Jump to content

Problem Anmeldung über RADIUS Server


Direkt zur Lösung Gelöst von Dunkelmann,
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Moin,

vllt könnt ihr mir weiterhelfen.

Habe ein WLAN eingerichtet bei dem die Anmeldung über einen NPS/RADIUS, welcher auf win server 2012 r2 installiert ist, laufen soll. NPS/RADIUS ist in domäne registriert damit er sich die Benutzerdaten/Anmeldedaten aus dem AD ziehen kann. Das ganze soll vorerst ohne Zertifikate laufen.

der AP leitet die Anfrage an den RADIUS weiter soviel steht fest. Hier liegt nämlich auch das Problem.

Bei jedem Anmeldeversuch bekomme ich die Meldung:

 

Der Client konnte nicht authentifiziert werden, da der angegebene EAP (Extensible Authentication-Protokoll)-Typ vom Server nicht verarbeitet werden kann.

 

Wenn ich auf dem WLAN Client die Problembehandlung nachdem erfolglosem Anmeldeversuch starte bekomme ich diese Meldung:

 

Netzwerkauthentifizierungsfehler aufgrund eines Problems mit dem Benutzerkonto.
 

Hängt das damit zusammen das kein Zertifikat für den Server auf dem WLAN Client installiert ist?

Geht es überhaupt eine Authentifizierung über einen RADIUS durchzuführen ohne Zeritfikat und wenn ja wie?

 Schonmal danke im voraus für eure Hilfe.

bearbeitet von Dom1091
Link zu diesem Kommentar

Es muss doch eine Lösung geben ohne Zertifikat.

Die sache ist doch die, dass bei PEAP nur der NPS/RADIUS ein zertifikat benötig, welches der Client prüft damit er die gewissheit hat mit dem richtigen RADIUS zu kommunizieren. Oder liege ich da Falsch?

und unter den Einstellung der Drahtlosverbindungen kann man ja auch den Haken entfernen Serverzertifikat überprüfen somit müsste es doch vollig egal sein ob überhaupt ein Zertifikat vorhanden ist oder nicht da es ja sowieso nicht geprüft wird.

Link zu diesem Kommentar

Kurzum NEIN. die APs und der Server brauchen ein Zertifikat, das ist ja aber mit ner eigenen NPS kein Problem. Die Clients benötigen es nicht zwingend, das ist korrekt. Würd dir ja gern meine FA mal zukommen lassen, aber aufgrund der Eidesstattlichen Erklärung am Ende selbiger ist mir das vor September nicht möglich. Könnte ja so ausgelegt werden dass du mir geholfen hast. aber vieleicht hilft dir ja folgender Link weiter http://www.matrixpost.de/blog/?p=4

Link zu diesem Kommentar

Moin,
 

Kurzum NEIN. die APs und der Server brauchen ein Zertifikat, das ist ja aber mit ner eigenen NPS kein Problem.

die APs (und andere Radius Clients) benötigen für PEAP kein Zertifikat. Die Radius Clients authentifizieren sich per shared secret am Radius Server. Zwischen Radius Clinet und Supplicant findet keine gegenseitige Authentifizierung statt.

Bei PEAP werden Zertifikate für den Radius/NPS Server und den Supplicant benötigt. Alternativ kann der Supplicant auch PEAP/MS CHAP v2 (Benutzername/Kennwort) nutzen. Der NPS benötigt für beide PEAP Methoden ein Zertifikat. Ohne Zertifikat kann kein TLS Tunnel zum Supplicant aufgebaut werden.

Das ist unabhängig davon ob der Supplicant das Zertifikat prüfen soll oder nicht. Kein Zertifikat auf dem NPS, kein PEAP - ganz einfach.
 
Welche EAP Methode ist am NPS in der Netzwerkrichtlinie vorgegeben?
Welche EAP Methode wird vom Client verwendet?
Ggf. mit dem MS Netzwerkmonitor oder Wireshark prüfen.
 

Link zu diesem Kommentar

Moin,

 

die APs (und andere Radius Clients) benötigen für PEAP kein Zertifikat. Die Radius Clients authentifizieren sich per shared secret am Radius Server. Zwischen Radius Clinet und Supplicant findet keine gegenseitige Authentifizierung statt.

 

Korrekt, ich hau das mit dem Secret dauernd durcheinander, aber der Server benötigt halt ein Zertifikat für den TLS Tunnel. Mein Fehler, hoffentlich passiert mir das nicht in der Präsentation.

 

Ich würde empfehlen den Haken unter Computerdaten für anmeldung benutzen zu entfernen, dies erlaubt dir die Verbindung so einzustellen, dass jeder User an dem Gerät seine Domäinanmeldung nutzt, für den Zugang zum Netzwerk. Damit hast du als Admin den Überblick wer sich von welchem Gerät aus einloggt.

bearbeitet von TheLeader
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...