hop-sing

Zunächst die gute Nachricht: Es klappt :jau: !!! Wie immer im Leben, war die Lösung ansich ganz einfach. Was fehlte war die Zuordnung von Zertifikat zu Identität. Ohne Identität geht es nicht und diese muss im AD in Form eines Benutzer- oder Computerkontos vorliegen (bei letzterem dran denken hinter dem eigentlichen Namen ein "Dollar" zu platzieren, also z.B. "LINUXBOX$"). Das Kennwort ist dabei völlig egal und muss auch nicht in der Anfrage übergeben werden. Im Kontextmenü des Objektes (rechte Maustaste) findet man den Punkt "Namenszuordnungen...". Den wählt man aus und kann darin das binäre Zeritikat aus der Windows-CA hochladen. Dabei ist es völlig egal was dieses Zertifikat für Namen enthält. Es muss nur gültig sein und die bereits genannte Extended-Key-Usage (EKU) "Clientauthentifizierung" enthalten. Und schwubs... schon ist man drin :-) Letztlich viel Recherche und Versuche, sowie Wireshark und Co. Leider kommt man selten direkt von der Fehlermeldung zum Problem. Auch bleibt immer die Frage ob die Fehlermeldung einen nicht in die Irre führt, weil es zu allgemein ist. In meinem Fall könnte(!) man im Nachhinein betrachtet zwischen Meldung und Problem durchaus parallelen erkennen. Kommt aber stark auf die Meldung an, denn ich habe ich schon welche gesehen die praktisch eine Mini-Howto enthalten was zu tun ist. Du magst recht haben das NPS simpel ist, man kann es aber unglaublich komplex konfigurieren und je mehr man versucht es praktisch zu begreifen umso komplexer wird es. Dabei macht Debugging auf der Clientseite fast keinen Sinn, denn die ist so konzipiert, das sie nur Access or Denied erhält, was aus Security-Sicht wohl auch sinnvoll ist. Die Debugging-Möglichkeiten von NPS habe ich noch nicht so durchschaut. Ausser den Windows-Logs und Wireshark habe ich nichts in der Hand um Problemen auf die Spur zu kommen. Zumindest kann ich nun sowohl per TLS-Zertifikat (und Identität :-) in unser Firmen-WLAN als auch über einen 802.1X-Port ins LAN. Für beides verwende ich auf dem Raspi übrigens den "wpa_supplicant". Nun teste ich gerade "sscep" um in der Rollout-Phase der Raspi's ohne manuellen Aufwand Zertifikate zu erhalten. In Einzelschritten läuft das bereits und ich gehe so vor: - In einem Skript erzeuge ich mittels "openssl" einen privaten Schlüssel - Dann lade ich mir mittels "sscep" das CA-Stammzertifikat vom SCEP-Server - Nun rufe ich mittels wget die SCEP-Admin Seite auf und erhalte ein Challenge-Passwort (Hierfür muss der Admin einmalig eine Anmeldung eingeben) - Danach kann ich mit diesen Daten und dem "sscep"-Tool über den SCEP-Server ein ID-Zertifikat anfordern - Das resultierende Zertifikat wird zur Laufzeit direkt als PEM-Datei, also für Linux verwendbar, abgelegt und kann verwendet werden So, oder so ähnlich, machen das auch andere die eine SCEP-Schnittstelle anbieten, z.B. Igel. Das schöne dabei ist: Auch wenn das Gerät nicht in der Domäne ist, hat man volle Kontrolle über den Zugang. Will man ihn verhindern, muss man nur das Konto deaktivieren oder löschen. Schon ist das Zertifikat auf dem Gerät wertlos.

Hallo, ja, da war ich auch. Hier mal meine bisherige Linksammlung (alles ungetestet): http://autosscep.spe.net/ http://openscep.othello.ch/ https://github.com/certnanny/sscep http://manpages.ubuntu.com/manpages/karmic/man8/scepclient.8.html http://pki.fedoraproject.org/wiki/SCEP_in_Dogtag http://secadmins.com/index.php/ndes-scep-windows-test-tool/

Hallo Nils, danke für den Erfahrungsbericht. Da hast Du sicher recht. In der Regel braucht man ja sowas wie "in dem Ordner darf man nur schauen, in den Unterordnern lesen/schreiben/usw.". Sowas nutzen wir zu hauf bei Freigaben wo eine gewisse Grundordnung im Root zu halten ist.

Oh ja! Das sieht schon gut aus. Die vielen Optionen erschlagen etwas. Sag mal, kennst Du ein gutes Tutorial zum Thema Verzeichnisrechte? Ich wollte sowas wie einen "Mailbox"-Ordner erstellen, bin aber gescheitert. Der Benutzer soll den Ordner und den Inhalt sehen, aber nichts daraus ändern (umbenennen, verschieben, löschen) können. Auch soll er keine Unterordner sondern nur Dateien dort ablegen/erstellen können. Sobald die Datei aber drin liegt, darf er keine Rechte mehr daran haben.

Ah, Dunkelmann, das klingt sehr plausibel!!! Du meinst also aufgrund der "Use Windows Authentication bla bla bla" muss für jedes Gerät auf jeden Fall ein AD-Konto da sein? Also egal mit welcher Methode es sich authentifiziert. Damit würden Benutzerkonten gehen aber auch Windows Computerkonten, die haben ja auch ein Kennwort und einen Benutzernamen. Ich glaube die Hosts heißten hinten mit '$', kann das sein? Also z.B. "MeinPC$". Das Kennwort eines Computers wird, glaube ich, automatisch mit dem DC ausgehandelt und von zeit zu zeit auch automatisch erneuert. So gehsehen diente das Zertifikat, welches wir einsetzen, als weitere Authentifizierung und ggf. für die Verschlüsselung (TLS)? Ja, das mit der Zwei-Wege-Authentifizierung kann gut sein, das war damals so im Gespräch. Ich glaube EAP ist von hause aus unverschlüsselt und daher das Zertifikat um daraus EAP-TLS zu machen. Ginge also grundsätzlich auch ohne Zertifikat?! Ok, was ich also wollte ist das der Raspi kein User/Password gespeichert hat, sondern stattdessen ausschließlich ein Zertifikat verwendet. Also wirklich NUR EAP-TLS, kein PEAP. Was mir dazu fehlt ist also eine entsprechende Verbindungsrichtlinie. Diese dürfte aber idealerweise nur für die Raspi's passen. Ich will ja das die PCs weiterhin beides verwenden. Zudem macht der RADIUS noch viel mehr als nur WLAN-Konten. Unser ganzes Netz ist mit Switches und Port-Security (DOT1X) ausgestattet. Jedes Gerät authentifiziert sich hierüber. Das soll auch alles so bleiben. Ich könnte nun den Match gegen die ersten Ziffern der MAC-Adresse machen. Fänd ich aber b***d. Geht das nicht evtl. auch über bestimmte Zertifikatseigenschaften? Oder einen bestimmten Namensteil im Zertifikat? Unsere Geräte haben alle den gleichen Namensprefix und dann eine Nummer, z.B. "RPTB001". Den Inhalt des Zertifikates kann man ja nicht einfach so ändern, von daher wäre das sicher genug. Achja, und wenn ich schonmal nen Zert-Guru hier habe ;-) Kennst Du eine Software unter Linux mit der man Zertifikate automatisch erneuern kann? Ich kenne sowas von unserer MDM-Lösung, die benutzt einen SCEP-Server in unserem Netz dafür. Auch der Macintosh kann sowas wohl. Nur bei Linux find ich nix. Mit OpenSSL könnte man vielleicht auch Zertifikate bei der CA anfordern, anstelle sie aufwendig per Hand zu generieren und aufzuspielen?! Vielen Dank für die Links, ich muss mich da wirklich einarbeiten. Leider gibt es so wahnsinnig viel Infos aber meist nur wenig Howtos, die einen erklären was zu tun ist.

Ja, danke, stimmt, ist KMS. Kenn mich da leider nicht so aus... aber Danke für die Klärung!

Hallo, suche nach einer Möglichkeit die ACLs einer Verzeichnisstruktur irgendwie auszulesen, ggf. zu modifizieren (Namen austauschen) und dann auf eine andere, gleich aufgebaute, Verzeichnisstruktur anzuwenden. Also so eine Art Ordner-Template mit ACLs. Wie bekomm ich sowas hin? Darth

Hallo, welche Möglichkeiten habe ich eine von einer Volumenlizenz installiertes Office zu aktivieren, wenn dieses keine Verbindung mit dem Unternehmens-Lizenzserver (MAK) herstellen kann? Kann man hier eine Aktivierung auf "offline" durchführen oder muss ich den Rechner einmal in die Firma schleppen, ans Netz bringen und aktivieren?

Hallo, ich verzweifle an Zertifikaten... und zwar möchte ich einen Raspberry-Pi 2 mit Edimax WLAN-Stick in unser Unternehmensnetzwerk einbinden. Hierzu habe ich in unserer CA ein ID-Zertifikat erzeugt und in die WLAN-Config des Pi eingebunden. Leider klappt es nicht, im Radius-Server Log kommt dieser Fehler: Der Netzwerkrichtlinienserver verweigerte einem Benutzer den Zugriff. Wenden Sie sich an den Administrator des Netzwerkrichtlinienservers, um weitere Informationen zu erhalten. Benutzer: Sicherheits-ID: FIRMA\raspi Kontoname: raspi@firma.de Kontodomäne: FIRMA Vollqualifizierter Kontoname: firma.de/STAFF/TestUser/Raspi-User Clientcomputer: Sicherheits-ID: NULL SID Kontoname: - Vollqualifizierter Kontoname: - Betriebssystemversion: - Empfänger-ID: 00-0B-9B-1A-5A-91:ESS_WLAN_INTERNAL Anrufer-ID: 80-1F-02-47-32-1A NAS: NAS-IPv4-Adresse: 10.2.2.132 NAS-IPv6-Adresse: - NAS-ID: - NAS-Porttyp: Drahtlos - IEEE 802.11 NAS-Port: 8193 RADIUS-Client: Clientanzeigenname: MERU-WLC Client-IP-Adresse: 10.2.2.132 Authentifizierungsdetails: Name der Verbindungsanforderungsrichtlinie: Use Windows authentication for all users Netzwerkrichtlinienname: WLAN-WLAN_INTERNAL Authentifizierungsanbieter: Windows Authentifizierungsserver: dc1.firma.de Authentifizierungstyp: EAP EAP-Typ: Microsoft: Smartcard- oder anderes Zertifikat Kontositzungs-ID: - Protokollierungsergebnisse: Die Kontoinformationen wurden in keinen Datenspeicher geschrieben. Ursachencode: 16 Ursache: Authentifizierungsfehler aufgrund der Nichtübereinstimmung von Benutzeranmeldeinformationen. Der angegebene Benutzername ist keinem vorhandenen Benutzerkonto zugeordnet, oder das Kennwort war falsch. ------- Mit unseren Firmen-Laptops klappt das wunderbar auf "WLAN_INTERNAL". Die bekommen aufgrund einer GPO ein Computerzertifikat von der CA und nutzen dies in ihrerer WLAN-Configuration um sich mit dem Unternehmensnetzwerk zu verbinden. Ein Benutzername/Kennwort ist nicht notwendig, auch kein PSK. Leider bin ich nicht so sattelfest mit NPS und den zahlreichen Einstellungen und derjenige bei uns, der das mal gemacht hat, ist nicht mehr im Unternehmen. Meine Frage ist nun ob es an den Eigenschaften/Inhalt des Zertifikates liegt, das es nicht klappt, oder daran wie das Regelwerk auf dem NPS eingestellt ist. Für besagtes WLAN ist in der Netzwerkrichtlinie "WLAN-WLAN_INTERNAL" folgendes definiert: Bedingunen: -NAS-Porttyp = Wireless - IEEE 802.11 -Clientanzeigename = MERU-WLC.* -Empfangs-ID = .*:ESS_WLAN_INTERNAL$ Einschränkungen: -Authentifizierungsmethoden = EAP-Typen: "Microsoft: Smartcard- oder anderes Zertifikat" (sonst nichts!) Einstellungen: (nichts) Neben den Netzwerkrichtlinien gibt es noch eine Verbindungsanforderungsrichtlinie (was für ein Wort!). Hier ist nur der Default drin "Use Windows authentication for all users" Nun meine Frage, wo muss ich suchen? Was mach ich falsch? Brauch man spezielle Zertifikate um sich ohne Benutzer/Kennwort, rein per ID-Zertifikat, zu authentifizieren?

SMS Passcode klingt richtig gut. Vor allem da es nicht statisch einfach immer ein SMS-Token sendet, sondern es vom Benutzerverhalten (Standort, etc.) abhängig macht. Würdest Du mir kurz beschreiben wollen, wie das Produkt in Exchange integriert wird? Wieviele User habt ihr darauf und wie hoch sind die Kosten dafür?

Das mit dem SMS-Token klingt interessant. Was brauche ich dazu? Ist das ein Fremdprodukt?

Hallo, wir betreiben in der Firma einen Exchange 2010 für interne Mail. Jetzt kommen die ganzen Buzz-Words mit "Mobiles Arbeiten", "Cloud", "Home-Office", bla bla. Kurzum, ein Zugriff übers Web per OWA bzw. Active-Sync von privaten Endgeräten muss her. Alles realisierbar. Mein Problem ist, das unsere User relativ leichte Kennwörter benutzen, was innerhalb vom Betrieb nicht das große Problem ist. Ich habe auch Verständnis dafür, wenn sich keiner eine 12stellige Buchstaben-Zahlen-Kombination merken will, die er auch noch alle 3 Monate erneuern muss. So würde ich natürlich unsere Mailuser (sind praktisch identisch mit der Gruppe der Windows-User) ans Internet führen und damit jedem die Möglichkeit geben Benutzer/Kennwörter auszuprobieren. Wie schütze ich mich effektiv dagegen? Gibt es nicht eine Möglichkeit zwischen "internen" und "externen" Zonen zu unterscheiden und dort verschieden starke Kennwörter (erzwungen über Kennwortrichtlinien) zu nutzen? Evtl. auch mit Zusatz-Software von anderen Anbietern? Es sollte wirklich von jedem beliebigen Gerät aus Zugriff genommen werden können, also scheiden Zertifikatsbasierte Lösungen (2-Wege-Authentifizierung) mit USB/SmartCard oder fest installiert, aus. Hat jemand so ein Problem schonmal gelöst? Wäre sehr interessiert an Euren Anregungen.

Hallo, ich möchte neben meinem aktuellen NPS-Server auf Windows 2008, der zur RADIUS-Authentifizierung div. Geräte im Netzwerk tätig ist, noch zwei bis vier weitere Server im Netz verteilt als Backup/Secondary hinterlegen. Die Konfig soll auf allen gleich sein. Nun suche ich nach einer Möglichkeit wie man das mit Windows-Boardmitteln hinbekommt, denn bislang führten mich meine Versuche dahin das es scheinbar keine Active Directory Integration dieser Einstellungen gibt. Ich wünschte mir sowas wie bei DNS wo ich mehreren Servern die gleichen Daten hinterlegen kann. Auf meiner Suche bin ich über einige Skripting-Lösungen gestoplert, die würden es zur Not tun, aber vielleicht gibt es ja noch einen eleganteren Weg?

Hallo, wenn ich die Bedingungen für eine Netzwerkrichtlinie im 2008er NAP-Server (RADIUS) definiere, dann kann ich im Clientanzeigename auch "*" verwenden. Was geht denn da sonst noch so? Gibt es irgendwo eine Übersicht? Ich habe bei Microsoft nichts darüber finden können... Ich weiss aus einem Beispiel das man z.B. "sw-*" eingeben kann um alle Clientnamen zu matchen die mit "sw-" beginnen.