Eisbaeeer 10 Geschrieben 28. März 2007 Melden Teilen Geschrieben 28. März 2007 Hallo zusammen Ich habe ein Problem mit der VPN Einwahl. Bisher ist es bei uns möglich, allein mit dem "Group Name" und einem Passwort eine VPN Verbinung herzustellen. Da dies nicht gerade sehr sicher ist, wollen wir unser AD zum Abfragen nutzen. Wenn das funktioniert, sollen als 2. Stufe Tokens von SecureComputing zum Einsatz kommen. Dafür muss aber erst einmal die Authentifizierung über das Active Directory funktionieren. Die Daten: Cisco PIX 515E Windows 2000 AD Auf dem AD läuft der IAS: Clients --> Ist die Firewall mit "RADIUS Standard" und einem Schlüssel eingetragen Richtlinie --> Windows-Groups stimmen überein mit domain\VPN Users NAS-IP-Address stimmen überein mit 192.168.0.7 Profil --> Authentifizierung PAP,SPAP angehakt (sonst kein Haken) Einem Benutzer, der diese Bedigungen erfüllt --> RAS-Berechtigung erteilen Der Internetauthentifizierungsdienst ist im AD registriert Authentifizierung: 1812,1645 Kontoführung 1813,1646 Wenn ich nun in der PIX IKE, XAuth/Mode Config, outside auf die entsprechende Server Group einstelle, fragt der Cisco Client (Version 4.6.00) nach Benutzername und Passwort. Der Benutzer hat im AD Einwahlrechte "Zugriff gestattet" und gehört zu der oben genannten Gruppe "VPN Users". Der IAS gibt folgenden Fehler aus: --------------------------------------------------------------------------------------- Benutzer "weimar" wurde der Zugriff verweigert. Vollqualifizierter Benutzername = ULM1\weimar NAS-IP-Adresse = 192.168.0.7 NAS-Kennung = <nicht vorhanden> Kennung der Anrufstation = <nicht vorhanden> Kennung der Empfängerstation = <nicht vorhanden> Client-Name = Firewall Client-IP-Adresse = 192.168.0.7 NAS-Porttyp = <nicht vorhanden> NAS-Port = 112 Richtlinien-Name = <unbestimmt> Authentifizierungstyp = <unbestimmt> EAP-Typ = <unbestimmt> Code = 16 Ursache = Bei der Authentifizierung ist aufgrund eines unbekannten Benutzernamens oder eines ungültigen Kennworts ein Fehler aufgetreten. --------------------------------------------------------------------------------------- Was ist noch falsch eingestellt und vor allem wo? Ich kann den Fehler nicht weiter eingrenzen. Grüße Eisbaeeer Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 28. März 2007 Melden Teilen Geschrieben 28. März 2007 In der Radiuspolicy PAP und CHAP aktiviert? Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 28. März 2007 Melden Teilen Geschrieben 28. März 2007 Wohl eher PAP - CHAP ist für die meisten RADIUS-only Büchsen von 3rd Party herstellern to much. @Eisbaeeer Hast du's schon mit NetBIOS Domänen Namen\Benutzername oder dem UPN versucht? Zitieren Link zu diesem Kommentar
Eisbaeeer 10 Geschrieben 28. März 2007 Autor Melden Teilen Geschrieben 28. März 2007 Ja, hab ich gemacht: Profil --> Authentifizierung PAP,SPAP angehakt (sonst kein Haken) Ich habe jetzt die CHAP noch mit angehakt. Gleicher Fehler. Ist denn die Ereignismeldung normal? Scheinbar kommt die PIX ja bis zum IAS. Also gehe ich jetzt mal davon aus, das es nicht an der PIX liegt. Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 28. März 2007 Melden Teilen Geschrieben 28. März 2007 IAS im AD Registriert.... Wart ma, der muss in einer Built-in Gruppe mitglied sein (also der IAS Server), sonst leitet der die Anfrage nicht an's AD weiter.... Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 28. März 2007 Melden Teilen Geschrieben 28. März 2007 Hab's: Enable the IAS server to read user accounts in Active Directory Zitieren Link zu diesem Kommentar
Eisbaeeer 10 Geschrieben 28. März 2007 Autor Melden Teilen Geschrieben 28. März 2007 Wohl eher PAP - CHAP ist für die meisten RADIUS-only Büchsen von 3rd Party herstellern to much. @Eisbaeeer Hast du's schon mit NetBIOS Domänen Namen\Benutzername oder dem UPN versucht? NetBIOS hab ich noch nicht versucht. Werde das mal in Angriff nehmen. Zwecks CHAP hab ich bei Cisco gelesen, dass NUR PAP unterstützt wird. Ich werde mal die Varianten versuchen (NetBIOS und UPN) Melde mich dann wieder. Zitieren Link zu diesem Kommentar
Eisbaeeer 10 Geschrieben 28. März 2007 Autor Melden Teilen Geschrieben 28. März 2007 Hab's: Enable the IAS server to read user accounts in Active Directory Hatte ich nach der Anleitung schon gemacht. Geht auch in der MMC, die Registrierung. Es ist bestimmt irgen ein ganz ****er Fehler. Frage: Wie kann ich den NetBIOS Domänenname testen? Ich hab in einem anderen Thread gelesen, dass sein Client einmal mit dem Domännenname\Benutzername und einmal mit NetBIOS Name Anmeldungen durchgeführt hat. Die NetBIOS Anmeldung hat funktioniert, die mit dem Domänen Name nicht. Grüße Eisbaeeer P.S.: Respekt für deine Antwortzeiten! Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 28. März 2007 Melden Teilen Geschrieben 28. März 2007 Also im Optimalfall sind NetBIOS Namen der Domäne und der erste Label von Links im FQDN des DNS Domänennamens identisch. Wenn nicht, dann gibt's da halt Kombinationen die falsch sind. P.S.: Am besten mit dem UPN versuchen, das müsste garantiert klappen.;) Zitieren Link zu diesem Kommentar
Eisbaeeer 10 Geschrieben 28. März 2007 Autor Melden Teilen Geschrieben 28. März 2007 P.S.: Am besten mit dem UPN versuchen, das müsste garantiert klappen.;) Also hab ich probiert. Bei UPN Anmeldung kommt folgendes in der Ereignisanzeige: ----------------------------------------------------------------------------- Benutzer "dummy@ulm1" wurde der Zugriff verweigert. Vollqualifizierter Benutzername = ULM1\dummy@ulm1 NAS-IP-Adresse = 192.168.0.7 NAS-Kennung = <nicht vorhanden> Kennung der Anrufstation = <nicht vorhanden> Kennung der Empfängerstation = <nicht vorhanden> Client-Name = Firewall Client-IP-Adresse = 192.168.0.7 NAS-Porttyp = <nicht vorhanden> NAS-Port = 135 Richtlinien-Name = <unbestimmt> Authentifizierungstyp = <unbestimmt> EAP-Typ = <unbestimmt> Code = 16 Ursache = Bei der Authentifizierung ist aufgrund eines unbekannten Benutzernamens oder eines ungültigen Kennworts ein Fehler aufgetreten ----------------------------------------------------------------------------- Gebe ich die Full-Qulified-Domain ein: ----------------------------------------------------------------------------- Benutzer "dummy@ulm1.ulmerfleisch.de" wurde der Zugriff verweigert. Vollqualifizierter Benutzername = ULM1\dummy NAS-IP-Adresse = 192.168.0.7 NAS-Kennung = <nicht vorhanden> Kennung der Anrufstation = <nicht vorhanden> Kennung der Empfängerstation = <nicht vorhanden> Client-Name = Firewall Client-IP-Adresse = 192.168.0.7 NAS-Porttyp = <nicht vorhanden> NAS-Port = 133 Richtlinien-Name = <unbestimmt> Authentifizierungstyp = <unbestimmt> EAP-Typ = <unbestimmt> Code = 16 Ursache = Bei der Authentifizierung ist aufgrund eines unbekannten Benutzernamens oder eines ungültigen Kennworts ein Fehler aufgetreten. ----------------------------------------------------------------------------- Ist denn die Ausgabe vom Ereignisprotokoll richtig? Kann ich den IAS mit einem anderen tool abfragen, um sicherzugehen, dass das Zusammenspiel von IAS und AD funktioniert. Dann könnte ich das ganze eingrenzen. Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 28. März 2007 Melden Teilen Geschrieben 28. März 2007 Ich glaub, da gibt's ein Missverständnis über den UPN: The logon name portion of the user logon name is joeuser. The UPN for this user is joeuser@mydomain.com. The down-level logon name for this user is MYDOMAIN\joeuser. Users Can Log On Using User Name or User Principal Name Man könnte im IAS die Protokollierung einschalten.... aber meiner Ansicht nach ist der Username jedes mal falsch. Zitieren Link zu diesem Kommentar
Eisbaeeer 10 Geschrieben 29. März 2007 Autor Melden Teilen Geschrieben 29. März 2007 Also ich habe es jetzt hinbekommen. Welche Konvention man einsetzt ist bei mir völlig egal. Der IAS ist da sehr kompatibel. Bei mir lässt er jetzt zu: Domäne\Benutzer Benutzer@Full.Qualified.Domain.de Benutzer Einfach alle Möglichkeiten. Der Fehler lag auch nicht bei der PIX. Ich habe auf unserem 2. DC den IAS installiert und das ganze out of the box konfiguriert. Und siehe da, es hat funktioniert. Wichtig ist bei der PIX, dass nur MD5 und DES genutzt wird, sonst verstehen sich IAS und PIX nicht. Nun wo lag der Fehler. Auf dem ursprünglichen DC war noch eine zusätzliche Software für Tokens von securecomputing installiert. Diese setzt sich direkt in das AD. Warum aber jetzt keine Authentifizerung möglich war, werde ich noch weiter testen. SecureComputing hat einen Deamon für den IAS. Nutzt jemand SafeWord? Wenn ja, geht das mit dem Cisco Client überhaupt. In den Anleitungen wird immer der Client von Microsoft bentzt. Vielen Dank auch für Eure Hilfe. Ich komme eher aus der Linux welt, deshalb muss ich mich da ein bischen durchkämpfen. Viele Grüße Eisbaeeer Zitieren Link zu diesem Kommentar
aleec 10 Geschrieben 19. April 2007 Melden Teilen Geschrieben 19. April 2007 Also der Cisco VPN-Client funktioniert zusammen mit SafeWord auf alle Fälle, ich hab beides seit langem im Einsatz (auch über PIX). An welcher Stelle steht im IAS die Richtlinie für die Gruppe VPN-User? Muss eigentlich in der Reihenfolge an erster Stelle stehen um für die Gruppenmitglieder die Anmeldung mit normalem User-Passwort zuzulassen. Für die Authentifizierung über SafeWord dürfen die User widerum nicht in der VPN-User Gruppe sein (nur RAS-Einwahlrechte und zugeordnetes Token im SafeWord-SnapIn notwendig). Gruß Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.