Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Probleme mit EAP-TLS Authentifizierung im WLAN mit w2k

Frage Netzwerke LAN, WAN, Wireless

Mitglied: Gossamer

Gossamer (Level 1) - Jetzt verbinden

29.09.2006, aktualisiert 29.08.2008, 6689 Aufrufe, 23 Kommentare

eingesetzte Hardware: Proxim AP-2000 Access Point und Proxim PC Card Silver

Hallo,

ich möchte im Firmennetzwerk 802.1x Authentifizierung einsetzen um unser WLAN abzusichern. In einer Teststellung benutze ich dafür die folgenden Komponenten:

1. Domaincontroller auf einem Windows 2003 Server
2. ein IAS Server, der ebenfalls auf dem 2003'er Server installiert ist
3. Einen Proxim AP-2000 Accesspoint, der als NAS dient
4. Notebook mit w2k SP4
5. Notebook mit XP Pro SP2
6. Eingesetzte WLAN Karte: Proxim 8471-WD PC Card

Als EAP Typ möchte ich EAP-TLS einsetzen.

Eine Zertifizierungsstelle ist ebenfalls auf dem 2003'er DC eingerichtet.

Auf einem Notebook mit Windows XP (SP2) sind auch alle notwendigen Zertifikate installiert, sodass ein User sich ohne Probleme am Netzwerk authentifizieren kann. Der IAS gibt grünes Licht und der Verbindungsaufbau klappt ohne Probleme.

Wenn ich das gleiche jedoch mit einem Windows 2000 Rechner versuche, funktioniert dies nicht:

Der IAS Server gibt im LogFile an, das der User xyz sich erfolgreich authentifiziert hat. Die Utilitys der Netzwerkkarte zeigen jedoch statt "Authenticated" lediglich ein "Authentication in progress..." an. Nach einer Weile beginnt dann die WLAN Karte wieder damit, WLAN Kanäle durchzuscannen.
Mir scheint, als ob der Client nicht mitbekommt, das er bereits erfolgreich authentifiziert wurde und deshalb nach einer Weile auf Grund eines TimeOuts wieder von vorne anfängt.
Wie bereits erwähnt: Laut IAS wurde die Authentifizierung erfolgreich durchgeführt.

Das Merkwürdige ist, das ich es 2 oder 3 Mal irgendwie geschafft habe, das ein Ping durchgegangen ist. Nach ca. 1 Minute ist aber der Link wieder zusammengebrochen.

Bei Änderung der Authentifizierungsmethode auf PEAP-MS-CHAP-v2 ergibt sich das gleiche Phänomen. Auch hier gibt es bei dem XP Notebook keine Probleme ( gleiche WLAN Karte ), währen sich das w2k Notebook weiterhin stur stellt.

Muss bei w2k vielleicht irgendetwas nachgepatcht werden? Hat jemand mit Proxim WLAN Karten die selben Erfahrungen gemacht?

Ich wäre für eine Antwort echt dankbar, da ich mir an dem Problem seit ca. 2 Wochen die Zähne ausbeiße.

Vielen Dank,
Grüße

Dirk
Mitglied: 27119
29.09.2006 um 14:04 Uhr
Hallo

mich wird das Thema 802.1X im WLAN Bereich auch die nächste Zeit beschäftigen.
Kann dir bei dem w2k Problem leider nicht helfen. Aber es ist interessant zu erfahren, mit welchen Problemen man zu rechnen hat.
Wir haben neben´Windows auch zahlreiche Linux Clients im Netz.
So ziemlich jede Distribution die jemals erfunden wurde fleucht da rum.
Ich glaube das wird recht komplex.

Momentan nutzen wir VPN mit IPSEC für die WLAN User.
Damit ist die vorhandene VPN Infrastruktur einsetzbar, es ist unkompliziert, und funktioniert mit allen Clients prächtig.
Ich werde 802.1X auch erstmal ausgiebig testen. Habe aber das GEfühl dass der Aufwand im Vergleich zum Nutzen zu hoch sein wird.

Ganz nebenbei..

Habe ich das richtig verstanden, dass man bei EAP-TLS sowohl Server als auch Client Zertifikate braucht, bei EAP-PeAP sich jedoch nur der Server beim Client authentifziert?
Bin grade am Einlesen und versuche die komplexe Materie klarzubekommen in der Birne.
Bitte warten ..
Mitglied: Gossamer
29.09.2006 um 14:10 Uhr
Hi,

Vielleicht liegen die Probleme ja beim IAS-Radius Server. Unter Umständen funktionieren da OpenSource Radius besser

Als nächstes werde ich jedenfalls mal andere WLAN Karten unter w2k ausprobieren.

Grüße Dirk
Bitte warten ..
Mitglied: 27119
29.09.2006 um 15:54 Uhr
Ich hab sowohl Freeradius als auch IAS im Einsatz.
Im Verbund mit Active Directory ist IAS die erste wahl finde ich.
Sonst muss man den Linux Server dazu bringen, per kerberos das AD zu kontaktieren, was wenig Sinn macht, wo der IAS doch binnen 5 min auf nem DC installiert u. konfiguriert ist.
Bitte warten ..
Mitglied: oohlala
28.08.2008 um 12:43 Uhr
hallo

hat sich was ergeben wegen des problems? weil ich stehe auch grad vor einem w2000 laptop der nicht so richtig über wlan ins netzwerk kommt. bzw ich bekomm die zertifikate nicht auf den client.
Bitte warten ..
Mitglied: Gossamer
28.08.2008 um 13:41 Uhr
Ich muss gestehen, das ich mich mittlerweile nicht mehr mit w2k rumschlage. Mittlerweile haben alle WLAN Clients Windows XP und damit läuft das Ganze nahezu reibungslos.

Das Benutzerzertifikat beantragst du ganz einfach über den Browser: http://<Certserver>/certsrv.
Das Computerzertifikat kannst du über die MMC beantragen indem du einfach das Zertifikats SnapIN einbindest.

Viele Grüße

Dirk
Bitte warten ..
Mitglied: oohlala
28.08.2008 um 13:45 Uhr
wenn ich über die webseite mache kommt problem mit active x, evtl nicht richtigen berechtigung. sodass ich das zertifikat nicht anfordern kann. woran kann das liegen? auf dem selber ging das wunderbar. vllt an windows 2000?

bin als administrator der domain aufm dem client eingeloggt.
Bitte warten ..
Mitglied: Gossamer
28.08.2008 um 13:55 Uhr
Hmmm... sind vielleicht die Sicherheitseinstellungen im Browser. Stell alles probehalber mal auf niedrig.

Probiere doch auch Mal die MMC auf dem Client: "Start" --> "Ausführen" --> "mmc" --> Über "Datei" den Menüpunkt "Snap In" hinzufügen --> Zertifikate für Benutzer einbinden und dann darüber beantragen ( rechte Maustaste ). Dann hast du auf jeden Fall keine Probleme mehr mit Active X.

Wenns Probleme gibt, sag Bescheid.
Bitte warten ..
Mitglied: oohlala
28.08.2008 um 14:04 Uhr
ich probiere es direkt aus. danke schonmal. melde mich gleich wieder
Bitte warten ..
Mitglied: oohlala
28.08.2008 um 14:10 Uhr
also ich finde diese option nicht es zu beantragen über mmc. gibts noch ne andere möglichkeit?
Bitte warten ..
Mitglied: Gossamer
28.08.2008 um 14:16 Uhr
Nicht das ich wüsste.
Schau mal hier:

http://www.msisafaq.de/Anleitungen/2004/Konfiguration/Zertifikate.htm

Unter dem Punkt "Zertifikatsbeantragung" findest du eine Anleitung, wie du es mit der MMC machst.
Bitte warten ..
Mitglied: oohlala
28.08.2008 um 14:25 Uhr
ok jetzt hab ich den punkt gefunden, nur sagt er mir, dass keine zertifizierungsstelle gefunden wurde.

ich verzweifel langsam an der sache, sitz schon 1 woche dran
Bitte warten ..
Mitglied: Gossamer
28.08.2008 um 15:39 Uhr
Hast du auf dem Rechner das Zertifikat der Zertifizierungsstelle installiert?

Du musst von einem beliebigen Rechner die Zertifikats Webseite aufrufen und dann auf "Download eine Zertifizierungsstellenzertifikats, einer..." klicken. Dann gehst du auf "Download des Zertifizierungsstellenzertifikats". Auf die Frage, was du damit anstellen sollst, klickst du auf "Speichern". Diese .cer Datei kopierst du dann auf den betreffenden Client und führst dort die Datei mit einem Doppelcklick aus. Damit installierst/importierst du dann das Zertifikat welches die PKI ( Zert. Server ) authentisiert.

Probiere danach einfach noch einmal das Benutzerzertifikat zu beantragen.
Bitte warten ..
Mitglied: oohlala
28.08.2008 um 15:49 Uhr
ok das hat geklappt. danke schön

nächtes problem:

eap-tls verfahren

authentication failed

was muss ich im ias dafür einstellen?


sorry für die fragen. aber ich ich muss das genau wissen für spätere projekte die sich daruf beziehen.
Bitte warten ..
Mitglied: Gossamer
28.08.2008 um 15:53 Uhr
Kein Problem,

muss die Antwort aber auf Morgen verschieben, da ich gleich weg muss.

Ciao

Dirk
Bitte warten ..
Mitglied: oohlala
28.08.2008 um 15:56 Uhr
ok kein problem, hab bis mitte/ende september zeit, aber desto früher desto besser um das ganze noch zu verfeinern.

danke dir auf jedenfall.

in einer stunde ist bei mir auch feierabend =)

gruß Franky
Bitte warten ..
Mitglied: Gossamer
29.08.2008 um 10:00 Uhr
So...
Ich habe noch ein wenig im iNet gestöbert und folgende Anleitung für die Radius WLAN Auth. gefunden:

http://www.cryptoshop.com/index.php

Unten auf der Seite findest zwei Downloads ( 1. Einrichten einer Windows PKI Test..., 2. WLAN mit Smart Cards ). Nimm dir mal den Ersten vor. Die Installation der Domäne und des Certservers kannst du dir ja sparen, die hast du ja bereits. Den beschriebenen RRAS Server brauchst du auch nicht. Fang also gleich bei Seite 14 und der Installation des IAS an.
Den Punkt "konfigurieren der Remote Access Policy für VPN" kannst du ebenfalls überspringen, weil du ja kein VPN einsetzt.

Auf Seite 21 findest du die Einstellungen für die Authentifizierungsmethode: Wählst du "Smartcard or other certificates" ist dies gleichbedeutend mit EAP-TLS. Als Alternativmethode kannst du zusätlich auch PEAP-TLS verwenden. Ich habe beispielsweise alles auf PEAP-TLS eingestellt.

Ich empfehle dir übrigens das Ganze erst einmal mit einem Windows XP Client auszuprobieren. Das klappt 1000 Mal besser als mit w2k.
Bitte warten ..
Mitglied: oohlala
29.08.2008 um 10:07 Uhr
danke dir, werd mich jetzt mal mit der seite beschäftigen. mmh xp ist schlecht. ist ja im moment auch nur test umgebung. der win2003 serv läuft auf ner virtual machine. und als client dient ein etwas älterer laptop mit win2k pro.

so meld mich später wenn ich noch probleme habe =D
aber auf jeden schonmal fettes merci
Bitte warten ..
Mitglied: oohlala
29.08.2008 um 11:03 Uhr
juuuuuuuuuuuuuhuuuuuuu

es geht!!!

man man.

ich bin glücklich, mein vorgesetzter ist glücklich, und später unser kunde wird glücklich. und dadurch auch die firma

nächste aufgabe wird das ganze auf xp-, windows mobile-, und linux-clients zum laufen zu bekommen. aber das wird auch noch werden. ganzen september für zeit.

ich danke dir für die hilfe.

gruß franky
Bitte warten ..
Mitglied: Gossamer
29.08.2008 um 11:20 Uhr
Das freut mich

Ich habe auch einige Stunden damals zugebracht, bis der ganze Kram lief. Hängt auch viel von den WLAN Treibern der Notebooks ab.

Na dann noch viel Erfolg,

Grüße

Dirk
Bitte warten ..
Mitglied: oohlala
29.08.2008 um 11:22 Uhr
im laptop steckt ne cisco karte mit neusten treibern und das util ist doch sehr gut
Bitte warten ..
Mitglied: oohlala
29.08.2008 um 12:53 Uhr
nu hab ich noch ein problem. weiß aber nicht ob es dafür eine lösung gibt.

wenn ich einen neuen benutzer auf dem client anmelde, der dort bisher noch nicht angemeldet war, muss ich erst lan kabel anschließen, da er wenn nur wlan-verbindung steht meckert, dass benutzername oder passwort nicht stimmen.
er kann wahrscheinlich nicht auf die domäne zugreifen weil dem neuen benutzer noch die zertifikate fehlen um sich am ap anzumelden.

wenn ich es über mschap versuche, gehts auch nicht. (also beim neuen benutzer - so geht mschap einwandfrei)

gibts ne möglichkeit wenn sich neue benutzer am client anmelden, dies ohne kabel zu erledigen?
Bitte warten ..
Mitglied: Gossamer
29.08.2008 um 16:11 Uhr
Du wirst nicht drum rumkommen, vorher über ein LAN Kabel ein Zertifikat zu ziehen.
GGf. könntest du aber probieren, über eine Gruppenrichtlinie auf dem Domain Controller die Benutzer & Computer Zertifikate automatisch zu deployen. Das setzt aber in jedem Fall eine vorherige Anbindung/Anmeldung an das LAN/an der Domäne voraus.

Von der Authentifizierung über CHAP würde ich dir abraten. Dann brauchst du zwar keine Zertifikate, allerdings ist das viel zu unsicher, da über Brute Force Attacken die Anmeldung ganz schnell ausgehebelt ist.

Bei besseren Access Points kannst du zusätzlich zur Radius Authentifizierung noch WPA bzw. WPA2 Preshared Keys einetzen. Damit kannst du die User versorgen, die keine Domänenmitglieder sind und sich ggf. nur "zu Besuch" im WLAN aufhalten.
Bitte warten ..
Mitglied: oohlala
29.08.2008 um 16:21 Uhr
ich hatte das problem auch vorhins mit meinem vorgesetzten durch gesprochen. er wäre dafür, in diesem fall einen 2ten zusätzlichen AP aufzustellen, dieses nur mit WEP verschlüsseln oder gänzlich ohne, damit sich die clients in der domäne anmelden können und zertifikate beziehen können.

beim kabel ist das problem, das die windows mobile geräte keine möglichkeit besitzen ein kabel einzusetzen. also muss es in irgendeiner art und weise über das wlan laufen.

diesen 2ten zusätzlichen AP braucht man ja nur in betrieb zu nehmen wenn es notwendig ist. sprich bei neuen clients oder falls ein anderer benutzer auf einen client muss.

ist ja kein dauert zustand.
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
LAN, WAN, Wireless
gelöst 802.1x Authentifizierung - NPS - RADIUS MAC (2)

Frage von LKaderavek zum Thema LAN, WAN, Wireless ...

Netzwerke
LAN und WLAN je mit gleicher IP (13)

Frage von dauatitsbest zum Thema Netzwerke ...

Batch & Shell
gelöst Crontab mit Shell Probleme (9)

Frage von mschaedler1982 zum Thema Batch & Shell ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (22)

Frage von patz223 zum Thema Windows Userverwaltung ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (19)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Windows Netzwerk
Windows 10 RDP geht nicht (18)

Frage von Fiasko zum Thema Windows Netzwerk ...