Probleme mit ACS und Authentifizierung

[Marcel05 10]

Hallo,

 

ich hab ein 802.1x Netzwerk aufgebaut mit folgenden Komponenten:

 

Cisco Switch 2950 dient als AAA Client

Server Windows 2000 + ACS 3.3 mit Zugriff auf eine externe Datenbank (Windows AD)

dazwischen ist ACS Remote Agent, der dient dafür das der ACS auf die externe Datenbank zugreifen kann

und als 802.1x Client ist ein Windows 2000 Rechner

 

Wenn sich ein User ohne Zertifikate authentifiziert funktionierts (übers PEAP).

Es soll sich aber nicht nur der User authentifizieren sonder auch der Rechner und darin besteht das Problem,was ich hab. Denn die Rechner Authentifizierung läuft ja über Zertifikate, hab sie zwar über all eingerichtet aber es funktioniert nicht mit folgener Fehlermeldung im ACS:

 

Authen-Failure-Code : EAP-TLS or PEAP authentication failed during SSL handshake

 

Für ne Idee für die Problemlösung wäre ich dankbar

[AndreasWeller 10]

Da solltest du einmal kurz die Suchfunktion des Boards bemühen, es gibt einige Threads hier, die sich genau mit diesem Thema beschäftigt haben... :)

[Marcel05 10]

Habs sie mir mal alle angeschaut, aber leider haben sie mich nich wirklich weitergebracht, hab auch sämtliche CISCO Guide's zu diesen Thema durch und bin so vorgegangen wie es beschrieben wurde. Trotzdem kriege ich immer die gleiche Fehlermeldung :

 

Authen-Failure-Code : EAP-TLS or PEAP authentication failed during SSL handshake

 

Trotz das Zertifikat gültig ist.

 

wenn noch einer Idee hätte wäre ich echt dankbar

 

Gruß

[AndreasWeller 10]

Die ertse Frage wäre da: benutzt du selbst erstellte Zertifikate?

 

Und schick doch bitte mal einen genaue Beschreibung, was du alles in deinem 802.1x Client (Ich denke du nutzt den von Win 2000 SP4) konfiguriert hast...

[Marcel05 10]

Das Zertifikat hab ich mir selber erstellt.

 

Genau ,für den Client nutze ich Windows2000 SP4.

 

als EAP Typ nutze : Geschütztes EAP(PEAP),

dann ist noch ein Häckchen beim Serverzertifikat überprüfen und Vertrauenwürdige Stammzertifizierungsstellen (bei mein Zertifikat ein Häckchen). Habs per Konsole(mmc) im Computerkonto u Eigenes Benutzerkonto unter Vertrauendswürdig installiert .

Mehr hab ich auf Client eingestellt

 

Weil ich ja eine externe Datenbank nutze, dacht ich mir vielleicht das der ACS versucht auf die externe AD, das Zertifikat zuüberprüfen, habs dann mal rausgenommen aber das war der gleiche Effekt.

 

Was vielleicht noch eine wesentliche Rolle spielt, bin mir aber nicht sicher ,ist die eine Einstellung beim ACS, zwar unter Network Configuration->AAA Client-> Authenticate Using hab ich ein gestellt RADIUS (Cisco IOS/PIX) so hab ich auch den Switch konfiguriert aber in der Cisco Doku(Config Beispiel) ist ín der einen einmal RADIUS( IETF) und in einer anderen Radius(Aironet) eingetragen aber widerum in einer anderen Stelle hab ich das so raus gelesen ,das nicht von Bedeutung ist , was meinsten du dazu?

 

Sonst hab ich alle Einstellung vorgenommen wie es in der Doku beschrieben ist.

[AndreasWeller 10]

nimm mal den Haken bei "Serverzertifikat überprüfen" auf dem Client weg und schau mal ob´s dann läuft :)

[Marcel05 10]

Das läuft schon ,ich kann auch den einzelnen User authentifizieren(ohne Zertifikatseinstellung ), aber es soll ja auch der Rechner authentifiziert werden und da habe ich gelesen aus mehreren unterschiedliche Quelllen das es nur über Zertifikate funktioniert

[AndreasWeller 10]

Ähm was läuft schon? So ganz versteh ich glaub ich gerade das Problem nicht? Funktioniert die User Authentifizierung mit Zertifikaten? Soll zusätzlich eine Maschienenauthentifizierung stattfinden? Ist das Maschienenzertifikat installiert und das ganze beim Client konfiguriert?

[Marcel05 10]

Der neuste Stand is, das jetzt das Zertifikat funktioniert, es kommt keine Fehlermeldung mehr auf den ACS, aber jetzt bleibt er am AD hängen mit folgender Fehlermeldung (aus den CSWin.log -> aus den Log-File vom Remote Agent):

 

Attempting Windows authentication for user

Windows authentication SUCCESSFUL

Local account domain fallback not permitted

 

hab ihm aber alle Rechte gegeben. Dadurch erfolgt auch keine Authentifizierung des Computer.Aber das lustige daran is, wenn sich User über das AD authentifiziert geht das Problemlos , es tritt halt nur auf, wenn sich der Rechner selbst authentifizieren soll.

 

Zur Authentifizierung nutze ich ja das geschütze EAP(PEAP) das läuft ja so, das der Rechner vor der Windowsanmeldung(User Anmeldungfenster) per Zertifikat sich am AD authentifiziert .

Der User sich per Name u Passwort authentifiziert über ein extra 802.1x Anmeldebildschirm -> so solte es eigentlich sein

[AndreasWeller 10]

Leider kann ich dir nur sagen wie es mit EAP-TLS läuft und da wird kein extra 802.1x Anmeldebildschirm benötigt - funktioniert alles über die ganz normale Windowsanmeldung. Wenn nun aber eine Maschienenauthentifizierung stattfinden soll, muss der Haken im Windows Client gesetzt sein und ein gültiges Maschienenzertifikat vorhanden sein. Ist dem so ???

[Marcel05 10]

Man hat ja auf den Client nur die Auswahl bei EAP-TYP:

Geschütztes EAP (PEAP)

MD5

Smartcard oder anderes Zertifikat

welches wäre davon EAP-TLS ?

 

Das er denn Rechner authentifizieren soll, da ist auch eine Häckchen.

 

Das Zertifikat hab ich mich den ACS erstellt, wo liegt da der Unterschied beim Computerzertifikat ?

 

Er versucht ja auch den Rechner zu authentifiziern, aber irgenwie blockiert das der AD ,wenn ich den Log File des Remote Agent glauben kann.

[AndreasWeller 10]

Welche Client benutzt Ihr denn? Also der Windows Client kann auch neben EAP(Peap und MD5) EAP-TLS und der Aegis Client noch weitere Arten von EAP (TLS-Fast usw.)?

 

Was ist mit dem Maschienenzertifikat? Ist das auf dem Rechner angelegt und die Maschienenauthentifizierung konfiguriert?

[Marcel05 10]

Sorry für die unvollständigen Eintrag ,da war die Hand schneller als das Brain :-)

 

Als Client nutze ich WindowsXP SP4.

 

Das Zertifikat was ich mit dem ACS erstellt habe, ist auf den Client angelegt

[AndreasWeller 10]

Also wir haben damals den Zertifikatsdienst des Windows 2000 Server benutzt, ansonsten wird das sichern nix werden mit dem Maschienenzertifikat...

 

Smartcard oder anderes Zertifikat - Das ist die EAP-TLS!

 

So wie ich das bis jetzt verstanden habe, hast du nur ein Zertifikat für den User installiert. Schau doch mal kurz in einen der Threads die zu diesem Thema hier glaufen sind, da sollte es einen Link zu einem Dokument geben, in dem der Vorgang zur Maschienen und User Authentifizierung mit "selbst erstellten Zertifikaten" genau beschrieben ist...

[Marcel05 10]

Habs mir, die Doku mal angeschaut (wenn es die es ,die du meinst) aber das Problem is, die is für den ACS 3.2 und ich nutze ACS 3.3 da funktioniert es so nicht mit der Installation des Zertifikates wie dort beschrieben is.

 

Ich hatte ja auch zu erst mit Windows das Zertifikat erstellt , aber wenn ichs auf den ACS installiert habe , gabs eine Fehlermeldung: not supportet format (Key File), man kann ja ein key File mit den ACS erstellen dann gibt es aber auch wieder ein Fehler.

 

Dann hab ich mit dem ACS selbst ein Zertifikat erstellt und das lief.

 

Ich hab noch ne andere Doku gefunden,mal schauen ,vielleicht finde ich was

 

Gruß