Jump to content

Cisco VPN Client mit IAS und Active Directory


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen

 

Ich habe ein Problem mit der VPN Einwahl.

Bisher ist es bei uns möglich, allein mit dem "Group Name" und einem Passwort eine VPN Verbinung herzustellen.

Da dies nicht gerade sehr sicher ist, wollen wir unser AD zum Abfragen nutzen. Wenn das funktioniert, sollen als 2. Stufe Tokens von SecureComputing zum Einsatz kommen. Dafür muss aber erst einmal die Authentifizierung über das Active Directory funktionieren.

 

Die Daten:

Cisco PIX 515E

Windows 2000 AD

Auf dem AD läuft der IAS:

Clients --> Ist die Firewall mit "RADIUS Standard" und einem Schlüssel eingetragen

Richtlinie --> Windows-Groups stimmen überein mit domain\VPN Users

NAS-IP-Address stimmen überein mit 192.168.0.7

Profil --> Authentifizierung PAP,SPAP angehakt (sonst kein Haken)

Einem Benutzer, der diese Bedigungen erfüllt --> RAS-Berechtigung erteilen

Der Internetauthentifizierungsdienst ist im AD registriert

Authentifizierung: 1812,1645

Kontoführung 1813,1646

 

Wenn ich nun in der PIX IKE, XAuth/Mode Config, outside auf die entsprechende Server Group einstelle, fragt der Cisco Client (Version 4.6.00) nach Benutzername und Passwort.

Der Benutzer hat im AD Einwahlrechte "Zugriff gestattet" und gehört zu der oben genannten Gruppe "VPN Users".

Der IAS gibt folgenden Fehler aus:

 

---------------------------------------------------------------------------------------

Benutzer "weimar" wurde der Zugriff verweigert.

Vollqualifizierter Benutzername = ULM1\weimar

NAS-IP-Adresse = 192.168.0.7

NAS-Kennung = <nicht vorhanden>

Kennung der Anrufstation = <nicht vorhanden>

Kennung der Empfängerstation = <nicht vorhanden>

Client-Name = Firewall

Client-IP-Adresse = 192.168.0.7

NAS-Porttyp = <nicht vorhanden>

NAS-Port = 112

Richtlinien-Name = <unbestimmt>

Authentifizierungstyp = <unbestimmt>

EAP-Typ = <unbestimmt>

Code = 16

Ursache = Bei der Authentifizierung ist aufgrund eines unbekannten Benutzernamens oder eines ungültigen Kennworts ein Fehler aufgetreten.

---------------------------------------------------------------------------------------

 

Was ist noch falsch eingestellt und vor allem wo?

Ich kann den Fehler nicht weiter eingrenzen.

 

Grüße Eisbaeeer

Link zu diesem Kommentar
Wohl eher PAP - CHAP ist für die meisten RADIUS-only Büchsen von 3rd Party herstellern to much.

 

@Eisbaeeer

Hast du's schon mit NetBIOS Domänen Namen\Benutzername oder dem UPN versucht?

 

NetBIOS hab ich noch nicht versucht. Werde das mal in Angriff nehmen.

Zwecks CHAP hab ich bei Cisco gelesen, dass NUR PAP unterstützt wird.

 

Ich werde mal die Varianten versuchen (NetBIOS und UPN)

Melde mich dann wieder.

Link zu diesem Kommentar

 

Hatte ich nach der Anleitung schon gemacht. Geht auch in der MMC, die Registrierung.

Es ist bestimmt irgen ein ganz ****er Fehler.

 

Frage:

Wie kann ich den NetBIOS Domänenname testen? Ich hab in einem anderen Thread gelesen, dass sein Client einmal mit dem Domännenname\Benutzername und einmal mit NetBIOS Name Anmeldungen durchgeführt hat. Die NetBIOS Anmeldung hat funktioniert, die mit dem Domänen Name nicht.

 

Grüße Eisbaeeer

 

P.S.: Respekt für deine Antwortzeiten!

Link zu diesem Kommentar

P.S.: Am besten mit dem UPN versuchen, das müsste garantiert klappen.;)

 

Also hab ich probiert. Bei UPN Anmeldung kommt folgendes in der Ereignisanzeige:

 

-----------------------------------------------------------------------------

Benutzer "dummy@ulm1" wurde der Zugriff verweigert.

Vollqualifizierter Benutzername = ULM1\dummy@ulm1

NAS-IP-Adresse = 192.168.0.7

NAS-Kennung = <nicht vorhanden>

Kennung der Anrufstation = <nicht vorhanden>

Kennung der Empfängerstation = <nicht vorhanden>

Client-Name = Firewall

Client-IP-Adresse = 192.168.0.7

NAS-Porttyp = <nicht vorhanden>

NAS-Port = 135

Richtlinien-Name = <unbestimmt>

Authentifizierungstyp = <unbestimmt>

EAP-Typ = <unbestimmt>

Code = 16

Ursache = Bei der Authentifizierung ist aufgrund eines unbekannten Benutzernamens oder eines ungültigen Kennworts ein Fehler aufgetreten

-----------------------------------------------------------------------------

 

Gebe ich die Full-Qulified-Domain ein:

 

-----------------------------------------------------------------------------

Benutzer "dummy@ulm1.ulmerfleisch.de" wurde der Zugriff verweigert.

Vollqualifizierter Benutzername = ULM1\dummy

NAS-IP-Adresse = 192.168.0.7

NAS-Kennung = <nicht vorhanden>

Kennung der Anrufstation = <nicht vorhanden>

Kennung der Empfängerstation = <nicht vorhanden>

Client-Name = Firewall

Client-IP-Adresse = 192.168.0.7

NAS-Porttyp = <nicht vorhanden>

NAS-Port = 133

Richtlinien-Name = <unbestimmt>

Authentifizierungstyp = <unbestimmt>

EAP-Typ = <unbestimmt>

Code = 16

Ursache = Bei der Authentifizierung ist aufgrund eines unbekannten Benutzernamens oder eines ungültigen Kennworts ein Fehler aufgetreten.

-----------------------------------------------------------------------------

Ist denn die Ausgabe vom Ereignisprotokoll richtig?

Kann ich den IAS mit einem anderen tool abfragen, um sicherzugehen, dass das Zusammenspiel von IAS und AD funktioniert. Dann könnte ich das ganze eingrenzen.

Link zu diesem Kommentar

Ich glaub, da gibt's ein Missverständnis über den UPN:

 

The logon name portion of the user logon name is joeuser.

The UPN for this user is joeuser@mydomain.com.

The down-level logon name for this user is MYDOMAIN\joeuser.

 

Users Can Log On Using User Name or User Principal Name

 

 

Man könnte im IAS die Protokollierung einschalten.... aber meiner Ansicht nach ist der Username jedes mal falsch.

Link zu diesem Kommentar

Also ich habe es jetzt hinbekommen. Welche Konvention man einsetzt ist bei mir völlig egal. Der IAS ist da sehr kompatibel. Bei mir lässt er jetzt zu:

 

Domäne\Benutzer

Benutzer@Full.Qualified.Domain.de

Benutzer

 

Einfach alle Möglichkeiten. Der Fehler lag auch nicht bei der PIX.

Ich habe auf unserem 2. DC den IAS installiert und das ganze out of the box konfiguriert. Und siehe da, es hat funktioniert.

Wichtig ist bei der PIX, dass nur MD5 und DES genutzt wird, sonst verstehen sich IAS und PIX nicht.

 

Nun wo lag der Fehler. Auf dem ursprünglichen DC war noch eine zusätzliche Software für Tokens von securecomputing installiert. Diese setzt sich direkt in das AD. Warum aber jetzt keine Authentifizerung möglich war, werde ich noch weiter testen. SecureComputing hat einen Deamon für den IAS.

Nutzt jemand SafeWord?

Wenn ja, geht das mit dem Cisco Client überhaupt. In den Anleitungen wird immer der Client von Microsoft bentzt.

 

Vielen Dank auch für Eure Hilfe. Ich komme eher aus der Linux welt, deshalb muss ich mich da ein bischen durchkämpfen.

 

Viele Grüße Eisbaeeer

Link zu diesem Kommentar
  • 3 Wochen später...

Also der Cisco VPN-Client funktioniert zusammen mit SafeWord auf alle Fälle, ich hab beides seit langem im Einsatz (auch über PIX).

 

An welcher Stelle steht im IAS die Richtlinie für die Gruppe VPN-User? Muss eigentlich in der Reihenfolge an erster Stelle stehen um für die Gruppenmitglieder die Anmeldung mit normalem User-Passwort zuzulassen. Für die Authentifizierung über SafeWord dürfen die User widerum nicht in der VPN-User Gruppe sein (nur RAS-Einwahlrechte und zugeordnetes Token im SafeWord-SnapIn notwendig).

 

Gruß

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...