Jump to content

Ponder43

Members
  • Gesamte Inhalte

    9
  • Registriert seit

  • Letzter Besuch

Profile Fields

  • Member Title
    Newbie

Fortschritt von Ponder43

Explorer

Explorer (4/14)

  • Erste Antwort
  • Erster eigener Beitrag
  • Eine Woche dabei
  • Einen Monat dabei
  • 1 Jahre dabei

Neueste Abzeichen

10

Reputation in der Community

  1. Hallo zusammen, wir haben eine Win2k3 Enterprise CA aufgebaut. Aus mehreren Gründen reichen uns die vorgefertigten Smartcard Templates nicht aus. Ein Version 2 Template zu erstellen ist kein Problem, in der CA hab ich es auch hinzugefügt. Aber was muss ich tun, damit ich als Enrollment Agent(entsprechendes Zertifikat vorhanden) die Zertifikate über die Website der CA für andere User ausstellen kann? Mir wird nur das ursprüngliche Smartcard Template angezeigt... Mir als Administrator kann ich das V2 Zertifikat ausstellen. Für Hinweise und Ideen wäre ich sehr dankbar. Grüße, Ponder
  2. Hallo zusammen, wir haben gerade eine PKI und Smartcards eingeführt und möchten nun die ISDN-Einwahl mit Zertifikaten absichern. Grundsätzlich funktioniert das auch mit Benutzerzertifikaten von der Smartcard. Bei den Benutzern wird die Verbindung aber über ein Skript mit "rasdial" aufgebaut. Leider fehlt die Möglichkeit dort die PIN für die Smartcard mitzugeben und das Terminalfenster funktioniert bei ISDN auch nicht. Als Alternative könnten wir Computerzertifikate verwenden. Wenn ich "Zertifikat auf diesem Computer verwenden" einstelle, findet er aber kein gültiges Zertifikat. Wie muss ich die Verbindung dann konfigurieren? Oder kann man doch das Skript anpassen? Viele Grüße, Ponder
  3. Hallo zusammen, wir verwenden Smartcards für die Windowsanmeldung. Dadurch wird (wenn der Haken "force to use smartcard" gesetzt wird) das Windowspasswort auf einen Zufallswert gesetzt. Die WLAN-Software die wir im Einsatz haben, scheint -warum auch immer- zu versuchen, sich mit Benutzernamen und Passwort des angemeldeten Users zu authentifizieren. Im Eventlog sehe ich folgendes: Ein vertrauenswürdiger Anmeldevorgang wurde bei der lokalen Sicherheitsinstanz registriert. Diesem Anmeldevorgang wird vertraut, Anmeldeversuche einzureichen. Name des Anmeldevorgangs: \bcmwltry.exe Anschließend kommen drei fehlgeschlagene Login-Versuche, welche die Sperrung des Accounts verursachen. Die .exe gehört zum Wireless-Dienst, welcher unter "lokales System" ausgeführt wird. Wir haben den Dienst mal als Administrator ausgeführt. Der User-Account wird dann nicht gesperrt, wir haben aber auch kein WLAN. Da wir Win2k nutzen, brauchen wir also den Dienst. Kann man beeinflussen, welchen Anwendungen für Anmeldeversuche vertraut wird? Oder hat jemand noch andere Ideen? Gruß, Ponder
  4. Hi olc, vielleicht darf ich dein Wissen nochmal herausfordern ;-) Wir wollen auch WLAN-Karten von Intel verwenden. Dabei haben wir auch noch ein Problem. Wenn ich mit einem Benutzer ein Profil erstelle, ist die Option "Zertifikat dieses Computers zur Authentifizierung verwenden" ausgegraut. Erstelle ich ein Administratorprofil(darf von Benutzern verwendet werden) mit dieser Option und melde mich dann mit einem Benutzer an, wird die Authentifizierung nicht korrekt durchgeführt. Es scheint mir, dass die Verbindungssoftware im Benutzerkontext nicht auf das Computerzertifikat zugreifen kann... Die Software von DELL bspw. kann das ohne Probleme. Hast du eine Idee, wie ich die Intel-Software austricksen kann? Gruß, Ponder43
  5. Hallo nochmal. Die WLAN-Software habe ich inzwischen auch überzeugen können, indem ich vor den Namen aus dem Zertifikat noch ein "host/" setze. Das ist wohl nötig, wenn es sich um ein Computerzertifikat handelt. Andere Clients machen das automatisch. Vielleicht hilft es jemandem... Gruß, Ponder43
  6. Hallo olc, ich habe die Lösung... Es war eine Kombination aus fehlerhafter Firmware auf dem AP und mangelhafter WLAN-Software auf dem Client. Ich hatte ja schon die alte Firmware aufgespielt. Dann habe ich noch einen anderen Client getestet. Da funktionierte es auf anhieb... Wer kann denn sowas ahnen? Ich danke Dir trotzdem sehr für Deine Bemühungen! Viele Grüße, Ponder43
  7. Hi, der SAN wird richtig eingetragen. Ich denke schon, dass das Computerzertifikat im richtigen Store liegt. Jedenfalls wird es mir angezeigt, wenn ich in der MMC das Zertifikat-Plug-in für das Computerkonto aufrufe. Kann ich mir die Stores noch anders anzeigen lassen? Ich habe noch mal eine frühere Firmware auf dem AP eingespielt die ich im Testaufbau auch verwendet habe. Jetzt wird der Computer vom IAS erfolgreich authentifiziert. Jedoch bekommt der das nicht mit und versucht sich dauernd neu zu verbinden. Ich vermute das eigentliche Problem ist noch das gleiche. Es äußert sich nur auf unterschiedliche Weise... Hast du noch weitere Ideen? Gruß, Ponder43
  8. Auch hallo, und vielen Dank für deine Antwort. Die PKI ist Root und ausstellende Zertifizierungsstelle gleichzeitig. Zwischenzertifikate gibt es also nicht. Bei der Aktualisierung der Gruppenrichtlinien hat der Client sein Computerzertifikat und das Root-Zertifikat bekommen. Ich habe den Client so konfiguriert, dass er das Zertifikat des IAS nicht überprüft. Das Zertifikat, welches er benutzen soll, um sich zu authentifizieren gebe ich explizit an. Der IAS hat auch das Root-Zertifikat im Trusted-Speicher. Ich denke, dass müsste so alles richtig sein... In meinem Testaufbau hatte ich eine PKI auf einem 2003 Standard Server, jetzt verwende ich einen Enterprise Server. Kann das ein Problem sein? Ich weiß, dass dass es in der Enterprise Edition eine neue CA gibt... Gruß, Ponder43
  9. Hallo zusammen, ich möchte ein WLAN mit WPA2 und 802.1x absichern. Dazu habe ich eine PKI und einen IAS auf 2k3 Enterprise Servern eingerichtet. Ein Active Directory ist natürlich auch vorhanden. Die Clients (W2k) erhalten Computerzertifikate per Autoenrollment. Im Eventlog des IAS laufen keine Meldungen auf. Im Tracing sehe ich aber, dass die Anfrage vom Client ankommt, und die Credentials auch erfolgreich im AD überprüft werden. Allerdings scheint beim anschließenden Challenge/Response was schief zu laufen. Das Problem tritt sowohl bei WLAN als auch bei LAN auf. Ich hab auch einen XP Client per LAN und 802.1x getestet. Dieser sagt aber "Es wurde kein Zertifikat gefunden, um Sie am Netzwerk anzumelden". Bei Bedarf kann ich auch gerne Auszüge aus den Logs posten... Hat jemand eine Idee? Vielen Dank im Voraus! Gruß, Ponder43
×
×
  • Neu erstellen...