Bekomme WLAN über RADIUS nicht zum laufen

[firefox80 10]

Hallo!

 

Im Rahmen meiner Vorbereitung auf die 298/299 versuchte ich am Wochenende besagtes WLAN über RADIUS zum Laufen zu bekommen. Leider ohne Erfolg. Vielleicht könnt ihr Fehler in meiner Vorgehensweise erkennen, oder habt sonst irgendwelche Tips für mich!

 

Testumgebung:

Server auf Virtual Server: 2003 Enterprise Eval (\\DC3, 192.168.100.5)

Client: Core Duo Notebook mit typischer integrierter Intel Wireless Karte (\\NOTEBOOK)

AP: Linksys WRV200 (192.168.100.1)

 

Servereinstellungen:

- DNS, DC, Domain = test.lan, User = Firefox, Einwahl über RAS Richtlinien, Benutzer ist in der Gruppe WLAN

- CA: Zertifikat nach der Vorlage IAS und RAS Server registriert

- IAS: In AD authorisiert, als Client den Router mit seiner IP und einem shared secret

- RAS Richtlinie mit dem Wizard erstellt (Wireless). Als Gruppe WLAN angegeben, Als Authentifizierung Protected EAP, Zertifikat konnte ausgewählt werden

 

 

Routereinstellungen:

- Authentifizierungsoption RADIUS (entspricht lt. Hilfe der WEP verschlüsselung)

- IP von DC3 und das shared secret eingegeben

 

Client:

- KEIN Domänenmitglied

- über http://192.168.100.5\certsrv das Cert für die Root installiert

- WLAN Konfiguration über Intel Tool: WEP Enterprise, 802.1x aktiviert, Typ PEAP, Zertifikat ausgewählt, Benutzername, Domain und Passwort angegeben. keine Ahnung was die Raoming Identität ist daher \\NOTEBOOK\localuser

 

Die Authentifizierung bricht nach ein paar Sekunden ab, mit der Meldung dass sie nicht erfolgreich war. Am Server werden keine Einträge ins Systemprotokoll gemacht. Was gibt es noch zu überprüfen? Gibt es noch wichtige Infos die ich euch bekannt geben sollte?

 

Über den Netzwerkmonitor am Server konnte ich feststellen, dass ein Paket vom Notebook rein kommt und dass der Server auch mit einem Paket antwortet. Hab leider nicht mehr im Kopf was das genau für Pakete sind (request?..) Jedenfalls wiederholen sich diese ein paar mal, bevor der Vorgang abbricht.

 

Fortführende Aufgaben:

- Da die IAS/RAS Vorlage vom Typ v2 ist möchte ich eine vergleichbare v1 Vorlage einsetzen, um das auch auf einem StdServer zum Laufen zu bekommen. Was ist hier die richtige?

- EAP-TLS anstatt PEAP einsetzen: erst dann sollte doch ein userzertifikat und ein clientzertifikat benötigt werden?!?

 

Danke schon mal für eure Tips!

FireFoX

[grizzly999 11]

Zunächst kann ich den Ausführungen nicht entnehmen, das der Clientcompute ein Zertifikat hat.

 

Dann:

- WLAN Konfiguration über Intel Tool: WEP Enterprise, 802.1x aktiviert, Typ PEAP, Zertifikat ausgewählt, Benutzername, Domain und Passwort angegeben. keine Ahnung was die Raoming Identität ist daher \\NOTEBOOK\localuser

WLAN Konfig auf dem Client für Einsatz im Enterprise mache ich niemals über hersteller Tools, nur über Microsoft eigene Clientconfig ;)

 

und:

- Authentifizierungsoption RADIUS (entspricht lt. Hilfe der WEP verschlüsselung)

Äh, nein bestimmt nicht, denn das eine hat mit dem anderen nichts zu tun.

 

Die Pakete, die du mitgesnifft hast, sind mit Sicherheit die RADIUS-Pakete, und vermutlich antwortet der RADIUS mit einem access reject.

 

Aber klären wir zuerst das da oben

 

grizzly999

[firefox80 10]

Danke schon mal, also packen wirs an ;)

 

Welche Zertifikate benötigt der Client genau?

unter Vertrauenswürdige Aussteller hab ich das Zert des DCs am NB vorhanden

Das Zert der IAS und RAS Vorlage hab ich am Server exportiert und am NB importiert.

 

Du weißt zumindest welches Client Tool ich meine?

Der Client hat übrigens XPPro SP2, das habe ich noch nicht erwähnt.

Unter den Eigenschaften Netzwerkverbindungen hat das Wireless Device nicht den Reiter Authentifizierung. Ich denke das wurde durch den Inteleigenen Treiber ersetzt?!?

 

Bei Linksys ist immer alles etwas anders. Die Einträge lauten in etwa

WEP Private, WPA Private, WPA2 Private, RADIUS, WPA Enterprise, WPA2 Enterprise. Nach der Hilfe ist mit dem Eintrag RADIUS eben doch WEP gemeint.

 

Was das genau für Pakete sind, kann ich dir leider erst am NM sagen.

 

LG

[grizzly999 11]

Das RAS-IAS Zertifikat müsste im Prinzip auch auf dem Client gehen, zumindest vom Zweck her (u.a. Clientauthentifizierung). Allerdings kann ich jetzt nicht sagen, ob da auch ein Namenscheck stattfindet, denn bei mir haben Clients immer ein eigenes Zertifikat auf deren Namen , und da klappt es dann sowieso.

 

Es wäre wichtig zu wissen, ob die RADIUS-Atuhentifizeriung erfolgreich ist (sieht man an den Antwortpaketen des RADIUS).

 

Ist die Protokollierung im IAS in eine lokale Datei eingeschaltet (Authentifizierungsanforderungen Access Accept und Access Reject)?

 

Bei Linksys ist immer alles etwas anders. Die Einträge lauten in etwa

WEP Private, WPA Private, WPA2 Private, RADIUS, WPA Enterprise, WPA2 Enterprise. Nach der Hilfe ist mit dem Eintrag RADIUS eben doch WEP gemeint

Bei meinem Linksys trage ich nur RADIUS ein, die Verschlüsselungsmethode legen dann RADIUS Serve und Client fest, bei mir WPA2.

 

grizzly999

[firefox80 10]

Könntest du mir bitte nochmals sagen welches Zert genau dem Client und dem Server gibst?

Mich verwirrt die vielzahl der Vorlagen etwas.

 

Am NM Poste ich den Inhalt der Pakete.

Das IAS-eigene Protokoll habe ich ganz übersehen, wird auch am NM eingeschaltet und dann gepostet. Screenshot vom Router schicke ich dann auch mit. Bis dann!

[grizzly999 11]

Server bekommt entweder ein Server Zertifikat oder Computerzertifikat, kann auch ein RAS-IAS Zertifikat sein, egal, Hauptsache als Zweck steht auch "Serverauthentifizierung" drin.

 

Clients haben bei mir ein Computerzertifikat, aber auch hier, Zweck muss Clientauthentifizierung sein. Aber wie gesagt für 802.1x habe ich es mit einem Clientzertifikat, das nicht auf den Computernamen lauet, noch nicht versucht (bei IPsec geht das auf jeden Fall).

 

grizzly999

[firefox80 10]

hallo grizzly!

ich habe neue daten gesammelt.

 

sonderbarerweise kommen jetzt keine pakete mehr rein, die ich mit dem netzwerkmonitor sniffen könnte. ich weiß ein pc hat kein eigenleben, aber ich bin mir absolute keiner änderung bewusst :(

 

Im IAS habe ich die Protokollierung unter Server\Eigenschaften aktiviert. Unter Protokollierung\Lokale Datei auch alles aktiviert. Unter system32\logfiles tauchen trotzdem keine neuen logfiles auf, obwohl das der konfiguirierte Pfad ist. vielleicht dauert das nur...

 

Ein Auszug aus der Router Konfig:

Wireless Security

The router supports eight different types of security settings for your network. WPA-Personal, WPA-Enterprise, RADIUS, WEP,

WPA2-Personal Mixed,

WPA2-Enterprise,

WPA2-Personal and

WPA2-Enterprise Mixed.

(WEP stands for Wired Equivalent Privacy, while RADIUS stands for Remote Authentication Dial-In User Service.)

 

RADIUS

 

RADIUS mode utilizes RADIUS server for authentication and dynamic WEP key generation for data encryption. To utilize RADIUS mode, enter the IP address of the RADIUS server, the RADIUS Server Port (default is 1812) and the Shared Secret with the RADIUS server. Manual WEP key for RADIUS mode is no longer supported due to its weak security performance.

 

Der Client hat ein Zert für Clientauthentifizierung. Hab ich über die MMC registriert.

Durch die RAS/IAS Vorlage hat der Server auch ein Cert für Serverauthentifizierung.

 

Aber wie gesagt für 802.1x habe ich es mit einem Clientzertifikat, das nicht auf den Computernamen lauet, noch nicht versucht

Sorry, aber ich steh voll auf dem Schlauch wie du das meinst.

 

Wo kann ich noch suchen?

 

Besten Dank

[grizzly999 11]

Sorry, aber ich steh voll auf dem Schlauch wie du das meinst.

Nun, du hast gesagt, du hattest das Zertifikat vom RADIUS Server exportiert (mit private key als .pfx-Datei??) und auf dem Client importiert. Das Zertifikat wurde auf den Namen des RADIUS Servers registriert und lautet demnach dann nach Installation auf dem Client nicht auf den namendes Clients.

 

 

grizzly999

[nouseforaname 10]

Hi,

 

 

vom verhalten her denke ich auch dass es am client zertifikat liegt.

Die mitgeschnittenen Pakete waren höchstwars***einlich der EAP-Request des WLAN AP und der EAP-Response des Clients.

 

Ich habe die Authentifizierung auch noch nicht mit einem Zert probiert dass nicht den FQDN enthält denke aber das es nicht funktioniert => siehe

 

• For computer certificates, the Subject Alternative Name (SubjectAltName) extension in the certificate must contain the client's fully qualified domain name (FQDN), which is also called the DNS name. To configure this name in the certificate template:

 

1.

Open Certificate Templates.

 

2.

In the details pane, right-click the certificate template that you want to change, and then click properties.

 

3.

Click the Subject Name tab, and then click Build from this Active Directory information.

 

4.

In Include this information in alternate subject name, select DNS name.

 

 

 

Quelle: Microsoft Corporation

 

mfg

kai

[firefox80 10]

Nochmal ganz zur Sicherheit, bevor ich im kreis laufe: Wie bringe ich das richtige Zertifikat auf den Client?

 

Computerzertifikat:

über die website registrierung kann ich kein computerzert auswählen, obwohl das in den vorlagen aktiviert ist. habe mich auch mit dem admin account auf der website angemeldet der das recht zur registrierung default mäßig hat. auf dem client habe ich admin rechte.

 

Benutzerzertifikat:

Der Client soll ja wie gesagt nicht Teil der Domäne sein.

Wenn ich mich nun mit http://dc3/certsrv verbinde, muss ich ja Anmeldeinformationen angeben. Der username steht ja dann auch im Zert. Ich nehme an, dass das ein Problem sein kann???

 

@nouseforaname: ich will das ganze ja auch mit einem std server zum laufen bringen. in der freien wildbahn wird das bei mir meist ein sbs sein.

 

ich habe mich noch mit keinem thema so geschunden wie mit der pki. deshalb nochmal danke für eure geduld.

[grizzly999 11]

Nein, kein Benutzerzertifikat, ein Computerzertifikat.

 

Kannst du bei einem Computer der Domäne, wenn du das (Computer-)Zert beantragt und installiert hast, das zet mit smt dem private key exportieren?

 

grizzly999

[firefox80 10]

habe in meiner testdomäne momentan nur den dc3, der ja auch CA ist.

dort hab ich mir ein zert nach der vorlage computer ausgestellt.

Beim exportieren ist allerdings die option "ja, privaten schlüssel exportieren" ausgegraut.

es wird angezeigt, dass ich zu diesem zert den privaten schlüssel habe.

 

für andere zwecke würde es mich trotzdem interessieren, wie es sich bei den usercerts verhält. ich brauch die dann ja auch für die EAP-TLS verbindung.

 

danke

firefox

[grizzly999 11]

Das ist eine Enterprise CA? Ist ds eine Enterprise Edition?

 

Die kann nur für Enterprise Member Zertifikate ausstellen.

[firefox80 10]

ja eine enterprise ca auf einem enterprise server.

 

heißt dass das ich mit einem enterprise server einschränkungen habe und mir einen std zum austesten installieren muss?

[grizzly999 11]

Einschränkungen im Sinne von keine AD-fremden Security Principals ja.

 

Aber du kannst dir durch kopieren eine Version2 Vorlage des Computertemplates machen und dort das Exportieren des Keys erlauben.

Mit einer Standalone CA ist das basteln auch nicht weniger :(

 

Aber mein Rat: Wenn das eh nur zum Testen ist, mache es so, wie es normal auch sein würde: teste mit Rechnern und Usern , die in der Domäne Mitglied sind ;)

 

 

grizzly999