Jump to content
Sign in to follow this  
rt1970

NPS (Radius) ohne Zertifikat

Recommended Posts

Hallo!

Hat jemand ein ToDo des NPS gefunden, in dem Radius für WLAN ohne Zertifikat auf dem Laptop eingerichtet wird?

PEAP sagt mir "unbekannter Benutzername oder falsches Kennwort"

WLAN-Accesspoint ist ein Netgear WG103...

Der Netzwerkrichtlinienserver verweigerte einem Benutzer den Zugriff.

 

Kontaktieren Sie den Administrator des Netzwerkrichtlinienservers, um weitere Informationen zu erhalten.

 

Benutzer:

Sicherheits-ID: NULL SID

Kontoname: Internet

Kontodomäne: ***

Vollqualifizierter Kontoname: ***\Internet

 

Clientcomputer:

Sicherheits-ID: NULL SID

Kontoname: -

Vollqualifizierter Kontoname: -

Betriebssystemversion: -

Empfangs-ID: 00-24-B2-6B-19-70:Urania

Anrufer-ID: 00-21-6A-8C-5F-30

 

NAS:

NAS-IPv4-Adresse: 192.168.0.229

NAS-IPv6-Adresse: -

NAS-ID: hello

NAS-Porttyp: Drahtlos - IEEE 802.11

NAS-Port: 0

 

RADIUS-Client:

Clientname: Netgear

Client-IP-Adresse: 192.168.0.229

 

Authentifizierungsdetails:

Proxyrichtlinienname: Sichere Drahtlosverbindungen

Netzwerkrichtlinienname: -

Authentifizierungsanbieter: Windows

Authentifizierungsserver: TMG.***.local

Authentifizierungstyp: PEAP

EAP-Typ: -

Kontositzungs-ID: -

Begründungscode: 16

Grund: Die Authentifizierung war nicht erfolgreich, da ein unbekannter Benutzername oder ein ungültiges Kennwort verwendet wurde

Radius-Log:

192.168.0.229,Internet,11/12/2010,00:14:40,IAS,TMG,4,192.168.0.229,32,hello,5,0,30,00-24-B2-6B-19-70:***,31,00-21-6A-8C-5F-30,12,1400,61,19,77,CONNECT 0Mbps 802.11g,4108,192.168.0.229,4116,0,4128,Netgear,4154,Sichere Drahtlosverbindungen,4155,1,4129,***\Internet,4130,***\Internet,25,311 1 ::1 11/11/2010 22:31:54 50,4136,1,4142,0

192.168.0.229,Internet,11/12/2010,00:14:40,IAS,TMG,25,311 1 ::1 11/11/2010 22:31:54 50,27,30,4130,***\Internet,4129,Test\Internet,4108,192.168.0.229,4116,0,4128,Netgear,4154,Sichere Drahtlosverbindungen,4155,1,4136,11,4142,0

192.168.0.229,Internet,11/12/2010,00:14:40,IAS,TMG,4,192.168.0.229,32,hello,5,0,30,00-24-B2-6B-19-70:Test,31,00-21-6A-8C-5F-30,12,1400,61,19,77,CONNECT 0Mbps 802.11g,4108,192.168.0.229,4116,0,4128,Netgear,4154,Sichere Drahtlosverbindungen,4155,1,4129,***\Internet,4130,***\Internet,25,311 1 ::1 11/11/2010 22:31:54 51,4136,1,4142,0

192.168.0.229,Internet,11/12/2010,00:14:40,IAS,TMG,25,311 1 ::1 11/11/2010 22:31:54 51,27,30,4108,192.168.0.229,4116,0,4128,Netgear,4130,***\Internet,4154,Sichere Drahtlosverbindungen,4155,1,4129,***\Internet,4136,11,4142,0

192.168.0.229,Internet,11/12/2010,00:14:40,IAS,TMG,4,192.168.0.229,32,hello,5,0,30,00-24-B2-6B-19-70:***,31,00-21-6A-8C-5F-30,12,1400,61,19,77,CONNECT 0Mbps 802.11g,4108,192.168.0.229,4116,0,4128,Netgear,4154,Sichere Drahtlosverbindungen,4155,1,4129,***\Internet,4130,***\Internet,25,311 1 ::1 11/11/2010 22:31:54 52,4136,1,4142,0

192.168.0.229,Internet,11/12/2010,00:14:40,IAS,TMG,25,311 1 ::1 11/11/2010 22:31:54 52,27,30,4130,***\Internet,4129,***\Internet,4108,192.168.0.229,4116,0,4128,Netgear,4154,Sichere Drahtlosverbindungen,4155,1,4136,11,4142,0

192.168.0.229,Internet,11/12/2010,00:14:40,IAS,TMG,4,192.168.0.229,32,hello,5,0,30,00-24-B2-6B-19-70:***,31,00-21-6A-8C-5F-30,12,1400,61,19,77,CONNECT 0Mbps 802.11g,4108,192.168.0.229,4116,0,4128,Netgear,4154,Sichere Drahtlosverbindungen,4155,1,4129,***\Internet,4130,***\Internet,4127,11,25,311 1 ::1 11/11/2010 22:31:54 53,4136,1,4142,0

192.168.0.229,Internet,11/12/2010,00:14:40,IAS,TMG,25,311 1 ::1 11/11/2010 22:31:54 53,4127,11,4130,***\Internet,4129,***\Internet,4155,1,4108,192.168.0.229,4116,0,4128,Netgear,4154,Sichere Drahtlosverbindungen,4136,3,4142,16

Share this post


Link to post

Mittlerweile funktioniert der Radius.

Mich nervt nur, dass das Zertifikat verlangt wird...

Gibt es beim NPS (Network Policy Server) keine Möglichkeit für WLAN-User nur Username/Passwort abzufragen???

Natürlich ohne in den WLAN-Konfigurationen den Haken zur Prüfung des Zertifikats heraus zu nehmen bzw. das Serverzertifikat zu importieren...

Share this post


Link to post

Irgendwo habe ich einen Denkfehler...

Wenn ich LAN benutze und \\Server aufrufe, werde ich nach Benutzernamen und Kennwort gefragt und brauche kein Zertifikat.

Ich glaube nicht, dass das Kennwort dann unverschlüsselt übertragen wird.

Warum geht das nicht beim Radius/NPS?

Was ist mit "Microsoft-verschlüsselte Authentifizierung MS-Chap-v2"? Dabei wird doch kein Zertifikat benötigt, oder?

 

Am Besten richtest Du Dir zuerst eine interne CA ein.

Ich habe (noch) keine CA eingerichtet, da TMG schon selbst ein Zertifikat installiert hat.

 

Ich möchte folgendes erreichen und bin der Meinung, dass das durch Einrichtung einer CA keinen Unterschied macht:

Gast-Laptops (keine Domänenmitglieder) sollen sich normal mit dem Drahtlosnetzwerk verbinden und nach Benutzername/Kennwort gefragt werden.

Ich könnte die Regeln für Benutzer im Proxy beschränken, aber da werde ich zu oft nach Benutzername/Kennwort gefragt.

Weiterhin könnte ich am Client die Prüfung des Zertifikats raus nehmen lassen, aber erklär das mal Otto-Normal-User...

Ich möchte eine Art "Klick and Play"-Lösung...

Edited by rt1970

Share this post


Link to post

Du hast aber die WLAN-Verschlüsselung vergessen. Dazu ist das Zertifikat u.a. da.

 

Wenn Du Gästen einen Zugang "freien" Hotspot anbieten willst, würde die eingentliche WLAN-Verbindung unverschlüsselt erfolgen. So ist das bei allen öffentlichen Hotspots. Willst Du das in Deinem LAN ?

 

-Zahni

Share this post


Link to post
würde die eingentliche WLAN-Verbindung unverschlüsselt erfolgen

Wäre mir eigentlich auch egal.

1. Es ist kein LAN an dem andere Rechner/Server hängen, nur der Server mit TMG und dahinter der Router

2. Wird jede Nacht automatisch das Kennwort neu gesetzt

Habe ich richtig verstanden, dass die unverschlüsselte Übermittlung nur die Authentifizierung betrifft? Denn im Netgear habe ich WPA/WPA2 mit Radius gewählt. Somit ist doch alles andere WPA/WPA2 verschlüsselt...

Bei öffentlichen Hotspots braucht man doch auch Benutzername/Kennwort, oder? Hab es noch nie genutzt/getestet.

 

Was ich nicht verstanden habe: warum geht die Microsoft-verschlüsselte Authentifizierung MS-Chap-V2 nicht?

Share this post


Link to post

@zahni

Interessanter Beitrag!

Wenn ich es richtig verstanden habe, wird bei PEAP durch das Zertifikat auch die Authentifizierung verschlüsselt, richtig?

PEAP setzt aber nicht das Zertifikat voraus - zumindest bei mir.

Wenn ich in den WLAN-Einstellungen den Haken raus nehme "Serverzertifikat prüfen", kann ich mich auch mit Username/Passwort verbinden...

Kann ich dem nicht-Domänen-Clients via NPS vorgeben, dass die Zertifikatprüfung ignoriert werden soll?

Share this post


Link to post

Ich habe leider mit der WLAN-Geschichte nocht nichts gemacht. Aber normalerweise bezieht eine Funktion "Serverzertifikat prüfen" mehr auf dessen Gültigkeit.

Die Gültigkeit einen Zertifikats kann man über eine CRL (Revocation List) oder noch besser über einen Online Responder festlegen.

 

 

-Zahni

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...