Jump to content

Eisbaeeer

Members
 Profil anzeigen  Aktivitäten des Benutzers anzeigen

  • Gesamte Inhalte

    6

  • Registriert seit

  • Letzter Besuch

 Inhaltstyp 

Beiträge erstellt von Eisbaeeer

  1. Cisco VPN Client mit IAS und Active Directory

    in Active Directory Forum

    Geschrieben

    Also ich habe es jetzt hinbekommen. Welche Konvention man einsetzt ist bei mir völlig egal. Der IAS ist da sehr kompatibel. Bei mir lässt er jetzt zu:

     

    Domäne\Benutzer

    Benutzer@Full.Qualified.Domain.de

    Benutzer

     

    Einfach alle Möglichkeiten. Der Fehler lag auch nicht bei der PIX.

    Ich habe auf unserem 2. DC den IAS installiert und das ganze out of the box konfiguriert. Und siehe da, es hat funktioniert.

    Wichtig ist bei der PIX, dass nur MD5 und DES genutzt wird, sonst verstehen sich IAS und PIX nicht.

     

    Nun wo lag der Fehler. Auf dem ursprünglichen DC war noch eine zusätzliche Software für Tokens von securecomputing installiert. Diese setzt sich direkt in das AD. Warum aber jetzt keine Authentifizerung möglich war, werde ich noch weiter testen. SecureComputing hat einen Deamon für den IAS.

    Nutzt jemand SafeWord?

    Wenn ja, geht das mit dem Cisco Client überhaupt. In den Anleitungen wird immer der Client von Microsoft bentzt.

     

    Vielen Dank auch für Eure Hilfe. Ich komme eher aus der Linux welt, deshalb muss ich mich da ein bischen durchkämpfen.

     

    Viele Grüße Eisbaeeer

  2. Cisco VPN Client mit IAS und Active Directory

    in Active Directory Forum

    Geschrieben

    P.S.: Am besten mit dem UPN versuchen, das müsste garantiert klappen.;)

     

    Also hab ich probiert. Bei UPN Anmeldung kommt folgendes in der Ereignisanzeige:

     

    -----------------------------------------------------------------------------

    Benutzer "dummy@ulm1" wurde der Zugriff verweigert.

    Vollqualifizierter Benutzername = ULM1\dummy@ulm1

    NAS-IP-Adresse = 192.168.0.7

    NAS-Kennung = <nicht vorhanden>

    Kennung der Anrufstation = <nicht vorhanden>

    Kennung der Empfängerstation = <nicht vorhanden>

    Client-Name = Firewall

    Client-IP-Adresse = 192.168.0.7

    NAS-Porttyp = <nicht vorhanden>

    NAS-Port = 135

    Richtlinien-Name = <unbestimmt>

    Authentifizierungstyp = <unbestimmt>

    EAP-Typ = <unbestimmt>

    Code = 16

    Ursache = Bei der Authentifizierung ist aufgrund eines unbekannten Benutzernamens oder eines ungültigen Kennworts ein Fehler aufgetreten

    -----------------------------------------------------------------------------

     

    Gebe ich die Full-Qulified-Domain ein:

     

    -----------------------------------------------------------------------------

    Benutzer "dummy@ulm1.ulmerfleisch.de" wurde der Zugriff verweigert.

    Vollqualifizierter Benutzername = ULM1\dummy

    NAS-IP-Adresse = 192.168.0.7

    NAS-Kennung = <nicht vorhanden>

    Kennung der Anrufstation = <nicht vorhanden>

    Kennung der Empfängerstation = <nicht vorhanden>

    Client-Name = Firewall

    Client-IP-Adresse = 192.168.0.7

    NAS-Porttyp = <nicht vorhanden>

    NAS-Port = 133

    Richtlinien-Name = <unbestimmt>

    Authentifizierungstyp = <unbestimmt>

    EAP-Typ = <unbestimmt>

    Code = 16

    Ursache = Bei der Authentifizierung ist aufgrund eines unbekannten Benutzernamens oder eines ungültigen Kennworts ein Fehler aufgetreten.

    -----------------------------------------------------------------------------

    Ist denn die Ausgabe vom Ereignisprotokoll richtig?

    Kann ich den IAS mit einem anderen tool abfragen, um sicherzugehen, dass das Zusammenspiel von IAS und AD funktioniert. Dann könnte ich das ganze eingrenzen.

  3. Cisco VPN Client mit IAS und Active Directory

    in Active Directory Forum

    Geschrieben

     

    Hatte ich nach der Anleitung schon gemacht. Geht auch in der MMC, die Registrierung.

    Es ist bestimmt irgen ein ganz ****er Fehler.

     

    Frage:

    Wie kann ich den NetBIOS Domänenname testen? Ich hab in einem anderen Thread gelesen, dass sein Client einmal mit dem Domännenname\Benutzername und einmal mit NetBIOS Name Anmeldungen durchgeführt hat. Die NetBIOS Anmeldung hat funktioniert, die mit dem Domänen Name nicht.

     

    Grüße Eisbaeeer

     

    P.S.: Respekt für deine Antwortzeiten!

  4. Cisco VPN Client mit IAS und Active Directory

    in Active Directory Forum

    Geschrieben

    Wohl eher PAP - CHAP ist für die meisten RADIUS-only Büchsen von 3rd Party herstellern to much.

     

    @Eisbaeeer

    Hast du's schon mit NetBIOS Domänen Namen\Benutzername oder dem UPN versucht?

     

    NetBIOS hab ich noch nicht versucht. Werde das mal in Angriff nehmen.

    Zwecks CHAP hab ich bei Cisco gelesen, dass NUR PAP unterstützt wird.

     

    Ich werde mal die Varianten versuchen (NetBIOS und UPN)

    Melde mich dann wieder.

  6. Cisco VPN Client mit IAS und Active Directory

    in Active Directory Forum

    Geschrieben

    Hallo zusammen

     

    Ich habe ein Problem mit der VPN Einwahl.

    Bisher ist es bei uns möglich, allein mit dem "Group Name" und einem Passwort eine VPN Verbinung herzustellen.

    Da dies nicht gerade sehr sicher ist, wollen wir unser AD zum Abfragen nutzen. Wenn das funktioniert, sollen als 2. Stufe Tokens von SecureComputing zum Einsatz kommen. Dafür muss aber erst einmal die Authentifizierung über das Active Directory funktionieren.

     

    Die Daten:

    Cisco PIX 515E

    Windows 2000 AD

    Auf dem AD läuft der IAS:

    Clients --> Ist die Firewall mit "RADIUS Standard" und einem Schlüssel eingetragen

    Richtlinie --> Windows-Groups stimmen überein mit domain\VPN Users

    NAS-IP-Address stimmen überein mit 192.168.0.7

    Profil --> Authentifizierung PAP,SPAP angehakt (sonst kein Haken)

    Einem Benutzer, der diese Bedigungen erfüllt --> RAS-Berechtigung erteilen

    Der Internetauthentifizierungsdienst ist im AD registriert

    Authentifizierung: 1812,1645

    Kontoführung 1813,1646

     

    Wenn ich nun in der PIX IKE, XAuth/Mode Config, outside auf die entsprechende Server Group einstelle, fragt der Cisco Client (Version 4.6.00) nach Benutzername und Passwort.

    Der Benutzer hat im AD Einwahlrechte "Zugriff gestattet" und gehört zu der oben genannten Gruppe "VPN Users".

    Der IAS gibt folgenden Fehler aus:

     

    ---------------------------------------------------------------------------------------

    Benutzer "weimar" wurde der Zugriff verweigert.

    Vollqualifizierter Benutzername = ULM1\weimar

    NAS-IP-Adresse = 192.168.0.7

    NAS-Kennung = <nicht vorhanden>

    Kennung der Anrufstation = <nicht vorhanden>

    Kennung der Empfängerstation = <nicht vorhanden>

    Client-Name = Firewall

    Client-IP-Adresse = 192.168.0.7

    NAS-Porttyp = <nicht vorhanden>

    NAS-Port = 112

    Richtlinien-Name = <unbestimmt>

    Authentifizierungstyp = <unbestimmt>

    EAP-Typ = <unbestimmt>

    Code = 16

    Ursache = Bei der Authentifizierung ist aufgrund eines unbekannten Benutzernamens oder eines ungültigen Kennworts ein Fehler aufgetreten.

    ---------------------------------------------------------------------------------------

     

    Was ist noch falsch eingestellt und vor allem wo?

    Ich kann den Fehler nicht weiter eingrenzen.

     

    Grüße Eisbaeeer

×
×
  • Neu erstellen...