Pitt84

Hallo zusammen, ich habe eine wahrscheinlich relativ einfaches Problem, habe aber aus zeitgründen nicht viel Zeit mich damit zu beschäftigen. Ich hoffe, mir kann jemand schnell helfen. Ich habe einen IAS installiert und konfiguriert mit allem was dazu gehört. (AD-Anbindung etc.) Jetzt sollen sich die Clients einmal über die Domäne anmelden um das Serverzertifikat zu erhalten. Das zertifikat habe ich mittels Zertifikatsdienst erstellt und dieses ist auch unter "Zertifikate" angegeben. Wie kann ich jetzt eine gruppenrichtlinie erstellen mit der ich dieses vernünftig ausrollen und verteilen kann? Danke schonmal Gruß, Pitt

So...den Thread kann man abschließen...wer Infos möchte, kann mich gerne zu dem Thema 802.1x und iAS anschreiben. Grizzly: Ich danke Dir auch für Deine Antworten. Es war allerdings falsch, dass der Server kein Zertifikat braucht, er braucht eins allein für den TLS Tunnel. (SSL/TLS-Handshake aber ohne Client Zertifikat im Gegensatz zu EAP-TLS) Wenn der Client das Zertifikat zusätzlich überprüfen soll, muss dieses Zertifikat des Servers natürlich vom Client noch angefordert werden über die mmc. Der Fehler bei mir letztendlich war der, dass das Zertifikat des Servers im eigenen Benutzerkonto nicht drin war. Nach einem Neustart und nem gpupdate /target:servername hat es dann funktioniert. Achja natürlich alles über PEAP-EAP-MS-CHAPv2... Gruß, Pitt

ok danke hat sich schon erledigt. :cool: Hab den Fehler gefunden, ich hatte auf dem Switch aus Versehen gestern den Secret-Key gelöscht, der auf dem IAS konfiguriert war. Jetzt läuft es endlich mit MS-CHAPv2.:D

Hallo zusammen, ich versuche gerade PEAP-MS-CHAPv2 und 802.1x zu implementieren mittels IAS. Ein Zertifikat habe ich ausstellen lassen für den IAS. Den CLient habe ich auch entsprechend konfiguriert. Im Eventlog steht nun immer: Es wurde "Access-Request"-Meldung vom RADIUS-Client HP Procurve 5308xl mit einem ungültigen "Message Authenticator"-Attribut empfangen. Hat jemand eine Lösung für dieses Problem? In den Einstellungen des RADIUS Clients habe ich "Anforderung muss das Attribut "Message Authenticator" enthalten angeklickt. DIe Fehlermeldung ist aber die selbe, wenn ich den Haken rausnehme. Gruß

Kann mir denn jetzt keiner vernünftig helfen? Ich habe jetzt alle Authentifizierungsmethoden deaktiviert bis auf MSCHAPv2 (wenn ich alle bis auf md5 deaktiviere, funktioniert die MD5 Authentifizierung). Es geht aber einfach nicht und ich bin jetzt echt ratlos. grizzly: Das mit dem MSCHAPv2 stimmt, Client UND Server müssen beweisen, dass sie das Kennwort kennen. Sweit so gut...im Internet die Quellen sind so für den *****...da steht es nämlich so mit dem Serverzertifikat(was ja auch möglich ist oder). Naja auch egal, wie muss ich denn weiter vorgehen. Auf dem XP Client habe ich MSCHAP konfiguriert und auf dem IAS auch in der RAS Richtlinie im IAS. Der IAS ist auch mit der AD verbunden und Mitglied derselbigen. Gruß

Außerdem wollte ich ja nur wissen, warum man mit EAP-MD5 diese Einstellung nicht vornhemen kann in den Eigenschaften der Netzwerkverbindung so wie bei MSCHAPv2. MD5 läuft und das habe ich mittels Wireshark überprüft. Und jetzt wollte ich eben einfach auf MSCHAPv2 wechseln, damit ich diese Option setzen kann. Allerdings funktioniert das nicht aus irgendwelchen Gründen.

Die MD5-Authentifizierung funktioniert sehr wohl. Das Häkchen für "Kennwörter mit umkehrbarer Verschlüsselung speichern", wenn Du das meinst, habe ich schon vor ein paar Tagen gesetzt, aber nicht am Konto, sondern als Kontorichtlinie für Domänen. Ohne diese Einstellung funktioniert es ja nicht!!! Zertifikate sind nicht unbedingt nötig, das ist richtig, da man auch den haken wegnehmen kann bei "Serverzertifikat überprüfen".

Aber nochmal kurz vorweg, die MD5-Challenge Authentifizierung funktioniert!!!! Eben nur, wenn ich schon angemeldet bin, wenn ich den Rechner neustarte und mich dann an der Domäne anmelden will, ist diese NATÜRLICH nicht erreichbar, da ich mich ja noch nicht in dem Moment am Netzwerk angemeldet habe. Das soll er aber automatisch machen mit den Anmeldedaten der AD. Also erst Anmeldung am Netzwerk, dann DHCP und dann AD

MD5 ist beim Client eingestellt (Netzwerkverbindunge-->Eigenschaften-->Authentifizierung-->EAP-Typ:MD5Challenge) Beim IAS habe ich alle Authentifizierungsmethode ausgewählt, es sind also erstmal alle erlaubt Welches Häkchen am Konto meinst Du? Warum Kennwort ändern? MSCHAPv2 beinhaltet die einseitige Zertifikatsauthentifizierung, dass heißt, dass das Zertifikat des Servers als vertrauenswürdig bei den Clients installiert werden muss. Oder nicht???? Grundlagen bringe ich mir gerade selber bei bezüglich IAS usw. nd bin auch schon einen riesen Schritt weitergekommen, sonst würde die Authentifizierung über IAS per MD5-Challenge ja auch nicht funktionieren. Unter Windows "Netzwerkverbindung --> Eigenschaften" kann man nur bei MSCHAPv2 "Automatisch eigenen Windows-Anmeldenamen und Kennwort (und Domäne, falls vorhanden)" anklicken.

MSCHAPv2 beinhaltet die einseitige Zertifikatsauthentifizierung, dass heißt, dass das Zertifikat des Servers als vertrauenswürdig bei den Clients installiert werden muss. Oder nicht???? Grundlagen bringe ich mir gerade selber bei bezüglich IAS usw. nd bin auch schon einen riesen Schritt weitergekommen, sonst würde die Authentifizierung über IAS per MD5-Challenge ja auch nicht funktionieren. Unter Windows "Netzwerkverbindung --> Eigenschaften" kann man nur bei MSCHAPv2 "Automatisch eigenen Windows-Anmeldenamen und Kennwort (und Domäne, falls vorhanden)" anklicken.

Hallo zusammen, ich weiß einfach nicht mehr weiter. Ich will 802.1x Authentifizierung machen an nem HP Procurve 5308xl Switch. Es funktioniert die lokale Authentifizierung direkt auf dem Switch, auch die Authentifizierung gegenüber dem RADIUS über EAP-MD5 geht. Jetzt sind die Clients aber in einer Domäne Mitglied und somit soll natürlich der Domänenname und das Passwort direkt dazu genutzt werden, um den Client erst am Netzwerk anzumelden und erst dann an der Domäne. Diese Option bietet aber nur EAP- MSCHAPv2 unter Windows XP. Ich weiß nicht, warum es mit MD5 nicht geht und bisher konnte mir auch niemand eine Antwort darauf geben, außer dass es eben nicht mit MD5 ginge. *lol* Also habe ich auch den Zertifikatsdienst installiert, da MSCHAPv2 ja ein Serverzertifikat voraussetzt. Das Stammzertifikat habe ich dann exportiert und per Diskette auf den XP Client übertragen. Dann habe ich es in der MMC unter Zertifikate reinkopiert unter"vertrauenswürdige Zertifikate" und "eigene Zertifikate". Es geht aber garnichts, die Aufforderung kommt zwar aber beim IAS kommt nur der RADIUS-Request an und der IAS schickt nichts. Im Eventlog steht, dass die Zugriffsanforderung für Benutzer x gelöscht wurde und dass es an derClientkonfiguration liegt. TOLL!!!! Was muss ich machen??? Im HP Procurve habe ich EAP-RADIUS als Authentifizierung konfiguriert. Ich hoffe, dass es einen auf der Welt gibt, der mir weiterhelfen kann. Gruß

Geht nicht. Windows unterstützt kein EAP-MD5 als Authentifizierungsmethode über die Domänenanmeldung. Warum weiß ich nicht und anscheinend auch sonst niemand. Noch nicht mal im Internet findet man etwas dazu.:mad:

Achso...;) Ich dachte, das die Richtlinie nur besagt, dass zuerst auf das Netzwerk gewartet wird BEVOR die Anmeldung an der Domäne vollzogen wird, also ohne Benutzerauthentifizierung am RADIUS. wo finde ich denn diese sicherheitsrichtlinie unter xp?

Ja aber er soll ja die Benutzerdaten der AD benutzen, um sich dann am RADIUS und dann and er Domäne anzumelden.

Genau, das reversible Abspeichern der Kennwörter auf dem Server ist ein Sicherheitsrisiko, aber es haben ja normalerweise auch nur autorisierte Personen Zugriff zum Rechenzentrum, wo sich der Server befindet, somit man der Sache schon wieder mehr vertrauen könnte, aber gut.... Kann es sein, dass das nicht geht mit der Domänenanmeldung bei MD5, weil dort keine Zertifikate übertragen werden und er MD5 nicht übertragen kann. Irgendwie so...???:suspect: