17
RADIUS-Anmeldung VOR eigentlicher Domänenanmeldung
Hallo 
Ich habe folgendes Problem. In meiner Domäne (Win2k3) wurde ein Radius-Server implementiert (IAS). Ich hatte vor, die bestehenden LAN-Clients per RADIUS zu authentifizieren. Authentifizierung klappt auch wunderbar nur besteht jetzt folgendes Problem:
Hatte es eigentlich vor so zu machen, dass beim Domänenanmeldebildschirm der Benutzername und das Passwort eingegeben werden muss. Dann SOLL sich der Benutzer per RADIUS authentifizieren (PEAP-MS-CHAP v2) und DANN erst in der ActiveDirectory (AD). Ist das überhaupt möglich?
Habe es schon so hinbekommen, dass sich der Computer im Hintergrund per RADIUS authentifiziert. Der Port ist ja dann offen und dann können die Benutzerdaten eingegeben werden, doch wird dieser Benutzer ja dann nicht mehr per RADIUS überprüft.
Und ohne diese Authentifizierung des Computers ist z.B. auch kein servergespeichertes Profil möglich, da die 802.1x-Authentifizierung des Benutzers ja erst NACH der Registrierung in der AD erfolgt, und diese kann ja durch den NOCH geschlossenen Port gar nicht vollzogen werden.
Ist es also irgendwie möglich ERST die RADIUS-Anmeldung durchzuführen um dann ANSCHLIEßEND die AD-Anmeldung durchlaufen zu lassen bzw. dass die beiden Anmeldungen gleichzeitig ablaufen?
Gibt es außerdem die Möglichkein das Passwort NICHT in der Registrierung unter "HKEY_CURRENT_USER\Software\Microsoft\Eapol\UserEapInfo" zu speichern? ich weiß, dass ich es per batch-befehl löschen kann nur find ich das ziemlich aufwendig...
Vielen Dank schonmal im voraus.
Gruß Ruuudi
Ich habe folgendes Problem. In meiner Domäne (Win2k3) wurde ein Radius-Server implementiert (IAS). Ich hatte vor, die bestehenden LAN-Clients per RADIUS zu authentifizieren. Authentifizierung klappt auch wunderbar nur besteht jetzt folgendes Problem:
Hatte es eigentlich vor so zu machen, dass beim Domänenanmeldebildschirm der Benutzername und das Passwort eingegeben werden muss. Dann SOLL sich der Benutzer per RADIUS authentifizieren (PEAP-MS-CHAP v2) und DANN erst in der ActiveDirectory (AD). Ist das überhaupt möglich?
Habe es schon so hinbekommen, dass sich der Computer im Hintergrund per RADIUS authentifiziert. Der Port ist ja dann offen und dann können die Benutzerdaten eingegeben werden, doch wird dieser Benutzer ja dann nicht mehr per RADIUS überprüft.
Und ohne diese Authentifizierung des Computers ist z.B. auch kein servergespeichertes Profil möglich, da die 802.1x-Authentifizierung des Benutzers ja erst NACH der Registrierung in der AD erfolgt, und diese kann ja durch den NOCH geschlossenen Port gar nicht vollzogen werden.
Ist es also irgendwie möglich ERST die RADIUS-Anmeldung durchzuführen um dann ANSCHLIEßEND die AD-Anmeldung durchlaufen zu lassen bzw. dass die beiden Anmeldungen gleichzeitig ablaufen?
Gibt es außerdem die Möglichkein das Passwort NICHT in der Registrierung unter "HKEY_CURRENT_USER\Software\Microsoft\Eapol\UserEapInfo" zu speichern? ich weiß, dass ich es per batch-befehl löschen kann nur find ich das ziemlich aufwendig...
Vielen Dank schonmal im voraus.
Gruß Ruuudi
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 96699
Url: https://administrator.de/contentid/96699
Printed on: April 16, 2024 at 20:04 o'clock
17 Comments
Latest comment
Du musst nur den Rechner selber als Device auch im AD haben (nicht nur den Benutzer), dann klappt es mit der Domänen und IAS (.1x) Authentifikation problemlos zusammen !
hallo aqui...
also der rechner ist auch in der AD unter Computers. muss der auch in der IAS-Richtlinie vorhanden sein? oder reicht da der benutzer?!
also der rechner ist auch in der AD unter Computers. muss der auch in der IAS-Richtlinie vorhanden sein? oder reicht da der benutzer?!
Dieses Thema interessiert mich auch!
Ich finde schon nicht heraus, wie sich Clients überhaupt als "Computer" automatisch am RADIUS authentifizieren können.
Wäre für Hilfe und Weiterführung dieses Themas sehr dankbar!
Ich finde schon nicht heraus, wie sich Clients überhaupt als "Computer" automatisch am RADIUS authentifizieren können.
Wäre für Hilfe und Weiterführung dieses Themas sehr dankbar!
Dafür musst du in den Netzwerkeigenschaften unter dem Reiter "Authentifizierung" den Haken bei "Automatisch anmelden wenn Computerinformationen vorhanden sind" setzen. Dann meldet sich die Maschine automatisch im Hintergrund am Radiusserver an.
Das Problem besteht dann halt nur darin, dass keine Benutzerauthentifikation über IAS dann stattfindet. Per WLAN haut alles hin aber im LAN funktioniert das nicht.
hab auch schon in der Registry den Eintrag "AuthMode"=1 hinzugefügt, der dann ja eigentlich dafür sorgt, dass innerhalb von 60sec nach Computeranmeldung eine Benutzeranmeldung stattfinden muss, doch trotzdem geschieht das nicht...
Das Problem besteht dann halt nur darin, dass keine Benutzerauthentifikation über IAS dann stattfindet. Per WLAN haut alles hin aber im LAN funktioniert das nicht.
hab auch schon in der Registry den Eintrag "AuthMode"=1 hinzugefügt, der dann ja eigentlich dafür sorgt, dass innerhalb von 60sec nach Computeranmeldung eine Benutzeranmeldung stattfinden muss, doch trotzdem geschieht das nicht...
Danke für die Antwort, das verschafft mit hier schonmal Klarheit aber, diese Option war bei mir ohnehin schon per Default gesetzt.
Deshalb ist für mich vor allem das IAS Setting bzgl Computer-Authentifizierung interessant.
Danke und Gruß
Deshalb ist für mich vor allem das IAS Setting bzgl Computer-Authentifizierung interessant.
Danke und Gruß
vielleicht noch n kleiner tipp. installier dir wireshark oder so dann kannste deinen netzwerkverkehr mitloggen und gucken was beim server ankommt?!
ansonsten, was sagt deine ereignisanzeige?
ansonsten, was sagt deine ereignisanzeige?
Also,
ich habe zum Test einen XPSP3 Client mit einem Computerzertifikat im Computer-Zertifikatsspeicher, sowie einen IAS unter einem W2K3R2 Std Server, der zugleich auch Zertifizierungsstelle ist.
Eingestellt:
Client:
EAP-Typ: Geschütztes EAP
Als Computer authetifizieren, wenn Computerinformationen verfügbar sind.
Server:
Keine eigenen RAS-Richtlinien
Meldung Client: Keine / Kann keine IP beziehen
Meldung Server: IAS Event ID2: Benutzer Domäne\user wurde Zugriff verweigert
Ursache = .. da der angegebene EAP-Typ vom Server nicht verarbeitet werden kann.
Eingestellt:
Client:
EAP-Typ: Smartcard oder anderes Zertfikat (Zertifikat auf Computer verwenden)
Als Computer authetifizieren, wenn Computerinformationen verfügbar sind.
Server:
Keine eigenen RAS-Richtlinien
Meldung Client: Authentifizierung fehlgeschlagen
Meldung Server: IAS Event ID 2 - RAS-Berechtigung für Benutzer verweigert.
Mein generelles Problem ist eben, dass IAS nur Benutzerspezifische Richtlinien anbietet, abgesehen von IP Adressen etc.
Ich kann jedoch nicht sagen, alle Systeme in der Gruppe "FirmenNotebooks" dürfen verbinden.
ich habe zum Test einen XPSP3 Client mit einem Computerzertifikat im Computer-Zertifikatsspeicher, sowie einen IAS unter einem W2K3R2 Std Server, der zugleich auch Zertifizierungsstelle ist.
Eingestellt:
Client:
EAP-Typ: Geschütztes EAP
Als Computer authetifizieren, wenn Computerinformationen verfügbar sind.
Server:
Keine eigenen RAS-Richtlinien
Meldung Client: Keine / Kann keine IP beziehen
Meldung Server: IAS Event ID2: Benutzer Domäne\user wurde Zugriff verweigert
Ursache = .. da der angegebene EAP-Typ vom Server nicht verarbeitet werden kann.
Eingestellt:
Client:
EAP-Typ: Smartcard oder anderes Zertfikat (Zertifikat auf Computer verwenden)
Als Computer authetifizieren, wenn Computerinformationen verfügbar sind.
Server:
Keine eigenen RAS-Richtlinien
Meldung Client: Authentifizierung fehlgeschlagen
Meldung Server: IAS Event ID 2 - RAS-Berechtigung für Benutzer verweigert.
Mein generelles Problem ist eben, dass IAS nur Benutzerspezifische Richtlinien anbietet, abgesehen von IP Adressen etc.
Ich kann jedoch nicht sagen, alle Systeme in der Gruppe "FirmenNotebooks" dürfen verbinden.
na klar kannst du das machen... mach ne eigene sicherheitsgruppe "RADIUS-CLIENT". da machst du alle computer rein, die sich verbinden dürfen, also die ganzen Notebooks. dann ne eigene RAS-Richtlinie (am besten mit assistenten) wo du dann einstellst, dass die verbindung über WLAN (oder LAN) erfolgen muss und dass der Nutzer/Computer in der Gruppe "RADIUS-CLIENT" sein muss.
danach die richtlinie konfigurieren und bei dem reiter "authentifizierung" stellst du ein:
EAP-Typ: Geschütztes EAP (PEAP)
dann auf konfigureien und unten dann "MS CHAPv2"
dann noch die vertraute Zertifizierungsstelle anklicken.
das gleiche machst du dann auch beim client...
das müsste dann auch klappen.
gruß ruuudi
danach die richtlinie konfigurieren und bei dem reiter "authentifizierung" stellst du ein:
EAP-Typ: Geschütztes EAP (PEAP)
dann auf konfigureien und unten dann "MS CHAPv2"
dann noch die vertraute Zertifizierungsstelle anklicken.
das gleiche machst du dann auch beim client...
das müsste dann auch klappen.
gruß ruuudi
Das klappt sehr gut, ist dann aber nicht mehr Zertifikatsgebunden.
Aber das mit der Windows Gruppe ist ein sehr guter Tipp, da wäre ich nicht drauf gekommen muss ich gestehen ^^
Vielen Dank!
Aber das mit der Windows Gruppe ist ein sehr guter Tipp, da wäre ich nicht drauf gekommen muss ich gestehen ^^
Vielen Dank!
wenn du es zertifikatgebunden haben möchtest einfach anstelle von "MS CHAPv2" -> "SmartCard oder anderes Zertifikat" einstellen... dann müste es auch mit zertifikaten klappen ;)
Ja, diesmal bin ich auch selber drauf gekommen ;)
/edit: Kann mich korrigieren. Ein Reboot ist nach Zertifikatseinrichtung erforderlich, klappt nun super!
Vielen Dank!
/edit: Kann mich korrigieren. Ein Reboot ist nach Zertifikatseinrichtung erforderlich, klappt nun super!
Vielen Dank!
na dann glückwunsch wäre auch mein nächster tipp gewesen ;)
wäre auch mein nächster tipp gewesen ;)
Also auch ich teste hier so einiges mit 802.1x.
Die Benutzerauthentifizierung sowie über MAC Adresse klappt ohne Probleme.
Jedoch möchte ich die Authentifizierung über Computerkonten einrichten.
Mir ist aufgefallen, dass sie der Computername einmal am Radius anmeldet und authentifiziert wird. Dann kommt aber ständig wieder die MAC Adresse des Computers an und der Computer verliert den Status "Authenticated" auf dem Switch wieder.
Wie kann ich es machen, dass nur noch der Computername sich am Radius anmeldet und nicht mehr die MAC Adresse?
Die Benutzerauthentifizierung sowie über MAC Adresse klappt ohne Probleme.
Jedoch möchte ich die Authentifizierung über Computerkonten einrichten.
Mir ist aufgefallen, dass sie der Computername einmal am Radius anmeldet und authentifiziert wird. Dann kommt aber ständig wieder die MAC Adresse des Computers an und der Computer verliert den Status "Authenticated" auf dem Switch wieder.
Wie kann ich es machen, dass nur noch der Computername sich am Radius anmeldet und nicht mehr die MAC Adresse?
Kann mir hier niemand mehr weiter helfen?
sieht mir nach ner einstellungssache am switch aus?! welchen switch benutzt du?!
AT-8000S
Das komische ist, dass ich gestern urplötzlkich den hostnamen im RADIUS Log hatte, aber nichts an den Einstellungen auf dem RADIUS verändert hatte.
Seitdem ist der Hostname aber auch nicht mehr aufgetaucht.
Nun habe ich in der Active Direcgtory im Computerkonto "Zugriff über RAS-Richtlinie steuern durch ZUGRIFF GESTATTEN umgestellt und nun geht es. Der Hostnmame erscheint wieder im RADIUS LOG und authentifiziert wird der Computer auch.
Scheinbar liegt es doch an der RAS Richtlinie im IAS?!
Das komische ist, dass ich gestern urplötzlkich den hostnamen im RADIUS Log hatte, aber nichts an den Einstellungen auf dem RADIUS verändert hatte.
Seitdem ist der Hostname aber auch nicht mehr aufgetaucht.
Nun habe ich in der Active Direcgtory im Computerkonto "Zugriff über RAS-Richtlinie steuern durch ZUGRIFF GESTATTEN umgestellt und nun geht es. Der Hostnmame erscheint wieder im RADIUS LOG und authentifiziert wird der Computer auch.
Scheinbar liegt es doch an der RAS Richtlinie im IAS?!
Also so gesehen funktioniert es wenn ich dem Computerkonto in der AD sage ZUGRIFF GESTATTEN.
Allerdings wird der Logonscript des Users nicht gezogen.
Gibts da was, was ich noch verbessern könnte?
Allerdings wird der Logonscript des Users nicht gezogen.
Gibts da was, was ich noch verbessern könnte?
