Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Problem mit IAS und 802.1x mit Zertifikaten

Frage Netzwerke

Mitglied: flugfaust

flugfaust (Level 2) - Jetzt verbinden

26.05.2009, aktualisiert 18.10.2012, 10438 Aufrufe, 14 Kommentare

Hallo,

ich habe ein kleines Problem mit dem Windows RADIUS Server (IAS) in Zusammenspiel mit der Zertifikatsstelle. Ich habe die Enterprise CA und das Root Zertifikat auf dem Server installiert. Nun möchte ich 802.1x über Zertifikate im LAN implementieren. Wenn ich allerdings im IAS in der RAS Richtlinie "Smartkart oder anderes Zertifikat" auswähle, erscheint die Fehlermeldung "Es konnte kein Zertifikat gefunden werden, das mit dem Extensible-Authentication-Protokoll verwendet werden kann".

Kann mir da jemand weiter helfen?

DANKE
Mitglied: aqui
26.05.2009 um 13:22 Uhr
Du brauchst ein Benutzerzertifikat, das du für EAP verwenden kannst. Ruf
einfach mal die Website der CA über http://Servername/certsrv auf und
beantrage ein Benutzerzertifikat, dann sollte es funktionieren.
Bitte warten ..
Mitglied: flugfaust
26.05.2009 um 20:23 Uhr
Das habe ich versucht. Hier kann ich aber nur zwischen Webbrowser und EMail Zertifikat auswählen.
Habe eigentlich unter ZERTIFIKATSVORLAGEN die Vorlage des Benutzerzertifikats kopiert und bearbeitet. Wie kann ich das Zertifikat nun einbinden?
Bitte warten ..
Mitglied: spacyfreak
26.05.2009 um 22:03 Uhr
Du kannst grundsätzliche eigene Zertifikats-Vorlagen bzw. Templates nur mit Server 2003 Enterprise Edition erstellen, bzw vorhandene Vorlagen kopieren und die Einträge ändern. Ein KRETZ ist das.
Will man dann noch die Gültigkeitsdauer eines clientzertifikats verlängern muss man das über einen Registrykey machen dessen Aufspüren mich drei graue Sackhaare gekostet hat. Doppelkretz!

Wenn du EAP-TLS verwenden willst brauchen sowohl IAS als auch Client ein Zertifikat, sie authentisieren sich gegenseitig beim Verbindungsaufbau wie Dr. aqui schon erwähnte.

Warum machst nicht einfach PEAP (EAP-MSCHAPv2) - da braucht nur der IAS ein Server-Zertifikat, und die User melden sich automatisch via ihrem Anmeldenamen/Passwort über einen TLS-Tunnel an, bzw. das geht automatisch wenn sie sich am Windows Client anmelden.Theoretisch ist das sicherer als EAP-PEAP. Doch es ist auch sicherer mit Helm und Vollschutzanzug Auto zu fahren, doch das macht keine Sau weil es als schwachsinnig eingestuft wird.

. Sonst musst du im Fall von EAP-TLS die Userzertifikate stets erneuern, was ganz schön nerven kann, wenn die PKI nicht automatisiert auf dem DC läuft und man das ständig manuell machen muss. Auf die clients must du bei dieser Variante lediglich einamlig das recht lange gültige Stammzertifikat der CA installieren, die das IAS Zertifikat ausgestellt hat damti die Clients das IAS Zertifikat als vertrauenswürdig einstufen können.

Damit das Anmelden am WLAN auch noch VOR der Useranmeldung funktioniert (damit Loginskripte ausgeführt werden können) muss man im IAS RAS Policies sowohl für Computerkonto Authentisierung als auch für Benutzer Authentisierung einrichten (2 Policies).
Da musst im IAS RAS Policy dann die Windows Gruppe auswählen wo die Domain Users bzw. Domain Computers drinne sind.
Bitte warten ..
Mitglied: flugfaust
26.05.2009 um 23:15 Uhr
Okok. Also mein Hauptproblem ist, dass ich den IAS das Zertifikat gar nicht einbinden kann da er die Fehlermeldung "Es konnte kein Zertifikat gefunden werden, das mit dem Extensible-Authentication-Protokoll verwendet werden kann" bringt.
Um WLAN gehts eigentlich nicht sondern um 802.1x im Netzwerk mit Dynamischer VLAN zuweisung. Aber das ist erst mal noch irrelevant solange der RADIUS nicht einwandfrei läuft

Könnt ihr mir bei dem Problem helfen.
Bitte warten ..
Mitglied: aqui
27.05.2009 um 10:25 Uhr
Bei EAP Nutzung muss der IAS Mitglied einer Domain sein, sonst hast du die Option der Benutzerzertifikate gar nicht erst !!! Ist das bei dir der Fall ??? Sonst musst du halt ne Alternative wie Freeradius nehmen, da gehts auch ohne Win Domain !!
Bitte warten ..
Mitglied: flugfaust
27.05.2009 um 23:26 Uhr
Ja der IAS ist auf einem DC sowie die Zertifizierungsstelle auch. Root-Zertifikat ist unter den Vertrauenswürdigen Stammzertifizierungsstellen installiert zudem habe ich über http://servername/certsrv ein Benutzerzertifikat angefordert, ausgestellt und installiert unter EIGENE ZERTIFIKATE.
In einem anderen Testszenario hatte ich den IAS aber schon mal mit Zertifikaten laufen, da hatte ich das Problem nicht.

Wegen Freeradius komme ich später noch zu sprechen da derzeit die Möglichkeiten mit 802.1x im LAN teste und muss auch mit Freeradius arbeiten
Bitte warten ..
Mitglied: spacyfreak
28.05.2009 um 08:28 Uhr
Also d.h. der IAS kann das Server-Zertifikat nicht verwenden bzw. er findet es nicht. Ok.

Kopiere das Radiuszertifikat auf dem Radius vom Certstore "Current User" Personal glaub ich in den Cert Store "Local Mashine" Personal mit dem Zertifikatsmanager (crtmanager.msc glaub ich).
Dann IAS neu starten.

Ach die dynamische VLAN Zuweisung kannst du eventuell mit Radius Attribut 25 (class) machen.
Entweder bei den usereigenschaften im AD bei "Einwahl" die VLAN Nummer eintragen in ein Feld, z. B. callbacknumber, dann kannst du das Radiusattribut als "Träger" benutzen oder eben class und mit versch. RAS Policies arbeiten. Muss man halt schauen welche Radiusattribute der Switch wie interpretiert, sniffen wäre kein Fehler um zu schauen wie Switch und IAS mineinander kommunizieren.

Ja mit Freeradius kann man auch einiges drehen - wenn man jedoch eh User oder computer aus dem Active Directory authentisieren will, warum dann umständlicher machen als nötig. IAS funktioniert wunderbar und ist in die Windows Umgebung voll integriert.
Bitte warten ..
Mitglied: aqui
28.05.2009, aktualisiert 18.10.2012
.
spacey hat da natürlich Recht obwohl eine Freeradius Integration über LDAP an eine AD natürlich auch machbar ist aber eben erheblich mehr Aufwand wenn man es mit IAS einfacher haben kann.

802.1x Authentisierung und dynmaische VLAN Zuweisung mit Freeradius kannst du in diesem Thread nachlesen:

http://www.administrator.de/forum/dynamisches-vlan-bei-freeradius-mit-a ...
Bitte warten ..
Mitglied: flugfaust
28.05.2009 um 15:43 Uhr
OK. Werde es heute Abend testen.
Funktionieren tut zumindest schon mal, dass sich die Domänengruppe DOMÄNEN-ADMINS sich mit ihrem Account an den Switches anmelden können um diese zu managen.
Komisch finde ich, dass ich 802.1x Port-Controll auf den Switches auch eingerichtet habe, wenn ich aber meinen Testclient am Switch anstecke, kommt am IAS gar keine Authentifizierungsanfrage an und der Port bleibt logischerweise UNAUTHORIZED und der Client wandert ins Guest VLAN.

Muss ich ier eine bestimmte RAS Richtlinie konfigurieren?
Bitte warten ..
Mitglied: flugfaust
28.05.2009 um 21:17 Uhr
Das mit dem kopieren der Zertifikate hat jetz twas gebracht, allerdings erst nachdem ich ein SERVERAUTHENTIFIZIERUNGSZERTIFIKAT erstelt habe. Habe das irgendwie überlesen.
Weiter gehts morgen. WErde es mit EAP-TLS sowie mit PEAP EAP-MSCHAPv2 testen. Danach gehts an den Freeradius.
Ich danke euch schon mal mega für die Unterstützung.
Bitte warten ..
Mitglied: flugfaust
29.05.2009 um 08:28 Uhr
Wenn ich PEAP (EAP-MSChap v2) mache, geht die Authentifizierung über die Domänenbenutzeraccounts. VOR der Windows-Anmeldung ist der Client allerdings nicht authorisiert und ich bin der Meinung, dass sobald der Benutzer seinen Benutzernamen und Passwort eingegegeben hat und mit ENTER sich anmeldet, es zu lange dauert bis der Client authorisiert wird und somit das Logonscript übersprungen wird und evtl. auch das Laden des servergespeicherten Profils, oder?
Bitte warten ..
Mitglied: spacyfreak
30.05.2009 um 08:42 Uhr
Hast du auf dem IAS eine RAS Policy die auf Computerkonto checkt (Gruppe Domain Computers oder auf germanisch Domänencomputer). Weil der Client kann auch bei EAP-MSchapv2 vor der Anmeldung seine Windous Maschinenkonto SID an den IAS schicken dass es eine wahre pracht ist! Eventuell reicht gar das Windows Computerkonto, das ist ja fast das selbe wie ein Zertifikat vom Prinzip her, nur eben viel einfacher. Zumindest läuft das im WLAN so bei mir. Gibt aber auch noch andere Möglichkeiten, wie so oft im Leben.
Bitte warten ..
Mitglied: flugfaust
05.06.2009 um 14:40 Uhr
So, a
also mittlerweile hab ich es soweit am Laufen. In meiner zweiten Testumgebung habe aber scheinbar ein Porblem mit dem Zertifikat für den IAS. Ich kann mich mit keinem Client über PEAP (MSCAH v2) authentifizieren und im Syslog erscheint immer golgende Meldung:

Zugriffsanforderung für Benutzer "host/vm-srv.test.dom" wurde gelöscht.
Vollqualifizierter Benutzername = test.dom/Computers/VM-SRV
NAS-IP-Adresse = 192.168.0.252
NAS-Kennung = <nicht vorhanden>
ID der Empfängerstation = <nicht vorhanden>
ID der Anrufstation = <nicht vorhanden>
Client-Name = Switch
Client-IP-Adresse = 192.168.0.252
NAS-Porttyp = Ethernet
NAS-Port = 15
Proxyrichtlinienname = Switches
Authentifizierungsanbieter = Windows
Authentifizierunsserver = <unbestimmt>
Ursachencode = 1
Ursache = Ein interner Fehler ist aufgetreten. Weitere Informationen finden Sie im Ereignisprotokoll.


Als zweiter Eintrag kommt dies, mehr aussagende Meldung dazu

Das Zertifikat des RAS-Servers konnte aufgrund des folgenden Fehlers nicht abgerufen werden:
Die Anmeldeinformationen, die dem Paket übergeben wurden, wurden nicht erkannt.
Bitte warten ..
Mitglied: flugfaust
05.06.2009 um 17:16 Uhr
Jetz habe ich die CA deinstalliert und nochmal als Stammzertifizierungsstelle neu installiert.
Wen ich nun auf die CA über den Webserver zugreife, kann ich kein Serverzertifikat mehr ausstellen. Hier liegt mir nur noch BENUTZERZERTIFIKAT und Weitere Zertifikate als Möglichkeit vor wo allerdings nirgends ein Serverzertifikat zur Auswahl steht
Bitte warten ..
Ähnliche Inhalte
Sicherheits-Tools
Problem: 802.1X über Radius Server (WLAN)
gelöst Frage von Flais78Sicherheits-Tools7 Kommentare

Hallo liebe Community, ich bin neu in dem Forum, hoffe das der Thread im richten Teil des Forums ist ...

Webbrowser
Zertifikats Problem
Frage von brammerWebbrowser4 Kommentare

Hallo, wir haben bei einem Kunden eine etwa spezielle Regelung was den Zugriff auf Maschinen für Wartungszwecke angeht. Der ...

LAN, WAN, Wireless
Accesspoint mit 802.1X zu Switch mit 802.1X
Frage von maartsLAN, WAN, Wireless12 Kommentare

Hallo, ich möchte folgende Konfiguration abbilden: Ziel: Ein Accesspoint mit WLAN 802.1X soll mit einem Switch über einen802.1X Port ...

Sicherheitsgrundlagen
802.1X . NPS Server . PEAP mit MSCHAPv2 . Wo braucht man welche Zertifikate
gelöst Frage von Desby2Sicherheitsgrundlagen7 Kommentare

Hallo liebe Community, ich habe mal eine Frage allgemein zu 802.1X beim NPS Server. Folgendes ist meine Ausgangssituation: - ...

Neue Wissensbeiträge
Apple

IOS 11.2.1 stopft HomeKit-Remote-Lücke

Tipp von BassFishFox vor 15 StundenApple

Das Update für iPhone, iPad und Apple TV soll die Fernsteuerung von Smart-Home-Geräten wieder in vollem Umfang ermöglichen. Apple ...

Windows 10

Windows 10 v1709 EN murkst bei den Regionseinstellungen

Tipp von DerWoWusste vor 20 StundenWindows 10

Dieser kurze Tipp richtet sich an den kleinen Personenkreis, der Win10 v1709 EN-US frisch installiert und dabei die englische ...

Webbrowser

Kein Ton bei Firefox Quantum über RDP

Tipp von Moddry vor 20 StundenWebbrowser

Hallo Kollegen! Hatte das Problem, dass der neue Firefox bei mir auf der Kiste keinen Ton hat, wenn ich ...

Internet

EU-DSGVO: WHOIS soll weniger Informationen liefern

Information von sabines vor 1 TagInternet4 Kommentare

Wegen der europäische Datenschutzgrundverordnung stehen die Prozesse um die Registrierung von Domains auf dem Prüfstand. Sollte die Forderungen umgesetzt ...

Heiß diskutierte Inhalte
Windows Server
RODC kann nicht aus Domäne entfernt werden
Frage von NilsvLehnWindows Server18 Kommentare

HAllo, ich arbeite in einem Universitätsnetzwerk mit 3 Standorten. Die Standorte haben alle ein ESXi Cluster und auf diesen ...

Windows XP
Windows XP Aktivieren geht nicht
Frage von tetikmiroWindows XP13 Kommentare

Hallo Ich habe einen Windows XP mit einen vCenter Converter umgezogen auf eine ESXI. Soweit funktioniert dies auch ohne ...

Blogs
Immer wiederkehrende PHP Fehlermeldung bei Wordpress UTF-8 - ASCII
gelöst Frage von vcdweltBlogs11 Kommentare

Hi, seit einiger Zeit wird mein error_log meines Wordpress Blogs mit immer der gleichen Fehlermeldung überschwemmt. 14-Dec-2017 08:18:05 UTC ...

Switche und Hubs
Redundante L2 LWL Leitung über 2 Standorte - Spanning Tree - HP Equipment
gelöst Frage von ResolvSwitche und Hubs10 Kommentare

Hallo, ich stehe vor der Herausforderung eine Redundante L2 LWL Leitung über 2 Standorte herzustellen. Grundsätzliches Switching Know How ...