Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Sophos UTM Radius Authentifizierung

Frage Netzwerke

Mitglied: manuelw

manuelw (Level 2) - Jetzt verbinden

05.12.2013, aktualisiert 06.12.2013, 7010 Aufrufe, 10 Kommentare, 1 Danke

Hallo!

Ich versuche soeben meine UTM 9.1 mit meinem Windows Server Active Directory zu Verbinden. Da ich für VPN Verbindungen als Authentifizierungsmethode nur Radius oder Lokal nehmen kann.

Den Windows Server habe ich wie in der Anleitung von Sophos (http://www.sophos.com/de-de/support/knowledgebase/115050.aspx) beschrieben konfiguriert.

In der UTM habe ich dann auch alles eingegeben und habe auf "Servereinstellungen Testen" geklickt.
Sofort erschien die Meldung "Servertest bestanden" und im LOG stand:

2013:12:05-12:52:04 firewall aua[8168]: id="3006" severity="info" sys="System" sub="auth" name="Bind test request: radius" 
2013:12:05-12:52:04 firewall aua[8168]: id="3006" severity="info" sys="System" sub="auth" name="Bind test successfull. Method: radius"
Gleich darunter habe ich die Möglichkeit mich mit einem Beispielbenutzer zu authentifizieren.
Wenn ich allerdings da meinen Benutzernamen, welcher auch in der Berechtigten Gruppe ist, eingebe und dann auf "Test" klicke, erhalte ich die Meldung:
Benutzerauthentifizierung:  Authentication test passed. Benutzer ist Mitglied folgender Gruppen: Für diesen Benutzer wurden keine Gruppen gefunden
Hier habe ich auch die Möglichkeit die NAS-Kennung anzugeben. Ich habe am Windows Server nur die Kennung für das Benutzerportal (portal) hinterlegt. Wenn ich jetzt die Kennung auf der UTM auswähle und erneut auf "Test" klicke, erhalte ich folgende Meldung:
Benutzerauthentifizierung:Radius authentication failedBenutzer ist Mitglied folgender Gruppen: 
Für diesen Benutzer wurden keine Gruppen gefunden
Und im LOG steht:

2013:12:05-12:56:21 firewall aua[8535]: id="3006" severity="info" sys="System" sub="auth" name="Spawned child for authentication test" 
2013:12:05-12:56:21 firewall aua[8535]: id="3006" severity="info" sys="System" sub="auth" name="Authentication test request: m:radius, f:portal, u:manuel, ip:0.0.0.0" 
2013:12:05-12:56:21 firewall aua[8535]: id="3006" severity="info" sys="System" sub="auth" name="Authentication test failed: Radius authentication failed"
Habe ich hierbei einen Punkt übersehen, der noch konfiguriert werden muss?

L.G.
Manuel
Mitglied: spacyfreak
LÖSUNG 05.12.2013, aktualisiert 06.12.2013
schaumal im eventlog im IAS (system eventlog) oder NPS (security eventlog) server WARUM er den user abgelehnt hat.
hast du auch ne ras-policy auf dem radius angelegt?

Die NAS-Kennung (network access server) kann (optional) benutzt werden wenn man viele RAS-Policies für verschiedene Zwecke betreibt, als Attribut das man als Bedingung nutzen kann damit die spezifische RAS-Policy "matcht".
Da kann dann eine RAS-Policy das User Portal regeln (wer darf sich da anmelden), eine andere RAS-Policy zb wlan-anwender authentisieren usw.

Ansonsten muss die NAS-Kennung in der RAS Policy und auf dem UTM gleich sein, egal wie die heisst, hautpsache sie heisst auf beiden gleich.
Wenn man eh nur einen zweck für den radius hat muss man die NAS Kennung garnicht verwenden. NAS Identifier ist nur ein radius attribut von vielen.
Welches Attribut man nimmt hängt davon ab was man erreichen will.

Wichtig ist vor allem dass die UTM als RAdiusClient mit gleichem Secret auf dem RAdius angelegt ist und der Radius im UTM mit dem selben SEcret eingetragen ist.
Wenn das gegeben ist, schaut man die RAS Policy an und die BEDINGUNG(EN) die erfüllt sein müssen, damit der Radius den User im AD authentisiert.
Einfachste Bedingung wäre "es ist Mo-So zwischen 00:00 und 24:00" (glaube das ist die default policy).
Alternativ kann man als Bedingung verwenden "User ist Mitglied in AD Gruppe VPN Users".
Hilfreich ist oft auch networksniffer wie network monitor oder wireshark, da radius pakete nicht verschlüsselt sind kann man in den paketen guggen was der so treibt und rückschlüsse ziehen.
Kann auch sein dass die Sophos den NAS-identifier eintrag "verhunzt" und zb "porrtal" statt "portal" schickt oder sowas. (bug).
DAs sieht man dann in den gesnifften paketen was da konkret für werte und attribute geschickt werden grade bei radius sehr schön.
Man kann auch auf dem UTM schön sniffen via ssh / putty kommandozeile drauf (ssh erst aktivieren unter management glaub ich in der UTM).


tcpdump -i eth0 -vvv | grep 10.20.30.40 z. B.

oder in ne datei schreiben und diese dann per scp auf den rechner kopieren und in wireshark öffnen

tcpdump -i eth0 -vvv | grep 10.20.30.40 >> superdump


Erster Blick jedoch ist eventlog im radiussrever, da steht allermeist drin warum nix geht.
Und - nach jeder RAdius-Konfig Änderung muss der IAS/NPS Dienst neu gestartet werden sonst liest der die Änderung nicht ein.
Bitte warten ..
Mitglied: manuelw
05.12.2013 um 19:54 Uhr
Hallo Spacyfreak,

ich hab mir soeben den EventLog am NPS Server angesehen und da steht bei den einzelnen Verbindungsversuchen der Benutzer (egal welcher Benutzer) folgendes im Log:
SubjectUserName test.user  
  SubjectDomainName ****  
  FullyQualifiedSubjectUserName ****.local/Benutzer/Standard/Test User  
  SubjectMachineSID S-1-0-0  
  SubjectMachineName -  
  FullyQualifiedSubjectMachineName -  
  MachineInventory -  
  CalledStationID -  
  CallingStationID -  
  NASIPv4Address -  
  NASIPv6Address -  
  NASIdentifier portal  
  NASPortType -  
  NASPort -  
  ClientName UTM9  
  ClientIPAddress 10.1.1.1  
  ProxyPolicyName Use Windows authentication for all users  
  NetworkPolicyName UTM9  
  AuthenticationProvider Windows  
  AuthenticationServer server.****.local  
  AuthenticationType PAP  
  EAPType -  
  AccountSessionIdentifier -  
  ReasonCode 66  
  Reason Der Benutzer hat versucht, eine Authentifizierungsmethode zu verwenden, die in der entsprechenden Netzwerkrichtlinie nicht aktiviert wurde.  
  LoggingResult Die Kontoinformationen wurden in die lokale Protokolldatei geschrieben. 
Leider kenne ich mich damit noch nicht so aus, dass ich jetzt sofort wissen würde was zu machen ist.
Deswegen würde es mir sehr viel helfen wenn Du mir sagen könntest was eventuelle zu Probieren bzw. zu machen wäre.

Ich muss nur noch dazu sagen, dass ich am Windows Server keinen RAS Dienst installiert habe! Ich habe lediglich bei der Installation der Rolle den NPS Dienst ausgewählt, so wie es halt in der Anleitung beschrieben war.


L.G.
Manuel
Bitte warten ..
Mitglied: spacyfreak
LÖSUNG 05.12.2013, aktualisiert 06.12.2013
AuthenticationType PAP
Reason Der Benutzer hat versucht, eine Authentifizierungsmethode zu verwenden, die in der entsprechenden Netzwerkrichtlinie nicht aktiviert wurde.


Da steht alles in Doitsch.
In den RAS-Policies kann man verschiedene Auth-Methoden aktivieren wie PAP, CHAP, MSchap, MSchapv2 und sowas (RAS-Policy...Profile.. Authentication).
Da ist ein "mismatch" - die UTM will eine Auth-Methode verwenden die in deiner Policy nicht aktiviert ist. Ich wette bei dir ists PAP deaktiviert.
PAP ist unverschlüsselt - aber das ist auch wieder egal weil das Radiusprotokoll das Kennwort des Anwenders verschlüsselt überträgt zwischen UTM und Radius-Server.

http://cn.cbsimg.net/cnwk.1d/i/tr/Eve/figs05022007/graphic8.png
Aktivier doch ma alle verfügbaren Methoden in der RAS-Policy, starte den Radius service neu und hol dir nen Kaffee?
Du bist fast am Ziel! Ansonsten denke ich passt alles wie es aussieht..
Bitte warten ..
Mitglied: manuelw
05.12.2013 um 20:46 Uhr
Danke für die Hilfe!

Jetzt funktioniert es schon mal im "Testfenster". Hier erhalte ich nach Eingabe des Benutzers und dem Passwort eine Erfolgsmeldung:
917acdfd27f5de8902e0aa4d9c43124e - Klicke auf das Bild, um es zu vergrößern

Leider klappt die Anmeldung im Benutzerportal noch immer nicht:
123fe209eb0826a6f019965c1be5d0e7 - Klicke auf das Bild, um es zu vergrößern

Im Log der UTM steht allerdings:
01.
2013:12:05-20:43:45 firewall aua[3240]: id="3006" severity="info" sys="System" sub="auth" name="Child 1374 is running too long. Terminating child" 
02.
2013:12:05-20:43:45 firewall aua[1549]: id="3006" severity="info" sys="System" sub="auth" name="Trying 10.1.1.2 (radius)" 
03.
2013:12:05-20:43:45 firewall aua[1549]: id="3005" severity="warn" sys="System" sub="auth" name="Authentication failed" srcip="10.1.1.10" user="manuel" caller="portal" reason=„DENIED“
Und im Log des Servers steht:

01.
 SubjectUserSid S-1-5-21-3386300757-2188757975-3600010004-1139  
02.
  SubjectUserName manuel  
03.
  SubjectDomainName **** 
04.
  FullyQualifiedSubjectUserName ****.local/Benutzer/Standard/Manuel  
05.
  SubjectMachineSID S-1-0-0  
06.
  SubjectMachineName -  
07.
  FullyQualifiedSubjectMachineName -  
08.
  MachineInventory -  
09.
  CalledStationID -  
10.
  CallingStationID -  
11.
  NASIPv4Address -  
12.
  NASIPv6Address -  
13.
  NASIdentifier portal  
14.
  NASPortType -  
15.
  NASPort -  
16.
  ClientName UTM9  
17.
  ClientIPAddress 10.1.1.1  
18.
  ProxyPolicyName Use Windows authentication for all users  
19.
  NetworkPolicyName UTM9  
20.
  AuthenticationProvider Windows  
21.
  AuthenticationServer server.****.local  
22.
  AuthenticationType PAP  
23.
  EAPType -  
24.
  AccountSessionIdentifier -  
25.
  QuarantineState Vollzugriff  
26.
  ExtendedQuarantineState -  
27.
  QuarantineSessionID -  
28.
  QuarantineHelpURL -  
29.
  QuarantineSystemHealthResult - 
Bitte warten ..
Mitglied: spacyfreak
05.12.2013 um 21:02 Uhr
Setz im NPS den Haken bei "Ignore User Dial-in properties".
Bitte warten ..
Mitglied: manuelw
05.12.2013 um 21:46 Uhr
Hab ich soeben gemacht. Den NPS neu gestartet, aber funktioniert leider trotzdem nicht.

Hat es vielleicht etwas mit dieser Meldung im UTM Log zu tun:

".... Child 9370 is running too long. Terminating child"
Bitte warten ..
Mitglied: spacyfreak
06.12.2013, aktualisiert um 07:53 Uhr
Die Radiusgeschichte ist funktional, sonst hättest nicht die "DENIED" <meldung gekriegt im log.
Aus irgendeinem Grund lehnt der RAdius deine Anfrage ab. Berechtigungsthema glaub ich.

Probier mal dein AD Kennwort zu ändern, manchmal gibts probleme mit gewissen Sonderzeichen im Kennwort.
Versuch mal ein ganz einfaches so als Test.
Bitte warten ..
Mitglied: manuelw
06.12.2013 um 13:32 Uhr
Ok, am Kennwort kann's aber auch nicht liegen,
da ich zum Probieren Extra ein einfaches (12345bb) genommen hab.

Ich hab's auch schon mit verschiedenen Usern Probiert welche die Berechtigung "VPN User" haben. Aber es ist bei allen die selbe Meldung.
Bitte warten ..
Mitglied: manuelw
06.12.2013 um 14:50 Uhr
Jetzt funktioniert es!

Auf der UTM musste noch der Punkt "Benutzer automatisch erstellen:" angehakt werden.

Danke für deine Hilfe, ohne Dich hätte ich dass nicht geschafft!

L.G.
Manuel
Bitte warten ..
Mitglied: spacyfreak
07.12.2013 um 18:01 Uhr
Superb!
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Firewall
Sophos Utm 9 Port 3000 für ProfiCash freigeben (4)

Frage von Floh21 zum Thema Firewall ...

Firewall
gelöst VPN Site to Site von IPFire zu Sophos UTM (19)

Frage von touro411 zum Thema Firewall ...

DSL, VDSL
gelöst Sophos UTM virtuell vs. FritzBox 7490 Hardware (26)

Frage von photographix zum Thema DSL, VDSL ...

Firewall
gelöst Sophos UTM DMZ und VLAN (2)

Frage von DaPedda zum Thema Firewall ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (14)

Frage von liquidbase zum Thema Windows Update ...

DSL, VDSL
Problem mit variernder Internetgeschwindigkeit (12)

Frage von schaurian zum Thema DSL, VDSL ...