Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

IAS und Authentifizierung - Probleme über Probleme

Frage Netzwerke LAN, WAN, Wireless

Mitglied: SolidPinguin

SolidPinguin (Level 1) - Jetzt verbinden

16.03.2009, aktualisiert 12:41 Uhr, 6820 Aufrufe, 16 Kommentare

Hey,
Ihr sind meine letzte Hoffnung Im Rahmen meines Abschlussprojekts möchte ich gerne ein (P)EAP-TLS-authentifiziertes WLAN-Netz aufbauen mit Hilfe des IAS in MS Server 2003. Leider funktioniert derzeit leider so gut wie gar nichts. Ich hatte zuvor in einer Testumgebung bereits ein funktionierendes System aufgebaut, doch beim Übertragen in die reale Umgebung klappt leider derzeit gar nichts.
Also kurz zu dem was ich bisher gemacht habe:
1. IIS installiert
2. CA installiert
3. IAS installiert und nach ihrem Webcast und mit Hilfe des Buches "Drahtlose Netzwerke..." aus der Microsoft Press eingerichtet
4. zusätzlich eine Automatische Registrierung von Computerzertifikaten und Drahtlosnetzwerkrichtlinien eingerichtet
5. Client in der Domäne per Netzwerkkabel angemeldet und die Zertifikate per Webinterface installiert (dabei gabs Probleme weil der IIS zunächst nicht lief aufgrund eines benutzten Port 80 durch Apache, die Zertifikatsstelle und den IAS habe ich anschließend noch einmal neuinstalliert)
6. Im WLAN anzumelden versucht per WZC ohne Erfolg (Netzwerk nicht erreichbar)dann per Boingo, um zu sehen was passiert (Client associated sich aber die Authentifizierung timed out)
Naja soviel dazu, jetzt sind allerdings bei mir einige Probleme und Fragen aufgetaucht, bei denen ich nicht mehr weiter weiß:

1.Der IAS Server taucht in der Ereignisanzeige des Servers gar nicht auf, sprich ich kann nicht einmal sehen, warum die Authentifizierung scheitert. Es scheint fast so als liefe der Dienst nicht richtig (Client zeigt Timed out) (Dienst ist aber gestartet), woran kann das liegen ?

2.Eine Authentifizierung mit dem WCZ ist bisher immer gescheitert auch im Testsystem (dort habe ich das Programm von Intel (dem Treiber beiliegend) genutzt und es funktionierte) Was mache ich falsch und gibt es eventuell ein anderes Tool von Microsoft mit dem man speziell 802.1x-Authentifizierung komfortabler durchführen kann? Sprich das ich auch sehe was das Programm tut (ähnlich wie bei Intel und Boingo)

3. wie genau stelle ich eine Authentifizierung per PEAP-TLS her (also was muss ich ändern damit aus der EAP-TLS-Authentifizierung eine PEAP-TLS-Authentifizierung wird?)

4. Wo drauf muss ich bei den Zertifikaten achten und wie kann ich beim Client sehen, welche Computerzertifikate er hat (derzeit kann ich nur Benutzerzertifikate im mmc anzeigen lassen)

Naja das sind erst mal die wichtigsten Fragen die ich im Zusammenhang des Projekts habe. Ich hoffe ich habe Sie jetzt nicht zu sehr mit meinem doch recht langen Text gelangweilt. Ich bedanke mich an dieser Stelle schon einmal für Eure Antwort.
Mitglied: dog
17.03.2009 um 01:54 Uhr
Da es für dich ein Projekt ist kann ich dir wenig Tipps geben, aber als Praxislösung hat sich folgendes bei uns "bewährt":

  • Einen möglichst großen Bogen um Zertifikate machen (Ja, Zertifikate sind eigentlich ganz toll...)
  • Finger weg von EAP-TLS. Benutze PEAP mit EAP-MSCHAPv2 - ohne "Smartcard oder Zertifikate"
  • Für die Laptops ist eingestellt, dass keine Zertifikatsprüfung gemacht werden soll und auch nicht die Windows-eigenen Daten verwendet werden sollen - Für das WLAN werden die Logindaten der User benutzt

Dazu muss ich aber auch noch sagen, dass die Clients keine Domänencomputer sind, sondern eigene Computer der Mitarbeiter, die deshalb auch extra abgetrennt sind und wir verwenden nicht IAS sondern den (chaotischen) Nachfolger NPS.

Grüße

Max
Bitte warten ..
Mitglied: oohlala
17.03.2009 um 09:32 Uhr
Hi.

Ich hatte vor ca 4 Monaten Windows 2003 Server mit IAS für EAP-TLS im WLAN aufgesetzt, war ein riesen Akt. Aber es hatte am Ende funktioniert!

Letzte Woche habe ich eine erfolgreiche Umsetzung unter Linux aufgesetzt... ist zwar auch kompliziert, vor allem wenn man noch nicht so viel Erfahrung mit Linux gesammelt hat, aber es ist machbar. Meiner Meinung nach, würd ich sogar sagen, mit Linux ist einfacher. (Wenn man auf das "Klicken" verzichten kann)

Habe im Moment nicht viel Zeit, werde später nochmal auf deine Fragen zurückkommen.
Aber zu Punkt 4. kann ich schonmal was sagen:
Start -> Ausführen -> "mmc" -> Ok ->
Hier das Snap-In "Zertifikate" hinzufügen, dann bekommst du eine Auswahl angezeigt. Dann das "Eigene Benutzerkonto" auswählen, und nochmal Snap-In "Zertifikate" hinzufügen und dann "Computerkonto" auswählen.

Gruß ausm Saarland
Bitte warten ..
Mitglied: oohlala
17.03.2009 um 09:42 Uhr
Hi nochmal.

PEAP-TLS ist das gleiche wie PEAP. Also nur der Server besitzt ein Zertifikat. Der Benutzer meldet sich mit Benutzername und Passwort an.

EAP-TLS braucht für Server und Client ein Zertifikat welches durch die selbe CA ausgestellt sind.

Ich würde, wenn es wirklich sicher sein soll, doch auf EAP-TLS setzen.



Das wäre so eine Antwort auf deine Frage 3.
Bitte warten ..
Mitglied: SolidPinguin
17.03.2009 um 14:07 Uhr
Ok also erstmal schonmal vielen Dank für eure Antworten, die waren schonmal recht hilfreich Ich habe jetzt mal ein bisschen rumprobiert und der IAS läuft jetzt richtig und gibt auch Meldung

Naja eine Authentifizierung schlägt dennoch fehl... Ich benutze derzeit Intel PROSet/Wireless als Tool um mich zu verbinden. Das Tool gibt eindeutig an, das eine Authentifizierung fehlschlägt, mehr noch es sagt "Possibly no AAA server"...

IAS sagt das hier:
Benutzer "test@test.muster" wurde Zugriff gewährt.

Vollqualifizierter Benutzername = <unbestimmt>

NAS-IP-Adresse = 192.168.0.201

NAS-Kennung = hello

Clientanzeigename = PSD-AP1

Client-IP-Adresse = 192.168.0.201

Kennung der Anruferstation = 00-19-D2-AF-A4-3A

NAS-Porttyp = Wireless - IEEE 802.11

NAS-Port = 0

Proxyrichtlinienname = Windows-Authentifizierung für alle Benutzer verwenden

Authentifizierungsanbieter = <kein>

Authentifizierungsserver = <unbestimmt>

Richtlinienname = <unbestimmt>

Authentifizierungstyp = <unbestimmt>

EAP-Typ = <unbestimmt>


Irgendwie erkenne ich meinen Fehler nicht. Nur das alles unbestimmt erscheint mir seltsam. Jemand nen Plan ?
Bitte warten ..
Mitglied: oohlala
17.03.2009 um 14:25 Uhr
Welchen Typ für Authentifizierung benutzt du jetzt? PEAP oder EAP-TLS?
Ist der AP richtig eingestellt? Also auf dem AP die richtige IP und Passwort für den Radius eingegeben? Parallel dazu, ist der AP richtig im Radius (IAS) hinterlegt?

Laut deinem Log ist der Client ja angemeldet.

Mit dem Intel ProWireless Dingens habe ich auch meine Probleme ...
2 Laptops, einen mit Intel WLAN, einen mit Dell WLAN. Auf beiden funktioniert EAP-TLS mit mit dem WZC einwandfrei. Auf dem Laptop mit Dell funktioniert es auch mit dem Dell-Tool. Aber mit auf dem Laptop mit Intel gehts mit dem Intel-Tool nicht! Also versuchs mal lieber mit dem WZC von Windows selbst.

Das WZC nach WLANs suchen lassen, Das gewünschte WLAN auswählen und "Verbinden" drücken. Der Rest funktioniert von alleine, wenn die Zertifikate richtig installiert (und auch erstellt) wurden. Und der Rechner muss schon in die Domäne integriert sein.

Deswegen benutze ich jetzt den Freeradius Server auf Linux. Der braucht keine Domäne, was sehr vorteilhaft für unsere Testclients auf Linux-basis ist.
Bitte warten ..
Mitglied: SolidPinguin
17.03.2009 um 14:36 Uhr
Also ich nutze EAP-TLS und habe den Client in der Domäne angemeldet. Über Servername/certsrv habe ich mir ein Zertifizierungsstellen-Zertifikatkette und ein Benutzerzertifikat installiert.

Einstellungen auf AP und Server für Radius und Passwort sind korrekt.

WZC lief bisher bei mir noch gar und da man damit nicht mitbekommt woran es wirklich hakt (Intel hat da so ein Logtool) nutze Intel. Mit dem konnte ich mich in einer vorherigen Testumgebung auch anmelden. Gibt es irgendeine Möglichkeit zu sehen was WZC macht und wo der Fehler liegt ?

Muss ich das Serverzertifikat auch noch extra installieren ? Nein oder, denn die CA habe ich ja auf dem selben Server ?

Linux hätte ich im Nachhinein auch nehmen sollen, aber nun ist es zu spät und ich muss mich durch Windows "klicken"
Bitte warten ..
Mitglied: oohlala
17.03.2009 um 14:43 Uhr
Auf dem Client muss das CA Zertifikat und das Benutzer/Client-Zertifikat installiert sein.
Wobei das CA-Zertifikat (bei IAS heißt es Zertifizierungsstellen-Zertifikat <-- böses Wort ) in den Ordner "Vertrauenswürdige Stammzertifizierungsstellen" und das Benutzer/Client-Zertifikat in den Ordner "Eigene Zertifikate". Diese 2 Ordner findest du in der MMC im Snap-In "Zertifikate -> Eigenes Benutzerkonto".

Das Server-Zertifikat brauchst du auf dem Client nicht.

Ein Log für WZC gibts meines Wissens nicht. Jedoch gibt es eine Art Fehlermeldung in Form dieser Sprechblasen aus.
Bitte warten ..
Mitglied: oohlala
17.03.2009 um 14:46 Uhr
Wichtig ist auch, dass das Benutzer-Zertifikat durch die CA signiert ist. Lässt sich in den Details des Zertifikats prüfen.

Sollte dann so aussehen:

"Name der CA"
- "Name des Benutzerzertifikats"
Bitte warten ..
Mitglied: SolidPinguin
17.03.2009 um 14:55 Uhr
hatte ich gerade nachgeschaut, ist beides da auch signiert. unter Zertifikate (Lokaler Computer) habe ich jetzt kein eigenes Zertifikat, ist das korrekt ?

Ansonsten habe ich echt langsam keinen Schimmer mehr woran es liegen könnte...

Aber auf jeden Fall schon mal vielen Dank für deine Hilfe an dieser Stelle!
Bitte warten ..
Mitglied: oohlala
17.03.2009 um 15:16 Uhr
Ja das ist so korrekt. Ist das Server-Zertifikat auf dem Server installiert? Bzw, ist in den IAS Einstellungen das Server-Zertifikat ausgewählt?

Ich keine deine Situation, war selber beine am verzweifeln und alles kurz vorm Hinschmeißen, aber letzlich hat es ja noch funktioniert.
Bitte warten ..
Mitglied: SolidPinguin
17.03.2009 um 16:19 Uhr
Ok das letzte schau ich vermutlich auch in den mmc auf dem server nach, oder ? (ok blöde frage) Wo finde ich das Serverzertifikat in den IAS-Einstellungen ? Unter den Einstellungen für die RAS-Berechtigung ?

Naja ich guck morgen mal nach und mach für heute erstmal Feierabend, dir auch nen schönen Feierabend und schöne Grüße aus dem Ruhrgebiet
Bitte warten ..
Mitglied: oohlala
17.03.2009 um 16:44 Uhr
Habe nichts am 2003 Server gemacht und der ist jetzt ausgemustert, da alles auf Linux umgesetzt ist. Daher weiß ich jetzt nicht genau, finde auch meine Doku nicht mehr

Irgendwo in den Routing- und RAS-Optionen gibts die Option ein Zertifikat festzulegen, dass muss das Zertifikat sein, welches du mit der CA erstellt hast und auf dem Server installiert hast (hoffentlich). Als Authentifizierungsoption musst du dort ebenfalls "Smartcard oder Anderes Zertifikat" auswählen, so heißt das beim IAS, etwas umständlich formuliert finde ich. Dann erscheint die möglich das Server Zertifikat auszuwählen.

Ich hab noch ein bisschen zu tun
Schönen Feierabend bis morgen. Da bin ich noch erreichbar.

Gruß ausm Saarland
Bitte warten ..
Mitglied: SolidPinguin
18.03.2009 um 07:58 Uhr
Morgen
so ich habe jetzt mal nach den Zertifikaten auf dem IAS-Server geschaut (unter Zertifikate (Lokaler Computer) und dann Eigene Zertifikate). Habe dort zwei Zertifikate, eines ist ausgestellt für die CA mit allen Zwecken, Zertifikatvorlage ist Stammzertifizierungsstelle, das andere ist ausgestellt für den Server mit den Zwecken Client- und Serverauthentifizierung, Zertifikatvorlage ist Domänencontroller. Ist das korrekt so ?
Bitte warten ..
Mitglied: oohlala
18.03.2009 um 11:14 Uhr
Hallo

Guten Morgen nachträglich. Etwas später schon, musste noch einiges erledigen.

Ja, das ist so korrekt.
Bitte warten ..
Mitglied: SolidPinguin
23.03.2009 um 12:43 Uhr
Ok also auf ein Neues. Ich habe da noch eine Frage: IAS scheint bei mir bei jedem Verbindungsversuch ein neues Zertifikat unter den vertrauenswürdigen Stammzertifikatsstellen zu erstellen. Kann da vll mein Fehler liegen ? Ich habe auf den Server mittlerweile 8 Zertifikate der Zertifizierungsstelle....
Bitte warten ..
Mitglied: oohlala
23.03.2009 um 15:17 Uhr
Das sollte eigentlich nicht sein... für die Zertifizierungsstelle braucht braucht man 1 Zertifikat, jeweils auf Server und dann auf den betroffenen Clients. Kann mir aber auch grad nicht erklären woran das liegen könnte.
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
LAN, WAN, Wireless
gelöst 802.1x Authentifizierung - NPS - RADIUS MAC (4)

Frage von LKaderavek zum Thema LAN, WAN, Wireless ...

Batch & Shell
gelöst Crontab mit Shell Probleme (9)

Frage von mschaedler1982 zum Thema Batch & Shell ...

Windows 7
gelöst Sind euch verstärkte Probleme bei Windows 7 Updates aufgefallen? (4)

Frage von RadioHam zum Thema Windows 7 ...

Cloud-Dienste
gelöst OwnCloud 8 Probleme mit Vorschaubildern auf Mobilgeräten (1)

Frage von zeroblue2005 zum Thema Cloud-Dienste ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (20)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Festplatten, SSD, Raid
M.2 SSD wird nicht erkannt (14)

Frage von uridium69 zum Thema Festplatten, SSD, Raid ...