samrein
Goto Top

NPS, DUO 2FA und Watchguard

Hallo zusammen,

ich beisse mir mal grade die Zähne aus.

Folgende Konfiguration liegt bei mir vor:

Watchguard Fireall 12.6.4
Windows NPS Server W2016
DUO Proxy Server W2016


Ich habe die Konfiguration 1:1 so durchgeführt wie auf der Watchguard Seite angegeben.

Watchguard DUO

Der NPS Server wurde installaliert und dem im AD registriert.

Wenn ich nun testweise beim NPS Server in den Verbindungsanforderungen "ohne Benutzerprüfung authentifizieren" angebe, geht die Anmeldung von der Watchguard zum Radius Server durch, die 2 Fakor Authentifizierung funktioniert also mit DUO. Nun möchte ich aber natürlich auch das das Passwort geprüft wird.

Es wird zwar im Fehlerprotokoll der richtige Domänenuser angezeigt, aber ich erhalte hier die Fehlermeldung:

Der Netzwerkrichtlinienserver hat einem Benutzer den Zugriff verweigert.

Ursachencode:			16
	Ursache:				Authentifizierungsfehler aufgrund der Nichtübereinstimmung von Benutzeranmeldeinformationen. Der angegebene Benutzername ist keinem vorhandenen Benutzerkonto zugeordnet, oder das Kennwort war falsch.

Da bei Watchguard nur PAP verwendet wird, ist hier nicht der Einsatz von Zertifkaten notwendig. Dazu habe ich relativ viele Lösungsansätze im WWW gefunden, die ich trotzdem testweise durchprobiert habe. Der Fehler ist der gleiche geblieben.

Mir scheint so, also würde der NPS das AD erst gar nicht abfragen, und deshalb quitiert DUO auch im Log das er keine Rückmeldung von NPS bekommt.


2021-02-06T14:06:08+0100 [duoauthproxy.lib.log#info] (('192.168.4.1', 58910), xxxx, 28): login attempt for username 's.amrein' 
2021-02-06T14:06:08+0100 [duoauthproxy.lib.log#info] Sending request for user 'xxxx' to ('192.168.4.66', 1812) with id 160 
2021-02-06T14:06:08+0100 [duoauthproxy.lib.log#info] Got response for id 160 from ('192.168.4.66', 1812); code 3 
2021-02-06T14:06:08+0100 [duoauthproxy.lib.log#info] (('192.168.4.1', 58910), xxxx, 28): Primary credentials rejected - No reply message in packet 
2021-02-06T14:06:08+0100 [duoauthproxy.lib.log#info] (('192.168.4.1', 58910), xxxx, 28): Returning response code 3: AccessReject 
2021-02-06T14:06:08+0100 [duoauthproxy.lib.log#info] (('192.168.4.1', 58910), xxxx, 28): Sending response 

Vielleicht kann mir ja hier jemand weiterhelfen.

Besten Dank im Vorraus...

Grüße
Stefan

Content-Key: 648777

Url: https://administrator.de/contentid/648777

Ausgedruckt am: 29.03.2024 um 01:03 Uhr

Mitglied: Inf1d3l
Inf1d3l 09.02.2021 aktualisiert um 14:42:06 Uhr
Goto Top
Guck mal nach, ob dein NPS auch wirklich Mitglied der Gruppe "RAS- und IAS-Server" (im AD) ist. Eventuell reboot.
Mitglied: samrein
samrein 10.02.2021 um 13:10:29 Uhr
Goto Top
Hallo Luci,

ich habe den Fehler mittlerweile gefunden.

Das Problem war das Passwort. Beim Check des NPS hatte ich keine Fehlermeldung, aber scheinbar kann die Watchguard keine Umlaute in Passwörtern verarbeiten. Das war in meinem Fall extrem blöd, weil sowohl mein Account also auch mein Testuser Umlaute enthalten haben.
Da muss man erstmal drauf kommen, naja hat ja auch lange genug gedauert.


Danke und Grüße
Stefan