dringend: Authentifizierung und Radius Probleme

[sunghost]

Hi,
ich bin soweit mit meinem l54ag, dass der Client über dhcp eine IP erhält und auch ohne Radius ins Netz kommt. Das Ziel ist es jedoch die Clients über einen Win2003 Radius am AD zu authentifizieren.
Im Eventlog vom Server steht:

Benutzer"0013ce-08efa3" wurde der Zugriff verweigert.
Vollqual....=domäne/0013ce-08efa3
kennung der anrufstation=<nicht vorhanden>
kennung der empfängerstation=<nicht vorhanden>
.
.
nas-prototyp=wireless- iee 802.11
nas-port=<nicht vorhanden>
proxyrichtlinienname=windows auth für alle benutzer verwenden
authentifizierungstyp=pap
eap-typ=<unbestimmt>
code=16
ursache= die authentifizierung war nicht erfolgreich, da ein unbekannter benutzername oder ein ungültiges kennwort verwendet wurde

die event id2, brachte herraus,dass das protokoll evtl.nicht das geforderte von windows sei. außerdem möchte ich gerne wissen wo ich den benutzernamen und pw eingeben soll? (meine beim client)

danke

[alf29]

Moin,

Bei MAC-Adreßlisten über RADIUS ist der Benutzername
gleich der MAC-Adresse des WLAN-Clients im Format
'aabbcc-ddeeff' (also so wie von Windows im Log ausgegeben),
das Paßwort ist gleich dem RADIUS-Shared Secret oder
bei neueren LCOS-Versionen wahlweise auch wieder
die MAC-Adresse).

Was Du mit 'Protokoll' meinst, weiß ich nicht so genau,
eventuell dückt sich Dein Windows da einfach etwas
'geschwollen' aus, weil dessen RADIUS-Server eben
bevorzugt für Benutzerlogins gedacht ist.

Gruß Alfred

[sunghost]

danke soweit, jetzt wo du es schreibst seh ich auch das es eine mac ist (uff)
wie kann ich das auf benutzer auth ändern?

danke

[alf29]

Moin,

danke soweit, jetzt wo du es schreibst seh ich auch das es eine mac ist (uff)
wie kann ich das auf benutzer auth ändern?

Gar nicht, an dieser Stelle werden keine Benutzer authentifiziert, sondern nur
MAC-Adressen von WLAN-Clients (die MAC-Adresse wird dazu auf den
Benutzernamen abgebildet, damit der RADIUS-Server damit etwas anfangen
kann). 'Echte' benutzerbezogene und nicht kartenbezogene Authentifizierung
gäbe es z.B. mit 802.1x oder der Public-Spot-Option.

Gruß Alfred

[sunghost]

also die hot spot option habe ich auch. ich bin aber der meinung das 802.1x nicht automatisch zertifikate heist, sondern eine generelle methode der auth und autorisierung im 802 netzen darstellt.

[alf29]

Moin,

also die hot spot option habe ich auch. ich bin aber der meinung das 802.1x nicht automatisch zertifikate heist, sondern eine generelle methode der auth und autorisierung im 802 netzen darstellt.

Da hat auch niemand das Gegenteil behauptet, nur haben wir bisher von den
MAC-Access-Listen über RADIUS geredet, und das ist eine Sache, die völlig unabhängig
von 802.1x ist. Bei den Access-Listen dreht es sich rein darum, eine Liste von
Client-MAC-Adressen zu pflegen, die der Access Point zur Anmeldung zuläßt.
Eine zentrale Verwaltung der Liste ist dabei praktisch, wenn man mehr als einen
Access Point hat. RADIUS bietet sich dafür an, da RADIUS aber primär für z.B.
Dial-In-Zugänge entwickelt wurde, wo man mit Benutzernamen und Paßwort kommt,
muß der AP die 'Datenankanfrage' nach einer MAC-Adresse irgendwie in eine
Anfrage nach Benutzernamen und Paßwort verpacken. Dieses Verfahren haben
übrigens nicht wir uns ausgedacht, ich hab's zum ersten Mal auf einem Orinoco
AP1000 gesehen und so übernommen.

Gruß Alfred

[sbE]

also die hot spot option habe ich auch. ich bin aber der meinung das 802.1x nicht automatisch zertifikate heist, sondern eine generelle methode der auth und autorisierung im 802 netzen darstellt.

im wlan-bereich sehe ich inzwischen nur noch leap (cisco eap) als einzigste halbwegs ernstzunehmende 802.1x-methode an, die keine zertifikate braucht (sondern nur benutzername/passwort). alles andere braucht mindestens ein stammzertifikat.

windows ias kann aber kein leap.

eventuell kann eap-fast auch ohne zertifikate auskommen (bin mir jetzt nicht sicher), aber das steckt eh noch in den kinderschuhen und ob es wirklich so toll ist, wie cisco sagt, sei auch erstmal dahingestellt.

ordentliche sicherheit per 802.1x erhälst du per peap mit nachgelagertem eap-tls. das läßt sich sehr gut mit windows-mitteln realisieren und ein zertifikatsdienst und windows 2003 ist auch nicht soooooooo schlimm zu konfigurieren. verfolge lieber dieses ziel...alles andere kostet nur unnötig zeit oder gefährdet dein netz.

[sunghost]

mh,
mich wundert es nur das er versucht eine mac als auth zu nehmen, da ich keine mac accesslisten pflege bzw. eingestellt habe. dachte es geht auch mit chap oder ähnlichem, ohne zertifikate.

also verstehe ich das richtig und ich sollte am besten mit zertifikaten arbeiten? braucht der client dann auch eine, oder reicht die vom server? geht das auch mit dem 2003 standart server? welches zertifikat muss ich erstellen?
(puh das hört sich komplex an)

bis jetzt habe ich nur den ias und ad installiert

[alf29]

Moin,

mich wundert es nur das er versucht eine mac als auth zu nehmen, da ich keine mac accesslisten pflege bzw. eingestellt habe.

Du hast das offensichtlich konfiguriert, sonst würde das
Gerät keine solchen RADIUS-Anfragen verschicken...die
Einstellungen des RADIUS-Servers steht im LANconfig
unter 'WLAN-Sicherheit->Stationen' und die Popup-Hilfe
erläutert auch, daß der dort einstellbare RADIUS-Server
zur Verwaltung von MAC-Adreßlisten da ist.

Wenn Du eigentlich 802.1x machen wolltest, bist Du da
an der verkehrten Stelle. Dazu mußt Du im Reiter
'802.1i/WEP' für das gewünschte logische Netz einen
der Modi mit 802.1x nutzen und dann auf dem
802.1x-Reiter einen RADIUS-Server definieren. Wenn
Du allerdings noch nie etwas mit 802.1x gemacht hast,
sei gewarnt: 802.1x erfordert eine ziemlich steile
Lernkurve...

Gruß Alfred

[sunghost]

mh,
also bei mir steht unter stationen: daten von den aufgeführten stationen übertragen, alle anderen über radius authentifizieren oder ausfiltern.

also ich verstehe darunter und da hast du recht, das ich gewisse stationen mit der mac angeben kann die dann gefiltert werden. aber alle anderen werden über radius auth.
uff, das nicht so leicht.

unter 802.1x habe ich einen radius angegeben, das passt.

edit:
ich habe unter wlan-sicherheit-> stationen den 1. punkt ausgewählt. "daten von den aufgeführten stationen ausfiltern, alle anderen stationen übertragen"
das ergebnis:

Zugriffsanforderung für Benutzer "ap1@wlantest.net" wurde gelöscht.
Vollqualifizierter Benutzername = wlantest.net/WLAN/ap1
NAS-IP-Adresse = 192.168.1.10
NAS-Kennung = TestAP
ID der Empfängerstation = 02-0b-6b-35-e1-80:WPA 802.1x
ID der Anrufstation = 00-13-ce-08-ef-a3
Client-Name = AP1
Client-IP-Adresse = 192.168.1.10
NAS-Porttyp = Wireless - IEEE 802.11
NAS-Port = 1
Proxyrichtlinienname = Windows-Authentifizierung für alle Benutzer verwenden
Authentifizierungsanbieter = Windows
Authentifizierunsserver = <unbestimmt>
Ursachencode = 23
Ursache = Unerwarteter Fehler. Es liegt eventuell ein Fehler in der Server- bzw. Clienkonfiguration vor.

edit:
ich habe nun die authmethode am client von peap auf leap umgestellt und den ias im ad registriert. nun erhalte ich die fehlermeldung, dass für die domäne kein domänencontroller verfügbar ist. eventid 5052 ias.

[sunghost]

so da ich nicht weiter komme versuche ich es jetzt mit zertifikaten
ich habe nun eine zertifizierungsstelle eingerichtet (standard angaben sha1...)

muss ich nun einen ras server noch aufsetzen?
wie kann ich weitere bzw. welche zertifikate muss ich erstellen?

folgender fehler tritt nun im eventlog auf:
auf die domäne des benutzerkontos konnte nicht zugegriffen werden.

danke

ps: frage am rande: wie bekomme ich die mib vom ap? tftp?! und dann?

[alf29]

ps: frage am rande: wie bekomme ich die mib vom ap? tftp?! und dann?

Am einfachsten über den Menüpunkt in der WEBconfig.

Gruß Alfred

[sunghost]

danke alf29, hatte es schon per tftp versucht und mit lanconfig ging es nicht. dann hat webconfig ja noch einen weiteren nutzen

hänge aber immer noch bei den zertifikaten fest.

einstellungen auf dem client:(intel proset/wireless)
Client:
netzwerkauthentifizierung: wpa-enterprise
datenverschlüsselung: AES-CCMP
Authentifizierungstyp:PEAP
Authentifizierungsprotkoll:MS-CHAP-V2
benutzername: ap1
domäne:wlantest.net
kenwort: xxxx
roaming-identität: ap1@wlantest.net

Server:
netzwerkauthentifizierung: wpa-enterprise
datenverschlüsselung: AES-CCMP
Authentifizierungstyp:PEAP
zertifikatsausteller: beliebige vertrauenswürdige ca
zwischenzertifikate zulassen
server/zertifikatnamen angeben: wlantest.net

fehlermeldung auf dem server im event id2 ias
unbekannter benutzername oder ein ungültiges kennwort

ausgestellte cert sind 2 für den domänencontroller

hilfe

[sbE]

danke alf29, hatte es schon per tftp versucht und mit lanconfig ging es nicht. dann hat webconfig ja noch einen weiteren nutzen

hänge aber immer noch bei den zertifikaten fest.

einstellungen auf dem client:(intel proset/wireless)
Client:
netzwerkauthentifizierung: wpa-enterprise
datenverschlüsselung: AES-CCMP
Authentifizierungstyp:PEAP
Authentifizierungsprotkoll:MS-CHAP-V2
benutzername: ap1
domäne:wlantest.net
kenwort: xxxx
roaming-identität: ap1@wlantest.net

Server:
netzwerkauthentifizierung: wpa-enterprise
datenverschlüsselung: AES-CCMP
Authentifizierungstyp:PEAP
zertifikatsausteller: beliebige vertrauenswürdige ca
zwischenzertifikate zulassen
server/zertifikatnamen angeben: wlantest.net

fehlermeldung auf dem server im event id2 ias
unbekannter benutzername oder ein ungültiges kennwort

ausgestellte cert sind 2 für den domänencontroller

hilfe

aaaaalso für peap/ms-chapv2 brauch der client ein stammzertifkatsserverzertifkat - zu sehen per mmc>zertifikate>lokaler computer>vertrauenswürdige stammzertifizierungsstellen

auf dem ias muss an genau der selben stelle auch so ein zertifkat stehen. verteilen kann man dieses zertifikat der einfachheit halber per gruppenrichtlinie. außerdem darf man nicht vergessen dem nutzer in der domäne das recht zum einwählen zu geben. der nutzer muss in einer domänengruppe stecken, welche wiederrum auf dem ias als "erlaubt" konfiguriert ist...und und und...

also ein paar sachen gibt es schon zu beachten. ich kann dir dazu ein sehr gutes buch empfehlen, mit dem auch ich angefangen habe:

"drahtlose netzwerke mit microsoft windows" ISBN 3-86063-963-3

da steht genau das drin, was du wissen mußt, um ein modernes (und voll integriertes) wlan zu ersttellen....mit windows 2003 & eap-tls, peap usw usw

[sunghost]

aaaaalso für peap/ms-chapv2 brauch der client ein stammzertifkatsserverzertifkat - zu sehen per mmc>zertifikate>lokaler computer>vertrauenswürdige stammzertifizierungsstellen

habe ich bereits gemacht

auf dem ias muss an genau der selben stelle auch so ein zertifkat stehen.

wo genau? ias zertifikatsstelle ad ist bei mir alles auf einem
gruppe wurde im ias authorisiert

verteilen kann man dieses zertifikat der einfachheit halber per gruppenrichtlinie

wo genau?

du wirst lachen, aber genau dieses buch liegt neben mir und hat mir bis jetzt auch gut geholfen
bei mir ist es so, dass das ganze eher eine hot spot funktion hat, sodass jemand von der verwaltung user und pw erhält und dann ohne großen konfigurieren ins inet soll.
werden die cert dann automatisch beim anmelden gezogen oder warum muss ich das per gpo verteilen?

das was ich grade nicht verstehe ist, warum ich als fehlermeldung, falscher benutzer oder pw falsch erhalte.