hmmm..

Mit dem Computerkonto ist auch nicht realisierbar! Mehrere User verwenden einen Rechner der eine darf das WLAN nutzen der andere wieder nicht.
Also bleibt mir eigenlich nut TLS(Client Zertifikate).

Aber wie ich gelesen habe, soll es möglich sein PEAP mit EAP-TLS paralel zu betreiben!
Bin mir nun nicht sicher wie diese Methode funktiniert.
Stelle mit eigendlich vor, dass bei der WIn Anmeldung das standard PEAP ausgeführt wird(sprich: check ob der User in der Grupper der erlaupten WLan-User) weiterhin sollte gecheckt werden,
ob das Zertifikat auf dem Client isntalliert ist.(Frage: ein eigenes Client oder das IAS Zertifikat)

Sehe ich das richtig?

Wenn ja kannst du mir nen Tip geben wie das im IAS bzw. am Client konfiguriert wird?

also jetzt "frime" ich schon seit 2 Wochen mit freeradius und der implementierung von PEAP herrum! Nix zu machen!!!!
Das howto basierend auf opensuse ist gut und schön aber der wichtige Teil, die integration an das AD steht nicht drin..

Weiterhin fehlt mit bei freeradius die implementierung der Möglichkeit nur AD usern aus eine bestimmten gruppe den zugriff zu gewähren.

Hat denn niemand eine solche "sichere" infrastruktur" aufgebaut?

Nochmal:

ich will die authentifizierung gegen das AD (PEAP) und gegen eine manuel zu installierendendes Zertifikat (EAP-TLS)!
--> !!! Kein Zertifikat, kein WLAN !!! --> kein User in der richtigen Gruppe --> Kein WLAN!!! --> Zertifikat + User in Gruppe vorhanden --> WLAN erlauben!!!!

Mit dem IAS habe ich da keinen Erfiolg!

Kann denn niemand helfen???

auch mit implementierung von OpenSSL als PKI?

Wenn ja würde ich die Konfig soweit erledigen, in ein PDF, dir zusenden und du schaust ma drüber????

Grundlegend besteht die frage, ob ich 2 IAS Rules anlegen muss(1. Peap mit mschapv2 und eine 2. mit EAP Eigenes Zertifikat) oder ob eine ausreicht?
Kannst du mir dazu ne kurze info geben?

hmm mit dem Hunni das ist so ne Sache, eigendlich such ich ja in einem Forum Hilfe für lau`...
Das Prinzip "Helfen und Geholfen werden"

Zurück zum Thema!
Ich woll als erstes mal eine Auth via EAP-TLS konfigurieren.
Dazu erstelle ich mir ein Zertifikat für den Client, und installiere dieses + das PKI Zertifikat auf dem XP.
Bis dahin OK!

Auf dem IAS:
1. Neue Regel
1.1 Name definieren
1.2 "Drahtlos" auswählen
1.3 AD Gruppe hinzufügen
!!! jetzt kommt die erste Frage !!!
1.4 "geschütztes EAP(PEAP)" oder "Smartcard oder anderes Zertifikat"
Normaler weise würde ich an dieser Stelle "Smartcard oder anderes Zertifikat" wählen aber in der "geschütztes EAP(PEAP)" konfiguration kann ja auch die Einstellung für "Smartcard oder anderes Zertifikat" gesetzt werden.
Was ist an dieser Stelle richtig?

1.5 Auswählen des Identifikations Zertifikat mit welchem sich der Client authentifiziert --> (hier wird das Client Zertifikat ausgewählt)

Fertig!!! ?

2. Auf dem XP Client:
2.1 Drahtlos Netz konfigurieren(richtige Verschlüsselung etc...!
!!! nächste Frage !!!
2.2 Tab "Authentifizierung" EAP-Typ wählen
Hier stellt sich mir die selbe Frage? "Smartcard oder anderes Zertifikat" oder "geschütztes EAP(PEAP)" Wie schon gesagt unterhlab von PEAP kann ich auch "Smartcard oder anderes Zertifikat" konfigurieren.
2.3 Weiterhin wird dann die Zertifzierungsstelle gewählt, gegen welche das Client Zertifikat geprüft werden kann.

Fertig!!!! ??

Wenn mir jemand diese beiden offenen Fragen beantworten könnte, wäre ich sehr dankbar!

Das Konfigurieren von PEAP ist ja relativ simple, somit sollte, wenn das EAP-TLS läuft meinem Vorhaben nichts im Wege stehen...

Hat den niemand weiter eine Idee???

Ich bin immernoch am tüfteln! Mit meinen openssl zertifikaten (ca-cert & client-cert) welche auf dem IAS und den Client installiert wurden, funktioniert peap einwandfrei! stelle ich ganze sache auf eap-tls geht nix mehr!

----------------------------------------
Benutzer "Domain\\wuser" wurde Zugriff verweigert.
Vollqualifizierter Benutzername = domain/users/wuser
NAS-IP-Adresse = 192.168.*.*
NAS-Kennung = wlan221
Kennung der Anrufstation = 00--eb--ed-:ssid-name
Kennung der Empfängerstation = 00--e7--08-
Clientanzeigename = wlan221
Client-IP-Adresse = 192.168.*.*
NAS-Porttyp = Wireless - IEEE 802.11
NAS-Port = 29
Proxyrichtlinienname = Windows-Authentifizierung für alle Benutzer verwenden
Authentifizierungsanbieter = Windows
Authentifizierungsserver = <unbestimmt>
Richtlinien-Name = EAP-TLS-DEMO
Authentifizierungstyp = EAP
EAP-Typ = Smartcard oder anderes Zertifikat
Code = 295
Ursache = Die Zertifizierungskette wurde korrekt verarbeitet, doch wird eines der Zertifizierungsstellenzertifikate vom Richtlinienanbieter nicht für vertrauenswürdig gehalten.

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.
----------------------------------------

Woran kann das noch liegen?
Wie schon gesagt, das Zertifizierungsstellen Zertifikat der wurde auf der CA auf dem IAS aus "Vertrauenswürdige Stammzertifizierungsstellen" (für computer konto) installiert.

???

".....genau das is mein Problem......" nur warum funktioniert PEAP mit Zertifikatsüberprüfung???

"..eines der Zertifizierungsstellenzertifikate vom Richtlinienanbieter.." --> bedeutet, dass das CA von dem IAS nicht als vertrauenswürdig ist?
Ich versteh aber wiederum nicht, warum er da checkt, die Zertifikate zum überprüfen der eap-tls verbindung kommen alle aus dem openssl.
Ich habe kein Zertifikat mit der WinCA erstellt...

Muss ich das MSCA Cert auch auf dem Client als "Vertrauenswürdige Zertifizierungsstelle" installieren?

immer noch niemand der eine tolle idee für mich hat, wie ich dieses Projekt endlich zum abschluss bringen kann?