Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Problem mit IAS und 802.1x mit Zertifikaten

Frage Netzwerke

Mitglied: flugfaust

flugfaust (Level 2) - Jetzt verbinden

26.05.2009, aktualisiert 18.10.2012, 10008 Aufrufe, 14 Kommentare

Hallo,

ich habe ein kleines Problem mit dem Windows RADIUS Server (IAS) in Zusammenspiel mit der Zertifikatsstelle. Ich habe die Enterprise CA und das Root Zertifikat auf dem Server installiert. Nun möchte ich 802.1x über Zertifikate im LAN implementieren. Wenn ich allerdings im IAS in der RAS Richtlinie "Smartkart oder anderes Zertifikat" auswähle, erscheint die Fehlermeldung "Es konnte kein Zertifikat gefunden werden, das mit dem Extensible-Authentication-Protokoll verwendet werden kann".

Kann mir da jemand weiter helfen?

DANKE
Mitglied: aqui
26.05.2009 um 13:22 Uhr
Du brauchst ein Benutzerzertifikat, das du für EAP verwenden kannst. Ruf
einfach mal die Website der CA über http://Servername/certsrv auf und
beantrage ein Benutzerzertifikat, dann sollte es funktionieren.
Bitte warten ..
Mitglied: flugfaust
26.05.2009 um 20:23 Uhr
Das habe ich versucht. Hier kann ich aber nur zwischen Webbrowser und EMail Zertifikat auswählen.
Habe eigentlich unter ZERTIFIKATSVORLAGEN die Vorlage des Benutzerzertifikats kopiert und bearbeitet. Wie kann ich das Zertifikat nun einbinden?
Bitte warten ..
Mitglied: spacyfreak
26.05.2009 um 22:03 Uhr
Du kannst grundsätzliche eigene Zertifikats-Vorlagen bzw. Templates nur mit Server 2003 Enterprise Edition erstellen, bzw vorhandene Vorlagen kopieren und die Einträge ändern. Ein KRETZ ist das.
Will man dann noch die Gültigkeitsdauer eines clientzertifikats verlängern muss man das über einen Registrykey machen dessen Aufspüren mich drei graue Sackhaare gekostet hat. Doppelkretz!

Wenn du EAP-TLS verwenden willst brauchen sowohl IAS als auch Client ein Zertifikat, sie authentisieren sich gegenseitig beim Verbindungsaufbau wie Dr. aqui schon erwähnte.

Warum machst nicht einfach PEAP (EAP-MSCHAPv2) - da braucht nur der IAS ein Server-Zertifikat, und die User melden sich automatisch via ihrem Anmeldenamen/Passwort über einen TLS-Tunnel an, bzw. das geht automatisch wenn sie sich am Windows Client anmelden.Theoretisch ist das sicherer als EAP-PEAP. Doch es ist auch sicherer mit Helm und Vollschutzanzug Auto zu fahren, doch das macht keine Sau weil es als schwachsinnig eingestuft wird.

. Sonst musst du im Fall von EAP-TLS die Userzertifikate stets erneuern, was ganz schön nerven kann, wenn die PKI nicht automatisiert auf dem DC läuft und man das ständig manuell machen muss. Auf die clients must du bei dieser Variante lediglich einamlig das recht lange gültige Stammzertifikat der CA installieren, die das IAS Zertifikat ausgestellt hat damti die Clients das IAS Zertifikat als vertrauenswürdig einstufen können.

Damit das Anmelden am WLAN auch noch VOR der Useranmeldung funktioniert (damit Loginskripte ausgeführt werden können) muss man im IAS RAS Policies sowohl für Computerkonto Authentisierung als auch für Benutzer Authentisierung einrichten (2 Policies).
Da musst im IAS RAS Policy dann die Windows Gruppe auswählen wo die Domain Users bzw. Domain Computers drinne sind.
Bitte warten ..
Mitglied: flugfaust
26.05.2009 um 23:15 Uhr
Okok. Also mein Hauptproblem ist, dass ich den IAS das Zertifikat gar nicht einbinden kann da er die Fehlermeldung "Es konnte kein Zertifikat gefunden werden, das mit dem Extensible-Authentication-Protokoll verwendet werden kann" bringt.
Um WLAN gehts eigentlich nicht sondern um 802.1x im Netzwerk mit Dynamischer VLAN zuweisung. Aber das ist erst mal noch irrelevant solange der RADIUS nicht einwandfrei läuft

Könnt ihr mir bei dem Problem helfen.
Bitte warten ..
Mitglied: aqui
27.05.2009 um 10:25 Uhr
Bei EAP Nutzung muss der IAS Mitglied einer Domain sein, sonst hast du die Option der Benutzerzertifikate gar nicht erst !!! Ist das bei dir der Fall ??? Sonst musst du halt ne Alternative wie Freeradius nehmen, da gehts auch ohne Win Domain !!
Bitte warten ..
Mitglied: flugfaust
27.05.2009 um 23:26 Uhr
Ja der IAS ist auf einem DC sowie die Zertifizierungsstelle auch. Root-Zertifikat ist unter den Vertrauenswürdigen Stammzertifizierungsstellen installiert zudem habe ich über http://servername/certsrv ein Benutzerzertifikat angefordert, ausgestellt und installiert unter EIGENE ZERTIFIKATE.
In einem anderen Testszenario hatte ich den IAS aber schon mal mit Zertifikaten laufen, da hatte ich das Problem nicht.

Wegen Freeradius komme ich später noch zu sprechen da derzeit die Möglichkeiten mit 802.1x im LAN teste und muss auch mit Freeradius arbeiten
Bitte warten ..
Mitglied: spacyfreak
28.05.2009 um 08:28 Uhr
Also d.h. der IAS kann das Server-Zertifikat nicht verwenden bzw. er findet es nicht. Ok.

Kopiere das Radiuszertifikat auf dem Radius vom Certstore "Current User" Personal glaub ich in den Cert Store "Local Mashine" Personal mit dem Zertifikatsmanager (crtmanager.msc glaub ich).
Dann IAS neu starten.

Ach die dynamische VLAN Zuweisung kannst du eventuell mit Radius Attribut 25 (class) machen.
Entweder bei den usereigenschaften im AD bei "Einwahl" die VLAN Nummer eintragen in ein Feld, z. B. callbacknumber, dann kannst du das Radiusattribut als "Träger" benutzen oder eben class und mit versch. RAS Policies arbeiten. Muss man halt schauen welche Radiusattribute der Switch wie interpretiert, sniffen wäre kein Fehler um zu schauen wie Switch und IAS mineinander kommunizieren.

Ja mit Freeradius kann man auch einiges drehen - wenn man jedoch eh User oder computer aus dem Active Directory authentisieren will, warum dann umständlicher machen als nötig. IAS funktioniert wunderbar und ist in die Windows Umgebung voll integriert.
Bitte warten ..
Mitglied: aqui
28.05.2009, aktualisiert 18.10.2012
.
spacey hat da natürlich Recht obwohl eine Freeradius Integration über LDAP an eine AD natürlich auch machbar ist aber eben erheblich mehr Aufwand wenn man es mit IAS einfacher haben kann.

802.1x Authentisierung und dynmaische VLAN Zuweisung mit Freeradius kannst du in diesem Thread nachlesen:

http://www.administrator.de/forum/dynamisches-vlan-bei-freeradius-mit-a ...
Bitte warten ..
Mitglied: flugfaust
28.05.2009 um 15:43 Uhr
OK. Werde es heute Abend testen.
Funktionieren tut zumindest schon mal, dass sich die Domänengruppe DOMÄNEN-ADMINS sich mit ihrem Account an den Switches anmelden können um diese zu managen.
Komisch finde ich, dass ich 802.1x Port-Controll auf den Switches auch eingerichtet habe, wenn ich aber meinen Testclient am Switch anstecke, kommt am IAS gar keine Authentifizierungsanfrage an und der Port bleibt logischerweise UNAUTHORIZED und der Client wandert ins Guest VLAN.

Muss ich ier eine bestimmte RAS Richtlinie konfigurieren?
Bitte warten ..
Mitglied: flugfaust
28.05.2009 um 21:17 Uhr
Das mit dem kopieren der Zertifikate hat jetz twas gebracht, allerdings erst nachdem ich ein SERVERAUTHENTIFIZIERUNGSZERTIFIKAT erstelt habe. Habe das irgendwie überlesen.
Weiter gehts morgen. WErde es mit EAP-TLS sowie mit PEAP EAP-MSCHAPv2 testen. Danach gehts an den Freeradius.
Ich danke euch schon mal mega für die Unterstützung.
Bitte warten ..
Mitglied: flugfaust
29.05.2009 um 08:28 Uhr
Wenn ich PEAP (EAP-MSChap v2) mache, geht die Authentifizierung über die Domänenbenutzeraccounts. VOR der Windows-Anmeldung ist der Client allerdings nicht authorisiert und ich bin der Meinung, dass sobald der Benutzer seinen Benutzernamen und Passwort eingegegeben hat und mit ENTER sich anmeldet, es zu lange dauert bis der Client authorisiert wird und somit das Logonscript übersprungen wird und evtl. auch das Laden des servergespeicherten Profils, oder?
Bitte warten ..
Mitglied: spacyfreak
30.05.2009 um 08:42 Uhr
Hast du auf dem IAS eine RAS Policy die auf Computerkonto checkt (Gruppe Domain Computers oder auf germanisch Domänencomputer). Weil der Client kann auch bei EAP-MSchapv2 vor der Anmeldung seine Windous Maschinenkonto SID an den IAS schicken dass es eine wahre pracht ist! Eventuell reicht gar das Windows Computerkonto, das ist ja fast das selbe wie ein Zertifikat vom Prinzip her, nur eben viel einfacher. Zumindest läuft das im WLAN so bei mir. Gibt aber auch noch andere Möglichkeiten, wie so oft im Leben.
Bitte warten ..
Mitglied: flugfaust
05.06.2009 um 14:40 Uhr
So, a
also mittlerweile hab ich es soweit am Laufen. In meiner zweiten Testumgebung habe aber scheinbar ein Porblem mit dem Zertifikat für den IAS. Ich kann mich mit keinem Client über PEAP (MSCAH v2) authentifizieren und im Syslog erscheint immer golgende Meldung:

Zugriffsanforderung für Benutzer "host/vm-srv.test.dom" wurde gelöscht.
Vollqualifizierter Benutzername = test.dom/Computers/VM-SRV
NAS-IP-Adresse = 192.168.0.252
NAS-Kennung = <nicht vorhanden>
ID der Empfängerstation = <nicht vorhanden>
ID der Anrufstation = <nicht vorhanden>
Client-Name = Switch
Client-IP-Adresse = 192.168.0.252
NAS-Porttyp = Ethernet
NAS-Port = 15
Proxyrichtlinienname = Switches
Authentifizierungsanbieter = Windows
Authentifizierunsserver = <unbestimmt>
Ursachencode = 1
Ursache = Ein interner Fehler ist aufgetreten. Weitere Informationen finden Sie im Ereignisprotokoll.


Als zweiter Eintrag kommt dies, mehr aussagende Meldung dazu

Das Zertifikat des RAS-Servers konnte aufgrund des folgenden Fehlers nicht abgerufen werden:
Die Anmeldeinformationen, die dem Paket übergeben wurden, wurden nicht erkannt.
Bitte warten ..
Mitglied: flugfaust
05.06.2009 um 17:16 Uhr
Jetz habe ich die CA deinstalliert und nochmal als Stammzertifizierungsstelle neu installiert.
Wen ich nun auf die CA über den Webserver zugreife, kann ich kein Serverzertifikat mehr ausstellen. Hier liegt mir nur noch BENUTZERZERTIFIKAT und Weitere Zertifikate als Möglichkeit vor wo allerdings nirgends ein Serverzertifikat zur Auswahl steht
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

(1)

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
LAN, WAN, Wireless
802.1x funktioniert nur an einem oder zwei Accesspoints (3)

Frage von westberliner zum Thema LAN, WAN, Wireless ...

Windows Netzwerk
gelöst 802.1x Konfiguration (2)

Frage von michaelb123 zum Thema Windows Netzwerk ...

Windows Netzwerk
gelöst RADIUS 802.1x Geräte Authentifizierung (3)

Frage von Cloudy zum Thema Windows Netzwerk ...

LAN, WAN, Wireless
gelöst 802.1x Authentifizierung HP Switch und MS NPS (7)

Frage von NoobOne zum Thema LAN, WAN, Wireless ...

Heiß diskutierte Inhalte
Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (14)

Frage von JayyyH zum Thema Switche und Hubs ...

DSL, VDSL
DSL-Signal bewerten (13)

Frage von SarekHL zum Thema DSL, VDSL ...

Windows Server
Mailserver auf Windows Server 2012 (9)

Frage von StefanT81 zum Thema Windows Server ...