Problem Anmeldung über RADIUS Server

[Dom1091 0]

Moin,

vllt könnt ihr mir weiterhelfen.

Habe ein WLAN eingerichtet bei dem die Anmeldung über einen NPS/RADIUS, welcher auf win server 2012 r2 installiert ist, laufen soll. NPS/RADIUS ist in domäne registriert damit er sich die Benutzerdaten/Anmeldedaten aus dem AD ziehen kann. Das ganze soll vorerst ohne Zertifikate laufen.

der AP leitet die Anfrage an den RADIUS weiter soviel steht fest. Hier liegt nämlich auch das Problem.

Bei jedem Anmeldeversuch bekomme ich die Meldung:

 

Der Client konnte nicht authentifiziert werden, da der angegebene EAP (Extensible Authentication-Protokoll)-Typ vom Server nicht verarbeitet werden kann.

 

Wenn ich auf dem WLAN Client die Problembehandlung nachdem erfolglosem Anmeldeversuch starte bekomme ich diese Meldung:

 

Netzwerkauthentifizierungsfehler aufgrund eines Problems mit dem Benutzerkonto.
 

Hängt das damit zusammen das kein Zertifikat für den Server auf dem WLAN Client installiert ist?

Geht es überhaupt eine Authentifizierung über einen RADIUS durchzuführen ohne Zeritfikat und wenn ja wie?

 Schonmal danke im voraus für eure Hilfe.

bearbeitet 19. Mai 2016 von Dom1091

[TheLeader 61]

Wilkommen im Board Dom1091

Ich stehe grad recht gut im Thema, da der RADIUS gegen das NPS Thema meiner Facharbeit ist. Deswegen würd ich dich bitten genauer zu erläutern was du mit "soll ohne Zertifikate laufen" meinst. Eine Anmeldung ohne Zertifikate auf dem Client ist durchaus möglich, deine Access Points hingegen benötigen zwingend ein Zertifikat.

[Dom1091 0]

ja ich lese immer wieder im internet das der Server ein zertifikat benötigt um sich gegenüber dem RADIUS Client zu authentifizieren.

ich frage mich auch wie ich den Fehler behebe mit dem EAP oder ob das halt damit zusammen hängt das auf dem Server kein Zertifikat ist

[TheLeader 61]

Die Wahrscheinlichkeit, das es damit zusammenhängt ist hoch. Der Server nimmt nur Requests von APs/Controllern mit Zertifikat an, der Rest wird einfach ignoriert. Was dann natürlich zu Fehlermeldungen der verschiedensten Arten führen kann.

bearbeitet 19. Mai 2016 von TheLeader

[Dom1091 0]

Es muss doch eine Lösung geben ohne Zertifikat.

Die sache ist doch die, dass bei PEAP nur der NPS/RADIUS ein zertifikat benötig, welches der Client prüft damit er die gewissheit hat mit dem richtigen RADIUS zu kommunizieren. Oder liege ich da Falsch?

und unter den Einstellung der Drahtlosverbindungen kann man ja auch den Haken entfernen Serverzertifikat überprüfen somit müsste es doch vollig egal sein ob überhaupt ein Zertifikat vorhanden ist oder nicht da es ja sowieso nicht geprüft wird.

[TheLeader 61]

Kurzum NEIN. die APs und der Server brauchen ein Zertifikat, das ist ja aber mit ner eigenen NPS kein Problem. Die Clients benötigen es nicht zwingend, das ist korrekt. Würd dir ja gern meine FA mal zukommen lassen, aber aufgrund der Eidesstattlichen Erklärung am Ende selbiger ist mir das vor September nicht möglich. Könnte ja so ausgelegt werden dass du mir geholfen hast. aber vieleicht hilft dir ja folgender Link weiter http://www.matrixpost.de/blog/?p=4

[Dom1091 0]

Wäre natürlich ne starke nummer gewesen wenn du mir das hättest schicken können, aber trotzdem danke für deine hilfe

[Dunkelmann 96]

Moin,
 

Kurzum NEIN. die APs und der Server brauchen ein Zertifikat, das ist ja aber mit ner eigenen NPS kein Problem.

die APs (und andere Radius Clients) benötigen für PEAP kein Zertifikat. Die Radius Clients authentifizieren sich per shared secret am Radius Server. Zwischen Radius Clinet und Supplicant findet keine gegenseitige Authentifizierung statt.

Bei PEAP werden Zertifikate für den Radius/NPS Server und den Supplicant benötigt. Alternativ kann der Supplicant auch PEAP/MS CHAP v2 (Benutzername/Kennwort) nutzen. Der NPS benötigt für beide PEAP Methoden ein Zertifikat. Ohne Zertifikat kann kein TLS Tunnel zum Supplicant aufgebaut werden.

Das ist unabhängig davon ob der Supplicant das Zertifikat prüfen soll oder nicht. Kein Zertifikat auf dem NPS, kein PEAP - ganz einfach.
 
Welche EAP Methode ist am NPS in der Netzwerkrichtlinie vorgegeben?
Welche EAP Methode wird vom Client verwendet?
Ggf. mit dem MS Netzwerkmonitor oder Wireshark prüfen.
 

[Dom1091 0]

Versteh ich das richtig das bei PEAP/MS CHAP v2 nur der server ein Zertifikat benötigt und der Supplicant nicht.

Hab im Anhang die konfig

 

[Dunkelmann 96]

Versteh ich das richtig das bei PEAP/MS CHAP v2 nur der server ein Zertifikat benötigt und der Supplicant nicht.

Genau. Bei diesem Setup benötigt nur der NPS ein Zertifikat

[TheLeader 61]

Moin,

 

die APs (und andere Radius Clients) benötigen für PEAP kein Zertifikat. Die Radius Clients authentifizieren sich per shared secret am Radius Server. Zwischen Radius Clinet und Supplicant findet keine gegenseitige Authentifizierung statt.

 

Korrekt, ich hau das mit dem Secret dauernd durcheinander, aber der Server benötigt halt ein Zertifikat für den TLS Tunnel. Mein Fehler, hoffentlich passiert mir das nicht in der Präsentation.

 

Ich würde empfehlen den Haken unter Computerdaten für anmeldung benutzen zu entfernen, dies erlaubt dir die Verbindung so einzustellen, dass jeder User an dem Gerät seine Domäinanmeldung nutzt, für den Zugang zum Netzwerk. Damit hast du als Admin den Überblick wer sich von welchem Gerät aus einloggt.

bearbeitet 20. Mai 2016 von TheLeader