Eisbaeeer

Also ich habe es jetzt hinbekommen. Welche Konvention man einsetzt ist bei mir völlig egal. Der IAS ist da sehr kompatibel. Bei mir lässt er jetzt zu: Domäne\Benutzer Benutzer@Full.Qualified.Domain.de Benutzer Einfach alle Möglichkeiten. Der Fehler lag auch nicht bei der PIX. Ich habe auf unserem 2. DC den IAS installiert und das ganze out of the box konfiguriert. Und siehe da, es hat funktioniert. Wichtig ist bei der PIX, dass nur MD5 und DES genutzt wird, sonst verstehen sich IAS und PIX nicht. Nun wo lag der Fehler. Auf dem ursprünglichen DC war noch eine zusätzliche Software für Tokens von securecomputing installiert. Diese setzt sich direkt in das AD. Warum aber jetzt keine Authentifizerung möglich war, werde ich noch weiter testen. SecureComputing hat einen Deamon für den IAS. Nutzt jemand SafeWord? Wenn ja, geht das mit dem Cisco Client überhaupt. In den Anleitungen wird immer der Client von Microsoft bentzt. Vielen Dank auch für Eure Hilfe. Ich komme eher aus der Linux welt, deshalb muss ich mich da ein bischen durchkämpfen. Viele Grüße Eisbaeeer

Also hab ich probiert. Bei UPN Anmeldung kommt folgendes in der Ereignisanzeige: ----------------------------------------------------------------------------- Benutzer "dummy@ulm1" wurde der Zugriff verweigert. Vollqualifizierter Benutzername = ULM1\dummy@ulm1 NAS-IP-Adresse = 192.168.0.7 NAS-Kennung = <nicht vorhanden> Kennung der Anrufstation = <nicht vorhanden> Kennung der Empfängerstation = <nicht vorhanden> Client-Name = Firewall Client-IP-Adresse = 192.168.0.7 NAS-Porttyp = <nicht vorhanden> NAS-Port = 135 Richtlinien-Name = <unbestimmt> Authentifizierungstyp = <unbestimmt> EAP-Typ = <unbestimmt> Code = 16 Ursache = Bei der Authentifizierung ist aufgrund eines unbekannten Benutzernamens oder eines ungültigen Kennworts ein Fehler aufgetreten ----------------------------------------------------------------------------- Gebe ich die Full-Qulified-Domain ein: ----------------------------------------------------------------------------- Benutzer "dummy@ulm1.ulmerfleisch.de" wurde der Zugriff verweigert. Vollqualifizierter Benutzername = ULM1\dummy NAS-IP-Adresse = 192.168.0.7 NAS-Kennung = <nicht vorhanden> Kennung der Anrufstation = <nicht vorhanden> Kennung der Empfängerstation = <nicht vorhanden> Client-Name = Firewall Client-IP-Adresse = 192.168.0.7 NAS-Porttyp = <nicht vorhanden> NAS-Port = 133 Richtlinien-Name = <unbestimmt> Authentifizierungstyp = <unbestimmt> EAP-Typ = <unbestimmt> Code = 16 Ursache = Bei der Authentifizierung ist aufgrund eines unbekannten Benutzernamens oder eines ungültigen Kennworts ein Fehler aufgetreten. ----------------------------------------------------------------------------- Ist denn die Ausgabe vom Ereignisprotokoll richtig? Kann ich den IAS mit einem anderen tool abfragen, um sicherzugehen, dass das Zusammenspiel von IAS und AD funktioniert. Dann könnte ich das ganze eingrenzen.

Hatte ich nach der Anleitung schon gemacht. Geht auch in der MMC, die Registrierung. Es ist bestimmt irgen ein ganz ****er Fehler. Frage: Wie kann ich den NetBIOS Domänenname testen? Ich hab in einem anderen Thread gelesen, dass sein Client einmal mit dem Domännenname\Benutzername und einmal mit NetBIOS Name Anmeldungen durchgeführt hat. Die NetBIOS Anmeldung hat funktioniert, die mit dem Domänen Name nicht. Grüße Eisbaeeer P.S.: Respekt für deine Antwortzeiten!

NetBIOS hab ich noch nicht versucht. Werde das mal in Angriff nehmen. Zwecks CHAP hab ich bei Cisco gelesen, dass NUR PAP unterstützt wird. Ich werde mal die Varianten versuchen (NetBIOS und UPN) Melde mich dann wieder.

Ja, hab ich gemacht: Profil --> Authentifizierung PAP,SPAP angehakt (sonst kein Haken) Ich habe jetzt die CHAP noch mit angehakt. Gleicher Fehler. Ist denn die Ereignismeldung normal? Scheinbar kommt die PIX ja bis zum IAS. Also gehe ich jetzt mal davon aus, das es nicht an der PIX liegt.

Hallo zusammen Ich habe ein Problem mit der VPN Einwahl. Bisher ist es bei uns möglich, allein mit dem "Group Name" und einem Passwort eine VPN Verbinung herzustellen. Da dies nicht gerade sehr sicher ist, wollen wir unser AD zum Abfragen nutzen. Wenn das funktioniert, sollen als 2. Stufe Tokens von SecureComputing zum Einsatz kommen. Dafür muss aber erst einmal die Authentifizierung über das Active Directory funktionieren. Die Daten: Cisco PIX 515E Windows 2000 AD Auf dem AD läuft der IAS: Clients --> Ist die Firewall mit "RADIUS Standard" und einem Schlüssel eingetragen Richtlinie --> Windows-Groups stimmen überein mit domain\VPN Users NAS-IP-Address stimmen überein mit 192.168.0.7 Profil --> Authentifizierung PAP,SPAP angehakt (sonst kein Haken) Einem Benutzer, der diese Bedigungen erfüllt --> RAS-Berechtigung erteilen Der Internetauthentifizierungsdienst ist im AD registriert Authentifizierung: 1812,1645 Kontoführung 1813,1646 Wenn ich nun in der PIX IKE, XAuth/Mode Config, outside auf die entsprechende Server Group einstelle, fragt der Cisco Client (Version 4.6.00) nach Benutzername und Passwort. Der Benutzer hat im AD Einwahlrechte "Zugriff gestattet" und gehört zu der oben genannten Gruppe "VPN Users". Der IAS gibt folgenden Fehler aus: --------------------------------------------------------------------------------------- Benutzer "weimar" wurde der Zugriff verweigert. Vollqualifizierter Benutzername = ULM1\weimar NAS-IP-Adresse = 192.168.0.7 NAS-Kennung = <nicht vorhanden> Kennung der Anrufstation = <nicht vorhanden> Kennung der Empfängerstation = <nicht vorhanden> Client-Name = Firewall Client-IP-Adresse = 192.168.0.7 NAS-Porttyp = <nicht vorhanden> NAS-Port = 112 Richtlinien-Name = <unbestimmt> Authentifizierungstyp = <unbestimmt> EAP-Typ = <unbestimmt> Code = 16 Ursache = Bei der Authentifizierung ist aufgrund eines unbekannten Benutzernamens oder eines ungültigen Kennworts ein Fehler aufgetreten. --------------------------------------------------------------------------------------- Was ist noch falsch eingestellt und vor allem wo? Ich kann den Fehler nicht weiter eingrenzen. Grüße Eisbaeeer