Problem mit IAS und 802.1x mit Zertifikaten
Hallo,
ich habe ein kleines Problem mit dem Windows RADIUS Server (IAS) in Zusammenspiel mit der Zertifikatsstelle. Ich habe die Enterprise CA und das Root Zertifikat auf dem Server installiert. Nun möchte ich 802.1x über Zertifikate im LAN implementieren. Wenn ich allerdings im IAS in der RAS Richtlinie "Smartkart oder anderes Zertifikat" auswähle, erscheint die Fehlermeldung "Es konnte kein Zertifikat gefunden werden, das mit dem Extensible-Authentication-Protokoll verwendet werden kann".
Kann mir da jemand weiter helfen?
DANKE
ich habe ein kleines Problem mit dem Windows RADIUS Server (IAS) in Zusammenspiel mit der Zertifikatsstelle. Ich habe die Enterprise CA und das Root Zertifikat auf dem Server installiert. Nun möchte ich 802.1x über Zertifikate im LAN implementieren. Wenn ich allerdings im IAS in der RAS Richtlinie "Smartkart oder anderes Zertifikat" auswähle, erscheint die Fehlermeldung "Es konnte kein Zertifikat gefunden werden, das mit dem Extensible-Authentication-Protokoll verwendet werden kann".
Kann mir da jemand weiter helfen?
DANKE
Please also mark the comments that contributed to the solution of the article
Content-Key: 116803
Url: https://administrator.de/contentid/116803
Printed on: April 26, 2024 at 19:04 o'clock
14 Comments
Latest comment
Du brauchst ein Benutzerzertifikat, das du für EAP verwenden kannst. Ruf
einfach mal die Website der CA über http://Servername/certsrv auf und
beantrage ein Benutzerzertifikat, dann sollte es funktionieren.
einfach mal die Website der CA über http://Servername/certsrv auf und
beantrage ein Benutzerzertifikat, dann sollte es funktionieren.
Du kannst grundsätzliche eigene Zertifikats-Vorlagen bzw. Templates nur mit Server 2003 Enterprise Edition erstellen, bzw vorhandene Vorlagen kopieren und die Einträge ändern. Ein KRETZ ist das.
Will man dann noch die Gültigkeitsdauer eines clientzertifikats verlängern muss man das über einen Registrykey machen dessen Aufspüren mich drei graue Sackhaare gekostet hat. Doppelkretz!
Wenn du EAP-TLS verwenden willst brauchen sowohl IAS als auch Client ein Zertifikat, sie authentisieren sich gegenseitig beim Verbindungsaufbau wie Dr. aqui schon erwähnte.
Warum machst nicht einfach PEAP (EAP-MSCHAPv2) - da braucht nur der IAS ein Server-Zertifikat, und die User melden sich automatisch via ihrem Anmeldenamen/Passwort über einen TLS-Tunnel an, bzw. das geht automatisch wenn sie sich am Windows Client anmelden.Theoretisch ist das sicherer als EAP-PEAP. Doch es ist auch sicherer mit Helm und Vollschutzanzug Auto zu fahren, doch das macht keine Sau weil es als schwachsinnig eingestuft wird.
. Sonst musst du im Fall von EAP-TLS die Userzertifikate stets erneuern, was ganz schön nerven kann, wenn die PKI nicht automatisiert auf dem DC läuft und man das ständig manuell machen muss. Auf die clients must du bei dieser Variante lediglich einamlig das recht lange gültige Stammzertifikat der CA installieren, die das IAS Zertifikat ausgestellt hat damti die Clients das IAS Zertifikat als vertrauenswürdig einstufen können.
Damit das Anmelden am WLAN auch noch VOR der Useranmeldung funktioniert (damit Loginskripte ausgeführt werden können) muss man im IAS RAS Policies sowohl für Computerkonto Authentisierung als auch für Benutzer Authentisierung einrichten (2 Policies).
Da musst im IAS RAS Policy dann die Windows Gruppe auswählen wo die Domain Users bzw. Domain Computers drinne sind.
Will man dann noch die Gültigkeitsdauer eines clientzertifikats verlängern muss man das über einen Registrykey machen dessen Aufspüren mich drei graue Sackhaare gekostet hat. Doppelkretz!
Wenn du EAP-TLS verwenden willst brauchen sowohl IAS als auch Client ein Zertifikat, sie authentisieren sich gegenseitig beim Verbindungsaufbau wie Dr. aqui schon erwähnte.
Warum machst nicht einfach PEAP (EAP-MSCHAPv2) - da braucht nur der IAS ein Server-Zertifikat, und die User melden sich automatisch via ihrem Anmeldenamen/Passwort über einen TLS-Tunnel an, bzw. das geht automatisch wenn sie sich am Windows Client anmelden.Theoretisch ist das sicherer als EAP-PEAP. Doch es ist auch sicherer mit Helm und Vollschutzanzug Auto zu fahren, doch das macht keine Sau weil es als schwachsinnig eingestuft wird.
. Sonst musst du im Fall von EAP-TLS die Userzertifikate stets erneuern, was ganz schön nerven kann, wenn die PKI nicht automatisiert auf dem DC läuft und man das ständig manuell machen muss. Auf die clients must du bei dieser Variante lediglich einamlig das recht lange gültige Stammzertifikat der CA installieren, die das IAS Zertifikat ausgestellt hat damti die Clients das IAS Zertifikat als vertrauenswürdig einstufen können.
Damit das Anmelden am WLAN auch noch VOR der Useranmeldung funktioniert (damit Loginskripte ausgeführt werden können) muss man im IAS RAS Policies sowohl für Computerkonto Authentisierung als auch für Benutzer Authentisierung einrichten (2 Policies).
Da musst im IAS RAS Policy dann die Windows Gruppe auswählen wo die Domain Users bzw. Domain Computers drinne sind.
Also d.h. der IAS kann das Server-Zertifikat nicht verwenden bzw. er findet es nicht. Ok.
Kopiere das Radiuszertifikat auf dem Radius vom Certstore "Current User" Personal glaub ich in den Cert Store "Local Mashine" Personal mit dem Zertifikatsmanager (crtmanager.msc glaub ich).
Dann IAS neu starten.
Ach die dynamische VLAN Zuweisung kannst du eventuell mit Radius Attribut 25 (class) machen.
Entweder bei den usereigenschaften im AD bei "Einwahl" die VLAN Nummer eintragen in ein Feld, z. B. callbacknumber, dann kannst du das Radiusattribut als "Träger" benutzen oder eben class und mit versch. RAS Policies arbeiten. Muss man halt schauen welche Radiusattribute der Switch wie interpretiert, sniffen wäre kein Fehler um zu schauen wie Switch und IAS mineinander kommunizieren.
Ja mit Freeradius kann man auch einiges drehen - wenn man jedoch eh User oder computer aus dem Active Directory authentisieren will, warum dann umständlicher machen als nötig. IAS funktioniert wunderbar und ist in die Windows Umgebung voll integriert.
Kopiere das Radiuszertifikat auf dem Radius vom Certstore "Current User" Personal glaub ich in den Cert Store "Local Mashine" Personal mit dem Zertifikatsmanager (crtmanager.msc glaub ich).
Dann IAS neu starten.
Ach die dynamische VLAN Zuweisung kannst du eventuell mit Radius Attribut 25 (class) machen.
Entweder bei den usereigenschaften im AD bei "Einwahl" die VLAN Nummer eintragen in ein Feld, z. B. callbacknumber, dann kannst du das Radiusattribut als "Träger" benutzen oder eben class und mit versch. RAS Policies arbeiten. Muss man halt schauen welche Radiusattribute der Switch wie interpretiert, sniffen wäre kein Fehler um zu schauen wie Switch und IAS mineinander kommunizieren.
Ja mit Freeradius kann man auch einiges drehen - wenn man jedoch eh User oder computer aus dem Active Directory authentisieren will, warum dann umständlicher machen als nötig. IAS funktioniert wunderbar und ist in die Windows Umgebung voll integriert.
.
spacey hat da natürlich Recht obwohl eine Freeradius Integration über LDAP an eine AD natürlich auch machbar ist aber eben erheblich mehr Aufwand wenn man es mit IAS einfacher haben kann.
802.1x Authentisierung und dynmaische VLAN Zuweisung mit Freeradius kannst du in diesem Thread nachlesen:
Dynamisches Vlan bei Freeradius mit Alcatel switch
spacey hat da natürlich Recht obwohl eine Freeradius Integration über LDAP an eine AD natürlich auch machbar ist aber eben erheblich mehr Aufwand wenn man es mit IAS einfacher haben kann.
802.1x Authentisierung und dynmaische VLAN Zuweisung mit Freeradius kannst du in diesem Thread nachlesen:
Dynamisches Vlan bei Freeradius mit Alcatel switch
Hast du auf dem IAS eine RAS Policy die auf Computerkonto checkt (Gruppe Domain Computers oder auf germanisch Domänencomputer). Weil der Client kann auch bei EAP-MSchapv2 vor der Anmeldung seine Windous Maschinenkonto SID an den IAS schicken dass es eine wahre pracht ist! Eventuell reicht gar das Windows Computerkonto, das ist ja fast das selbe wie ein Zertifikat vom Prinzip her, nur eben viel einfacher. Zumindest läuft das im WLAN so bei mir. Gibt aber auch noch andere Möglichkeiten, wie so oft im Leben.