Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

RADIUS-Anmeldung VOR eigentlicher Domänenanmeldung

Frage Netzwerke LAN, WAN, Wireless

Mitglied: Ruuudi

Ruuudi (Level 1) - Jetzt verbinden

11.09.2008, aktualisiert 05.11.2008, 6548 Aufrufe, 17 Kommentare

Hallo

Ich habe folgendes Problem. In meiner Domäne (Win2k3) wurde ein Radius-Server implementiert (IAS). Ich hatte vor, die bestehenden LAN-Clients per RADIUS zu authentifizieren. Authentifizierung klappt auch wunderbar nur besteht jetzt folgendes Problem:

Hatte es eigentlich vor so zu machen, dass beim Domänenanmeldebildschirm der Benutzername und das Passwort eingegeben werden muss. Dann SOLL sich der Benutzer per RADIUS authentifizieren (PEAP-MS-CHAP v2) und DANN erst in der ActiveDirectory (AD). Ist das überhaupt möglich?

Habe es schon so hinbekommen, dass sich der Computer im Hintergrund per RADIUS authentifiziert. Der Port ist ja dann offen und dann können die Benutzerdaten eingegeben werden, doch wird dieser Benutzer ja dann nicht mehr per RADIUS überprüft.

Und ohne diese Authentifizierung des Computers ist z.B. auch kein servergespeichertes Profil möglich, da die 802.1x-Authentifizierung des Benutzers ja erst NACH der Registrierung in der AD erfolgt, und diese kann ja durch den NOCH geschlossenen Port gar nicht vollzogen werden.

Ist es also irgendwie möglich ERST die RADIUS-Anmeldung durchzuführen um dann ANSCHLIEßEND die AD-Anmeldung durchlaufen zu lassen bzw. dass die beiden Anmeldungen gleichzeitig ablaufen?


Gibt es außerdem die Möglichkein das Passwort NICHT in der Registrierung unter "HKEY_CURRENT_USER\Software\Microsoft\Eapol\UserEapInfo" zu speichern? ich weiß, dass ich es per batch-befehl löschen kann nur find ich das ziemlich aufwendig...

Vielen Dank schonmal im voraus.

Gruß Ruuudi
Mitglied: aqui
11.09.2008 um 19:09 Uhr
Du musst nur den Rechner selber als Device auch im AD haben (nicht nur den Benutzer), dann klappt es mit der Domänen und IAS (.1x) Authentifikation problemlos zusammen !
Bitte warten ..
Mitglied: Ruuudi
11.09.2008 um 20:40 Uhr
hallo aqui...
also der rechner ist auch in der AD unter Computers. muss der auch in der IAS-Richtlinie vorhanden sein? oder reicht da der benutzer?!
Bitte warten ..
Mitglied: Cardinal
17.09.2008 um 13:19 Uhr
Dieses Thema interessiert mich auch!

Ich finde schon nicht heraus, wie sich Clients überhaupt als "Computer" automatisch am RADIUS authentifizieren können.

Wäre für Hilfe und Weiterführung dieses Themas sehr dankbar!
Bitte warten ..
Mitglied: Ruuudi
17.09.2008 um 15:33 Uhr
Dafür musst du in den Netzwerkeigenschaften unter dem Reiter "Authentifizierung" den Haken bei "Automatisch anmelden wenn Computerinformationen vorhanden sind" setzen. Dann meldet sich die Maschine automatisch im Hintergrund am Radiusserver an.

Das Problem besteht dann halt nur darin, dass keine Benutzerauthentifikation über IAS dann stattfindet. Per WLAN haut alles hin aber im LAN funktioniert das nicht.

hab auch schon in der Registry den Eintrag "AuthMode"=1 hinzugefügt, der dann ja eigentlich dafür sorgt, dass innerhalb von 60sec nach Computeranmeldung eine Benutzeranmeldung stattfinden muss, doch trotzdem geschieht das nicht...
Bitte warten ..
Mitglied: Cardinal
17.09.2008 um 17:19 Uhr
Danke für die Antwort, das verschafft mit hier schonmal Klarheit aber, diese Option war bei mir ohnehin schon per Default gesetzt.

Deshalb ist für mich vor allem das IAS Setting bzgl Computer-Authentifizierung interessant.

Danke und Gruß
Bitte warten ..
Mitglied: Ruuudi
17.09.2008 um 20:31 Uhr
vielleicht noch n kleiner tipp. installier dir wireshark oder so dann kannste deinen netzwerkverkehr mitloggen und gucken was beim server ankommt?!
ansonsten, was sagt deine ereignisanzeige?
Bitte warten ..
Mitglied: Cardinal
18.09.2008 um 09:58 Uhr
Also,
ich habe zum Test einen XPSP3 Client mit einem Computerzertifikat im Computer-Zertifikatsspeicher, sowie einen IAS unter einem W2K3R2 Std Server, der zugleich auch Zertifizierungsstelle ist.

Eingestellt:
Client:
EAP-Typ: Geschütztes EAP
Als Computer authetifizieren, wenn Computerinformationen verfügbar sind.

Server:
Keine eigenen RAS-Richtlinien

Meldung Client: Keine / Kann keine IP beziehen
Meldung Server: IAS Event ID2: Benutzer Domäne\user wurde Zugriff verweigert
Ursache = .. da der angegebene EAP-Typ vom Server nicht verarbeitet werden kann.

Eingestellt:
Client:
EAP-Typ: Smartcard oder anderes Zertfikat (Zertifikat auf Computer verwenden)
Als Computer authetifizieren, wenn Computerinformationen verfügbar sind.

Server:
Keine eigenen RAS-Richtlinien

Meldung Client: Authentifizierung fehlgeschlagen
Meldung Server: IAS Event ID 2 - RAS-Berechtigung für Benutzer verweigert.


Mein generelles Problem ist eben, dass IAS nur Benutzerspezifische Richtlinien anbietet, abgesehen von IP Adressen etc.
Ich kann jedoch nicht sagen, alle Systeme in der Gruppe "FirmenNotebooks" dürfen verbinden.
Bitte warten ..
Mitglied: Ruuudi
18.09.2008 um 15:15 Uhr
na klar kannst du das machen... mach ne eigene sicherheitsgruppe "RADIUS-CLIENT". da machst du alle computer rein, die sich verbinden dürfen, also die ganzen Notebooks. dann ne eigene RAS-Richtlinie (am besten mit assistenten) wo du dann einstellst, dass die verbindung über WLAN (oder LAN) erfolgen muss und dass der Nutzer/Computer in der Gruppe "RADIUS-CLIENT" sein muss.
danach die richtlinie konfigurieren und bei dem reiter "authentifizierung" stellst du ein:

EAP-Typ: Geschütztes EAP (PEAP)
dann auf konfigureien und unten dann "MS CHAPv2"

dann noch die vertraute Zertifizierungsstelle anklicken.

das gleiche machst du dann auch beim client...

das müsste dann auch klappen.

gruß ruuudi
Bitte warten ..
Mitglied: Cardinal
19.09.2008 um 12:16 Uhr
Das klappt sehr gut, ist dann aber nicht mehr Zertifikatsgebunden.

Aber das mit der Windows Gruppe ist ein sehr guter Tipp, da wäre ich nicht drauf gekommen muss ich gestehen ^^

Vielen Dank!
Bitte warten ..
Mitglied: Ruuudi
19.09.2008 um 13:40 Uhr
wenn du es zertifikatgebunden haben möchtest einfach anstelle von "MS CHAPv2" -> "SmartCard oder anderes Zertifikat" einstellen... dann müste es auch mit zertifikaten klappen ;)
Bitte warten ..
Mitglied: Cardinal
19.09.2008 um 13:50 Uhr
Ja, diesmal bin ich auch selber drauf gekommen ;)

/edit: Kann mich korrigieren. Ein Reboot ist nach Zertifikatseinrichtung erforderlich, klappt nun super!

Vielen Dank!
Bitte warten ..
Mitglied: Ruuudi
20.09.2008 um 22:10 Uhr
na dann glückwunsch wäre auch mein nächster tipp gewesen ;)
Bitte warten ..
Mitglied: flugfaust
03.11.2008 um 11:58 Uhr
Also auch ich teste hier so einiges mit 802.1x.
Die Benutzerauthentifizierung sowie über MAC Adresse klappt ohne Probleme.
Jedoch möchte ich die Authentifizierung über Computerkonten einrichten.
Mir ist aufgefallen, dass sie der Computername einmal am Radius anmeldet und authentifiziert wird. Dann kommt aber ständig wieder die MAC Adresse des Computers an und der Computer verliert den Status "Authenticated" auf dem Switch wieder.
Wie kann ich es machen, dass nur noch der Computername sich am Radius anmeldet und nicht mehr die MAC Adresse?
Bitte warten ..
Mitglied: flugfaust
04.11.2008 um 13:34 Uhr
Kann mir hier niemand mehr weiter helfen?
Bitte warten ..
Mitglied: Ruuudi
04.11.2008 um 13:44 Uhr
sieht mir nach ner einstellungssache am switch aus?! welchen switch benutzt du?!
Bitte warten ..
Mitglied: flugfaust
04.11.2008 um 15:30 Uhr
AT-8000S
Das komische ist, dass ich gestern urplötzlkich den hostnamen im RADIUS Log hatte, aber nichts an den Einstellungen auf dem RADIUS verändert hatte.
Seitdem ist der Hostname aber auch nicht mehr aufgetaucht.

Nun habe ich in der Active Direcgtory im Computerkonto "Zugriff über RAS-Richtlinie steuern durch ZUGRIFF GESTATTEN umgestellt und nun geht es. Der Hostnmame erscheint wieder im RADIUS LOG und authentifiziert wird der Computer auch.
Scheinbar liegt es doch an der RAS Richtlinie im IAS?!
Bitte warten ..
Mitglied: flugfaust
05.11.2008 um 13:41 Uhr
Also so gesehen funktioniert es wenn ich dem Computerkonto in der AD sage ZUGRIFF GESTATTEN.
Allerdings wird der Logonscript des Users nicht gezogen.
Gibts da was, was ich noch verbessern könnte?
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung! - BNG - Broadband Network Gateway

(3)

Erfahrungsbericht von ashnod zum Thema Internet ...

Ähnliche Inhalte
Router & Routing
Radius für 15 User direkt über Mikrotik- oder Ubiquiti-Router (4)

Frage von Muesliriegel zum Thema Router & Routing ...

Microsoft
Keine Anmeldung mehr möglich (Server 2012 R2) (4)

Frage von Shnuuu zum Thema Microsoft ...

Windows 10
Anmeldung bei Notebook funktionietr nur nach ca 30 min (2)

Frage von GrauerStar zum Thema Windows 10 ...

Windows Netzwerk
Ktpass für Anmeldung von LAMP an Win-Domäne (Verständnisfrage)

Frage von pablovic zum Thema Windows Netzwerk ...

Heiß diskutierte Inhalte
Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

Grafikkarten & Monitore
Tonprobleme bei Fernseher mit angeschlossenem Laptop über HDMI (11)

Frage von Y3shix zum Thema Grafikkarten & Monitore ...

Microsoft Office
Keine Updates für Office 2016 (11)

Frage von Motte990 zum Thema Microsoft Office ...