Discussion:
Zuordnung Smartcard User zu AD Konto
(zu alt für eine Antwort)
H. de Vries
2009-12-02 07:44:01 UTC
Permalink
Hallo NG,
ich komme bei einem Problem mit der VPN-Einwahl und Authentifizierung über
Smartcard nicht weiter und hoffe nun hier einen Tipp zu bekommen.

Wir haben eine VPN Einwahl über PPTP auf einem ISA Server konfigueriert.
Für die Authentifizierung nutzen wir Smartcards (etoken), die Zertifikate
stammen aus der internen Microsoft PKI (Smartcard Benutzer).
Da der ISA Server als Back-Firewall konfiguriert ist, ist er Mitglied des
internen AD in dem sich auch die User befinden, aus diesem Grund haben wir
auf die Konfiguration eines IAS verzichtet.
Soweit funktioniert auch alles, die User können sich Einwählen und werden
anscheinend authentifiziert.

Es gibt zwei Benutzergruppen, über die wir unterschiedliche Zugriffsrechte
steuern wollen.
Gruppe VPN-RDPZugriff soll nur RDP Verbindungen aufbauen können
Gruppe VPN-Vollzugriff soll soll zusätzlich noch Zugriff auf andere Dienste
bekommen.

Richte ich nun die entsprechenden Regeln ein und verwende die
AD-Benutzergruppen in den Regeln, können sich die User einwählen bekommen
aber keinen Zugriff auf Ressourcen. Ändere ich die Regel auf "alle Benutzer"
funktioniert es. Auch wenn ich die Einwahl mit Benutzername und Kennwort
erlaube funktioniert der Zugriff.

Sieht also so aus als würden die Benutzerdaten auf den Zertifikaten nicht
richtig zu den Benutzerkonten und damit den Gruppen zugeordnet.

Wo habe ich da den Fehler drin?
--
Grüsse
Holger de Vries
Jens Baier
2009-12-02 08:41:01 UTC
Permalink
Hi,
Post by H. de Vries
Soweit funktioniert auch alles, die User können sich Einwählen und werden
anscheinend authentifiziert.
anscheinend?
Post by H. de Vries
Sieht also so aus als würden die Benutzerdaten auf den Zertifikaten nicht
richtig zu den Benutzerkonten und damit den Gruppen zugeordnet.
Schau mal hier:
http://www.isaserver.org/tutorials/2004isapptpsmartcard.html
http://www.tacteam.net/isaserverorg/vpnkitbeta2/vpnclienteap.htm

Gruss Jens
www.nt-faq.de
www.it-training-grote.de
www.forefront-tmg.de
H. de Vries
2009-12-03 08:03:01 UTC
Permalink
Hallo Jens,
danke für Deine Antwort. Im Prinzip habe ich es ja auch so gemacht wie in
der, oder einer der vielen anderen Anleitungen im Netz.
Die Frage ist nur, warum bekommen die User nur Zugriff auf Ressourcen wenn
ich die Gruppe "Alle Benutzer" in der Firewallrichtlinie verwende und keinen
wenn ich die AD-Gruppen verwende???
Liegt es daran das ich keinen Radius Server konfiguriert habe? Das ist der
einzige Unterschied aber da der ISA Mitglied der Domäne ist brauche ich
meiner Meinung nach keinen Radius, da der ISA ja selber gegen das AD
Authentifizieren kann!?!

Gruß
Holger
Post by Jens Baier
Hi,
Post by H. de Vries
Soweit funktioniert auch alles, die User können sich Einwählen und werden
anscheinend authentifiziert.
anscheinend?
Naja, die Verbindung kommt zustande, dass wäre ja nicht der Fall wenn keine
Authentifizierung stattfinden würde.
Post by Jens Baier
Post by H. de Vries
Sieht also so aus als würden die Benutzerdaten auf den Zertifikaten nicht
richtig zu den Benutzerkonten und damit den Gruppen zugeordnet.
http://www.isaserver.org/tutorials/2004isapptpsmartcard.html
http://www.tacteam.net/isaserverorg/vpnkitbeta2/vpnclienteap.htm
unknown
2009-12-03 09:08:02 UTC
Permalink
hallo holger,
Post by H. de Vries
Das ist der
einzige Unterschied aber da der ISA Mitglied der Domäne ist brauche ich
meiner Meinung nach keinen Radius, da der ISA ja selber gegen das AD
Authentifizieren kann!?!
vollkommen richtig!
--
gruss, jens mander...
www.aixperts.de
www.forefront-tmg.de
www.hentrup.net
|<-|
Jens Baier
2009-12-03 12:14:02 UTC
Permalink
Hi,
Post by H. de Vries
Die Frage ist nur, warum bekommen die User nur Zugriff auf Ressourcen wenn
ich die Gruppe "Alle Benutzer" in der Firewallrichtlinie verwende und keinen
wenn ich die AD-Gruppen verwende???
hast Du mit Kerberos Constrained Delegation gearbeitet?

Gruss Jens
www.nt-faq.de
www.it-training-grote.de
www.forefront-tmg.de
H. de Vries
2009-12-07 08:18:02 UTC
Permalink
Post by Jens Baier
Hi,
Post by H. de Vries
Die Frage ist nur, warum bekommen die User nur Zugriff auf Ressourcen wenn
ich die Gruppe "Alle Benutzer" in der Firewallrichtlinie verwende und keinen
wenn ich die AD-Gruppen verwende???
hast Du mit Kerberos Constrained Delegation gearbeitet?
Hallo Jens,
nein, die Domänenfunktionsebene in diesem AD steht auf Windows 2000 gemischt
und damit stehen keine Kerberos Delegierungen zur Verfügung.

Auch der ISA Server ist auch ein ISA 2004, der die Funktion meines Wissens
nicht unterstützt.

Hat noch irgend jemand eine Idee?!?

Grüße
Holger

Loading...