H. de Vries
2009-12-02 07:44:01 UTC
Hallo NG,
ich komme bei einem Problem mit der VPN-Einwahl und Authentifizierung über
Smartcard nicht weiter und hoffe nun hier einen Tipp zu bekommen.
Wir haben eine VPN Einwahl über PPTP auf einem ISA Server konfigueriert.
Für die Authentifizierung nutzen wir Smartcards (etoken), die Zertifikate
stammen aus der internen Microsoft PKI (Smartcard Benutzer).
Da der ISA Server als Back-Firewall konfiguriert ist, ist er Mitglied des
internen AD in dem sich auch die User befinden, aus diesem Grund haben wir
auf die Konfiguration eines IAS verzichtet.
Soweit funktioniert auch alles, die User können sich Einwählen und werden
anscheinend authentifiziert.
Es gibt zwei Benutzergruppen, über die wir unterschiedliche Zugriffsrechte
steuern wollen.
Gruppe VPN-RDPZugriff soll nur RDP Verbindungen aufbauen können
Gruppe VPN-Vollzugriff soll soll zusätzlich noch Zugriff auf andere Dienste
bekommen.
Richte ich nun die entsprechenden Regeln ein und verwende die
AD-Benutzergruppen in den Regeln, können sich die User einwählen bekommen
aber keinen Zugriff auf Ressourcen. Ändere ich die Regel auf "alle Benutzer"
funktioniert es. Auch wenn ich die Einwahl mit Benutzername und Kennwort
erlaube funktioniert der Zugriff.
Sieht also so aus als würden die Benutzerdaten auf den Zertifikaten nicht
richtig zu den Benutzerkonten und damit den Gruppen zugeordnet.
Wo habe ich da den Fehler drin?
ich komme bei einem Problem mit der VPN-Einwahl und Authentifizierung über
Smartcard nicht weiter und hoffe nun hier einen Tipp zu bekommen.
Wir haben eine VPN Einwahl über PPTP auf einem ISA Server konfigueriert.
Für die Authentifizierung nutzen wir Smartcards (etoken), die Zertifikate
stammen aus der internen Microsoft PKI (Smartcard Benutzer).
Da der ISA Server als Back-Firewall konfiguriert ist, ist er Mitglied des
internen AD in dem sich auch die User befinden, aus diesem Grund haben wir
auf die Konfiguration eines IAS verzichtet.
Soweit funktioniert auch alles, die User können sich Einwählen und werden
anscheinend authentifiziert.
Es gibt zwei Benutzergruppen, über die wir unterschiedliche Zugriffsrechte
steuern wollen.
Gruppe VPN-RDPZugriff soll nur RDP Verbindungen aufbauen können
Gruppe VPN-Vollzugriff soll soll zusätzlich noch Zugriff auf andere Dienste
bekommen.
Richte ich nun die entsprechenden Regeln ein und verwende die
AD-Benutzergruppen in den Regeln, können sich die User einwählen bekommen
aber keinen Zugriff auf Ressourcen. Ändere ich die Regel auf "alle Benutzer"
funktioniert es. Auch wenn ich die Einwahl mit Benutzername und Kennwort
erlaube funktioniert der Zugriff.
Sieht also so aus als würden die Benutzerdaten auf den Zertifikaten nicht
richtig zu den Benutzerkonten und damit den Gruppen zugeordnet.
Wo habe ich da den Fehler drin?
--
Grüsse
Holger de Vries
Grüsse
Holger de Vries