Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

RADIUS-Anmeldung VOR eigentlicher Domänenanmeldung

Frage Netzwerke LAN, WAN, Wireless

Mitglied: Ruuudi

Ruuudi (Level 1) - Jetzt verbinden

11.09.2008, aktualisiert 05.11.2008, 7041 Aufrufe, 17 Kommentare

Hallo

Ich habe folgendes Problem. In meiner Domäne (Win2k3) wurde ein Radius-Server implementiert (IAS). Ich hatte vor, die bestehenden LAN-Clients per RADIUS zu authentifizieren. Authentifizierung klappt auch wunderbar nur besteht jetzt folgendes Problem:

Hatte es eigentlich vor so zu machen, dass beim Domänenanmeldebildschirm der Benutzername und das Passwort eingegeben werden muss. Dann SOLL sich der Benutzer per RADIUS authentifizieren (PEAP-MS-CHAP v2) und DANN erst in der ActiveDirectory (AD). Ist das überhaupt möglich?

Habe es schon so hinbekommen, dass sich der Computer im Hintergrund per RADIUS authentifiziert. Der Port ist ja dann offen und dann können die Benutzerdaten eingegeben werden, doch wird dieser Benutzer ja dann nicht mehr per RADIUS überprüft.

Und ohne diese Authentifizierung des Computers ist z.B. auch kein servergespeichertes Profil möglich, da die 802.1x-Authentifizierung des Benutzers ja erst NACH der Registrierung in der AD erfolgt, und diese kann ja durch den NOCH geschlossenen Port gar nicht vollzogen werden.

Ist es also irgendwie möglich ERST die RADIUS-Anmeldung durchzuführen um dann ANSCHLIEßEND die AD-Anmeldung durchlaufen zu lassen bzw. dass die beiden Anmeldungen gleichzeitig ablaufen?


Gibt es außerdem die Möglichkein das Passwort NICHT in der Registrierung unter "HKEY_CURRENT_USER\Software\Microsoft\Eapol\UserEapInfo" zu speichern? ich weiß, dass ich es per batch-befehl löschen kann nur find ich das ziemlich aufwendig...

Vielen Dank schonmal im voraus.

Gruß Ruuudi
Mitglied: aqui
11.09.2008 um 19:09 Uhr
Du musst nur den Rechner selber als Device auch im AD haben (nicht nur den Benutzer), dann klappt es mit der Domänen und IAS (.1x) Authentifikation problemlos zusammen !
Bitte warten ..
Mitglied: Ruuudi
11.09.2008 um 20:40 Uhr
hallo aqui...
also der rechner ist auch in der AD unter Computers. muss der auch in der IAS-Richtlinie vorhanden sein? oder reicht da der benutzer?!
Bitte warten ..
Mitglied: Cardinal
17.09.2008 um 13:19 Uhr
Dieses Thema interessiert mich auch!

Ich finde schon nicht heraus, wie sich Clients überhaupt als "Computer" automatisch am RADIUS authentifizieren können.

Wäre für Hilfe und Weiterführung dieses Themas sehr dankbar!
Bitte warten ..
Mitglied: Ruuudi
17.09.2008 um 15:33 Uhr
Dafür musst du in den Netzwerkeigenschaften unter dem Reiter "Authentifizierung" den Haken bei "Automatisch anmelden wenn Computerinformationen vorhanden sind" setzen. Dann meldet sich die Maschine automatisch im Hintergrund am Radiusserver an.

Das Problem besteht dann halt nur darin, dass keine Benutzerauthentifikation über IAS dann stattfindet. Per WLAN haut alles hin aber im LAN funktioniert das nicht.

hab auch schon in der Registry den Eintrag "AuthMode"=1 hinzugefügt, der dann ja eigentlich dafür sorgt, dass innerhalb von 60sec nach Computeranmeldung eine Benutzeranmeldung stattfinden muss, doch trotzdem geschieht das nicht...
Bitte warten ..
Mitglied: Cardinal
17.09.2008 um 17:19 Uhr
Danke für die Antwort, das verschafft mit hier schonmal Klarheit aber, diese Option war bei mir ohnehin schon per Default gesetzt.

Deshalb ist für mich vor allem das IAS Setting bzgl Computer-Authentifizierung interessant.

Danke und Gruß
Bitte warten ..
Mitglied: Ruuudi
17.09.2008 um 20:31 Uhr
vielleicht noch n kleiner tipp. installier dir wireshark oder so dann kannste deinen netzwerkverkehr mitloggen und gucken was beim server ankommt?!
ansonsten, was sagt deine ereignisanzeige?
Bitte warten ..
Mitglied: Cardinal
18.09.2008 um 09:58 Uhr
Also,
ich habe zum Test einen XPSP3 Client mit einem Computerzertifikat im Computer-Zertifikatsspeicher, sowie einen IAS unter einem W2K3R2 Std Server, der zugleich auch Zertifizierungsstelle ist.

Eingestellt:
Client:
EAP-Typ: Geschütztes EAP
Als Computer authetifizieren, wenn Computerinformationen verfügbar sind.

Server:
Keine eigenen RAS-Richtlinien

Meldung Client: Keine / Kann keine IP beziehen
Meldung Server: IAS Event ID2: Benutzer Domäne\user wurde Zugriff verweigert
Ursache = .. da der angegebene EAP-Typ vom Server nicht verarbeitet werden kann.

Eingestellt:
Client:
EAP-Typ: Smartcard oder anderes Zertfikat (Zertifikat auf Computer verwenden)
Als Computer authetifizieren, wenn Computerinformationen verfügbar sind.

Server:
Keine eigenen RAS-Richtlinien

Meldung Client: Authentifizierung fehlgeschlagen
Meldung Server: IAS Event ID 2 - RAS-Berechtigung für Benutzer verweigert.


Mein generelles Problem ist eben, dass IAS nur Benutzerspezifische Richtlinien anbietet, abgesehen von IP Adressen etc.
Ich kann jedoch nicht sagen, alle Systeme in der Gruppe "FirmenNotebooks" dürfen verbinden.
Bitte warten ..
Mitglied: Ruuudi
18.09.2008 um 15:15 Uhr
na klar kannst du das machen... mach ne eigene sicherheitsgruppe "RADIUS-CLIENT". da machst du alle computer rein, die sich verbinden dürfen, also die ganzen Notebooks. dann ne eigene RAS-Richtlinie (am besten mit assistenten) wo du dann einstellst, dass die verbindung über WLAN (oder LAN) erfolgen muss und dass der Nutzer/Computer in der Gruppe "RADIUS-CLIENT" sein muss.
danach die richtlinie konfigurieren und bei dem reiter "authentifizierung" stellst du ein:

EAP-Typ: Geschütztes EAP (PEAP)
dann auf konfigureien und unten dann "MS CHAPv2"

dann noch die vertraute Zertifizierungsstelle anklicken.

das gleiche machst du dann auch beim client...

das müsste dann auch klappen.

gruß ruuudi
Bitte warten ..
Mitglied: Cardinal
19.09.2008 um 12:16 Uhr
Das klappt sehr gut, ist dann aber nicht mehr Zertifikatsgebunden.

Aber das mit der Windows Gruppe ist ein sehr guter Tipp, da wäre ich nicht drauf gekommen muss ich gestehen ^^

Vielen Dank!
Bitte warten ..
Mitglied: Ruuudi
19.09.2008 um 13:40 Uhr
wenn du es zertifikatgebunden haben möchtest einfach anstelle von "MS CHAPv2" -> "SmartCard oder anderes Zertifikat" einstellen... dann müste es auch mit zertifikaten klappen ;)
Bitte warten ..
Mitglied: Cardinal
19.09.2008 um 13:50 Uhr
Ja, diesmal bin ich auch selber drauf gekommen ;)

/edit: Kann mich korrigieren. Ein Reboot ist nach Zertifikatseinrichtung erforderlich, klappt nun super!

Vielen Dank!
Bitte warten ..
Mitglied: Ruuudi
20.09.2008 um 22:10 Uhr
na dann glückwunsch wäre auch mein nächster tipp gewesen ;)
Bitte warten ..
Mitglied: flugfaust
03.11.2008 um 11:58 Uhr
Also auch ich teste hier so einiges mit 802.1x.
Die Benutzerauthentifizierung sowie über MAC Adresse klappt ohne Probleme.
Jedoch möchte ich die Authentifizierung über Computerkonten einrichten.
Mir ist aufgefallen, dass sie der Computername einmal am Radius anmeldet und authentifiziert wird. Dann kommt aber ständig wieder die MAC Adresse des Computers an und der Computer verliert den Status "Authenticated" auf dem Switch wieder.
Wie kann ich es machen, dass nur noch der Computername sich am Radius anmeldet und nicht mehr die MAC Adresse?
Bitte warten ..
Mitglied: flugfaust
04.11.2008 um 13:34 Uhr
Kann mir hier niemand mehr weiter helfen?
Bitte warten ..
Mitglied: Ruuudi
04.11.2008 um 13:44 Uhr
sieht mir nach ner einstellungssache am switch aus?! welchen switch benutzt du?!
Bitte warten ..
Mitglied: flugfaust
04.11.2008 um 15:30 Uhr
AT-8000S
Das komische ist, dass ich gestern urplötzlkich den hostnamen im RADIUS Log hatte, aber nichts an den Einstellungen auf dem RADIUS verändert hatte.
Seitdem ist der Hostname aber auch nicht mehr aufgetaucht.

Nun habe ich in der Active Direcgtory im Computerkonto "Zugriff über RAS-Richtlinie steuern durch ZUGRIFF GESTATTEN umgestellt und nun geht es. Der Hostnmame erscheint wieder im RADIUS LOG und authentifiziert wird der Computer auch.
Scheinbar liegt es doch an der RAS Richtlinie im IAS?!
Bitte warten ..
Mitglied: flugfaust
05.11.2008 um 13:41 Uhr
Also so gesehen funktioniert es wenn ich dem Computerkonto in der AD sage ZUGRIFF GESTATTEN.
Allerdings wird der Logonscript des Users nicht gezogen.
Gibts da was, was ich noch verbessern könnte?
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless
RADIUS-Anmeldung vor Benutzeranmledung Win7
gelöst Frage von febayxLAN, WAN, Wireless7 Kommentare

Hallo, ich habe auf einer QNAP TS219II einen RADIUS Server laufen. Die RADIUS-Anfragen werden über einen Netgear GS108T Switch ...

Windows Server
Passwortprobleme Radius Anmeldung über Windows Server 2012R2
Frage von markuswoWindows Server

Hallo Community, folgende Situation: - freeradius auf Ubuntu 14.04.3 - Windows Server 2012 R2 Der Radius Server ist vollständig ...

Windows Userverwaltung
Keine Internetverbindung durch Domänenanmeldung
Frage von DrCoxWindows Userverwaltung5 Kommentare

Ich habe seit einigen Wochen immer wieder Ausfälle mit dem Internet. Nun habe ich dies provisiorisch dadurch gelöst, dass ...

Cluster
Wie funktioniert eigentlich ein Failovercluster?
Frage von PumpkinCluster8 Kommentare

Hallo, Ich habe die Aufgabe ein Failovercluster aufzubauen. Folgende Punkte sind mir schon bekannt: Server muss eingebunden werden. Klon ...

Neue Wissensbeiträge
Batch & Shell

Open Object Rexx: Eine mittlerweile fast vergessene Skriptsprache aus dem Mainframebereich

Information von Penny.Cilin vor 13 StundenBatch & Shell8 Kommentare

Ich kann mich noch sehr gut an diese Skriptsprache erinnern und nutze diese auch heute ab und an noch. ...

Humor (lol)

"gimme gimme gimme": Automatischer Test stolpert über Easter Egg im man-Tool

Information von Penny.Cilin vor 15 StundenHumor (lol)6 Kommentare

Interessant, was man so alles als Easter Egg implementiert. Ist schon wieder Ostern? "gimme gimme gimme": Automatischer Test stolpert ...

MikroTik RouterOS

Mikrotik - Lets Encrypt Zertifikate mit MetaROUTER Instanz auf dem Router erzeugen

Anleitung von colinardo vor 1 TagMikroTik RouterOS8 Kommentare

Einleitung Folgende Anleitung ist aus der Lage heraus entstanden das ein Kunde auf seinem Mikrotik sein Hotspot Captive Portal ...

Sicherheit

Sicherheitslücke in HP-Druckern - Firmware-Updates stehen bereit

Information von BassFishFox vor 1 TagSicherheit1 Kommentar

Ein weiterer Grund, dass Drucker keinerlei Verbindung nach "auswaerts" haben sollen. Unter Verwendung spezieller Malware können Angreifer aus der ...

Heiß diskutierte Inhalte
Windows Server
RDP macht Server schneller???
Frage von JaniDJWindows Server17 Kommentare

Hallo Community, wir betrieben seit geraumer Zeit diverse virtuelle Maschinen und Server mit Windows Server 2012. Leider haben wir ...

Windows 10
Windows 10 dunkler Bildschirm nach Umfallen
Frage von AkcentWindows 1015 Kommentare

Hallo, habe hier einen Windows 10 Rechner der von einem User umgefallen wurde (Beine übers Knie, an den PC ...

Windows 10
Bitlocker nach Verschlüsselung nicht mehr aufrufbar!
gelöst Frage von alexlazaWindows 1013 Kommentare

Hallo, ich besitze ein HP ZBook 17 G4 mit einem Windows 10 Pro Betriebssystem. Bei diesem Problem handelt sich, ...

Batch & Shell
Neuste Datei via PowerShell kopieren
gelöst Frage von kaiuwe28Batch & Shell11 Kommentare

Hallo zusammen, ich hatte mir mit Hilfe der Suche im Forum einen kleinen Code von colinardo rausgesucht und versucht ...