Problem bei portbasierender Authentifizierung

[spyro-86 10]

Hallo,

 

ich hab da ein "kleines" Problem. Vielleicht kann mir jemand weiterhelfen:

 

Ich versuche eine portbasierende Authentifizierung mit Windows 2003 (IAS) und einem Cisco Catalyst 3550 zu realisieren. Mein hauptsächliches Problem liegt (wars***einlich) an der Zertifizierung. Leider finde ich das Problem nicht, wieso ich mich mit meinem XP-Client nicht authentifizieren kann.

 

Kann mir vielleicht jemand sagen, wie ich das genaue Problem herausfinden kann? Protokolle, log-files oder ähnliches?

 

Ich wäre euch sehr zu dank verpflichtet! Leider weiß ich mir keinen Rat mehr....

 

 

Mit freundlichen Grüßen,

Jürgen

[Tobikom 10]

Hallo,

 

ich bin zwar keine Speziallist auf dem Gebiet, aber wenn du dich mit Zertifikaten authentifizieren willst, läuft deine CA richtig? Hast du mal in die Logfiles des IAS geguckt, da sollte doch auf jedenfall drinstehen warum die Authtentfizierung nicht stattfindet. Die Cisco-Kiste hat doch bestimmt auch einen Logfile, ggf musst du das Logging da noch extra einschalten.

 

EDIT: Hier findest du nen paar Infos zu 802.1x, und evtl noch weitere infos http://www.cryptoshop.com/de/knowledgebase/technology/protocols/eappeap.php

Hast du hier mal gelesen: http://mcseboard.de/showthread.php?t=87726

 

Grüße

 

Tobias

[nouseforaname 10]

Hi,

 

wie hercules schon schreibt, was sagen die logfiles des IAS?

bzw. das eventlog des servers auf dem der ias läuft!

 

sind die zertifikate auf dem Client und Server registriert?

 

mmc öffnen und dann zertifikate auswählen für computer und user!

 

ansonsten kannst du mit dem packetyzer schauen welche Pakete von wem verschickt werden und wann der fehler eintritt!

 

http://www.networkchemistry.com/products/packetyzer.php

 

gruß

kai

[mriess 10]

@spyro: Was möchtest du denn eigentlich erreichen?

Cisco bietet dir doch da wesentlich mehr Möglichkeiten, wenn es um den *physischen* Zugang geht. Oder was verstehst du unter portbasierter Authentifizierung?

[spyro-86 10]

Also, mein aktueller Stand:

 

Ich hab die Logs des Servers und des Clients durchgeforstet.... Ziemlich bunt :-/

 

Ich will meine Zertifikate ja über ein Autoenrollment ( also über eine Gruppenrichtlinie verteielen). Leider hat mein Client bis dato nie ein Zertifikat bekommen.

 

Als ich sie dann händisch importierte, funktionierte die Authentifizierung trotzdem nicht... Langsam bin etwas ratlos! Was ich feststellen konnte ist, dass die Richtlinie nicht greift, daran aber allem anschein nach mein AD schuld ist! Hier die Fehler:

 

Des Clients ( direkt nach dem anmelden im Log):

 

Der Domänencontrollername für das Computernetzwerk konnte nicht ermittelt werden. (Die angegebene Domäne ist nicht vorhanden oder es konnte keine Verbindung hergestellt werden. ). Die Verarbeitung der Gruppenrichtlinie wurde abgebrochen.

 

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.'>http://go.microsoft.com/fwlink/events.asp.'>http://go.microsoft.com/fwlink/events.asp.

 

 

Die automatische Zertifikatregistrierung für "lokaler Computer" konnte keine Verbindung zum Active Directory (0x8007054b) herstellen. Die angegebene Domäne ist nicht vorhanden oder es konnte keine Verbindung hergestellt werden.

Die Registrierung wird nicht durchgeführt.

 

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter

 

http://go.microsoft.com/fwlink/events.asp.

 

 

Der Benutzer oder der Computername kann nicht ermittelt werden. (Die angegebene Domäne ist nicht vorhanden oder es konnte keine Verbindung hergestellt werden. ). Die Verarbeitung der Gruppenrichtlinie wurde abgebrochen.

 

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.

 

 

 

 

Die des Servers:

 

Gleich beim hochfaheren: Ein Dienst konnte nicht gestartet werden, bitte überprüfen sie die Ereignisanzeige ( oder so....)

 

Beim nachsehen taucht dann auf:

 

Der Dienst "Kerberos-Schlüsselverteilungscenter" wurde nicht ordnungsgemäß gestartet.

 

obwohl der Dienst läuft, sich auch sauber beenden, neustarten etc. lässt...

 

Außerdem:

die Warnung:

 

Das zurzeit ausgewählte KDC-Zertifikat war vorher gültig, aber ist jetzt ungültig und es konnte kein geeigneter Ersatz gefunden werden. Die Smartcard-Anmeldung funktioniert vielleicht nicht richtig, wenn dieses Problem nicht behoben wird. Lassen Sie den Systemadministrator den Status der öffentlichen Schlüsselinfrastruktur der Domäne überprüfen. Der Kettenstatus ist in den Fehlerdaten.

 

 

und 9x diese Warnung:

 

Es konnte keine Verbindung zum DHCP-Server hergestellt werden. Die private IP-Adresse 169.254.140.175 wird Einwählclients automatisch zugewiesen. Clients können eventuell nicht auf Netzwerkressourcen zugreifen

 

(nur halt mit unterschiedlichen Adressen) Das schöne ist, ich hab im Netz gar keinen DHCP...

 

 

Weiß jemand von euch Rat???

[spyro-86 10]

Achja, portbasierende Authentifizierung heißt für mich Authentifizierung mit 802.1X und Zertifikaten (PEAP)

[nouseforaname 10]

Hi,

 

 

da ist aber einiges im argen!

 

poste doch mal ein ipconfig des servers und des clients

 

funktioniert die dns auflösung => Ping des FQDN

 

ist der client mitglied der domäne ?

 

und was für zertifikate hast du verteilt?

 

 

gruß

kai

[spyro-86 10]

Hi,

 

also gestern hatte ich bemerkt, das der Eintrag meines PCs im DNS fehlte. Hab diesen eingetragen und es hat jetzt funktioniert. Die Gruppenrichtlinie hat nun gegriffen.

Mein Client hat die IP statisch, soweit ich jetzt gelesen hab, trägt er sich nur automatisch ein, wenn er die IP vom DHCP bekommt. Richtig?

 

Die Remote-Access fehler hab ich auch gefunden. Versehntlicher Weise war Routing und RAS aktiviert.

 

Der PC verfügt über das Stammzerti der Stammzertifizierungsstelle (meiner offline RootCA) und der IAS ein Serverauthentifizierungszertifikat das auf Basis der RAS und IAS -Server Vorlage erstellt wurde.

 

Dem KDC- und Kerberos - Fehler bin ich noch nicht auf die Schliche gekommen....

[spyro-86 10]

Jetzt habe ich "nur noch" ein IAS-Problem:

 

Leider kann ich mich mit meinem Client immer noch nicht authentifizieren.

 

Dazu steht im Ereignisprotokoll:

 

Information:

 

Eine LDAP-Verbindung mit dem Domänencontroller AD.ebenbeck.local für die Domäne ebenbeck wurde hergestellt.

 

 

 

Dann die Warnung:

 

Benutzer "ebenbeck\test" wurde Zugriff verweigert.

Vollqualifizierter Benutzername = ebenbeck\test

NAS-IP-Adresse = 192.168.100.100

NAS-Kennung = <nicht vorhanden>

Kennung der Anrufstation = <nicht vorhanden>

Kennung der Empfängerstation = 00-60-EF-20-BF-85

Clientanzeigename = Cisco 3550 ( Authenticator )

Client-IP-Adresse = 192.168.100.100

NAS-Porttyp = Ethernet

NAS-Port = 50017

Proxyrichtlinienname = Windows-Authentifizierung für alle Benutzer verwenden

Authentifizierungsanbieter = Windows

Authentifizierungsserver = <unbestimmt>

Richtlinien-Name = <unbestimmt>

Authentifizierungstyp = EAP

EAP-Typ = <unbestimmt>

Code = 48

Ursache = Der Verbindungsversuch stimmt mit keiner RAS-Richtlinie überein.

 

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie

 

Dann die Fehler:

 

Ein schwerwiegender Fehler ist beim Erstellen der Referenz Server für SSL aufgetreten.

 

Das Zertifikat des RAS-Servers konnte aufgrund des folgenden Fehlers nicht abgerufen werden: Die Anmeldeinformationen, die dem Paket übergeben wurden, wurden nicht erkannt.

 

Zugriffsanforderung für Benutzer "ebenbeck\\test" wurde gelöscht.

Vollqualifizierter Benutzername = ebenbeck\.local/Test-Gruppenrichtlinie/User/802.1x - Testuser

NAS-IP-Adresse = 192.168.100.100

NAS-Kennung = <nicht vorhanden>

ID der Empfängerstation = <nicht vorhanden>

ID der Anrufstation = 00-60-EF-20-BF-85

Client-Name = Cisco 3550 ( Authenticator )

Client-IP-Adresse = 192.168.100.100

NAS-Porttyp = Ethernet

NAS-Port = 50017

Proxyrichtlinienname = Windows-Authentifizierung für alle Benutzer verwenden

Authentifizierungsanbieter = Windows

Authentifizierunsserver = <unbestimmt>

Ursachencode = 1

Ursache = Ein interner Fehler ist aufgetreten. Weitere Informationen finden Sie im Ereignisprotokoll.

 

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie

[nouseforaname 10]

Hi,

 

nur das wir nicht aneinander vorbei reden du willst PEAP - EAP - TLS nutzen ?

 

Dann musst du nicht nur das zertifikat auf dem server installieren,

sondern auch eines für den client und den user !

 

wahlweise computer und benutzer zertifikat oder zur erhöhung der sicherheit

 

arbeitsstationenauthentifizerung + nur benutzersignatur.

 

solange die zertifikate nicht auf den rechnern sind ist keine authentifizierung möglich!

 

 

edit: dein dns server lässt keine dynamischen einträge zu ?

warum ?

 

gruß

kai

[spyro-86 10]

Eigentlich arbeite ich mit PEAP MSCHAP v2. Bin aber schwer am überlegen ob ich nicht auf EAP-TLS umsteigen soll....

 

Denn irgenwie finde ich den Fehler nicht!

 

Hat eigentlich keinen besoneren Grund, bin nur was DNS etc angeht ziemlicher Anfänger...

 

Weißt du mit PEAP MSCHAP v2 auch bescheid?

[nouseforaname 10]

hi,

 

ich dachte es mir schon dass wir irgendwo an einander vorbei reden da du aber gesagt hast du nutzt peap mit zertifikaten zur Authentifizierung bin ich von PEAP-TLS ausgegangen!

 

also für peap - ms chap v2 brauchst du nur das zertifikat für den ras und ias das stimmt!

die authentifizierung des clients erfolgt dann über das passwort bzw. schlüssel.

 

 

welche bedingungen stehen in deiner ras richtlinie?

 

 

gruß

kai

[spyro-86 10]

Entschuldige, wenn ich mich da etwas unverständlich formuliert habe!

War nicht meine Absicht! ;-)

 

Meine RAS-Richtline sieht so aus:

 

Ich habe den Assistenten zur Erstellung einer neuen Richtlinie verwendet. Dort die Zugriffsmethode ausgewählt, anschließend Benutzergruppe ( in der sich der User befindet) und die Computergruppe hinzugefügt ( in der sich der PC befindet).

Anschließend geschütztes EAP (also PEAP) ausgewählt, unter "Konfigurieren" nachgesehen ob mein Zertifikat drin steht (was es tut) und fertiggestellt.

 

 

(Also die Bedingungen stehen somit auf "NAS-Port-Type stimmen überein mit "Ethernet" AND die 2 Gruppen...)

 

 

Unter den Eigenschaften der Richtlinie hatte ich vorerst nichts eingestellt und es ausprobiert. Funktionierte nicht.

 

Heut hatte ich bei Microsoft gelesen ich solle den Wert Ignor-User-Dial-In = Wahr setzen.

Hatte dies ausprobiert, funktioniert auch nicht...

 

Meinst du es liegt an der Richtlinienkonfiguration?

 

Gruß

Jürgen

[nouseforaname 10]

ist erst mal nichts dabei wo ich sagen würde dass es da hackt . . . ?

 

 

hast du denn message authenticator gesetzt?

wird beim radius client im ias konfiguriert, wie du es bei deinem cisco switch einstellst bzw. ob er das unterstützt kann ich dir leider nicht sagen!

 

noch eine idee: lass dir in der CA die zertifikatvorlagen anzeigen wähle das RAS und IAS Server zertifikat aus und gucke was im reiter antragstellername eingerichtet ist.

 

falls "keiner" eingerichtet ist können sich die clients nicht am IAS authentifizieren!

 

gruß

kai

[spyro-86 10]

meinst du unter Format des Antragsstellernamens?

 

Da steht Allgemeiner Name drin... Problem??

 

ein message authenticator wäre mir neu. Also glaub ihn nicht gesetzt zu haben...

Muss ich nachsehen ob der das unterstützt.

 

Was würde der bewirken?

 

 

 

Sonst im Bezug auf die Fehlermeldungen noch einen Einfall?

 

 

Gruß

Jürgen