Sep 02, 2013, updated at Oct 21, 2013 (UTC)

6273

Windows Server 2008 mit Procurve Switch RADIUS MAC-Authentifikation Verschlüsselungsprobleme

Hallo Zusammen

Ich hoffe das wird die letzte Frage dazu, aber ich bin schon wieder ein rechtes Stück weitergekommen. Die Authentifizierung läuft jetzt und der Benutzer wird gefunden und akzeptiert. Nur leider behauptet der Server, dass der Benutzer keine umkehrbar verschlüsselte Kennwörter aktiviert seien:

 
Der Netzwerkrichtlinienserver verweigerte einem Benutzer den Zugriff.

Wenden Sie sich an den Administrator des Netzwerkrichtlinienservers, um weitere Informationen zu erhalten.

Benutzer:
	Sicherheits-ID:			NULL SID
	Kontoname:				843497ca71a9
	Kontodomäne:				UEB
	Vollqualifizierter Kontoname:		UEB\84-34-97-ca-71-a9

Clientcomputer:
	Sicherheits-ID:			NULL SID
	Kontoname:				-
	Vollqualifizierter Kontoname:		-
	Betriebssystemversion:			-
	Empfänger-ID:				84-34-97-43-5f-99
	Anrufer-ID:				84-34-97-ca-71-a9

NAS:
	NAS-IPv4-Adresse:			192.168.210.51
	NAS-IPv6-Adresse:			-
	NAS-ID:					UEBSW01
	NAS-Porttyp:				Ethernet
	NAS-Port:				7

RADIUS-Client:
	Clientanzeigenname:				UEBSW01
	Client-IP-Adresse:			192.168.210.51

Authentifizierungsdetails:
	Name der Verbindungsanforderungsrichtlinie:	RADIUS-Client 2
	Netzwerkrichtlinienname:		-
	Authentifizierungsanbieter:		Windows
	Authentifizierungsserver:		UEBSRV.ueb.lokal
	Authentifizierungstyp:		MD5-CHAP
	EAP-Typ:			-
	Kontositzungs-ID:		-
	Protokollierungsergebnisse:			Die Kontoinformationen wurden in die lokale Protokolldatei geschrieben.
	Ursachencode:			19
	Ursache:				Der Benutzer konnte nicht durch das Challenge-Handshake Authentication-Protokoll (CHAP) authentifiziert werden. Für dieses Benutzerkonto ist kein umkehrbar verschlüsseltes Kennwort vorhanden. Überprüfen Sie die Kennwortrichtlinie der Domäne bzw. die Kennworteinstellungen des Benutzerkontos, um sicherzustellen, dass umkehrbar verschlüsselte Kennwörter aktiviert sind.

Ich habe mich an die Lösung von Microsoft gehalten;
http://technet.microsoft.com/en-us/library/dd197464%28v=ws.10%29.aspx

...und die Einstellungen vorgenommen, sprich allen Benutzern das umkehrbar verschlüsselte Kennwort aktiviert und die GPO angepasst. Trotzdem wird mir immer noch angezeigt, dass die umkehrbare Verschlüsselung nicht richtig ausgeführt wird. Leider kann mit meinem Switch (HP ProCurve 2520G-8-PoE) nur die CHAP-Verschlüsselung anwenden, EAP ist leider nicht möglich.

Was kann ich noch tun?

Gruss

gabeBU

Please also mark the comments that contributed to the solution of the article

Content-Key: 215872

Url: https://administrator.de/contentid/215872

Printed on: April 19, 2024 at 10:04 o'clock

28 Comments

Latest comment

Ich kann leider nicht erkennen was für ein NAS du betreibst, aber im Grunde scheint es so das auf diesem NAS noch kein CHAP aktiviert ist.
Hier mal ein Beispiel unter iSCSI: https://www.corelan.be/index.php/2007/08/22/connect-to-openfiler-san-usi ...

Es dreht sich hier NICHT um ein NAS sondern User basierte Port Authentisierung nach dem IEEE 802.1x Standard auf einem LAN Netzwerk Switch:
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch

Muss ich glatt übersehen haben, Entschuldigung.
Der Auszug vom Log ist vom Client oder Switch oder Server?
Die Konfig vom Switch sieht man hier auch irgendwo?
Die AD Konfig ist entsprechend angepasst?
Sorry aber ich blicke hier nicht durch

Sieht so nach Winblows Server Log aus aus.... Im o.a. Tutorial findest du eine Beispielkonfig für einen Switch. Dann solltest du auch durchblicken...

Nur das ein Beispiel nicht die reale Config zeigt.
Wird wohl aber eher am Server liegen, so aus der Glaskugel geschossen.

Richtig...ist zu vermuten ! Von den .1x Feature Einschränkungen bei Billigheimer HP mal abgesehen.

Es bleiben auch die Einschränkungen die Konfigurationen nicht zu kennen. Ist eine Firewall dazwischen, Port und VLan etc. Da wird es schwer. Vielleicht legt er einen komplett neuen User an und testet mit dem?

Ooookey sorry, da ich schon 2 Fragen geschrieben haben, bin ich nicht mehr in die Details. Mein Fehler

Hier sind die Verbindungsrichtlinieneinstellungen (bei allen Clients identisch):

Und die Netzwerkeinstellungen der Clients (auch bei allen identisch):

Bedingungen

Einschränkungen

Einstellungen

aalso hier die Konfiguration des Switches (die ja meiner Meinung nach richtig sein sollte, da ja die Authentifikation funktioniert):

Seite 1:
Startup configuration:

; J9298A Configuration Editor; Created on release #J.14.01

hostname "UEBSW01"  
ip default-gateway 192.168.210.1
vlan 1
   name "DEFAULT_VLAN"  
   untagged 1-10
   ip address dhcp-bootp
   exit
vlan 2
   name "unauth"  
   no ip address
   exit
vlan 3
   name "auth"  
   ip address dhcp-bootp
   exit
aaa authentication port-access eap-radius
radius-server host 192.168.210.1 key "123"  
snmp-server community "public" Unrestricted  

Seite 2:
snmp-server contact "******" location "****"  
aaa port-access mac-based 7 auth-vid 3
aaa port-access mac-based 7 unauth-vid 2
password manager

Authentifikationseinstellungen:
        | Login      Login      Enable     Enable
  Access Task | Primary    Secondary  Primary    Secondary
  ----------- + ---------- ---------- ---------- ----------
  Console     | Local      None       Local      None
  Telnet      | Local      None       Local      None
  Port-Access | EapRadius  None
  Webui       | Local      None       Local      None
  SSH         | Local      None       Local      None
  Web-Auth    | ChapRadius None
  MAC-Auth    | ChapRadius None

Bei der letzten haut es leider die Formatierung raus. Ich hoffe man kann es imemr noch erkennen (sonst werde ich noch ein Screenshot beilegen, falls erwünscht).
Die AD Config habe ich euch einen Screenshots des Benutzers für meine Virtuelle Maschine beigelegt. Es sind alle gleich konfiguriert (ja, die MAC-Adresse muss mit Strichen getrennt werden, sonst wird der Benutzer nicht gefunden!):

AD-Einstellungen
Allgemein:

Konto:

Gruppen:

Gruppenrichtlinienverwaltung:
Übersicht (die RADIUS-Auth ist die dafür vorhergesene GPO):

Delegierungen :

Und dann die VLAN's. Aalso:

Ich arbeite in meiner Bude daran als Nebenprojekt (als Übung für die Lehrabschlussprüfung). Dafür habe ich ein unabhängiges VLAN erhalten, dass auf einen unserer grossen Switches geschalten ist (sonst lässt der einfach durch) . Der Server zwischen diesem Switch und dem Server liegt der oben genannte (HP ProCurve 2520G-8-PoE), den ich für die RADIUS-Authentifikation entsprechend konfiguriert habe. Auf der "anderen Seite" habe ich nochmals einen kleinen Switch, der auch einfach nur durchlässt. Dort habe ich dann meinen ArbeitsPC verbunden, der mit einer zwegiten Netzwerkkarte augestattet ist. Dort habe ich eine virtuelle Maschine von VMWare, die ich als Übungsclient nutze und ich greife per Remotedesktop auf den Server. Wie ihr oben sehen könnt, habe ich allen Switches und Clients einen Benutzer via MAC-Adresse angelegt.

Edit: Soo, Bilder sind eingefügt. Ich hoffe, ich habe nichts vergessen.

Sieht sauber aus.
Hast du, nach den Änderungen, mal testweise das Passwort geändert?
Und dein hier gezeigter User ist kein Domänenuser sondern "nur" in der Sondergruppe...

Das Passwort kann ich leider nicht ändern, da es auch der MAC-Adresse entsprechen muss (siehe MAC-Authentication for ProCurve Switches):
http://h10032.www1.hp.com/ctg/Manual/c02628207.pdf

Da steht auch, ich soll den Benutzer nicht in die Gruppe Domänenuser legen. Zudem habe ich noch eine zweite Maschine angelegt, die KEINEN Zugriff haben sollte. Der könnte ich einen Zugriff verschaffen und es erneut testen. Danke für den Tipp.

Ja... genau gleiche Meldung...

Ich habe gelesen, dass es seit Vista keine CHAP-Verschlüsselung mehr gibt. Könnte es echt sein, dass mein Switch so veraltet ist, dass ich mit Win 7 Clients das nicht mehr authentifizieren kann?

Bei HP Hardware wäre das nicht ungewöhnlich....?! Hast du die aktuellste Firmware auf dem Switch ?

Habe bis jetzt nicht geupdated...gut, aber andererseits, haben wir sonst auch Procurve Switches im Einsatz....

werde ich mal machen.

Solltest du aber besser mal machen das Firmwareupdate !! Ist eigentlich immer ein sicheres ToDo wenn man in solcherlei Test geht wie jeder Netzwerker weis !

Gut, Firmware ist upgedatet: https://h10145.www1.hp.com/downloads/SoftwareReleases.aspx?ProductNumber ...

Kurz ein TFTP gestartet und darüber gehosted. Schint auch geklappt zu haben.

Bin jetzt schon ein grosses Stück weitergekommen. Alle Clients ausser der virtuellen Maschine selbst werden nun authentifiziert und akzeptiert.

Ich teste gerade, ob es mit der zusätzlichen Verschlüsselung "EAP" und nicht nur "EAP-MSCHAP v2" funktioniert.

Klingt ja vielversprechend.... Obwohl bei Billigheimer HP weiss man nie ?!

Hmm nein es liegt nicht daran...die Konfiguration habe ich bisher nicht verstanden ich blende nochmals die Ausgabe ein:

31.

Authentifikationseinstellungen: 

32.

        | Login      Login      Enable     Enable 

33.

  Access Task | Primary    Secondary  Primary    Secondary 

34.

  ----------- + ---------- ---------- ---------- ---------- 

35.

  Console     | Local      None       Local      None 

36.

  Telnet      | Local      None       Local      None 

37.

  Port-Access | EapRadius  None 

38.

  Webui       | Local      None       Local      None 

39.

  SSH         | Local      None       Local      None 

40.

  Web-Auth    | ChapRadius None 

41.

  MAC-Auth    | ChapRadius None

Bei der MAC-Authentifikation habe ich nun auch PEAP einstellen können (bin nochmals über die Bücher, die Syntax im Handbuch war falsch... naja, ging jetzt) und es funktioniert immer noch nicht. Wenn ich mir aber das Handbuch "MAC-Authentification for Procurve Switches" ansehe, wird da ein Port-Access definiert, der mit einer MAC-Authentifikation konfiguriert wird und hat somit nichts mit der MAC-Auth zu tun. Das heisst, es liegt auch nicht daran.

*seeufz*.

Ok jetzt wird's richtig witzig:

Wenn ich die MAC-Auth auf EAP stelle, dann sagt Microsoft, es könne diese Art von EAP nicht entschlüsseln. Wenn ich auf CHAP stelle behauptet es, dass ich die Rückwärtsverschlüsselung nicht aktiviert habe.

Ich würde mal sagen, ab diesem Moment kann ich wohl langsam aufgeben...es ist wohl einfach so, dass dieser Switch veraltet ist und die Verschlüsselung nicht mehr auf einem 2008 übertragen werden kann.

Das ist dann in der Tat zu befürchten. Ist das Switchmodel noch unter Support oder schon "End of Life" ?
Ansonsten bringt es ggf. dort einen Bugreport bei HP zu öffnen. Macht aber nur Sinn wenn du noch Wartung auf der Switch Gurke hast.
Hast du diese Security Settings parallel mit einem anderen Switchprodukt (alternativer Hersteller) getestet wo das nachweisslich supportet ist ?

Muss ich zuerst bei cheffe nachfragen, ob ich einen anderen Switch nutzen darf. Der Switch müsste eigentlich noch support haben, ich habe alles an Dokumentation , Firmware etc. gefunden und man kann ihn auch gut auf HP suchen. Der hat bestimmt auch noch Wartung, da wir diese Anfang dieses Jahre erhalten haben.

Dann werde ich mich wohl mit dem HP-Support durchschlagen müssen *seufz*

So! Neustart!

Habe jetzt direkt ein Laptop dran mit Windows 7 ohne Switch dazwischen! Das heisst auch, dass keine anderen MAC-Adressen mehr reinfunken!

Leider kriege ich jetzt komischerweise (und das erst seitdem) Meldungen, dass der Benutzername falsch sei:

Protokollname: Security
Quelle:        Microsoft-Windows-Security-Auditing
Datum:         17.09.2013 13:22:57
Ereignis-ID:   6273
Aufgabenkategorie:Netzwerkrichtlinienserver
Ebene:         Informationen
Schlüsselwörter:Überwachung gescheitert
Benutzer:      Nicht zutreffend
Computer:      UEBSRV.ueb.lokal
Beschreibung:
Der Netzwerkrichtlinienserver verweigerte einem Benutzer den Zugriff.

Wenden Sie sich an den Administrator des Netzwerkrichtlinienservers, um weitere Informationen zu erhalten.

Benutzer:
	Sicherheits-ID:			S-1-0-0
	Kontoname:				009c021b1458
	Kontodomäne:				UEB
	Vollqualifizierter Kontoname:		UEB\00-9c-02-1b-14-58

Clientcomputer:
	Sicherheits-ID:			S-1-0-0
	Kontoname:				-
	Vollqualifizierter Kontoname:		-
	Betriebssystemversion:			-
	Empfänger-ID:				84-34-97-43-5f-9b
	Anrufer-ID:				00-9c-02-1b-14-58

NAS:
	NAS-IPv4-Adresse:			192.168.210.51
	NAS-IPv6-Adresse:			-
	NAS-ID:					UEBSW01
	NAS-Porttyp:				Ethernet
	NAS-Port:				5

RADIUS-Client:
	Clientanzeigenname:				UEBSW01
	Client-IP-Adresse:			192.168.210.51

Authentifizierungsdetails:
	Name der Verbindungsanforderungsrichtlinie:	Port 5
	Netzwerkrichtlinienname:		-
	Authentifizierungsanbieter:		Windows
	Authentifizierungsserver:		UEBSRV.ueb.lokal
	Authentifizierungstyp:		MD5-CHAP
	EAP-Typ:			-
	Kontositzungs-ID:		-
	Protokollierungsergebnisse:			Die Kontoinformationen wurden in die lokale Protokolldatei geschrieben.
	Ursachencode:			16
	Ursache:				Authentifizierungsfehler aufgrund der Nichtübereinstimmung von Benutzeranmeldeinformationen. Der angegebene Benutzername ist keinem vorhandenen Benutzerkonto zugeordnet, oder das Kennwort war falsch.

Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">  
  <System>
    <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />  
    <EventID>6273</EventID>
    <Version>1</Version>
    <Level>0</Level>
    <Task>12552</Task>
    <Opcode>0</Opcode>
    <Keywords>0x8010000000000000</Keywords>
    <TimeCreated SystemTime="2013-09-17T11:22:57.750000000Z" />  
    <EventRecordID>1640418</EventRecordID>
    <Correlation />
    <Execution ProcessID="500" ThreadID="488" />  
    <Channel>Security</Channel>
    <Computer>UEBSRV.ueb.lokal</Computer>
    <Security />
  </System>
  <EventData>
    <Data Name="SubjectUserSid">S-1-0-0</Data>  
    <Data Name="SubjectUserName">009c021b1458</Data>  
    <Data Name="SubjectDomainName">UEB</Data>  
    <Data Name="FullyQualifiedSubjectUserName">UEB\00-9c-02-1b-14-58</Data>  
    <Data Name="SubjectMachineSID">S-1-0-0</Data>  
    <Data Name="SubjectMachineName">-</Data>  
    <Data Name="FullyQualifiedSubjectMachineName">-</Data>  
    <Data Name="MachineInventory">-</Data>  
    <Data Name="CalledStationID">84-34-97-43-5f-9b</Data>  
    <Data Name="CallingStationID">00-9c-02-1b-14-58</Data>  
    <Data Name="NASIPv4Address">192.168.210.51</Data>  
    <Data Name="NASIPv6Address">-</Data>  
    <Data Name="NASIdentifier">UEBSW01</Data>  
    <Data Name="NASPortType">Ethernet</Data>  
    <Data Name="NASPort">5</Data>  
    <Data Name="ClientName">UEBSW01</Data>  
    <Data Name="ClientIPAddress">192.168.210.51</Data>  
    <Data Name="ProxyPolicyName">Port 5</Data>  
    <Data Name="NetworkPolicyName">-</Data>  
    <Data Name="AuthenticationProvider">Windows</Data>  
    <Data Name="AuthenticationServer">UEBSRV.ueb.lokal</Data>  
    <Data Name="AuthenticationType">MD5-CHAP</Data>  
    <Data Name="EAPType">-</Data>  
    <Data Name="AccountSessionIdentifier">-</Data>  
    <Data Name="ReasonCode">16</Data>  
    <Data Name="Reason">Authentifizierungsfehler aufgrund der Nichtübereinstimmung von Benutzeranmeldeinformationen. Der angegebene Benutzername ist keinem vorhandenen Benutzerkonto zugeordnet, oder das Kennwort war falsch.</Data>  
    <Data Name="LoggingResult">Die Kontoinformationen wurden in die lokale Protokolldatei geschrieben.</Data>  
  </EventData>
</Event>

Regeln sind natürlich gleich gesetzt. Was mir aber auffällt, ist, dass als Kontoname die MAC-Adresse immer ohne Trennungsstriche gespeichert wird (egal ob ich ihn mit oder ohne Trennungsstrich abspeichere). Kann ich da was dagegen tun / bzw. könnte das der Fehler sein?

SO! Jetzt habe ich es WIRKLICH WIRKLICH geschafft!

ICh musste als Tunnel-ID VLAN angeben. Dann klappte die Authentifikation endlich.

War ja eine schwere Geburt !! Aber klasse das es jetzt klappt !!

Vielleicht kannst du hier nochmal die vollständig korrekte Konfig posten, damit dann andere was von diesem Forumsthread haben und das Rad nicht 2mal erfinden müssen !
Ggf. kann man die auch mit ins Tutorial übernehmen.

ööhm würde ich gerne, nur habe ich einmal den Switch neugestartet und der Switch erkannte die MAC-Adresse nicht mehr...

zudem musste ich eine Regel erstellen, dass die MAC-Adresse richtig umgewandelt wurde. Weil das für den Betrieb natürlich nicht brauchbar ist, habe ich die entfernt und dann funktioniert die Authentifikation nicht mehr.

Aber nächste Woche sieht der höhere Support mein Projekt an. Falls sie eine Lösung finden, werde ich die Konfig gerne Posten :3

Na da sind wir dann mal ganz gespannt was der "höhere Support" dann sagt ?!

Jau der Second Level (habe ich damit gemeint) hat sich die Thematik angesehen und mir gesagt, ich soll mir die MAC-Adress-Benutzer ansehen. Wir haben testweise versucht, uns mit den "MAC-Adress"-Benutzern anzumelden und es ging uuunglaublich lange (ca. 15 Minuten). ALso muss ich mich da mal genauer einlesen.

Ääähhh was bitte meinen diese "Experten" denn mit dem Begriff "die MAC-Adress-Benutzer" genau ??
Mac Adressen sind Mac Adressen und haben mit Benutzern nicht das geringste zu tun ??
Na ja das ist eben die fachkundige HP Hotline...oder besser HP live !
Hat schon einen Grund warum die lieber Server bauen sollten und die Finger von Netzwerken lassen sollten....

Nee nee hör' zu:

Das waren nicht die von HP, das war der Second Level von unserem Betrieb. Ich habe mich falsch ausgedrückt:

Bei HP-Switches muss man ja laut Handbuch im Active Directory für jeden Benutzer eine MAC-Adresse anlegen. Das habe ich damit gemeint.

German solved Question Protocols Networks

Hotly discussed

Check of ZFW Firewallgleixnerd - 3 Comments

How to set up and configure a Linux GRE tunnelAlexWisha - 3 Comments

WIREGUARD VPN ON UDM PRO BEHIND FRITZBOX - HANDSHAKE DID NOT COMPLETEjstricker - 3 Comments

End of Support dates for Office 2016, 2019 Apps und Productivity ServersDani - 1 Comment