StefanWe 14 Geschrieben 7. Dezember 2022 Melden Teilen Geschrieben 7. Dezember 2022 Hallo, wir nutzen auf unseren iPads schon länger Zertifikate unserer internen PKI zur Authentifizierung am WLAN. Dies funktioniert soweit auch super. Seit einiger Zeit scheint es so zu sein, das neu ausgestellte Zertifikate nicht mehr für die Authentifizierung genutzt werden können. Es erscheint im Eventlog der Error 6273 mit dem Reason Code 16 und der folgenden Fehlermeldung: Zitat Authentication failed due to a user credentials mismatch. Either the user name provided does not map to an existing user account or the password was incorrect. wenn ich mir aber das Zertifikat anschaue, ist es gültig, der samaccountname und UPN im Zertifikat passen aber exakt zu dem User, der dort angelegt ist. Es muss also matchen. Das Zertifikat wurde ja auch genau für den User ausgegeben. Ich kann nicht sagen, seit wann das ist, aber ich tippe auf irgendein Windows Update der DC's bzw. des Radius. Als Radius verwenden wir übrigens einen Windows 2016 mit der NPS Rolle. Ich erinnere mich, das MS im Laufe des Jahres in der Richtung Patches rausgebracht hat. Die Erweiterung ist auch in den neuen Zertifikaten enthalten. Den Regkey certificatemappingmethods ist auf unseren Dcs auf 0x1F gesetzt wie hier beschrieben: https://learn.microsoft.com/en-us/answers/questions/846654/nps-stopped-working-after-may-2022-updates.html Habt ihr eine Idee, was es noch sein kann? Zitieren Link zu diesem Kommentar
NilsK 2.930 Geschrieben 7. Dezember 2022 Melden Teilen Geschrieben 7. Dezember 2022 Moin, ich habe keine Lösung, aber eine schnelle Websuche deutet an, dass das Problem evtl. gar nichts mit dem User oder dem Zertifikat zu tun haben muss, sondern woanders in der Kette liegen kann. Gruß, Nils Zitieren Link zu diesem Kommentar
StefanWe 14 Geschrieben 7. Dezember 2022 Autor Melden Teilen Geschrieben 7. Dezember 2022 vor 6 Minuten schrieb NilsK: Moin, ich habe keine Lösung, aber eine schnelle Websuche deutet an, dass das Problem evtl. gar nichts mit dem User oder dem Zertifikat zu tun haben muss, sondern woanders in der Kette liegen kann. Gruß, Nils Auf was bist du denn gestoßen? Zitieren Link zu diesem Kommentar
NorbertFe 2.027 Geschrieben 7. Dezember 2022 Melden Teilen Geschrieben 7. Dezember 2022 Stimmt denn die Kette noch? Ab und an werden ja aus "Gründen" mal die Root/Intermediate Zertifikate auch bei internen CAs aktualisiert und wenn du dann ein neues Zertifikat ziehst, basiert das eben auf dem neuen Root Zert und ist damit dann je nach Konfiguration eben nicht mehr korrekt prüfbar. :) Wäre also auch eher Nils' Meinung, dass du eher die Kette als das Zertifikat prüfen solltest. Zitieren Link zu diesem Kommentar
StefanWe 14 Geschrieben 7. Dezember 2022 Autor Melden Teilen Geschrieben 7. Dezember 2022 vor 1 Stunde schrieb NorbertFe: Stimmt denn die Kette noch? Ab und an werden ja aus "Gründen" mal die Root/Intermediate Zertifikate auch bei internen CAs aktualisiert und wenn du dann ein neues Zertifikat ziehst, basiert das eben auf dem neuen Root Zert und ist damit dann je nach Konfiguration eben nicht mehr korrekt prüfbar. :) Wäre also auch eher Nils' Meinung, dass du eher die Kette als das Zertifikat prüfen solltest. Die Kette passt. Von der gleichen ca die gleiche CERT Vorlage nutze ich um mich am vpn von Windows Rechnern aus zu authentifizieren. Das klappt. Nur eben von den iPads nicht mehr. Die Fehlermeldung lässt ja auf das cert Mapping schließen. Aber leider ist es das nicht :( Zitieren Link zu diesem Kommentar
NilsK 2.930 Geschrieben 7. Dezember 2022 Melden Teilen Geschrieben 7. Dezember 2022 Moin, "Kette" war missverständlich. Natürlich muss die Zertifikatskette auch gültig sein. Ich meinte aber die Systemkette. Ich habe mehrere Quellen gefunden, wo die Ursache Änderungen an den Systemen waren, z.B. dem Radius. Gruß, Nils Zitieren Link zu diesem Kommentar
StefanWe 14 Geschrieben 8. Dezember 2022 Autor Melden Teilen Geschrieben 8. Dezember 2022 vor 17 Stunden schrieb NilsK: Moin, "Kette" war missverständlich. Natürlich muss die Zertifikatskette auch gültig sein. Ich meinte aber die Systemkette. Ich habe mehrere Quellen gefunden, wo die Ursache Änderungen an den Systemen waren, z.B. dem Radius. Gruß, Nils Ich kann mir nicht vorstellen, woran es liegen soll. Die CA stellt auch für MAC Systeme die Zertifikate aus. Zwar Computer und nicht User, aber da funktioniert auch die Authentifizierung am gleichen Radius (NPS) Ich habe jetzt mal diesen Artikel durchgearbeitet: https://support.microsoft.com/en-us/topic/kb5014754-certificate-based-authentication-changes-on-windows-domain-controllers-ad2c23b0-15d8-4340-a468-4d4f3b188f16 Habe also das User Zertifikat auf den User manuell gemappt. Auch das fruchtet leider nicht. Zitieren Link zu diesem Kommentar
NilsK 2.930 Geschrieben 8. Dezember 2022 Melden Teilen Geschrieben 8. Dezember 2022 Moin, vor 14 Minuten schrieb StefanWe: Ich kann mir nicht vorstellen, woran es liegen soll. zum Beispiel an einem Update des Radius-Systems oder einer Konfigurationsänderung eines Systems in der Kette. Es kann durchaus sein, dass das hier nicht zutrifft, mein Punkt ist einfach, dass die Fehlermeldung anscheinend nicht nur dann auftritt, wenn es wirklich ein Problem mit der Authentifizierung gibt. Darauf weisen die Fundstellen im Web hin. Und was du berichtest, legt den Gedanken ja durchaus nahe. Gruß, Nils Zitieren Link zu diesem Kommentar
StefanWe 14 Geschrieben 8. Dezember 2022 Autor Melden Teilen Geschrieben 8. Dezember 2022 vor 28 Minuten schrieb NilsK: Moin, zum Beispiel an einem Update des Radius-Systems oder einer Konfigurationsänderung eines Systems in der Kette. Es kann durchaus sein, dass das hier nicht zutrifft, mein Punkt ist einfach, dass die Fehlermeldung anscheinend nicht nur dann auftritt, wenn es wirklich ein Problem mit der Authentifizierung gibt. Darauf weisen die Fundstellen im Web hin. Und was du berichtest, legt den Gedanken ja durchaus nahe. Gruß, Nils ok, das kann ich nachvollziehen. Ich frage mich halt nur, wo kann der Fehler liegen, da ich mittlerweile echt ratlos bin... Zitieren Link zu diesem Kommentar
testperson 1.674 Geschrieben 8. Dezember 2022 Melden Teilen Geschrieben 8. Dezember 2022 Hi, hier wäre ein recht aktueller Beitrag aus Dezember 2022. Vielleicht findest du da etwas: Anmeldungen über den Netzwerkrichtlinienserver (engl. Network Policy Server, NPS) scheitern mit Grund "Authentication failed due to a user credentials mismatch. Either the user name provided does not map to an existing user account or the password was incorrect." – Uwe Gradenegger Gruß Jan 1 1 Zitieren Link zu diesem Kommentar
StefanWe 14 Geschrieben 9. Dezember 2022 Autor Melden Teilen Geschrieben 9. Dezember 2022 vor 23 Stunden schrieb testperson: Hi, hier wäre ein recht aktueller Beitrag aus Dezember 2022. Vielleicht findest du da etwas: Anmeldungen über den Netzwerkrichtlinienserver (engl. Network Policy Server, NPS) scheitern mit Grund "Authentication failed due to a user credentials mismatch. Either the user name provided does not map to an existing user account or the password was incorrect." – Uwe Gradenegger Gruß Jan sehr cool. Ich habe jetzt auch mal das Modul TameMyCerts installiert, da die Zertifikatsanfrage eine offline ist und der Request durch die MDM Software erstellt wird und dann erst bei der CA eingereicht wird. Allerdings, auch dies - kein Erfolg. Zitieren Link zu diesem Kommentar
StefanWe 14 Geschrieben 13. Dezember 2022 Autor Melden Teilen Geschrieben 13. Dezember 2022 Nach langer Suche haben wir nun den Grund gefunden. Es lag tatsächlich überhaupt nicht an den Zertifikaten bzw. der Kette an Systemen, sondern eine Fehlerhafte Konfiguration in der MDM Software Soti. Diese hat immer den Usernamen in das Profil auf das iPad geschrieben, anstatt dem iPad zu sagen, es sollte doch das Zertifikat verwenden. Erst ein Löschen und neuerstellen der Konfiguration in Soti hat das Problem beheben können. Sieht nach einem Bug in der MDM Software aus. Zitieren Link zu diesem Kommentar
NorbertFe 2.027 Geschrieben 13. Dezember 2022 Melden Teilen Geschrieben 13. Dezember 2022 Danke für die Info. :) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.