Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

RADIUS-Anmeldung VOR eigentlicher Domänenanmeldung

Frage Netzwerke LAN, WAN, Wireless

Mitglied: Ruuudi

Ruuudi (Level 1) - Jetzt verbinden

11.09.2008, aktualisiert 05.11.2008, 6811 Aufrufe, 17 Kommentare

Hallo

Ich habe folgendes Problem. In meiner Domäne (Win2k3) wurde ein Radius-Server implementiert (IAS). Ich hatte vor, die bestehenden LAN-Clients per RADIUS zu authentifizieren. Authentifizierung klappt auch wunderbar nur besteht jetzt folgendes Problem:

Hatte es eigentlich vor so zu machen, dass beim Domänenanmeldebildschirm der Benutzername und das Passwort eingegeben werden muss. Dann SOLL sich der Benutzer per RADIUS authentifizieren (PEAP-MS-CHAP v2) und DANN erst in der ActiveDirectory (AD). Ist das überhaupt möglich?

Habe es schon so hinbekommen, dass sich der Computer im Hintergrund per RADIUS authentifiziert. Der Port ist ja dann offen und dann können die Benutzerdaten eingegeben werden, doch wird dieser Benutzer ja dann nicht mehr per RADIUS überprüft.

Und ohne diese Authentifizierung des Computers ist z.B. auch kein servergespeichertes Profil möglich, da die 802.1x-Authentifizierung des Benutzers ja erst NACH der Registrierung in der AD erfolgt, und diese kann ja durch den NOCH geschlossenen Port gar nicht vollzogen werden.

Ist es also irgendwie möglich ERST die RADIUS-Anmeldung durchzuführen um dann ANSCHLIEßEND die AD-Anmeldung durchlaufen zu lassen bzw. dass die beiden Anmeldungen gleichzeitig ablaufen?


Gibt es außerdem die Möglichkein das Passwort NICHT in der Registrierung unter "HKEY_CURRENT_USER\Software\Microsoft\Eapol\UserEapInfo" zu speichern? ich weiß, dass ich es per batch-befehl löschen kann nur find ich das ziemlich aufwendig...

Vielen Dank schonmal im voraus.

Gruß Ruuudi
Mitglied: aqui
11.09.2008 um 19:09 Uhr
Du musst nur den Rechner selber als Device auch im AD haben (nicht nur den Benutzer), dann klappt es mit der Domänen und IAS (.1x) Authentifikation problemlos zusammen !
Bitte warten ..
Mitglied: Ruuudi
11.09.2008 um 20:40 Uhr
hallo aqui...
also der rechner ist auch in der AD unter Computers. muss der auch in der IAS-Richtlinie vorhanden sein? oder reicht da der benutzer?!
Bitte warten ..
Mitglied: Cardinal
17.09.2008 um 13:19 Uhr
Dieses Thema interessiert mich auch!

Ich finde schon nicht heraus, wie sich Clients überhaupt als "Computer" automatisch am RADIUS authentifizieren können.

Wäre für Hilfe und Weiterführung dieses Themas sehr dankbar!
Bitte warten ..
Mitglied: Ruuudi
17.09.2008 um 15:33 Uhr
Dafür musst du in den Netzwerkeigenschaften unter dem Reiter "Authentifizierung" den Haken bei "Automatisch anmelden wenn Computerinformationen vorhanden sind" setzen. Dann meldet sich die Maschine automatisch im Hintergrund am Radiusserver an.

Das Problem besteht dann halt nur darin, dass keine Benutzerauthentifikation über IAS dann stattfindet. Per WLAN haut alles hin aber im LAN funktioniert das nicht.

hab auch schon in der Registry den Eintrag "AuthMode"=1 hinzugefügt, der dann ja eigentlich dafür sorgt, dass innerhalb von 60sec nach Computeranmeldung eine Benutzeranmeldung stattfinden muss, doch trotzdem geschieht das nicht...
Bitte warten ..
Mitglied: Cardinal
17.09.2008 um 17:19 Uhr
Danke für die Antwort, das verschafft mit hier schonmal Klarheit aber, diese Option war bei mir ohnehin schon per Default gesetzt.

Deshalb ist für mich vor allem das IAS Setting bzgl Computer-Authentifizierung interessant.

Danke und Gruß
Bitte warten ..
Mitglied: Ruuudi
17.09.2008 um 20:31 Uhr
vielleicht noch n kleiner tipp. installier dir wireshark oder so dann kannste deinen netzwerkverkehr mitloggen und gucken was beim server ankommt?!
ansonsten, was sagt deine ereignisanzeige?
Bitte warten ..
Mitglied: Cardinal
18.09.2008 um 09:58 Uhr
Also,
ich habe zum Test einen XPSP3 Client mit einem Computerzertifikat im Computer-Zertifikatsspeicher, sowie einen IAS unter einem W2K3R2 Std Server, der zugleich auch Zertifizierungsstelle ist.

Eingestellt:
Client:
EAP-Typ: Geschütztes EAP
Als Computer authetifizieren, wenn Computerinformationen verfügbar sind.

Server:
Keine eigenen RAS-Richtlinien

Meldung Client: Keine / Kann keine IP beziehen
Meldung Server: IAS Event ID2: Benutzer Domäne\user wurde Zugriff verweigert
Ursache = .. da der angegebene EAP-Typ vom Server nicht verarbeitet werden kann.

Eingestellt:
Client:
EAP-Typ: Smartcard oder anderes Zertfikat (Zertifikat auf Computer verwenden)
Als Computer authetifizieren, wenn Computerinformationen verfügbar sind.

Server:
Keine eigenen RAS-Richtlinien

Meldung Client: Authentifizierung fehlgeschlagen
Meldung Server: IAS Event ID 2 - RAS-Berechtigung für Benutzer verweigert.


Mein generelles Problem ist eben, dass IAS nur Benutzerspezifische Richtlinien anbietet, abgesehen von IP Adressen etc.
Ich kann jedoch nicht sagen, alle Systeme in der Gruppe "FirmenNotebooks" dürfen verbinden.
Bitte warten ..
Mitglied: Ruuudi
18.09.2008 um 15:15 Uhr
na klar kannst du das machen... mach ne eigene sicherheitsgruppe "RADIUS-CLIENT". da machst du alle computer rein, die sich verbinden dürfen, also die ganzen Notebooks. dann ne eigene RAS-Richtlinie (am besten mit assistenten) wo du dann einstellst, dass die verbindung über WLAN (oder LAN) erfolgen muss und dass der Nutzer/Computer in der Gruppe "RADIUS-CLIENT" sein muss.
danach die richtlinie konfigurieren und bei dem reiter "authentifizierung" stellst du ein:

EAP-Typ: Geschütztes EAP (PEAP)
dann auf konfigureien und unten dann "MS CHAPv2"

dann noch die vertraute Zertifizierungsstelle anklicken.

das gleiche machst du dann auch beim client...

das müsste dann auch klappen.

gruß ruuudi
Bitte warten ..
Mitglied: Cardinal
19.09.2008 um 12:16 Uhr
Das klappt sehr gut, ist dann aber nicht mehr Zertifikatsgebunden.

Aber das mit der Windows Gruppe ist ein sehr guter Tipp, da wäre ich nicht drauf gekommen muss ich gestehen ^^

Vielen Dank!
Bitte warten ..
Mitglied: Ruuudi
19.09.2008 um 13:40 Uhr
wenn du es zertifikatgebunden haben möchtest einfach anstelle von "MS CHAPv2" -> "SmartCard oder anderes Zertifikat" einstellen... dann müste es auch mit zertifikaten klappen ;)
Bitte warten ..
Mitglied: Cardinal
19.09.2008 um 13:50 Uhr
Ja, diesmal bin ich auch selber drauf gekommen ;)

/edit: Kann mich korrigieren. Ein Reboot ist nach Zertifikatseinrichtung erforderlich, klappt nun super!

Vielen Dank!
Bitte warten ..
Mitglied: Ruuudi
20.09.2008 um 22:10 Uhr
na dann glückwunsch wäre auch mein nächster tipp gewesen ;)
Bitte warten ..
Mitglied: flugfaust
03.11.2008 um 11:58 Uhr
Also auch ich teste hier so einiges mit 802.1x.
Die Benutzerauthentifizierung sowie über MAC Adresse klappt ohne Probleme.
Jedoch möchte ich die Authentifizierung über Computerkonten einrichten.
Mir ist aufgefallen, dass sie der Computername einmal am Radius anmeldet und authentifiziert wird. Dann kommt aber ständig wieder die MAC Adresse des Computers an und der Computer verliert den Status "Authenticated" auf dem Switch wieder.
Wie kann ich es machen, dass nur noch der Computername sich am Radius anmeldet und nicht mehr die MAC Adresse?
Bitte warten ..
Mitglied: flugfaust
04.11.2008 um 13:34 Uhr
Kann mir hier niemand mehr weiter helfen?
Bitte warten ..
Mitglied: Ruuudi
04.11.2008 um 13:44 Uhr
sieht mir nach ner einstellungssache am switch aus?! welchen switch benutzt du?!
Bitte warten ..
Mitglied: flugfaust
04.11.2008 um 15:30 Uhr
AT-8000S
Das komische ist, dass ich gestern urplötzlkich den hostnamen im RADIUS Log hatte, aber nichts an den Einstellungen auf dem RADIUS verändert hatte.
Seitdem ist der Hostname aber auch nicht mehr aufgetaucht.

Nun habe ich in der Active Direcgtory im Computerkonto "Zugriff über RAS-Richtlinie steuern durch ZUGRIFF GESTATTEN umgestellt und nun geht es. Der Hostnmame erscheint wieder im RADIUS LOG und authentifiziert wird der Computer auch.
Scheinbar liegt es doch an der RAS Richtlinie im IAS?!
Bitte warten ..
Mitglied: flugfaust
05.11.2008 um 13:41 Uhr
Also so gesehen funktioniert es wenn ich dem Computerkonto in der AD sage ZUGRIFF GESTATTEN.
Allerdings wird der Logonscript des Users nicht gezogen.
Gibts da was, was ich noch verbessern könnte?
Bitte warten ..
Ähnliche Inhalte
Windows 10
gelöst Win 10 Client in Domäne - Anmeldung per Fingerprint, Hello ausgegraut (8)

Frage von Mittenwaelder zum Thema Windows 10 ...

Windows 10
Anmeldung im Windows Store funktioniert nicht mehr (2)

Frage von Desert-Igel zum Thema Windows 10 ...

Windows Server
gelöst Domänen Benutzer via RDP Anmeldung am WDC für spezielle Aufgabe (11)

Frage von zeroblue2005 zum Thema Windows Server ...

Neue Wissensbeiträge
Windows 10

Windows 8.x oder 10 Lizenz-Key aus dem ROM auslesen mit Linux

(6)

Tipp von Lochkartenstanzer zum Thema Windows 10 ...

Tipps & Tricks

Wie Hackt man sich am besten in ein Computernetzwerk ein

(40)

Erfahrungsbericht von Herbrich19 zum Thema Tipps & Tricks ...

Heiß diskutierte Inhalte
Windows 10
gelöst Windows 10 Home "Netzlaufwerk nicht bereit" (19)

Frage von Oggy01 zum Thema Windows 10 ...

DNS
gelöst Komplette TLD Überschreiben bzw eigene Definieren (10)

Frage von Herbrich19 zum Thema DNS ...

Exchange Server
gelöst RU 17 Exchange 2010 . Erfahrungen? (10)

Frage von keine-ahnung zum Thema Exchange Server ...

Datenbanken
gelöst MySQL Zeiterfassungs-Problematik (wer ist eingecheckt) (9)

Frage von NativeMode zum Thema Datenbanken ...