Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Windows Server 2008 mit Procurve Switch RADIUS MAC-Authentifikation Switch wird nicht zugelassen

Frage Microsoft Windows Netzwerk

Mitglied: gabeBU

gabeBU (Level 1) - Jetzt verbinden

26.07.2013, aktualisiert 11:17 Uhr, 3047 Aufrufe, 13 Kommentare

Hallo Zusammen

Ich habe vor einiger Zeit schon eine Frage bezüglich des RADIUS-Servers auf Windows 2008 gestellt. Leider konnte ich das Problem immer noch nicht lösen, bin aber schon weiter gekommen.

Der Server erkennt nun endlich den Switch (yeey), blockiert Ihn aber. Folgende Fehlermeldung habe ich in der Ereignisanzeige gelesen:
01.
 EventData  
02.
 
03.
  SubjectUserSid S-1-0-0  
04.
  SubjectUserName 843497ca71a9  
05.
  SubjectDomainName UEB  
06.
  FullyQualifiedSubjectUserName UEB\84-34-97-ca-71-a9  
07.
  SubjectMachineSID S-1-0-0  
08.
  SubjectMachineName -  
09.
  FullyQualifiedSubjectMachineName -  
10.
  MachineInventory -  
11.
  CalledStationID 84-34-97-43-5f-97  
12.
  CallingStationID 84-34-97-ca-71-a9  
13.
  NASIPv4Address 192.168.210.51  
14.
  NASIPv6Address -  
15.
  NASIdentifier UEBSW01   
16.
  NASPortType Ethernet  
17.
  NASPort 9  
18.
  ClientName UEBSW01  
19.
  ClientIPAddress 192.168.210.51  
20.
  ProxyPolicyName UEBSW01  
21.
  NetworkPolicyName -  
22.
  AuthenticationProvider Windows  
23.
  AuthenticationServer UEBSRV.ueb.lokal  
24.
  AuthenticationType MD5-CHAP  
25.
  EAPType -  
26.
  AccountSessionIdentifier -  
27.
  ReasonCode 16  
28.
  Reason Authentifizierungsfehler aufgrund der Nichtübereinstimmung von Benutzeranmeldeinformationen. Der angegebene Benutzername ist keinem vorhandenen Benutzerkonto zugeordnet, oder das Kennwort war falsch.  
29.
  LoggingResult Die Kontoinformationen wurden in die lokale Protokolldatei geschrieben. 
Nur kann ich nicht ganz verstehen, warum er die Authentifzierung nicht zulässt. Der Benutzername ist richtig, der gemeinsame Schlüssel (123) wurde richtig konfiguriert und auch die IP-Adresse stimmt überein.


Meine derzeitigen Switch-Konfigurationen:
01.
SEITE 1 
02.
hostname "UEBSW01 " 
03.
mirror-port 9 
04.
ip default-gateway 192.168.210.1 
05.
vlan 1 
06.
   name "normale" 
07.
   untagged 1-10 
08.
   ip address dhcp-bootp 
09.
   exit 
10.
vlan 2 
11.
   name "unauth" 
12.
   no ip address 
13.
   exit 
14.
vlan 3 
15.
   name "auth" 
16.
   ip address dhcp-bootp 
17.
   exit 
18.
interface 2 
19.
   monitor 
20.
SEITE 2 
21.
 exit 
22.
aaa authentication login privilege-mode 
23.
aaa authentication port-access eap-radius 
24.
aaa accounting network start-stop radius 
25.
radius-server host 192.168.210.1 key "123" 
26.
snmp-server community "public" Unrestricted 
27.
snmp-server contact "Gabriel Buehler" location "317a" 
28.
aaa port-access mac-based 9 addr-limit 3 
29.
aaa port-access mac-based 9 auth-vid 3 
30.
aaa port-access mac-based 9 unauth-vid 2 
31.
aaa port-access mac-based 10 auth-vid 3 
32.
aaa port-access mac-based 10 unauth-vid 2 
33.
password manager
Authentifikations-Einstellungen
01.
 
02.
 
03.
  Login Attempts : 3 
04.
  Respect Privilege : Enabled 
05.
 
06.
              | Login      Login      Enable     Enable 
07.
  Access Task | Primary    Secondary  Primary    Secondary 
08.
  ----------- + ---------- ---------- ---------- ---------- 
09.
  Console     | Local      None       Local      None 
10.
  Telnet      | Local      None       Local      None 
11.
  Port-Access | EapRadius  None 
12.
  Webui       | Local      None       Local      None 
13.
  SSH         | Local      None       Local      None 
14.
  Web-Auth    | ChapRadius None 
15.
  MAC-Auth    | ChapRadius None 
16.
 
Falls ihr noch mehr Informationen benötigt, einfach nachfragen.

Ich glaube aber, dass ich langsam weiter vorankomme. Wo denkt ihr, könnte der Wurm liegen?

Edit: Oh, Pardon. Wie es scheint wird der Client blockiert, nicht der Switch. Da habe ich mich wohl verlesen.
Mitglied: aqui
26.07.2013 um 13:32 Uhr
Guckst du hier:
http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?lang=en&a ...
Die Wildcards denkst du dir natürlich weg und trägst dedizierte Mac s ein.
Funktioniert problemlos !
Ansonsten mal testweise einen FreeRadius ausprobieren:
http://www.administrator.de/wissen/netzwerk-zugangskontrolle-mit-802-1x ...
nur um querzuchecken ob der Kinken im NPS liegt.
Das o.a. Tutorial hat aber noch ein paar Links zur Winblows Konfiguratuon...
Bitte warten ..
Mitglied: gabeBU
26.07.2013 um 13:47 Uhr
Hmm... versteh ich das richtig? Muss ich bei der Call-In die ersten 3 Ziffern der MAC-Adresse eingeben, die sich mit der Maschine verbinden möchten?

Das wäre bei mir:
00-0c-29-*
84-34-97-*

Falls es so ist funktionierte es leider nicht. Ich erhalte wieder die gleichen 3 Meldungen. Es sind die zwei oberen MAC-Adressen, die geblockt werden sowie eine 3., bei der ich nicht weiss woher sie stammt:
00127ff254f0

Keiner der Maschinen, des Servers oder der Switches besitzen diese MAC-Adresse.
Bitte warten ..
Mitglied: aqui
26.07.2013, aktualisiert um 14:16 Uhr
Du müsstest die kompette Mac dort logischerweise angeben !!
Das oben bewirkt das alle Mac Adressen die mit 00-0c-29- oder 84-34-97 anfangen durchkommen.
Kann man machen wenn man z.B. alle VmWare Rechner (00-0c-29-xx-xx ist vmWare zugewiesen) ins Netz erlauben will. (84-34-97-xx-xx ist HP)
Mac Hersteller Datenbank: http://www.macvendorlookup.com
Deine "unbekannte" 00-12-7f-f2-54-f0 Mac Adresse ist eine Adresse von Cisco System, zeigt also auf ein Cisco Endgerät !!
Bitte warten ..
Mitglied: gabeBU
26.07.2013, aktualisiert um 14:21 Uhr
Häääh? Das kann gar nicht sein, wir haben gar keine Cisco-Switches im Einsatz, nur HP-Switches...seltsam.

Stimmt das mit der ganzen MAC-Adresse klingt logisch. Funktioniert aber leider auch nicht. Ich habe für die Cisco-Adresse auch ein AD-Benutzer und eine Call-In angelegt, die Verbindung klappte leider trotzdem nicht.
Bitte warten ..
Mitglied: aqui
26.07.2013, aktualisiert um 16:47 Uhr
Die Adresse ist aber definitiv eine Cisco Mac. Cisco macht ja nicht nur Switches sondern auch Router, WLAN, Load Balancer, Telefone, interne v Switches in VmWare und und und....
Da kennst du wohl dein Netz nicht gut genug, denn irgendwas habt ihr davon ja im Einsatz... ?!
Vermutlich liegt das an den Procurve HP Billigswitches. Hier im Formum gibt es dazu eine lange Leidenshistorie was HP im 802.1x Umfeld anbetrifft.
Checke ganz sicher ob deine HP Teile das sog "MAC authentication bypass" supporten, ansonsten ist gar keine Mac Authentisierung möglich bei den Switches. Bei dem kastrierten Featureset was HP da hat wär das nicht verwunderlich...die können doch nur billig und dann wirds eng.
Mit anderen Switchherstellern funktioniert sowas auf Anhieb !
Bitte warten ..
Mitglied: gabeBU
27.07.2013 um 09:05 Uhr
Sollte möglich sein, es gibt im Handbuch des Switches Erklärungen dazu wie auch ein allgemeines Handbuch (MAC Authentication on HP Procurve Switches) . Also vermute ich schon.

Ich habe meinen Chef gefragt, ob wir Cisco's einsetzen...wir setzten Cisco's ein, aber die befinden sich nicht in meinem VLAN...es ist wirklich seltsam. Aber darauf kommt es ja auch nicht mehr an, ich habe die MAC-Adresse jetzt auch akzeptiert.
Bitte warten ..
Mitglied: aqui
29.07.2013 um 14:28 Uhr
Na dann hat da wohl jemand die VLAN Konfig vermurkst...anders ist das ja nicht zu erklären wenn diese Adresse da auftaucht !
Funktioniert deine Mac Authentisierung denn nun wenigstens ?
Bitte warten ..
Mitglied: gabeBU
29.07.2013, aktualisiert 30.07.2013
Nein, leider nicht. Immer noch die genau gleiche Meldung, immer noch keine Netzverbindung mehr, wenn ich die Authentifizierung starte.
Bitte warten ..
Mitglied: aqui
30.07.2013 um 10:00 Uhr
..."Unterbruch" ???
Bitte warten ..
Mitglied: gabeBU
30.07.2013 um 10:28 Uhr
Unterbruch war schlecht gewählt. Die Netzverbindung ist dann einfach nicht mehr vorhanden. Mit dem Befehl "aaa port-access mac-based 10" starte ich die Authentifizierung und ich habe kein Netz mehr auf der VM.
Bitte warten ..
Mitglied: gabeBU
06.08.2013 um 10:50 Uhr
oookey. Wie es scheint, bin ich jetzt schon mal weiter gekommen. Jetzt erhalte ich die Meldung, dass ich die Veribndungsrichtlinie falsch konfiuguriert habe:
01.
Protokollname: Security 
02.
Quelle:        Microsoft-Windows-Security-Auditing 
03.
Datum:         06.08.2013 10:41:30 
04.
Ereignis-ID:   6273 
05.
Aufgabenkategorie:Netzwerkrichtlinienserver 
06.
Ebene:         Informationen 
07.
Schlüsselwörter:Überwachung gescheitert 
08.
Benutzer:      Nicht zutreffend 
09.
Computer:      UEBSRV.ueb.lokal 
10.
Beschreibung: 
11.
Der Netzwerkrichtlinienserver verweigerte einem Benutzer den Zugriff. 
12.
 
13.
Wenden Sie sich an den Administrator des Netzwerkrichtlinienservers, um weitere Informationen zu erhalten. 
14.
 
15.
Benutzer: 
16.
	Sicherheits-ID:			NULL SID 
17.
	Kontoname:				000c29b205d1 
18.
	Kontodomäne:				- 
19.
	Vollqualifizierter Kontoname:		- 
20.
 
21.
Clientcomputer: 
22.
	Sicherheits-ID:			NULL SID 
23.
	Kontoname:				- 
24.
	Vollqualifizierter Kontoname:		- 
25.
	Betriebssystemversion:			- 
26.
	Empfänger-ID:				84-34-97-43-5f-97 
27.
	Anrufer-ID:				00-0c-29-b2-05-d1 
28.
 
29.
NAS: 
30.
	NAS-IPv4-Adresse:			192.168.210.51 
31.
	NAS-IPv6-Adresse:			- 
32.
	NAS-ID:					UEBSW01  
33.
	NAS-Porttyp:				Ethernet 
34.
	NAS-Port:				9 
35.
 
36.
RADIUS-Client: 
37.
	Clientanzeigenname:				UEBSW01 
38.
	Client-IP-Adresse:			192.168.210.51 
39.
 
40.
Authentifizierungsdetails: 
41.
	Name der Verbindungsanforderungsrichtlinie:	- 
42.
	Netzwerkrichtlinienname:		- 
43.
	Authentifizierungsanbieter:		- 
44.
	Authentifizierungsserver:		UEBSRV.ueb.lokal 
45.
	Authentifizierungstyp:		- 
46.
	EAP-Typ:			- 
47.
	Kontositzungs-ID:		- 
48.
	Protokollierungsergebnisse:			Die Kontoinformationen wurden in die lokale Protokolldatei geschrieben. 
49.
	Ursachencode:			49 
50.
	Ursache:				Die RADIUS-Anforderung stimmte mit keiner konfigurierten Verbindungsanforderungsrichtlinie (Connection Request Policy, CRP) überein. 
51.
 
52.
Ereignis-XML: 
53.
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> 
54.
  <System> 
55.
    <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" /> 
56.
    <EventID>6273</EventID> 
57.
    <Version>1</Version> 
58.
    <Level>0</Level> 
59.
    <Task>12552</Task> 
60.
    <Opcode>0</Opcode> 
61.
    <Keywords>0x8010000000000000</Keywords> 
62.
    <TimeCreated SystemTime="2013-08-06T08:41:30.109375000Z" /> 
63.
    <EventRecordID>1186497</EventRecordID> 
64.
    <Correlation /> 
65.
    <Execution ProcessID="500" ThreadID="660" /> 
66.
    <Channel>Security</Channel> 
67.
    <Computer>UEBSRV.ueb.lokal</Computer> 
68.
    <Security /> 
69.
  </System> 
70.
  <EventData> 
71.
    <Data Name="SubjectUserSid">S-1-0-0</Data> 
72.
    <Data Name="SubjectUserName">000c29b205d1</Data> 
73.
    <Data Name="SubjectDomainName">-</Data> 
74.
    <Data Name="FullyQualifiedSubjectUserName">-</Data> 
75.
    <Data Name="SubjectMachineSID">S-1-0-0</Data> 
76.
    <Data Name="SubjectMachineName">-</Data> 
77.
    <Data Name="FullyQualifiedSubjectMachineName">-</Data> 
78.
    <Data Name="MachineInventory">-</Data> 
79.
    <Data Name="CalledStationID">84-34-97-43-5f-97</Data> 
80.
    <Data Name="CallingStationID">00-0c-29-b2-05-d1</Data> 
81.
    <Data Name="NASIPv4Address">192.168.210.51</Data> 
82.
    <Data Name="NASIPv6Address">-</Data> 
83.
    <Data Name="NASIdentifier">UEBSW01 </Data> 
84.
    <Data Name="NASPortType">Ethernet</Data> 
85.
    <Data Name="NASPort">9</Data> 
86.
    <Data Name="ClientName">UEBSW01</Data> 
87.
    <Data Name="ClientIPAddress">192.168.210.51</Data> 
88.
    <Data Name="ProxyPolicyName">-</Data> 
89.
    <Data Name="NetworkPolicyName">-</Data> 
90.
    <Data Name="AuthenticationProvider">-</Data> 
91.
    <Data Name="AuthenticationServer">UEBSRV.ueb.lokal</Data> 
92.
    <Data Name="AuthenticationType">-</Data> 
93.
    <Data Name="EAPType">-</Data> 
94.
    <Data Name="AccountSessionIdentifier">-</Data> 
95.
    <Data Name="ReasonCode">49</Data> 
96.
    <Data Name="Reason">Die RADIUS-Anforderung stimmte mit keiner konfigurierten Verbindungsanforderungsrichtlinie (Connection Request Policy, CRP) überein.</Data> 
97.
    <Data Name="LoggingResult">Die Kontoinformationen wurden in die lokale Protokolldatei geschrieben.</Data> 
98.
  </EventData> 
99.
</Event> 
100.
 
Siehe ganz unten die Meldung. Ich habe mal noch versucht, den Switch als Empfänger-ID zu nehmen, was leider auch nichts gebracht hat.
Bitte warten ..
Mitglied: aqui
07.08.2013 um 17:54 Uhr
Stellt sich jetzt die Frage was MS mit dem kryptischen Verbindungsanforderungsrichtlinie meint ??
Ggf. ist das dann die Lösung:
http://technet.microsoft.com/de-de/library/cc753603.aspx
http://technet.microsoft.com/de-de/library/dd440996.aspx
oder
http://technet.microsoft.com/de-de/library/cc730866.aspx
Bitte warten ..
Mitglied: gabeBU
14.08.2013, aktualisiert um 11:16 Uhr
Die Verbindungsrichtline ist ja die Konfigurationseinstellung für die Authorisation, also vermute ich, dass es sich dabei um das handelt. Ich habe noch ein wenig herumexperimentiert mit den Call-ID's (Pro MAC eine eigene richtlinie, Empfangs-ID für den Switch), brachte natürlich alles nichts.

ICh werde jetzt nun mal noch die Links durchlesen.

Edit: Gut, da steht auch nicht mehr viel mehr drin als "Wenn sie einen RADIUS-Server aufsetzen möchten brauchen sie die richtige Verbindungsrichtlinie
". Hab' ich alles schon durchprobiert...

da werde ich wohl weiter gucken müssen.
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (17)

Frage von liquidbase zum Thema Windows Update ...