Pitt84 10 Geschrieben 11. Dezember 2006 Melden Teilen Geschrieben 11. Dezember 2006 Hallo zusammen, ich finde hier nun hoffentlich jemanden, der sich mit der weiter unten erläuterten Problematik identifizieren kann. ;) Das ist das dritte Forum. In den anderen gab es bisher niemanden, der sich mit der Thematik 802.1x und HP Procurve Switchen in Verbindung mit dem IAS von MS auskannte. Mein Problem: Hardware: HP Procurve 5308xl Switch W2k3 Server (IAS, DHCP, AD (nur kurz angelegt und die Verbindung mit dem RADIUS hergestellt; User Administrator wird verwendet für die Authentifizierung) WinXP Client Ich kriege keine Verbindung vom Switch aus zum RADIUS Server. Ping von Switch auf IP des RADIUS funktioniert einwandfrei. Allerdings steht im LogFile "Cant reach RADIUS Server" und entsprechend teilt der Client mir auch "Authentifizierung fehlgeschlagen mit". Ich weiß einfach nicht weiter, da ich schon alles ausprobiert habe. Ich habe das Netzwerk nun auch auf ein einiges VLAN beschränkt, in dem sich alle 24 Ports befinden. An dem Port, wo der RADIUS (DHCP + AD) dranhängt, habe ich die Port-Based Authentification ausgeschaltet. Meine Konfiguration auf dem HP Procurve 5308xl Switch: hostname "HP ProCurve Switch 5308xl" module 1 type J4820A interface A2 no lacp exit interface A3 no lacp exit interface A4 no lacp exit interface A5 no lacp exit interface A6 no lacp exit interface A7 no lacp exit interface A8 no lacp exit interface A9 no lacp exit interface A10 no lacp exit interface A11 no lacp exit interface A12 no lacp exit interface A13 no lacp exit interface A14 no lacp exit interface A15 no lacp exit interface A16 no lacp exit interface A17 no lacp exit interface A18 no lacp exit interface A19 no lacp exit interface A20 no lacp exit interface A21 no lacp exit interface A22 no lacp exit interface A23 no lacp exit interface A24 no lacp exit snmp-server community "public" Unrestricted vlan 1 name "DEFAULT_VLAN" untagged A1-A24 ip address 192.168.1.1 255.255.255.0 exit aaa authentication port-access eap-radius radius-server host 192.168.1.2 aaa authorization commands radius aaa port-access authenticator A2-A24 aaa port-access authenticator active Meine Konfiguration auf dem 802.1x XP Client: IEEE802.1x-Authentifizierung für dieses Netzwerk verwenden EAP-Typ: MD5 Challenge Meine Konfiguration auf dem Radius Server: IP: 192.168.1.2 RADIUS CLient: 192.168.1.1 (VLAN 1 IP Adresse Switch) Remote RADIUS Servergruppen: Gruppe Server beinhaltet den Server selbst (192.168.1.2) RADIUS Serverinformationen: Auth-Port: 1812 Kontoführungsport:1813 (Switch genauso konfiguriert) Vielen Dank, ich hoffe, es kann jemand helfen. Ist super dringend. Gruß Zitieren Link zu diesem Kommentar
weg5st0 10 Geschrieben 11. Dezember 2006 Melden Teilen Geschrieben 11. Dezember 2006 Hallo Pitt, erster Schritt zum Test wäre zunächst das login am Switch Radiusbasiert zu machen. Wenn das geht, hilft dir das Eventlog am Server weiter. 802.1x mit EAP ohne CA? Hat der User Remoteeinwahlrechte? Bzw. hast du eine entsprechende Richtlinie angelegt? Hast du mal bei HP nach einem Howto gschaut? Zitieren Link zu diesem Kommentar
Pitt84 10 Geschrieben 11. Dezember 2006 Autor Melden Teilen Geschrieben 11. Dezember 2006 Hallo weg5st0, erstmal vielen Dank für Deine Antwort. Meinst Du mir Switch Radiusbasiert, dass ich versuche mich mit einem Switchbenutzer zu authentifizieren? Das habe ich erfolgreich getestet und das funktioniert auch soweit. Bei HP gibt es zwei Benutzer, Operator und Manager, ich habe beiden ein Passwort gegeben und mich mit den Daten am Switch angemeldet und siehe da, es wurde der entsprechende Port geöffnet und freigegeben für den Client und er erhält eine IP Adresse vom DHCP Server. Das geht soweit alles. Dem User auf dem RADIUS Server habe ich keine besonderen Rechte mehr erteilt, da ich dachte, dass der Adinistrator, der sich in der Gruppe DomainAdmins befindet, sowieso alle Rechte besitzt oder? Ich habe den User in die Gruppe DomainAdmins geschoben, somit es auch daran nicht liegen kann, es sei denn ich muss ihm trotzdem noch entsprechende Recht geben trotz Admin. Wobei die Fehlermeldung auf dem Switch "Cant reach RADIUS SErver" dann nicht mehr ganz schlüssig wäre. Ich wollte nun mal Wireshark auf dem RADIUS SErver laufen lassen, um zu schauen, ob und was dort ankommt (zwischen Switch und IAS). Das HP HowTo habe ich mir vor Beginn dieser Tests heruntergeladen. Dort wird auch alles genau erklärt und ich habe mich auch an das Tutorial gehalten. Dort steht: When primary/secondary authentication is set to RADIUS/Local (for either Login or Enable) and the RADIUS server fails to respond to a client attempt to authenticate, the failure is noted in the EventLog with the message radius:Can't reach RADIUS server <server ip-address>. When this type of failure occurs, the switch prompts the client again to enter a username and password. In this case, use the local username(if any) and password configured on the siwtch itself Bedeutet ja nur, dass ich falls der fehler auftaucht, auf die lokale Benutzerauthentifizierung umwechseln soll und die entsprechenden User konfigurieren muss. Der Client wird dann erneut aufgefordert, die Benutzerdaten (lokale des Switches) einzugeben. Ja also ich habe EAP eingestellt und auch CHAP ausprobiert. Beides brachte keinen Erfolg. Du meinst, dass ich dann einen Zertifikats Server benötige oder? Aber ich dachte,um die Kommunikation allgemein erstmal zu testen, brauche ich denselbigen nicht?!? Vielen Dank und Gruß Zitieren Link zu diesem Kommentar
weg5st0 10 Geschrieben 11. Dezember 2006 Melden Teilen Geschrieben 11. Dezember 2006 Hast du im Benutzeraccount die Einwahlrechte erteilt oder wahlweise eine Einwahlrichtlinie im IAS-Tool erstellt, die die Einwahl erlaubt? Zitieren Link zu diesem Kommentar
Pitt84 10 Geschrieben 11. Dezember 2006 Autor Melden Teilen Geschrieben 11. Dezember 2006 RAS Einwahl gestatten habe ich im Benutzeraccount Administrator in der AD angeklickt. (Option unter Eigenschaften) Reicht das aus? Im IAS-Tool selbst habe ich keine Richtlinie erstellt. Da sind noch die Standardrichtlinien drin. (2 Stück) Ich habe in der Richtlinie gesagt, RAS gestatten wenn NAS-IP-Address:192.168.1.1 (IP Adresse des Switches) Habe gerade mal Wireshark während der Authentifizierung laufen lassen und bemerkt, dass die RADIUS-Request Pakete(4 Stück) zwar ankommen, aber der RADIUS nicht antwortet. Gruß Zitieren Link zu diesem Kommentar
weg5st0 10 Geschrieben 11. Dezember 2006 Melden Teilen Geschrieben 11. Dezember 2006 Und das passiert beim Switchlogin mit Radiususer auch? Dieses Verhalten sollte in jedem Fall im Windowseventlog Einträge machen. Was steht da drin? Zitieren Link zu diesem Kommentar
Pitt84 10 Geschrieben 11. Dezember 2006 Autor Melden Teilen Geschrieben 11. Dezember 2006 Also ich habe gerade mal die Verschlüsselungsprotokolle nochmals umgestellt. Auf dem Client habe ich MD5-Challenge und auf dem Switch Chap-radius eingestellt. Jetzt sehe ich im Wireshakr, dass ein Request Paket gesendet wird und ein Reject Paket zurückgesendet wird vom RADIUS Server. Er scheint zumindestens zu antworten. Chap-Radius auf dem Switch beinhaltet wohl MD5-Challenge. In der Ereignisanzeige unter System wird bei jedem Anmeldeversuch (nachdem ich das Verschlüsselungsprotokoll auf dem Switch auf Chap geändert habe) folgender Eintrag gemacht: Warnung: Benutzer "PROJEKT\Administrator" wurde Zugriff verweigert. Vollqualifizierter Benutzername = PROJEKT\Administrator NAS-IP-Adresse = 192.168.1.1 NAS-Kennung = HP ProCurve Switch 5308xl Kennung der Anrufstation = 00-11-85-08-8b-00 Kennung der Empfängerstation = 00-17-31-fa-1c-8f Clientanzeigename = HP Procurve 5300xl Client-IP-Adresse = 192.168.1.1 NAS-Porttyp = Ethernet NAS-Port = 11 Proxyrichtlinienname = Windows-Authentifizierung für alle Benutzer verwenden Authentifizierungsanbieter = Windows Authentifizierungsserver = <unbestimmt> Richtlinien-Name = <unbestimmt> Authentifizierungstyp = MD5-CHAP EAP-Typ = <unbestimmt> Code = 19 Ursache = Der Benutzer konnte nicht durch das Challenge-Handshake Authentication-Protokoll (CHAP) authentifiziert werden. Für dieses Benutzerkonto ist kein umkehrbar verschlüsseltes Kennwort vorhanden. Überprüfen Sie die Kennwortrichtlinie der Domäne bzw. die Kennworteinstellungen des Benutzerkontos, um sicherzustellen, dass umkehrbar verschlüsselte Kennwörter aktiviert sind. Vor der Änderung auf Chap-RADIUS: Fehler: Zugriffsanforderung für Benutzer "test" wurde gelöscht. Vollqualifizierter Benutzername = projekt.local/Users/Test Test NAS-IP-Adresse = 192.168.1.1 NAS-Kennung = HP ProCurve Switch 5308xl ID der Empfängerstation = 00-11-85-08-8b-00 ID der Anrufstation = 00-17-31-fa-1c-8f Client-Name = HP Procurve 5300xl Client-IP-Adresse = 192.168.1.1 NAS-Porttyp = Ethernet NAS-Port = 11 Proxyrichtlinienname = Windows-Authentifizierung für alle Benutzer verwenden Authentifizierungsanbieter = Windows Authentifizierunsserver = <unbestimmt> Ursachencode = 23 Ursache = Unerwarteter Fehler. Es liegt eventuell ein Fehler in der Server- bzw. Clienkonfiguration vor. Gruß Zitieren Link zu diesem Kommentar
weg5st0 10 Geschrieben 11. Dezember 2006 Melden Teilen Geschrieben 11. Dezember 2006 Na - das bringt uns doch schonmal einen Schritt weiter. Starte an deinem DC (IAS Server) die Sicherheitsrichtlinie für Domänen. Hier unter "Kontorichtlinien" - Kennwortrichtlinie - "Kennwörter für alle Domainbenutzer mit umkehrbarer Verschlüsselung speichern". Da ich nicht genau weiss, wann diese Änderung tatsächlich angelegt wird: Reboot Server - anmelden als Administrator - Kennwort ändern - dann Switchlogin. Dann funzt das schon mal mit CHAP. Oder? Zitieren Link zu diesem Kommentar
Pitt84 10 Geschrieben 11. Dezember 2006 Autor Melden Teilen Geschrieben 11. Dezember 2006 So....ich habe die Kennwortrichtlinie aktiviert, sodass er nun Kennwörter für alle Domainbenutzer mit umkehrbarer Verschlüsselung speichert. Dann habe ich den Server neu gestartet und mich als Admin angemeldet. Das Adminkennwort habe ich geändert und mich nochmals neu ab und angemeldet als Admin. Nun habe ich den Client wieder an den 802.1x Port des Switches angeschlossen und mich als Admin an der Domäne angemeldet über 802.1x und siehe da... es funktioniert. Auch Wireshark zeigt das ersehnte RADIUS Access-Accept Paket an und auch der DHCP Verkehr nach erfolgreicher Authentifizierung wurde durchgeführt. Ich weiß nicht, wie ich Dir danken soll....das ist der hammer. Vielen Dank!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! Wenn Du mal Hilfe brauchst und ich Dir weiterhelfen kann, schreib mich einfach an. P.S.: Trotzdem verstehe ich die Richtlinie mit den umkehrbaren verschlüsselten Kennwörtern nicht. Kannst Du das kurz erläutern? Gruß, Pitt Zitieren Link zu diesem Kommentar
weg5st0 10 Geschrieben 11. Dezember 2006 Melden Teilen Geschrieben 11. Dezember 2006 Achtung. Bei dir läuft das jetzt noch über CHAP (oder nicht ?). Enabling the Challenge Handshake Authentication Protocol (CHAP) Microsoft Corporation This security setting determines whether the operating system stores passwords using reversible encryption. This policy provides support for applications that use protocols that require knowledge of the user's password for authentication purposes. Storing passwords using reversible encryption is essentially the same as storing plaintext versions of the passwords. For this reason, this policy should never be enabled unless application requirements outweigh the need to protect password information. This policy is required when using Challenge-Handshake Authentication Protocol (CHAP) authentication through remote access or Internet Authentication Services (IAS). It is also required when using Digest Authentication in Internet Information Services (IIS). Zitieren Link zu diesem Kommentar
Pitt84 10 Geschrieben 11. Dezember 2006 Autor Melden Teilen Geschrieben 11. Dezember 2006 Ja es läuft über CHAP. Es hat vorher aber überhaupt nicht funktioniert, weder über CHAP noch über EAP. EAP werde ich vielleicht implementieren müssen, es kommt drauf an, ob ein Zertifikatsserver vorhanden ist. Ansonsten kann ich ja auch EAP-TTLS benutzen oder? Die Frage ist allerdings, ob der Switch das alles auseinanderhalten kann. Er gibt mir ja nur die Möglichkeit zwischen CHAP und EAP zu wählen. Welche Methoden EAP letztendlich enthält, weiß ich nicht. Gruß Zitieren Link zu diesem Kommentar
weg5st0 10 Geschrieben 11. Dezember 2006 Melden Teilen Geschrieben 11. Dezember 2006 Das müsste aber definitiv in der Switchdoku stehen. Zitieren Link zu diesem Kommentar
Pitt84 10 Geschrieben 11. Dezember 2006 Autor Melden Teilen Geschrieben 11. Dezember 2006 Aber Windows XP scheint es nicht anzubieten (TTLS). Zumindestens kann man es nicht wählen. Vielleicht weil TTLS noch nicht standardisiert wurde.?! Gruß Zitieren Link zu diesem Kommentar
weg5st0 10 Geschrieben 11. Dezember 2006 Melden Teilen Geschrieben 11. Dezember 2006 Was ist TTLS? Ich kenne nur EAP-TLS, das geht (ich habe es aber nur in Verbindung mit Zertifikaten installiert). Es gibt vielerlei Tipps was zu beachten ist: http://support.microsoft.com/search/default.aspx?1031comm=1&1031mt=1&catalog=LCID%3D1033&1033comm=1&spid=1173&query=802.1x+eap&pwt=false&title=false&kt=ALL&mdt=0&res=20&ast=1&ast=2&ast=3&ast=4&ast=7&mode=a&adv=1 Zitieren Link zu diesem Kommentar
Pitt84 10 Geschrieben 11. Dezember 2006 Autor Melden Teilen Geschrieben 11. Dezember 2006 Tunneled Transport Layer Protokoll..... vermeidet Client Zertifikate Kommunikation durch sicheren Tunnel keine PKI nötig sicherste und flexibelste Lösung Protokoll noch nicht standardisiert (Nachteil) Authentifizierung geht über PAP (Nachteil von PAP wird durch sicheren Tunnel umgangen) Server muss dem CLient sein Zertifikat schicken für heterogene Systeme geeignet Hört sich eigentlich gut an, aber ich habe es auch vorher noch nicht gehört. Gruß Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.