Ponder43 10 Geschrieben 22. November 2007 Melden Teilen Geschrieben 22. November 2007 Hallo zusammen, ich möchte ein WLAN mit WPA2 und 802.1x absichern. Dazu habe ich eine PKI und einen IAS auf 2k3 Enterprise Servern eingerichtet. Ein Active Directory ist natürlich auch vorhanden. Die Clients (W2k) erhalten Computerzertifikate per Autoenrollment. Im Eventlog des IAS laufen keine Meldungen auf. Im Tracing sehe ich aber, dass die Anfrage vom Client ankommt, und die Credentials auch erfolgreich im AD überprüft werden. Allerdings scheint beim anschließenden Challenge/Response was schief zu laufen. Das Problem tritt sowohl bei WLAN als auch bei LAN auf. Ich hab auch einen XP Client per LAN und 802.1x getestet. Dieser sagt aber "Es wurde kein Zertifikat gefunden, um Sie am Netzwerk anzumelden". Bei Bedarf kann ich auch gerne Auszüge aus den Logs posten... Hat jemand eine Idee? Vielen Dank im Voraus! Gruß, Ponder43 Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 22. November 2007 Melden Teilen Geschrieben 22. November 2007 Hallo, Du benötigst mehrere Zertifikate im Store des Clients, damit die Authentifizierung korrekt verläuft: Das Clientzertifikat, das Root Zertifikat der Organisation und ggf. alle Intermediate CAs. Der IAS sendet - soweit ich weiß - sein eigenes Zertifikat beim Request mit zum Client. Wenn man es manuell einstellt glaube ich sogar die ganze Zertifikatkette - bin mir jedoch nicht sicher. In diesem Fall würde der Clientstore die Root und Intermediate CA Zertifikate nicht benötigen. Wie konfigurierst Du die Verbindung? Gibst Du auf dem Client explizit das Root Zertifikat an, welches zur Authentifizierung bzw. Certificate-Chain Validierung verwendet werden soll? Gruß olc Zitieren Link zu diesem Kommentar
Ponder43 10 Geschrieben 23. November 2007 Autor Melden Teilen Geschrieben 23. November 2007 Auch hallo, und vielen Dank für deine Antwort. Die PKI ist Root und ausstellende Zertifizierungsstelle gleichzeitig. Zwischenzertifikate gibt es also nicht. Bei der Aktualisierung der Gruppenrichtlinien hat der Client sein Computerzertifikat und das Root-Zertifikat bekommen. Ich habe den Client so konfiguriert, dass er das Zertifikat des IAS nicht überprüft. Das Zertifikat, welches er benutzen soll, um sich zu authentifizieren gebe ich explizit an. Der IAS hat auch das Root-Zertifikat im Trusted-Speicher. Ich denke, dass müsste so alles richtig sein... In meinem Testaufbau hatte ich eine PKI auf einem 2003 Standard Server, jetzt verwende ich einen Enterprise Server. Kann das ein Problem sein? Ich weiß, dass dass es in der Enterprise Edition eine neue CA gibt... Gruß, Ponder43 Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 23. November 2007 Melden Teilen Geschrieben 23. November 2007 Hallo, das sollte mit der Edition eigentlich nichts zu tun haben (siehe Editionenvergleich unter Wie Sie eine Zertifizierungsstelle einrichten - Microsoft für kleine Unternehmen) - bin aber kein IAS Profi... In welchen Stores liegen die Zertifikate auf dem Client (Userstore, Computerstore, physical view)? Ist im Clientzertifikat als Subject Alternative Name (SAN) der DNS-Name des Clients korrekt eingetragen? Gruß olc Zitieren Link zu diesem Kommentar
Ponder43 10 Geschrieben 26. November 2007 Autor Melden Teilen Geschrieben 26. November 2007 Hi, der SAN wird richtig eingetragen. Ich denke schon, dass das Computerzertifikat im richtigen Store liegt. Jedenfalls wird es mir angezeigt, wenn ich in der MMC das Zertifikat-Plug-in für das Computerkonto aufrufe. Kann ich mir die Stores noch anders anzeigen lassen? Ich habe noch mal eine frühere Firmware auf dem AP eingespielt die ich im Testaufbau auch verwendet habe. Jetzt wird der Computer vom IAS erfolgreich authentifiziert. Jedoch bekommt der das nicht mit und versucht sich dauernd neu zu verbinden. Ich vermute das eigentliche Problem ist noch das gleiche. Es äußert sich nur auf unterschiedliche Weise... Hast du noch weitere Ideen? Gruß, Ponder43 Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 26. November 2007 Melden Teilen Geschrieben 26. November 2007 Hallo, leider nein - ist nicht so mein Gebiet der IAS. Mit Store ist gemeint, ob das Root Zertifikat im Trusted Root Store liegt. Du kannst weiterhin mit Rechtsklick auf den Computerstore oder Benutzerstore über "View" / "Ansicht" --> Custom / Optionen (bin mir bei den Bezeichnungen nicht sicher) den "physical view" anzeigen lassen. Liegen die Certs alle im Enterprise Store oder gibt es da Unterschiede? Wenn die Zertifikate aus dem AD kommen, müßten sie alle im Enterprise Store liegen. Hast Du am IAS vielleicht irgend ein Setting gesetzt, welches bestimmte Felder im Zertifikat verlangt? Aber das ist alles nur "ins Blaue". Vielleicht kennt sich hier jemand besser mit IAS aus? Gruß olc Zitieren Link zu diesem Kommentar
Ponder43 10 Geschrieben 26. November 2007 Autor Melden Teilen Geschrieben 26. November 2007 Hallo olc, ich habe die Lösung... Es war eine Kombination aus fehlerhafter Firmware auf dem AP und mangelhafter WLAN-Software auf dem Client. Ich hatte ja schon die alte Firmware aufgespielt. Dann habe ich noch einen anderen Client getestet. Da funktionierte es auf anhieb... Wer kann denn sowas ahnen? Ich danke Dir trotzdem sehr für Deine Bemühungen! Viele Grüße, Ponder43 Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 26. November 2007 Melden Teilen Geschrieben 26. November 2007 Hallo, vielen Dank für Deine Rückmeldung. Ging also in eine gänzlich andere Richtung... Danke und Gruß olc Zitieren Link zu diesem Kommentar
Ponder43 10 Geschrieben 29. November 2007 Autor Melden Teilen Geschrieben 29. November 2007 Hallo nochmal. Die WLAN-Software habe ich inzwischen auch überzeugen können, indem ich vor den Namen aus dem Zertifikat noch ein "host/" setze. Das ist wohl nötig, wenn es sich um ein Computerzertifikat handelt. Andere Clients machen das automatisch. Vielleicht hilft es jemandem... Gruß, Ponder43 Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 29. November 2007 Melden Teilen Geschrieben 29. November 2007 Arrrggghhhh, das Problem kenne ich. Es hörte sich nach Deiner Beschreibung nur nicht gleich danach an... Sorry. Hintergrund ist, daß für die Authentifizierung Deines Clients immer der SPN als Prinzipalnamen vom Windows Client gesendet wird. Dein Access Point gleicht offensichtlich anstatt des DNS Namens im Subject Name Feld des Zertifikats ausschließlich den mitgesendeten SPN ab --> schon kommt es zu dem Problem. Scheinbar ist das auch bei einigen Cisco 802.1x Radius Produkten der Fall, wenn man eine bestimmte Option setzt, die diesen Wert (also HOST/host.domain.tld) zusätzlich zum DNS Namen prüft. Dieser steht jedoch nicht in der Form im Zertifikat. Müßte man mal im entsprechenden 802.1x RFC nachprüfen, ob dieses Verhalten korrekt ist. Aber wahrscheinlich wird es das sein... Vielen Dank für Deine Rückmeldung! Gruß olc Zitieren Link zu diesem Kommentar
Ponder43 10 Geschrieben 29. November 2007 Autor Melden Teilen Geschrieben 29. November 2007 Hi olc, vielleicht darf ich dein Wissen nochmal herausfordern ;-) Wir wollen auch WLAN-Karten von Intel verwenden. Dabei haben wir auch noch ein Problem. Wenn ich mit einem Benutzer ein Profil erstelle, ist die Option "Zertifikat dieses Computers zur Authentifizierung verwenden" ausgegraut. Erstelle ich ein Administratorprofil(darf von Benutzern verwendet werden) mit dieser Option und melde mich dann mit einem Benutzer an, wird die Authentifizierung nicht korrekt durchgeführt. Es scheint mir, dass die Verbindungssoftware im Benutzerkontext nicht auf das Computerzertifikat zugreifen kann... Die Software von DELL bspw. kann das ohne Probleme. Hast du eine Idee, wie ich die Intel-Software austricksen kann? Gruß, Ponder43 Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 29. November 2007 Melden Teilen Geschrieben 29. November 2007 Hi, ist ein wenig Off Topic... aber herausfordern lasse ich mich immer gern. ;) Ich kenne mich speziellen Treibern oder Software wirklich nicht aus, von daher ist mal wieder ins Blaue raten angesagt. :D Wo stellst Du ein, welches Zertifikat verwendet werden soll? Direkt über die Verbindungssoftware oder verwendet die Software den "Netzwerkkartendialog" des Windows Clients? Im Kern machst Du Netzwerk-Einstellungen - und das ist per se erst einmal nur Administratoren erlaubt. Du kannst versuchen per GPO die benötigten Rechte zu vergeben - aber das greift nur bei den Windows-Einstellungen. Wenn die Treiber der Karte das selbst verwaltet wird das schwierig. Hier würde eine Nachfrage beim Hersteller Sinn machen. Quick & Dirty ist natürlich, den Benutzer kurzzeitig für die Einrichtung der Verbindung Administrator-Rechte zu geben. Aber das ist in größeren Umgebungen weder gangbar noch empfehlenswert. Wie gesagt, kenne mich mit solch spezieller Software nicht aus, aber vielleicht jemand anderes hier? Gruß olc Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.