none
RADIUS Authentifizierung verhindert Zugang ins Netzwerk RRS feed

  • Frage

  • Hi,

    wir haben aktuell das Problem, dass keine neuen Rechner in unser Netzwerk kommen, vermutlich verhindert die RADIUS-Authentifizierung den Zugang. Wir haben die Technik so übernommen, von den alten Ansprechpartnern, welche das System aufgesetzt haben ist keiner mehr verfügbar. In Bezug auf RADIUS bin ich absoluter Laie. Wie findet man raus welche RADIUS-Implementierung wir haben und wie kann man diese konfigurieren? Sie läuft entweder über den Windows Server 2008, oder direkt über die managed Switches.

    Es wird also RADIUS zur Authentifizierung eingesetzt, wir wissen nur nicht wie diese implementiert wurde. Wie kann man am einfachsten Licht ins Dunkel bringen, wenn man davon ausgeht, dass keinerlei Dokumentation vorhanden ist?

    Vielen Dank

    Dienstag, 28. Januar 2014 10:40

Antworten

  • Hallo,

    bist Du hier weitergekommen?

    Die aktuelle Struktur ist mir einfach zu komplex. Wir lassen das jetzt erst mal so weiterlaufen und falls eine Änderung akut werden sollte, werden wir einen entsprechenden Spezialisten beauftragen.
    Donnerstag, 30. Januar 2014 11:06

Alle Antworten

  • Hallo,

    als Erstes könntest Du einmal auf dem Server schauen, ob dort die NPS Rolle installiert ist und wie sie konfiguriert ist (welche Radius-Clients registriert sind und welche Richtlinien definiert und aktiviert sind).

    Dann würde ich mir mal die Zugriffpunkte (Switches und ggf. Accesspoints) anschauen und prüfen, ob dort 802.1x aktiviert ist und welche(r) Radius Server eingetragen sind.

    Damit hättest Du schonmal einen groben Überblick wer mit wem kommuniziert.

    Eventuell können der MS Netzwerkmonitor oder Wireshark auch dabei helfen, etwas Licht ins Dunkel zu bringen.

    Falls das Thema für Dich komplette neu ist, solltest Du eventuell einen Dienstleister hinzuziehen. Ein unbekanntes Netzwerk, das mit 802.1x geschützt ist, per Forum zu analysieren kann sehr problematisch werden.


    This posting is provided >AS IS< with no warranties.

    Dienstag, 28. Januar 2014 10:58
  • Hallo,

    als Erstes könntest Du einmal auf dem Server schauen, ob dort die NPS Rolle installiert ist und wie sie konfiguriert ist (welche Radius-Clients registriert sind und welche Richtlinien definiert und aktiviert sind).

    Die NPS-Rolle ist installiert und unter RADIUS-Clients sind zwei Einträge. Ein Notebook (?) und der VPN-Server. RADIUS-Remoteservergruppen ist leer. Unter Netzwerkrichtlinien sind diverse Einträge zum VPN, sowie eine Richtlinie mit dem Namen "Switch".

    Dann würde ich mir mal die Zugriffpunkte (Switches und ggf. Accesspoints) anschauen und prüfen, ob dort 802.1x aktiviert ist und welche(r) Radius Server eingetragen sind.

    Damit hättest Du schonmal einen groben Überblick wer mit wem kommuniziert.

    Eventuell können der MS Netzwerkmonitor oder Wireshark auch dabei helfen, etwas Licht ins Dunkel zu bringen.

    Als Switches setzen wir zwei 3Com SuperStack 4 5500G-El ein. Nur wie komme ich an diese ran? Oben steht ein Netzwerkname drauf, den ich jedoch nicht auflösen kann. Haben die so etwas wie ein Web-Interface und man braucht nur die richtige IP-Adresse?

    Im AD habe ich eine "Radius" Gruppe gefunden, wo die ganzen Drucker, Rechner und IP-Telefone eingetragen sind. Muss vielleicht hier einfach nur der neue Rechner eingefügt werden?

    Der Einsatz eines Dienstleisters wird definitiv in Betracht gezogen, nur möchte ich ein paar rudimentäre Infos sammeln, damit dieser nicht ganz von vorne anfangen muss.

    Auf jeden Fall vielen Dank für die schnelle Hilfe!

    Dienstag, 28. Januar 2014 12:10
  • Hallo,

    das mit dem 'Notebook' bei den Radius Clients ist merkwürdig hat aber nicht viel zu sagen - Namen sind nur Schall und Rauch und können an dieser Stelle frei gewählt werden.

    Du könntest einfach mal versuchen, die IP Adressen der Radius-Clients per Browser (http und https versuchen) oder SSH/Telnet zu öffen und schauen, wer oder was sich da meldet - normalerweise würde ich dort die Switches erwarten. Wenn die Geräte einen seriellen Port haben, wäre das in dieser Situation mein favorisierter Weg.

    Die 3com Geräte kenne ich leider nicht, aber im Netz findes Du bestimmt ein Handbuch oder Ähnliches.

    Schau mal in die Richtlinie 'Switch'. Dort könnte eine Fileterung über eine AD Sicherheitsgruppe konfiguriert sein.

    Es kann vermutlich nicht schaden, den Client in die 'RADIUS' Gruppe zu nehmen und es einfachmal probieren. Vorher solltest Du aber mal in die Gruppenrichtlinien schauen, eventuell gibt es da auch noch ein paar Dinge. (z.bsp. Verteilung der 802.1x Einstellungen und/oder GPOs, die nur auf Mitglieder der 'RADIUS' Gruppe angewendet werden.) Nicht dass Du durch Ändern der Gruppenmitgliedschaft, den Client mit möglicherweise 'unerwünschten' Einstellungen beglückst.


    This posting is provided >AS IS< with no warranties.

    Dienstag, 28. Januar 2014 13:03
  • So, ich bin ein wenig weiter gekommen. Die IP's der beiden 3Com Switches habe ich, einer davon lässt sich auch anpingen. Leider reagieren beide nicht auf Browsereingaben, oder Telnet/SSH.

    Ich habe jetzt ein Notebook mit COM-Port, sowie das passende Kabel aufgetrieben. Nur leider fragt der Switch nach einem nicht bekannten Passwort, also fällt diese Methode aus. Kann man einen Switch ähnlich einem Router resetten? Kann man die RADIUS-Aut. vllt. einfach deaktivieren?

    Dienstag, 28. Januar 2014 15:08
  • Zum deaktiviren von 802.1x brauchst Du administrativen Zugang zum Radius-Client - also dem Switch. Das ist ja der Sinn von 802.1x, das es sich nicht so einfach umgehen lässt ;)

    Wie gesagt, die 3com Dinger kenne ich nicht, aber bei vielen Geräte gibt es die Möglichkeit während der Bootphase, die Konfiguration zurückzusetzen. Dazu muss man i.d.R. per serieller Konsole verbunden sein und sollte wissen wie es läuft.

    Sofern keine VLANs genutzt werden und es ein ganz einfaches LAN Setup mit einem Subnetz ist, könntest Du die 3com vermutlich auch ausschalten und durch einen beliebigen 'dummen' Switch ersetzen. Dem Radius-Server (NPS) ist es i.d.R. egal. Wenn keine Anfrage kommt, gibt es auch nichts zu authetifizieren und autorisieren.

    Sobald aber VLANs, VoIP, NAP oder Ähnliches im Spiel ist, kann das gewaltig nach hinten losgehen - insbesondere wenn nichts dokumentiert ist. Andererseits hast Du auch nicht viel zu verlieren und könntest es ersteinmal im kleinen mit einem presiwerten 8 Port Switch vom Wühltisch testen.


    This posting is provided >AS IS< with no warranties.


    • Bearbeitet Dark Grant Dienstag, 28. Januar 2014 15:58 typo
    Dienstag, 28. Januar 2014 15:57
  • Hallo,

    bist Du hier weitergekommen?

    Die aktuelle Struktur ist mir einfach zu komplex. Wir lassen das jetzt erst mal so weiterlaufen und falls eine Änderung akut werden sollte, werden wir einen entsprechenden Spezialisten beauftragen.
    Donnerstag, 30. Januar 2014 11:06