16
Experte für RADIUS-Authentifizierung
Guten Tag
Ich möchte mich gerne über meinen Laptop mit einem WLAN verbinden ohne angabe von PSK sondern über Zugangsdaten vom AD.
Ich habe mir bereits einen Access Point gekauft mit RADIUS unterstützung. Ich habe auch bereits alles konfiguriert (mit Hilfe von board hier und diversen Anleitungen) nur funktioniert die Anmeldung noch nicht.
Hier der Fehler:
Wenn ich in unter NPS in der Richtlinie -> "Verbindungsanforerungsrichtlinie" -> "Authentifizierung" -> "Benutzer ohne Überprüfung der Anmeldeinformationen akzeptieren"
einstelle bekomme ich keinen Fehler mehr im eventlog (Der Netzwerkrichtlinienserver hat einem Benutzer Zugriff gewährt.). Die Verbindung klappt aber dann trotzdem nicht zum Access Point. Siehe Screenshots.
Hier noch die Konfiguration der GPO für den Client:
+
Zum Schluss noch die Konfigurations der NPS, Netzwerkrichtlinie:
+
Benötigt der Client nun ein Zertifikat oder nicht von der meiner CA? Ich habe die AD Zertifizierungsstelle installiert weil die angeblich nötig ist stimmt das?
Danke für die Hilfe.
Gruss
Nicolas
Ich möchte mich gerne über meinen Laptop mit einem WLAN verbinden ohne angabe von PSK sondern über Zugangsdaten vom AD.
Ich habe mir bereits einen Access Point gekauft mit RADIUS unterstützung. Ich habe auch bereits alles konfiguriert (mit Hilfe von board hier und diversen Anleitungen) nur funktioniert die Anmeldung noch nicht.
Hier der Fehler:
Der Netzwerkrichtlinienserver verweigerte einem Benutzer den Zugriff.
Wenden Sie sich an den Administrator des Netzwerkrichtlinienservers, um weitere Informationen zu erhalten.
Benutzer:
Sicherheits-ID: DEB\test-acc01
Kontoname: DEB\test-acc01
Kontodomäne: DEB
Vollqualifizierter Kontoname: deb.test/Users/test-acc01
Clientcomputer:
Sicherheits-ID: NULL SID
Kontoname: -
Vollqualifizierter Kontoname: -
Betriebssystemversion: -
Empfänger-ID: 4C-9E-FF-73-18-42:deb_wlan_lab-RADIUS
Anrufer-ID: 00-23-4D-97-F6-97
NAS:
NAS-IPv4-Adresse: 192.168.0.4
NAS-IPv6-Adresse: -
NAS-ID: -
NAS-Porttyp: Funk (IEEE 802.11)
NAS-Port: 0
RADIUS-Client:
Clientanzeigenname: deb-lab-ap-01
Client-IP-Adresse: 192.168.0.4
Authentifizierungsdetails:
Name der Verbindungsanforderungsrichtlinie: WLAN-RADIUS
Netzwerkrichtlinienname: Verbindungen mit anderen Zugriffsservern
Authentifizierungsanbieter: Windows
Authentifizierungsserver: testsrv2.deb.test
Authentifizierungstyp: EAP
EAP-Typ: -
Kontositzungs-ID: -
Protokollierungsergebnisse: Die Kontoinformationen wurden in die lokale Protokolldatei geschrieben.
Ursachencode: 66
Ursache: Der Benutzer hat versucht, eine Authentifizierungsmethode zu verwenden, die in der entsprechenden Netzwerkrichtlinie nicht aktiviert wurde.Wenn ich in unter NPS in der Richtlinie -> "Verbindungsanforerungsrichtlinie" -> "Authentifizierung" -> "Benutzer ohne Überprüfung der Anmeldeinformationen akzeptieren"
einstelle bekomme ich keinen Fehler mehr im eventlog (Der Netzwerkrichtlinienserver hat einem Benutzer Zugriff gewährt.). Die Verbindung klappt aber dann trotzdem nicht zum Access Point. Siehe Screenshots.
Hier noch die Konfiguration der GPO für den Client:
Zum Schluss noch die Konfigurations der NPS, Netzwerkrichtlinie:
Benötigt der Client nun ein Zertifikat oder nicht von der meiner CA? Ich habe die AD Zertifizierungsstelle installiert weil die angeblich nötig ist stimmt das?
Danke für die Hilfe.
Gruss
Nicolas
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 314272
Url: https://administrator.de/contentid/314272
Printed on: April 25, 2024 at 00:04 o'clock
16 Comments
Latest comment
Moin,
diese Anleitung sollte deine Fragen beantworten.
http://www.heise.de/netze/artikel/Radius-mit-Windows-Server-2087800.htm ...
Gruß
Uwe
diese Anleitung sollte deine Fragen beantworten.
http://www.heise.de/netze/artikel/Radius-mit-Windows-Server-2087800.htm ...
Gruß
Uwe
Ich habe mir bereits einen Access Point gekauft mit RADIUS unterstützung.
Hilfreich wäre zu wissen welcher ? Ebenso ein Screenshot des AP Setups.Was steht im Log des AP
Was sagt ein Wireshark Trace der Authentisierung zw. AP und Radius beim Client Login ? Irgendwelche Fehler ?
Ansonsten: siehe Posting vom Kollegen transocean !
Hi
In der GPO hast du konfiguriert dass sich der User authentifizieren muss, am Radius aber der Computer. Passt nicht zusammen.
LG
In der GPO hast du konfiguriert dass sich der User authentifizieren muss, am Radius aber der Computer. Passt nicht zusammen.
LG
Moin,
Hier kannst du die groben Eckdaten nachlesen.
Gruß,
Dani
Ich möchte mich gerne über meinen Laptop mit einem WLAN verbinden ohne angabe von PSK sondern über Zugangsdaten vom AD.
dir ist aber klar, dass somit jeder MA jedes Gerät ins WLAN mit seinen Zugangsdaten einbinden kann. Sicherer wäre es wenn sich das Computerkonto gegenüber dem AD mit Hilfe eines Zertifikats authentifiziert. Ist ein aufwendiges Setup aber wenn's läuft - läufts. Hier kannst du die groben Eckdaten nachlesen.Gruß,
Dani
Auch ganz hilfreich für Winblows Knechte:
http://www.andysblog.de/windows-wireless-lan-802-1x-und-nps
http://www.andysblog.de/windows-wireless-lan-802-1x-und-nps
Zitat von @transocean:
Moin,
diese Anleitung sollte deine Fragen beantworten.
http://www.heise.de/netze/artikel/Radius-mit-Windows-Server-2087800.htm ...
Gruß
Uwe
Moin,
diese Anleitung sollte deine Fragen beantworten.
http://www.heise.de/netze/artikel/Radius-mit-Windows-Server-2087800.htm ...
Gruß
Uwe
Also benötigt es diese Rolle doch... Merkwürdig.
Zitat von @aqui:
Was steht im Log des AP
Was sagt ein Wireshark Trace der Authentisierung zw. AP und Radius beim Client Login ? Irgendwelche Fehler ?
Ansonsten: siehe Posting vom Kollegen transocean !
Ich habe mir bereits einen Access Point gekauft mit RADIUS unterstützung.
Hilfreich wäre zu wissen welcher ? Ebenso ein Screenshot des AP Setups.Was steht im Log des AP
Was sagt ein Wireshark Trace der Authentisierung zw. AP und Radius beim Client Login ? Irgendwelche Fehler ?
Ansonsten: siehe Posting vom Kollegen transocean !
Modell: ZYXEL NWA1121-NI
Screenshot:
Im Log vom AP steht nichts ausser, dass er die Zeit aktualisiert. Aber der AP müsste richtig konfiguriert sein da ich mich ja verbinden kann ich jedoch gleich wieder raus fliege. Dabei zeigt mir dann der NPS die Fehler wie ich oben bereits geopstet habe.
Ok ich mache mal auf dem Client ein Wireshark track. -> Hier ist er http://www.file-upload.net/download-11921062/RADIUS-authentifizierung-n ...
Ich erkenne nicht viel an dem Track wie siehst du da ob was nicht stimmt?!
Zitat von @catachan:
Hi
In der GPO hast du konfiguriert dass sich der User authentifizieren muss, am Radius aber der Computer. Passt nicht zusammen.
LG
Hi
In der GPO hast du konfiguriert dass sich der User authentifizieren muss, am Radius aber der Computer. Passt nicht zusammen.
LG
Wie meinst du das? Was muss ich ändern? Der User muss sich doch auch authentifizieren?
Zitat von @Dani:
Moin,
Hier kannst du die groben Eckdaten nachlesen.
Gruß,
Dani
Moin,
Ich möchte mich gerne über meinen Laptop mit einem WLAN verbinden ohne angabe von PSK sondern über Zugangsdaten vom AD.
dir ist aber klar, dass somit jeder MA jedes Gerät ins WLAN mit seinen Zugangsdaten einbinden kann. Sicherer wäre es wenn sich das Computerkonto gegenüber dem AD mit Hilfe eines Zertifikats authentifiziert. Ist ein aufwendiges Setup aber wenn's läuft - läufts. Hier kannst du die groben Eckdaten nachlesen.Gruß,
Dani
Ja es funktioniert jetzt schon nichts und nun soll ich noch komplizierteres konfigurieren? Wenn du mir genau sagen kannst wie ich vorgehen muss dann gerne...
Mein Schritt wäre erstmal eine simple konfiguration die funktioniert dann kann ich ja immer noch auf diese Konfiguration aufbauen.Zitat von @aqui:
Auch ganz hilfreich für Winblows Knechte:
http://www.andysblog.de/windows-wireless-lan-802-1x-und-nps
Auch ganz hilfreich für Winblows Knechte:
http://www.andysblog.de/windows-wireless-lan-802-1x-und-nps
Komme mal wieder nicht weiter....
Habe mich für die manuellle Zertifikat ausgabe entschieden. Wenn ich auf dem Server nun das Zertifikat anfordern möchte, die eben erstellte Zertifikatvorlage kommt folgendes:
Wieso kommen immer beim Anfordern von meinen selbst erstellten Zertifikatvorlagen solche ### Meldungen? Dabei habe ich es genau nach Anleitung gemacht...
Weitere Frage in der Anleitung steht ich müsse wenn die Zertifikate automatisch vergeben werden sollen den NPS in die Gruppe RAS und IAS tun nun existiert der NPS nicht. Wie ist das gemeint?
Aber der AP müsste richtig konfiguriert sein da ich mich ja verbinden kann ich jedoch gleich wieder raus fliege.
Was sagt denn da ein Wireshark Trace ???Sendet der AP dann auch eine Radius Abfrage an den Radius Server mit den entsprechenden Credentials ??
All das zeigt dir doch der Kabelhai !!
Dann weisst du wenigstens wasserdicht das der Radius Request raus geht !
Übrigens hat das Forum hier eine wunderbare Upload Funktion !! Schon mal auf das Kamerasymbol geklickt ??
Zitat von @aqui:
Sendet der AP dann auch eine Radius Abfrage an den Radius Server mit den entsprechenden Credentials ??
All das zeigt dir doch der Kabelhai !!
Dann weisst du wenigstens wasserdicht das der Radius Request raus geht !
Übrigens hat das Forum hier eine wunderbare Upload Funktion !! Schon mal auf das Kamerasymbol geklickt ??
Aber der AP müsste richtig konfiguriert sein da ich mich ja verbinden kann ich jedoch gleich wieder raus fliege.
Was sagt denn da ein Wireshark Trace ???Sendet der AP dann auch eine Radius Abfrage an den Radius Server mit den entsprechenden Credentials ??
All das zeigt dir doch der Kabelhai !!
Dann weisst du wenigstens wasserdicht das der Radius Request raus geht !
Übrigens hat das Forum hier eine wunderbare Upload Funktion !! Schon mal auf das Kamerasymbol geklickt ??
Habe dir den Log oben hochgeladen! Keine Ahnung wie man das überprüft. Kenne doch die Funktion wie hätte ich meine Screenshots sonst hochladen können?
Zitat von @Dani:
Moin,
Hier kannst du die groben Eckdaten nachlesen.
Gruß,
Dani
Moin,
Ich möchte mich gerne über meinen Laptop mit einem WLAN verbinden ohne angabe von PSK sondern über Zugangsdaten vom AD.
dir ist aber klar, dass somit jeder MA jedes Gerät ins WLAN mit seinen Zugangsdaten einbinden kann. Sicherer wäre es wenn sich das Computerkonto gegenüber dem AD mit Hilfe eines Zertifikats authentifiziert. Ist ein aufwendiges Setup aber wenn's läuft - läufts. Hier kannst du die groben Eckdaten nachlesen.Gruß,
Dani
Super endlich eine Anleitung die mich etwas weitergebracht hat! Nun kann ich mit dem DC immerhin schonmal das Computer Zertifikat registieren. Leider funktioniert jedoch die RADIUS Authentifizierung auf meinem Laptop immernoch nicht. Das Zertifikat müsste doch der Client nun automatisch vom DC beziehen oder?
Fehler des NPS:
"Von der ungültigen RADIUS-Client-IP-Adresse 192.168.0.4 wurde eine RADIUS-Meldung empfangen."
Wie behebt man das Problem?
Zudem wenn ich nun das gleiche Zertifikat welches der DC bezogen hat von der Zertifizierungstelle auch auf dem Notebook registieren will steht dort wieder, dass ich keine Rechte haben das Zertifikat zu beziehen. Also auf dem DC kann ich das erstellte Zertifikat beziehen auf dem Notebook nicht.
Was ich noch versucht habe die WLAN konfiguration statt per GPO direkt am Client nach der Anleitung von aqui einzustellen ebenfalls ohne Erfolg. Das Problem scheint wohl mal wieder am NPS oder an meiner CA zu liegen.
Danke fürs weiterhelfen.
Leider warte ich immer noch auf Antwort kann mir jemand weiterhelfen?
"Von der ungültigen RADIUS-Client-IP-Adresse 192.168.0.4 wurde eine RADIUS-Meldung empfangen."
Hört sich so danach an als ob das keine erlaubte Radius Adresse einens Clients ist.Jedem Radius Server egal ob NPS oder Freeradius muss man die Hostadressen oder das Netzwerk angeben aus dem dieser Radius Requests passwortgeschützt annehmen darf.
Ohne das nimmt der Radius keine Requests an und genau danach sieht es bei dir oben aus.
Bei Freeradius ist das übrigens die clients.cfg Datei die das regelt.
Einen kleinen Erfolg kann ich feiern, nun kommt schonmal die Anmeldemaske um sich um authentifizieren. Die kam vorhin nie bzw. das letzte mal als der DC lief.
Ok wo ändere ich das im NPS? Merkwürdig ich bin nach Anleitung vorgegangen eigentlich müsste es gehen!
Ok wo ändere ich das im NPS? Merkwürdig ich bin nach Anleitung vorgegangen eigentlich müsste es gehen!
NPS keine Ahnung. Das muss einer der Winblows Gurus hier beantworten. Beim FreeRadius ist das eine simple Konfig Zeile 
ES funktioniert endlich!!!
Moin,
nächstes Mal auch den Link zur Lösung posten.
Unabhängig davon ist dies ein Forum welches von vielen in ihrer Freizeit oder evtl. Mittagspause unterstützen. Daher nach Hilfe förmlich zu schreien und ist meiner Meinung nach der falsche Weg. Es gibt neben den Beruf und ein Privatleben und somit bleibt eben das Forum bei mir zur Zeit öfters auf der Strecke.
Nachdem das Problem nun ausgestanden ist, setze bitte beide Fragen aufgelöst.
Gruß,
Dani
nächstes Mal auch den Link zur Lösung posten.
Unabhängig davon ist dies ein Forum welches von vielen in ihrer Freizeit oder evtl. Mittagspause unterstützen. Daher nach Hilfe förmlich zu schreien und ist meiner Meinung nach der falsche Weg. Es gibt neben den Beruf und ein Privatleben und somit bleibt eben das Forum bei mir zur Zeit öfters auf der Strecke.
Nachdem das Problem nun ausgestanden ist, setze bitte beide Fragen aufgelöst.
Gruß,
Dani
Zitat von @Dani:
Moin,
nächstes Mal auch den Link zur Lösung posten.
Unabhängig davon ist dies ein Forum welches von vielen in ihrer Freizeit oder evtl. Mittagspause unterstützen. Daher nach Hilfe förmlich zu schreien und ist meiner Meinung nach der falsche Weg. Es gibt neben den Beruf und ein Privatleben und somit bleibt eben das Forum bei mir zur Zeit öfters auf der Strecke.
Nachdem das Problem nun ausgestanden ist, setze bitte beide Fragen aufgelöst.
Gruß,
Dani
Moin,
nächstes Mal auch den Link zur Lösung posten.
Unabhängig davon ist dies ein Forum welches von vielen in ihrer Freizeit oder evtl. Mittagspause unterstützen. Daher nach Hilfe förmlich zu schreien und ist meiner Meinung nach der falsche Weg. Es gibt neben den Beruf und ein Privatleben und somit bleibt eben das Forum bei mir zur Zeit öfters auf der Strecke.
Nachdem das Problem nun ausgestanden ist, setze bitte beide Fragen aufgelöst.
Gruß,
Dani
Ok. Das Problem wurde gelöst indem ich noch den Authenticator eingerichtet habe der fehlte... Jedoch war wohl nicht nur das, dass Problem das es nicht funktionierte.
