoch nicht veröffentlichen.

Tja, jetzt bin ich irgenwie wieder am Anfang. Wie gesagt, nach der Anmeldung funktioniert die Authentifizierung. Vor der Anmeldung keine Reaktion. Aber ich glaube, dass sollte jetzt nicht an der Standrdversion scheitern. Ich denke, dass schon andere diese Authenttifizierung über LAN gelöst haben. Die andere Anleitung von Intel ist zwar nicht schlecht, aber die Konfiguration 2008 zu 2003 sieht doch um einiges anders aus.

Irgendwie müsste doch die Zertifikatsabfrage vor der Anmeldung möglich sein.
Bitte warten ..
Mitglied: Antos
17.03.2011 um 13:33 Uhr
Ok, ich glaub ich hab da was missverstanden.
Du meldest dich Offline mit einem Servergespeicheicherten Profil am Client an, dieser verbindet sich dann übers WLan zum Netzwerk.
Dann funktioniert grundsätzlich schon mal alles.
Du hättest gerne, wenn der Client bootet sich im Vorfeld am WLan anmeldet bevor der User sich anmeldet.
Richtig?
Unter den WLan-Optionen (Client) gibts einen Haken (XP): "Computer authentifizieren wenn Computerinformationen verfügbar"
Das dem in der RAS-Richtlinie zu definieren, tja, soweit bin ich auch. Zwar gibt es die Möglichkeit Computergruppen zu definieren. Zieht aber nicht, bei mir zumindest. Warum auch immer.
Mit freundlichen Grüßen
Antos
Bitte warten ..
Mitglied: RalphT
17.03.2011 um 13:52 Uhr
Nee nicht ganz. Ich erkläre das nochmal:

Ich habe einen Client, den ich der Domäne hinzugefügt habe. Das Profil ist nicht servergespeichert. Es liegt ganz normal, auf der eigenen Festplatte des Clients.
Dann wollte ich das mit LAN durchführen, nicht mit dem WLAN.

Ich hatte vorher eine recht gute Anleitung gefunden, nach ich mich gerichtet habe. Allerdings geht es in dieser Anleitung um WLAN. Ich dachte mir, dass muss ja auch für das LAN zutreffen.
Dieser Haken, von dem eben geschrieben hattest, den gibt es bei WLAN. Aber nicht beim LAN.

Das Problem was ich noch habe ist, wenn ich anmelde, dann muss das Netzwerk schon funktionsbereit sein. Das ist es nicht. Man merkt es auf zwei Arten:

Ein Ping auf dem Client vor der Useranmeldung geht ins leere.
Nach der Anmeldung wartet der Client, bis der Desktop kommt. Klar er sucht ja seinen Domänencontroller, den er zu diesem Zeitpunkt noch nicht hat.

Es muss so sein, dass wenn der Client sein STRG+ENTF Fenster hat, dass das LAN schon funktionieren muss. Ich hoffe jetzt ist mein Problem etwas klarer.

Achso hier die Anleitung, nach der ich mich gerichtet habe:

http://www.google.de/url?q=http://www.support-netz.de/uploads/tx_dcfile ...
Bitte warten ..
Mitglied: Antos
17.03.2011, aktualisiert 18.10.2012
Da stand nix von WLan, hast recht! Mein Fehler.
Daß Prob wird bei deinem Client sein, das der Switch den Client sperrt. Daher stimmt was mit der Autorisierung nicht.
Den Haken gibt es beim Lan auch.
Guck mal hier
Mit freundlichen Grüßen
Antos
Bitte warten ..
Mitglied: RalphT
18.03.2011 um 11:06 Uhr
Ach die Anleitung hatte ich auch schon gefunden. Aber jetzt mal eben die Frage: Wo siehst Du diesen Haken? Ich finde ihn nicht.
Bitte warten ..
Mitglied: Antos
18.03.2011 um 13:09 Uhr
Mit Haken meinte ich die IEEE802.1x Authentifizierung beim Lan-Adapter wenn der Dienst "Automatische (verkabelt) Konfiguration" gestartet ist.
Im IAS, was haste den für Remote Access Policy's eingerichtet?
Hier nochmal ein Link: www.serverhowto.de
Mit freundlichen Grüßen
Antos
Bitte warten ..
Mitglied: RalphT
18.03.2011 um 13:24 Uhr
Ach den Link kannte ich noch nicht. Lese ich mir heute abend mal in Ruhe durch. Also die Dienst habe ich natürlich gestartet. Sonst könnte ich am Client ja nichts einstellen.
Im IAS habe ich eine Richtlinie eingerichtet. Mal so in Grobform:

NAS-Port stimmt überein mit "Ethernet" und mit Group "LAN-Nutzer"
Unten Haken bei RAS Berechtigung erteilen.
Dann unter Profil bearbeiten und Reiter Authentifizierung EAP-Methoden Smartcard oder anderes Zertikat. Gehe ich dort auf bearbeiten, dann sehe ich dort mein Server-Zertifikat.

In der Gruppe LAN-Nutzer ist mein Nutzer der auch RAS-Berechtigung hat.

Ich denke, für meinen Fall dürfte eine Nutzerabfrage garnicht in Frage kommen, sondern nur ein Computerzertifikat auf dem Client. Denn vor der Anmeldung ist nichts mit User.
Ich schätze, dass das bestimmt mit Zertifikaten geht, was ich mir aber auch noch vorstellen könnte, wäre eine MAC-Adressen Zuordnung.
Bitte warten ..
Mitglied: aqui
19.03.2011, aktualisiert 18.10.2012
Ggf. hilft das die Zertifikatsfrage zu klären da es mehr oder minder identisch ist:
http://www.administrator.de/wissen/netzwerk-zugangskontrolle-mit-802.1x ...
ist ggf. als Richtschnur ganz hilfreich.
Ggf. hilft noch dies Dokument:
http://www.administrator.de/Dynamische_VLAN-Zuweisung_mit_FreeRADIUS_un ...
Bitte warten ..
Mitglied: RalphT
21.03.2011 um 08:55 Uhr
Guten Morgen,

erst mal Danke für Infos. Ich muss mir jetzt erst einmal die Links ansehen. Leider hat man mir gerade einen Azubi aufgebrummt. Daher komme ich nicht gelich zu diesem Thema. Ich melde mich aber jeden Fall nochmal dazu.
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung! - BNG - Broadband Network Gateway

(3)

Erfahrungsbericht von ashnod zum Thema Internet ...

Ähnliche Inhalte
Windows Netzwerk
gelöst RADIUS 802.1x Geräte Authentifizierung (3)

Frage von Cloudy zum Thema Windows Netzwerk ...

LAN, WAN, Wireless
gelöst 802.1x Authentifizierung HP Switch und MS NPS (7)

Frage von NoobOne zum Thema LAN, WAN, Wireless ...

LAN, WAN, Wireless
gelöst Access Point für 802.1X Authentifizierung (6)

Frage von technikneuling zum Thema LAN, WAN, Wireless ...

LAN, WAN, Wireless
802.1x funktioniert nur an einem oder zwei Accesspoints (3)

Frage von westberliner zum Thema LAN, WAN, Wireless ...

Heiß diskutierte Inhalte
Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (17)

Frage von JayyyH zum Thema Switche und Hubs ...

Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

DSL, VDSL
DSL-Signal bewerten (14)

Frage von SarekHL zum Thema DSL, VDSL ...