none
WPA2 Enterprise PEAP und Non Domain Clients RRS feed

  • Frage

  • Hallo,

     

    ich bin gerade am Erstellen einer WPA2 Enterprise Lösung (PEAP) mit Server 2012.

    An sich funktioniert das ganz mit Computerzertifikaten und DomainClients wunderbar.

    Mein Problem sind die Clients die nicht in der Domain sind, WLAN-Brücken usw.

    Ich kann zwar z.B. an einem Windows 7 Client mir ein Computerzertifikat ausstellen lassen, die Authentifizierung schlägt allerdings fehl. (Stammzertikikat der CA wurde auf dem Client importiert)

    Mein AccesPoint loggt.

     

    wlan0vap2: IEEE 802.11 Assoc request from 00:18:05:17:c3:25 BSSID 64:ae:0c:ed:54:43 SSID WPAE

    Aug  7 10:40:06 AP1 hostapd: wlan0vap2: IEEE 802.11 STA 00:18:de:e1:c1:36 associated with BSSID 64:ae:0c:ed:54:43

    Aug  7 10:40:06 AP1 hostapd: wlan0vap2: STA 00:18:de:e1:c1:35 IEEE 802.1X: authentication server rejected EAP authentiation

    Aug  7 10:40:06 AP1 hostapd: The wireless client with MAC address 00:18:de:e1:c1:36 had an authentication failure.

    Aug  7 10:40:06 AP1 hostapd: wlan0vap2: STA 00:18:de:e1:c1:35 IEEE 802.1X: authentication failed - identity 'host/TestClient EAP type: 25 (PEAP)

    Aug  7 10:40:06 AP1 hostapd: wlan0vap2: IEEE 802.11 STA 00:18:de:e1:c1:65 deauthed from BSSID 64:ae:0c:ed:54:43 reason 1

     

    Auch auf meinem NPS sollten fehlerhafte Logins angezeigt werden. Dort finden sich in der Ereignisanzeige keine Meldungen.

    In der IN.log unter C:\windows\system32\logfiles findet sich folgender eintrag

    <Event><Timestamp data_type="4">08/07/2013 12:21:15.040</Timestamp><Computer-Name data_type="1">DC1</Computer-Name><Event-Source data_type="1">IAS</Event-Source><NAS-IP-Address data_type="3">172.21.200.14</NAS-IP-Address><NAS-Port data_type="0">0</NAS-Port><Called-Station-Id data_type="1">64-AE-0C-ED-54-43:WPAE</Called-Station-Id><Calling-Station-Id data_type="1">00-18-DE-E1-C1-36</Calling-Station-Id><Framed-MTU data_type="0">1400</Framed-MTU><NAS-Port-Type data_type="0">19</NAS-Port-Type><Connect-Info data_type="1">CONNECT 0Mbps 802.11g</Connect-Info><Client-IP-Address data_type="3">172.21.200.14</Client-IP-Address><Client-Vendor data_type="0">0</Client-Vendor><Client-Friendly-Name data_type="1">wap4</Client-Friendly-Name><Proxy-Policy-Name data_type="1">WPA2Enterprise</Proxy-Policy-Name><Provider-Type data_type="0">1</Provider-Type><User-Name data_type="1">host/TESTClient</User-Name><SAM-Account-Name data_type="1">AK1\host/TESTClient</SAM-Account-Name><Fully-Qualifed-User-Name data_type="1">AK1\host/TESTClient</Fully-Qualifed-User-Name><Class data_type="1">311 1 172.21.30.2 08/06/2013 06:45:56 144</Class><EAP-Friendly-Name data_type="1">Microsoft: Gesichertes Kennwort (EAP-MSCHAP v2)</EAP-Friendly-Name><Authentication-Type data_type="0">11</Authentication-Type><Packet-Type data_type="0">1</Packet-Type><Reason-Code data_type="0">0</Reason-Code></Event>

    <Event><Timestamp data_type="4">08/07/2013 12:21:15.040</Timestamp><Computer-Name data_type="1">DC1</Computer-Name><Event-Source data_type="1">IAS</Event-Source><Class data_type="1">311 1 172.21.30.2 08/06/2013 06:45:56 144</Class><EAP-Friendly-Name data_type="1">Microsoft: Gesichertes Kennwort (EAP-MSCHAP v2)</EAP-Friendly-Name><Authentication-Type data_type="0">11</Authentication-Type><PEAP-Fast-Roamed-Session data_type="0">0</PEAP-Fast-Roamed-Session><Client-IP-Address data_type="3">172.21.200.14</Client-IP-Address><Client-Vendor data_type="0">0</Client-Vendor><Client-Friendly-Name data_type="1">ap1</Client-Friendly-Name><Proxy-Policy-Name data_type="1">WPA2Enterprise</Proxy-Policy-Name><Provider-Type data_type="0">1</Provider-Type><Fully-Qualifed-User-Name data_type="1">AK1\host/TESTClient</Fully-Qualifed-User-Name><SAM-Account-Name data_type="1">AK1\host/TESTClient</SAM-Account-Name><Packet-Type data_type="0">3</Packet-Type><Reason-Code data_type="0">8</Reason-Code></Event>

     

    Aber auch hier kann ich nicht wirklich eine Fehlerursache erkennen.

    Sollte nicht wenigstens in der Ereignisanzeige unter Security etwas erscheinen? Ich habe einfach keine Info warum die Authentifizierung scheitert.

    EDIT: noch eine Ergänzung. Wenn ich im WLAN Profil des Clients einstelle Benutzer oder Computerauthentifizierung werde ich nach einem Username gefragt. Wenn ich dort Domain Credentials eingebe, wird eine Verbindung hergestellt. Eigentlich wollte ich die ganze Sache aber ohne Benutzername PW regeln. Auch in der Verbindungsanforderung des NPS habe ich ausschließlich PEAP angegeben und bewusst auf MSCHAPv2 verzichtet. Somit sollte es doch gar nicht möglich sein, dass er mich nach Eingabe meiner Credentials authorisiert? Oder wird im TLS Tunnel noch zusätzlich eine AD Authorisierung benötigt (die auf Computerebene ohne Domain Konto ja nicht funktionieren kann)

     


    Best regards
    Andreas Ernst
    MCITP:EA, MCP, MCTS



    Mittwoch, 7. August 2013 10:42

Antworten

  • Hallo Andreas,

    Von den Logs, wird PEAP mit MSCHAP v2, fur die Authentifizierung benutze.
    Da du Zertifikate fur die Authentifizierung benutzen moechtest, konfiguriere die Policy auf den NPS um "EAP mit Microsoft: Smart Card or ather certificate" zu benutzt. 

    Im Log tritt dann auch folgendes String auf "AK1\host/TESTClient"
    Hast du den "AK1" irgend wo spezifisch konfiguriert ?

    Zum den Computer Zertificate, is es wichtif zu wissen, das der NPS den Eintrag in der SAN Extension des Zertificate ausliest.

    Bitte nicht vergessen den Zertificat mit den privaten Schlussen auf den Device importieren
    Der Zertificat muss dann ensprechen zu ein Account im AD verbunden sein.

    Freitag, 9. August 2013 08:46

Alle Antworten

  • Hallo Andreas,

    Von den Logs, wird PEAP mit MSCHAP v2, fur die Authentifizierung benutze.
    Da du Zertifikate fur die Authentifizierung benutzen moechtest, konfiguriere die Policy auf den NPS um "EAP mit Microsoft: Smart Card or ather certificate" zu benutzt. 

    Im Log tritt dann auch folgendes String auf "AK1\host/TESTClient"
    Hast du den "AK1" irgend wo spezifisch konfiguriert ?

    Zum den Computer Zertificate, is es wichtif zu wissen, das der NPS den Eintrag in der SAN Extension des Zertificate ausliest.

    Bitte nicht vergessen den Zertificat mit den privaten Schlussen auf den Device importieren
    Der Zertificat muss dann ensprechen zu ein Account im AD verbunden sein.

    Freitag, 9. August 2013 08:46
  • Hallo,

    der Tip mit den SAN Extensions war Gold wert. Nun funktioniert die Geschichte... Danke


    Best regards
    Andreas Ernst
    MCITP:EA, MCP, MCTS

    Samstag, 10. August 2013 14:14