GS-2310P und Server 2012 RADIUS/NPS

Forum zu "managed" LANCOM Switches

Moderator: Lancom-Systems Moderatoren

Antworten
lonesome_walker
Beiträge: 50
Registriert: 15 Mai 2012, 09:42

GS-2310P und Server 2012 RADIUS/NPS

Beitrag von lonesome_walker »

Hallo in die Runde!

Wir sind gerade dabei, eine Teststellung für eine via 802.1x-basierte Authentifizierung unserer Computer (nicht Benutzer-basiert!) an den Switchen aufzubauen.

Folgende Systemumgebung gibt es derzeit in unserem Lab:
Switch: GS-2310P, Firmware 3.10
RAIDUS/NPS: Windows Server 2012 Datacenter (nicht-R2)
Client: Windows 7 Prof., SP1
Authentifizierung: PEAP-EAP-TLS
PKI: Server 2008 R2, Enterprise

Derzeit scheitert die Authentifizierung des Computers am Switch, sobald wir die Authentifizierung via NPS auf PEAP-EAP-TLS stellen. Das gleiche bei EAP-TLS. Gehen wir auf PEAP-MSCHAPv2, funktioniert alles. Grundlegend scheinen die NPS-Config. und Switch-Config. also zu stimmen.

Wir gehen derzeit davon aus, dass unsere ausgestellten Zertifikate für den NPS-Dienst (via Zertifikattemplate "RAS- und IAS-Server") und für den Client ("SAN-Attribut" DNS-Name wird eingetragen, basierend auf AD-Informationen) soweit korrekt sind. Zumindest wurden die Zertifikate nach den Vorgaben von folgendem Technet-Artikel gebaut: https://technet.microsoft.com/de-de/lib ... s.10).aspx

Was sehr verwunderlich ist, wenn man via WebConfig auf dem Switch unter "Security > NAS > Switch Status" schaut, taucht als "Last Source" kein DNS-Name des Clients auf, sondern ein Eintrag, der einem SPN (Service Principal Name) ähnelt im Format "host/FQDN-DES-PC".
Auf dem Server 2012 NPS-Dienst sind keinerlei Fehler in irgendwelchen Logs zu erkennen. Es scheint fast so, als würde der Switch das vom Client vorgezeigte Zertifikat "falsch interpretieren" und die Authentifizierung bereits an diesem Punkt scheitern.

Hat jemand von Euch eine ähnliche Umgebung laufen, bzw. ähnliche Probleme bei diesem Thema?

Uns ist bewusst, dass die Fehlersuche sehr komplex ist, vielleicht kann uns jemand aber einen kleinen Denkanstoß in die richtige Richtung geben.

Vielen Dank vorab und sonnige Grüße aus Leipzig,
Norman.
Zuletzt geändert von lonesome_walker am 24 Nov 2015, 14:43, insgesamt 1-mal geändert.
Benutzeravatar
Bernie137
Beiträge: 1700
Registriert: 17 Apr 2013, 21:50
Wohnort: zw. Chemnitz und Annaberg-Buchholz

Re: GS-2310P und Server 2012 RAIDUS/NPS

Beitrag von Bernie137 »

Hallo Norman,
Wir sind gerade dabei, eine Teststellung für eine via 802.1x-basierte Authentifizierung unserer Computer (nicht Benutzer-basiert!) an den Switchen aufzubauen.
Ich habe es so fürs WLAN am Laufen, ist also nur ähnlich - aber auch Computer-gebunden (nicht benutzerspezifisch). Zusammen mit einer GPO fürs WLAN muss nix mehr am Client gefummelt werden :)
Wir gehen derzeit davon aus, dass unsere ausgestellten Zertifikate für den NPS-Dienst (via Zertifikattemplate "RAS- und IAS-Server") und für den Client ("SAN-Attribut" DNS-Name wird eingetragen, basierend auf AD-Informationen) soweit korrekt sind.
Ich denke, dass die Zertifikate für die Clients nicht korrekt sind. Grundsätzlich sollten diese sich überhaupt nicht von "WLAN-Zertifikaten" unterscheiden, denn diese Zertifikate sind immer gewöhnliche Zertifikate zur Clientauthentifizierung, eben 802.X. Lies mal die Anleitung ab Seite 12.

Des Weiteren ist es ungemein hilfreich, wenn man sich mal die Testversion von Isalogviewer lädt. Die Meldungen sind dann sehr augenfreundlich aufbereitet.

Viele Grüße aus Burgstädt
Bernie

PS: Ändere bitte mal die Überschrift von "RAIDUS" zu "RADIUS", wegen der Suche im Forum ;)
Man lernt nie aus.
lonesome_walker
Beiträge: 50
Registriert: 15 Mai 2012, 09:42

Re: GS-2310P und Server 2012 RADIUS/NPS

Beitrag von lonesome_walker »

Hallo Bernie,

vielen Dank für die Anregungen.
Tippfehler ist korrigiert! :)

Ich werde mir morgen deine Vorschläge mal anschauen und dann berichten.

Grüße,
Norman.
lonesome_walker
Beiträge: 50
Registriert: 15 Mai 2012, 09:42

Re: GS-2310P und Server 2012 RADIUS/NPS

Beitrag von lonesome_walker »

Guten Morgen allerseits!

Aaaaalso!
Die Anleitung vom geschätzten Marc Grote zum Ausstellen der Zertifikate haben wir 1:1 befolgt mit dem gleichen Ergebnis: Funktioniert nicht.
Die Logs auf dem 2012 NPS-Server besagen, dass der Client versucht sich zu authentifizieren, aber das Authentifizierungs-"Ergebnis unbekannt" ist.

Da mit Servern im LAB manchmal nicht ganz so sanft umgegangen wird ;) , haben wir heute morgen einen frischen Server 2008R2 als NPS installiert. Mit dem gleichen Ergebnis. Authentifizierung des Clients über den Switch schlägt fehl.

Als nächstes haben wir den Switch durch einen Lancom L-322agn ersetzt. RADIUS-Config. auf dem WLAN AP eingetragen, RADIUS-Client am NPS bekannt gemacht --> funktioniert auf Anhieb :o
Die Clients können sich sowohl Benutzerbasiert mit PEAP-EAP-TLS, als auch Computerbasiert mit PEAP-EAP-TLS anmelden.

Ich kann also mit Bestimmtheit sagen, dass die Zertifikate korrekt ausgestellt sind und die NPS-Config. korrekt ist.
Natürlich haben wir beachtet, bei "NAS-Porttyp" in der NPS-Config. jeweils "Wireless" und "Ethernet" entsprechend zu ändern. ;)

Man kann das Problem also derzeit immer mehr auf den Switch eingrenzen. Ich habe auch statt der Firmware 3.10, den Vorgänger 2.83 probiert, mit dem selben Ergebnis --> funzt nicht.

Was nun? :)

Grüße,
Norman.
Benutzeravatar
Bernie137
Beiträge: 1700
Registriert: 17 Apr 2013, 21:50
Wohnort: zw. Chemnitz und Annaberg-Buchholz

Re: GS-2310P und Server 2012 RADIUS/NPS

Beitrag von Bernie137 »

Hallo Norman,

Ich bin nicht so fit, was den Switch anbelangt. Aber hätte ich so ein Problem mit einem Lancom AP, dann würde ich die Traces zu Radius-Client und Radius-Server anschmeißen.

Also die Frage in die Runde, gibt es das beim Switch auch?

Vg Bernie
Man lernt nie aus.
Antworten