Jump to content
Sign in to follow this  
Nightwalker_z

EAP-TLS mit XP WZC plus automischem Zertifikatsrollout

Recommended Posts

Hallo zusammen,

hier ist vielleicht eine etwas knifflige Aufgabe:

Ich will unter Windows XP eine Wireless Verbindung herstellen. Security mit WPA2 + 802.1x mit EAP-TLS.

 

Die Backend-Infrastruktur ist auch schon aufgebaut.

Access-Point: Cisco Aironet 1242

Server: Windows 2003 Enterprise mit Zertifizierungsstelle, DC, DNS, DHCP und IAS (Radius Server)

 

Ich weiss - alle diese Rollen auf einem Server? Ist kein Problem - nur Laborumgebung.

 

Hier ist die Sache wie ich sie mir vorstelle:

- Verbindung vor dem Anmelden (bei der GINA) via Maschinenzertifikaten

- Verbindung nach dem Anmelden mit Userzertifikaten.

- automatischer Rollout von Clientzertifikaten, Trusted CAs und Userzertifikaten.

 

Das ganze funktioniert auch einigermaßen, das einzige was nicht funktioniert ist das automatische Ausrollen der Userzertifikate.

 

Ein Windows XP Laptop wird installiert (im kabelgebundenen LAN) und einer Domäne hinzugefügt. Nach einem reboot (LAN-Kabel noch verbunden), hat der Rechner automatische ein Clientzertifikat bekommen - natürlich alles ohne dass sich schon ein User auf Laptop an der Domäne angemeldet hat. Das funktioniert. Jetzt nur noch die SSID in der WZC einrichten und schon connected sich der Laptop mit dem WLAN wenn er am Anmeldebildschirm ist. Bis jetzt funktioniert alles - das hab ich schon hinbekommen.

 

--> Funktionierende Ausgangssituation:

Laptop hat am Anmeldebildschirm bereits eine WLAN Verbindung hergestellt (Clientzertifikat).

 

Jetzt kann sich ein User auf dem Laptop mit einem Domänenaccount anmelden. Dieser User war noch nie an dem Laptop angemeldet - also ist sichergestellt, dass keine Cached Credentials verwendet wurden.

 

Nach dem Anmelden hat man ca. für 30 Sekunden noch WLAN Konnektivität. Danach merkt die WCZ, dass kein Userzertifikat vorhanden ist und kappt die Netzwerkverbindung. Sprich das automatische Ausrollen der Userzertifikate klappt nicht.

Im Eventlog finde ich auch den Eintrag, dass die GPO nicht geladen werden kann. DNS stimmt (sprich ich kann in den 30 Sekunden den SRV Record _ldap._tcp .... auflösen). Kann es sein, dass die 30 Sekunden "Userconnectiviät" nicht ausreichen, um das Userzertifikat automatisch auszurollen bzw. von der CA zu ziehen? Wenn ich exakt dasselbe über das kabelgebundene Netz versuche, dann habe ich nach kurzer Zeit (1 - 2 Minuten) ein Userzertifikat.

 

Hat jemand einen Workaround bzw. Lösung dafür? Bzw. hat jemand schon so eine Lösung gebaut und kann mir bestätigen, dass das irgendwie funktioniert?

 

Wenn ich etwas konfus geschrieben hab, dann sagt es :-)

Share this post


Link to post

Hallo,

 

es würde mich nicht wundern wenn nicht nach 30sec ein Zerifikat für den User ausgerollt wäre, evtl. muss das per Skript gemacht werden.

Warum möchtest Du denn zweimal mit zwei verschiedenen Zertifikaten Authentifizieren? Ich sehe darin keinen Benefit.

 

ASR

Share this post


Link to post
Warum möchtest Du denn zweimal mit zwei verschiedenen Zertifikaten Authentifizieren? Ich sehe darin keinen Benefit.

Erstmal danke für den Kommentar!

Die Antwort auf deine Frage ist eigentlich ziemlich einfach.

 

1.) Wenn der XP Anmeldebildschirm da ist, kann man nur Maschinenzertifikate für die Authentisierung benutzen. Der 802.1x Supplicant hat ja keinen Zugriff auf den Zertifikatsspeicher von den Usern (niemand eingeloggt).

 

2.) Wenn der User eingeloggt ist, dann macht ein Maschinenzertifikat wenig Sinn. Man will ja nicht nur die Maschine, sonder auch die User-Identity authentisieren.

 

3.) Das ist Standardverhalten von der WZC von XP

- Gina: Maschinenzertifikat

- Angemeldet: Userzertifikat

Share this post


Link to post

1.) Wenn der XP Anmeldebildschirm da ist, kann man nur Maschinenzertifikate für die Authentisierung benutzen. Der 802.1x Supplicant hat ja keinen Zugriff auf den Zertifikatsspeicher von den Usern (niemand eingeloggt).

richtig.

2.) Wenn der User eingeloggt ist, dann macht ein Maschinenzertifikat wenig Sinn. Man will ja nicht nur die Maschine, sonder auch die User-Identity authentisieren.

Warum will man das? Ich habe schon sehr .1x Projekte gemacht, bisher praktisch immer ausschließlich mit Maschinenzertifikaten die die Identität des Computers sicherstellen. Wenn sich an Deinen Corporate PCs nicht vertrauenswürdige User anmelden können hast Du evtl. ein viel größeres Problem.

 

Wie auch immer: um das hinzubekommen sollte ggf. bei Logon ein Skript laufen welchen ein Zertifikat für den User anfordert und installiert.

 

 

ASR

Share this post


Link to post

Du hast Recht. Mit einem Maschinenzertifikat alleine kommt man schon enorm weit. Hast du gerade die Windows XP Registry Schlüssel im Kopf, die man bezüglich EAP-TLS setzen kann? (nur User-; nur Maschinenzertifikat oder beides). Ich hab da mal was gehört - finde es nur nicht mehr :D

 

Wenn man doch mit Userzertifikaten zusätzlich arbeiten will, dann muss man es wohl mit nem LoginScript machen. Kennt jemand ein CMD Kommando mit dem man ein Zertifikat anfordert? Analog zu der Funktion im Zertifikats-Snap-In bei der MMC. Dort kann man bei der eigenen Userzertifikaten mit nem rechten Mausklich das Zertifikat anfordern.

 

Vielleicht probiere ich auch mal nen anderen Supplicant aus. Vielleicht mal den CSSC (Cisco Secure Services Client). Der soll nen recht guten .1x Supplicant haben. Unter Vista soll das ganze auch besser gelöst sein.

Ahso - eine Sache ist mir mit dem ganzen XP WLAN gerödel noch aufgefallen.

Der WLAN Client (WZC) stellt mit nem Maschinenzertifikat bereits am Anmeldebildschirm (GINA) ne WLAN Verbindung her. Leider ist es vom XP Anmeldebildschirm null ersichtlich, ob der Client eine Domänenverbindung hat (also ne WLAN Connection), oder nicht. Wenn sich der User an der Maske anmeldet, besteht die Chance, dass er sich mit Cached Credentials anmeldet. Er sieht dann spätestens am Desktop oder daran dass das LoginScript nicht läuft, dass irgendwas nicht stimmt.

 

Gibt es erweiterte GINAS bzw. Modifikationen, die den Status der WZC anzeigen können?

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...