Jump to content

NPS (Radius) ohne Zertifikat

rt1970

Von rt1970
in Windows Forum — LAN & WAN

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

rt1970 Rising Star

rt1970   10

Geschrieben
Geschrieben

Hallo!

Hat jemand ein ToDo des NPS gefunden, in dem Radius für WLAN ohne Zertifikat auf dem Laptop eingerichtet wird?

PEAP sagt mir "unbekannter Benutzername oder falsches Kennwort"

WLAN-Accesspoint ist ein Netgear WG103...

Der Netzwerkrichtlinienserver verweigerte einem Benutzer den Zugriff.

 

Kontaktieren Sie den Administrator des Netzwerkrichtlinienservers, um weitere Informationen zu erhalten.

 

Benutzer:

Sicherheits-ID: NULL SID

Kontoname: Internet

Kontodomäne: ***

Vollqualifizierter Kontoname: ***\Internet

 

Clientcomputer:

Sicherheits-ID: NULL SID

Kontoname: -

Vollqualifizierter Kontoname: -

Betriebssystemversion: -

Empfangs-ID: 00-24-B2-6B-19-70:Urania

Anrufer-ID: 00-21-6A-8C-5F-30

 

NAS:

NAS-IPv4-Adresse: 192.168.0.229

NAS-IPv6-Adresse: -

NAS-ID: hello

NAS-Porttyp: Drahtlos - IEEE 802.11

NAS-Port: 0

 

RADIUS-Client:

Clientname: Netgear

Client-IP-Adresse: 192.168.0.229

 

Authentifizierungsdetails:

Proxyrichtlinienname: Sichere Drahtlosverbindungen

Netzwerkrichtlinienname: -

Authentifizierungsanbieter: Windows

Authentifizierungsserver: TMG.***.local

Authentifizierungstyp: PEAP

EAP-Typ: -

Kontositzungs-ID: -

Begründungscode: 16

Grund: Die Authentifizierung war nicht erfolgreich, da ein unbekannter Benutzername oder ein ungültiges Kennwort verwendet wurde

Radius-Log:

192.168.0.229,Internet,11/12/2010,00:14:40,IAS,TMG,4,192.168.0.229,32,hello,5,0,30,00-24-B2-6B-19-70:***,31,00-21-6A-8C-5F-30,12,1400,61,19,77,CONNECT 0Mbps 802.11g,4108,192.168.0.229,4116,0,4128,Netgear,4154,Sichere Drahtlosverbindungen,4155,1,4129,***\Internet,4130,***\Internet,25,311 1 ::1 11/11/2010 22:31:54 50,4136,1,4142,0

192.168.0.229,Internet,11/12/2010,00:14:40,IAS,TMG,25,311 1 ::1 11/11/2010 22:31:54 50,27,30,4130,***\Internet,4129,Test\Internet,4108,192.168.0.229,4116,0,4128,Netgear,4154,Sichere Drahtlosverbindungen,4155,1,4136,11,4142,0

192.168.0.229,Internet,11/12/2010,00:14:40,IAS,TMG,4,192.168.0.229,32,hello,5,0,30,00-24-B2-6B-19-70:Test,31,00-21-6A-8C-5F-30,12,1400,61,19,77,CONNECT 0Mbps 802.11g,4108,192.168.0.229,4116,0,4128,Netgear,4154,Sichere Drahtlosverbindungen,4155,1,4129,***\Internet,4130,***\Internet,25,311 1 ::1 11/11/2010 22:31:54 51,4136,1,4142,0

192.168.0.229,Internet,11/12/2010,00:14:40,IAS,TMG,25,311 1 ::1 11/11/2010 22:31:54 51,27,30,4108,192.168.0.229,4116,0,4128,Netgear,4130,***\Internet,4154,Sichere Drahtlosverbindungen,4155,1,4129,***\Internet,4136,11,4142,0

192.168.0.229,Internet,11/12/2010,00:14:40,IAS,TMG,4,192.168.0.229,32,hello,5,0,30,00-24-B2-6B-19-70:***,31,00-21-6A-8C-5F-30,12,1400,61,19,77,CONNECT 0Mbps 802.11g,4108,192.168.0.229,4116,0,4128,Netgear,4154,Sichere Drahtlosverbindungen,4155,1,4129,***\Internet,4130,***\Internet,25,311 1 ::1 11/11/2010 22:31:54 52,4136,1,4142,0

192.168.0.229,Internet,11/12/2010,00:14:40,IAS,TMG,25,311 1 ::1 11/11/2010 22:31:54 52,27,30,4130,***\Internet,4129,***\Internet,4108,192.168.0.229,4116,0,4128,Netgear,4154,Sichere Drahtlosverbindungen,4155,1,4136,11,4142,0

192.168.0.229,Internet,11/12/2010,00:14:40,IAS,TMG,4,192.168.0.229,32,hello,5,0,30,00-24-B2-6B-19-70:***,31,00-21-6A-8C-5F-30,12,1400,61,19,77,CONNECT 0Mbps 802.11g,4108,192.168.0.229,4116,0,4128,Netgear,4154,Sichere Drahtlosverbindungen,4155,1,4129,***\Internet,4130,***\Internet,4127,11,25,311 1 ::1 11/11/2010 22:31:54 53,4136,1,4142,0

192.168.0.229,Internet,11/12/2010,00:14:40,IAS,TMG,25,311 1 ::1 11/11/2010 22:31:54 53,4127,11,4130,***\Internet,4129,***\Internet,4155,1,4108,192.168.0.229,4116,0,4128,Netgear,4154,Sichere Drahtlosverbindungen,4136,3,4142,16

Link zu diesem Kommentar
rt1970 Rising Star

rt1970   10

Geschrieben
  • Autor
Geschrieben

Mittlerweile funktioniert der Radius.

Mich nervt nur, dass das Zertifikat verlangt wird...

Gibt es beim NPS (Network Policy Server) keine Möglichkeit für WLAN-User nur Username/Passwort abzufragen???

Natürlich ohne in den WLAN-Konfigurationen den Haken zur Prüfung des Zertifikats heraus zu nehmen bzw. das Serverzertifikat zu importieren...

Link zu diesem Kommentar
rt1970 Rising Star

rt1970   10

Geschrieben
  • Autor
Geschrieben (bearbeitet)

Irgendwo habe ich einen Denkfehler...

Wenn ich LAN benutze und \\Server aufrufe, werde ich nach Benutzernamen und Kennwort gefragt und brauche kein Zertifikat.

Ich glaube nicht, dass das Kennwort dann unverschlüsselt übertragen wird.

Warum geht das nicht beim Radius/NPS?

Was ist mit "Microsoft-verschlüsselte Authentifizierung MS-Chap-v2"? Dabei wird doch kein Zertifikat benötigt, oder?

 

Am Besten richtest Du Dir zuerst eine interne CA ein.

Ich habe (noch) keine CA eingerichtet, da TMG schon selbst ein Zertifikat installiert hat.

 

Ich möchte folgendes erreichen und bin der Meinung, dass das durch Einrichtung einer CA keinen Unterschied macht:

Gast-Laptops (keine Domänenmitglieder) sollen sich normal mit dem Drahtlosnetzwerk verbinden und nach Benutzername/Kennwort gefragt werden.

Ich könnte die Regeln für Benutzer im Proxy beschränken, aber da werde ich zu oft nach Benutzername/Kennwort gefragt.

Weiterhin könnte ich am Client die Prüfung des Zertifikats raus nehmen lassen, aber erklär das mal Otto-Normal-User...

Ich möchte eine Art "Klick and Play"-Lösung...

bearbeitet von rt1970
Link zu diesem Kommentar
rt1970 Rising Star

rt1970   10

Geschrieben
  • Autor
Geschrieben
würde die eingentliche WLAN-Verbindung unverschlüsselt erfolgen

Wäre mir eigentlich auch egal.

1. Es ist kein LAN an dem andere Rechner/Server hängen, nur der Server mit TMG und dahinter der Router

2. Wird jede Nacht automatisch das Kennwort neu gesetzt

Habe ich richtig verstanden, dass die unverschlüsselte Übermittlung nur die Authentifizierung betrifft? Denn im Netgear habe ich WPA/WPA2 mit Radius gewählt. Somit ist doch alles andere WPA/WPA2 verschlüsselt...

Bei öffentlichen Hotspots braucht man doch auch Benutzername/Kennwort, oder? Hab es noch nie genutzt/getestet.

 

Was ich nicht verstanden habe: warum geht die Microsoft-verschlüsselte Authentifizierung MS-Chap-V2 nicht?

Link zu diesem Kommentar
rt1970 Rising Star

rt1970   10

Geschrieben
  • Autor
Geschrieben

@zahni

Interessanter Beitrag!

Wenn ich es richtig verstanden habe, wird bei PEAP durch das Zertifikat auch die Authentifizierung verschlüsselt, richtig?

PEAP setzt aber nicht das Zertifikat voraus - zumindest bei mir.

Wenn ich in den WLAN-Einstellungen den Haken raus nehme "Serverzertifikat prüfen", kann ich mich auch mit Username/Passwort verbinden...

Kann ich dem nicht-Domänen-Clients via NPS vorgeben, dass die Zertifikatprüfung ignoriert werden soll?

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...