4
Bereitstellung von Unternehmens-WLAN an Nicht-Domänennotebooks mit Active Direcory Authentifizierung
Es geht um den Zugang zu einem WLAN (für Internet und lokalen Serverzugriff) für Stand-Alone-Clients (keine Domänenmitgliedschaft). Die Authentifizierung zum WLAn soll aber über die vorhandenen AD-Konten abgewickelt werden.
Folgender Hintergrund:
Wir sind eine dezentral arbeitende Beratungsfirma, welche den Mitarbeitern Windows XP Pro Laptops aushändigt. Innerhalb des unternehmens gibt es ein AD, in dem für jeden Mitarbeiter ein user angelegt ist. Diese werden u.a. für VPN-Verbindungen, Exchange-Konten etc benötigt. Aus technischen Gründen ist keiner dieser Computer Mitglied der besagten Active Directory Domäne, da wir nicht gewährleisten können und wollen, dass sich die Mitarbeiter regelmäßig über (aus Kostengründen nicht vorhandenes) Internet mit dem Server authentifizieren.
Nun zum eigentlichen Problem:
Unregelmäßig kommen die Mitarbeiter mit ihren Standalone-Notebooks aber in die Zentrale, in der Sie sich über WLAN mit dem Firmennetz verbinden möchten um ins Internet gehen zu können und um ihre Daten auf den Servern abzulegen.
Im Moment müssen wir jeden Rechner jedesmal bei Bedarf vor Ort manuell und einzeln für WLAN einrichten.
Die Idee ist aber, dass jeder Mitarbeiter auch ohne administrative Hilfe vor Ort selber ins WLAN kommen soll.
Wären die Notebooks in der Domäne (was bei uns mehrmals geprüft wurde aber hier schlicht unmöglich ist) könnte man mit Smartcards eine 801.1x Authentifizierung per Radius-Server realisieren. Bei Standalones klappt dies aber nicht, da auch die Computerzertifikate der Domänen-Computer passen müssen.
Eine andere Idee die wir nun haben, wäre eine Art Hotspot-Lösung. Sprich, der User verbindet sich an ein offenes WLAN, loggt sich auf einer Startseite mit seinem Domänen-Benutzterdaten an und bekommt Zugang zum Netz. Den Hacken den ich daran sehe ist, dass ich weder eine Hotspotsoftware kenne die dies kann, noch weiß, ob eine Verbindung so sicher wäre, da WLAn ja immernoch unverschlüsselt abläuft.
Welche Ideen und Meinungen habt ihr zu diesem Problem?
Bin für alle Tipps dankbar!
Gruß
Martin
Wir sind eine dezentral arbeitende Beratungsfirma, welche den Mitarbeitern Windows XP Pro Laptops aushändigt. Innerhalb des unternehmens gibt es ein AD, in dem für jeden Mitarbeiter ein user angelegt ist. Diese werden u.a. für VPN-Verbindungen, Exchange-Konten etc benötigt. Aus technischen Gründen ist keiner dieser Computer Mitglied der besagten Active Directory Domäne, da wir nicht gewährleisten können und wollen, dass sich die Mitarbeiter regelmäßig über (aus Kostengründen nicht vorhandenes) Internet mit dem Server authentifizieren.
Nun zum eigentlichen Problem:
Unregelmäßig kommen die Mitarbeiter mit ihren Standalone-Notebooks aber in die Zentrale, in der Sie sich über WLAN mit dem Firmennetz verbinden möchten um ins Internet gehen zu können und um ihre Daten auf den Servern abzulegen.
Im Moment müssen wir jeden Rechner jedesmal bei Bedarf vor Ort manuell und einzeln für WLAN einrichten.
Die Idee ist aber, dass jeder Mitarbeiter auch ohne administrative Hilfe vor Ort selber ins WLAN kommen soll.
Wären die Notebooks in der Domäne (was bei uns mehrmals geprüft wurde aber hier schlicht unmöglich ist) könnte man mit Smartcards eine 801.1x Authentifizierung per Radius-Server realisieren. Bei Standalones klappt dies aber nicht, da auch die Computerzertifikate der Domänen-Computer passen müssen.
Eine andere Idee die wir nun haben, wäre eine Art Hotspot-Lösung. Sprich, der User verbindet sich an ein offenes WLAN, loggt sich auf einer Startseite mit seinem Domänen-Benutzterdaten an und bekommt Zugang zum Netz. Den Hacken den ich daran sehe ist, dass ich weder eine Hotspotsoftware kenne die dies kann, noch weiß, ob eine Verbindung so sicher wäre, da WLAn ja immernoch unverschlüsselt abläuft.
Welche Ideen und Meinungen habt ihr zu diesem Problem?
Bin für alle Tipps dankbar!
Gruß
Martin
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 89548
Url: https://administrator.de/contentid/89548
Printed on: April 19, 2024 at 02:04 o'clock
4 Comments
Latest comment
Servus,
verstehe ich dich richtig - das Wlan ist ansonsten ausgeschaltet und wird eingeschaltet - wenn die Anwender in der Zentrale sind?
Wir haben ca. 80 Notebooks im Einsatz - jedes ist Mitglied unserer Domain und 50 davon habe ich (unser Server) seit Anfang des Jahres nicht gesehen - Ersatzgeräte für den Fall des falles usw.
Das läuft "Problemlos, außer das der WSUS gemotzt hat und die Softwareverteilung die Clients gerne als nicht mehr existent deklariert hat - (bis ich den Timeout auf 360 Tage erhöht habe und diese rechner Ihre Updates "anders" bekommen) - meiner Meinung nach ist das kein großes Problem.
Du mußt halt nur für diese rechner eine OU bereithalten, wo WSUS "anders" läuft als sonst.
verstehe ich dich richtig - das Wlan ist ansonsten ausgeschaltet und wird eingeschaltet - wenn die Anwender in der Zentrale sind?
Wir haben ca. 80 Notebooks im Einsatz - jedes ist Mitglied unserer Domain und 50 davon habe ich (unser Server) seit Anfang des Jahres nicht gesehen - Ersatzgeräte für den Fall des falles usw.
Das läuft "Problemlos, außer das der WSUS gemotzt hat und die Softwareverteilung die Clients gerne als nicht mehr existent deklariert hat - (bis ich den Timeout auf 360 Tage erhöht habe und diese rechner Ihre Updates "anders" bekommen) - meiner Meinung nach ist das kein großes Problem.
Du mußt halt nur für diese rechner eine OU bereithalten, wo WSUS "anders" läuft als sonst.
Hallo,
ergänzend vielleicht der Hinweis, daß auf einem Domain-Laptop durchaus lokale Anmeldungen genutzt werden können (Offline-Anmeldungen sind, soweit mir bekannt, max. 50 möglich).
Grüße, Steffen
ergänzend vielleicht der Hinweis, daß auf einem Domain-Laptop durchaus lokale Anmeldungen genutzt werden können (Offline-Anmeldungen sind, soweit mir bekannt, max. 50 möglich).
Grüße, Steffen
Hi, sorry für das späte Feedback...aber jetzt ;)
Unser Cisco AccessPoint ist eigentlich ein gutes Gerät, welches Smartcard-basierte WLAN Authentifizierung unterstützt. Leider ist er sauschwer zu konfigurieren und macht bei WPA/WPA2 Verschlüsselung Probleme mit unseren WLAN-Karten.
However, nehmen wir mal an, dass wir nur WEP-verschlüsselung haben. Da dies zu unsicher ist wollen wir dies ändern. Wir möchten aber nicht bei jedem Mitarbeiter der uns im Bürtro besucht jedesmal am Rechner -wie wir es bislang machen- den WEP-Key eingeben, sondern einen Automatismus in die WLAN Nutzung bei uns bringen. Smartcards wären ne super Lösung. wenn man also einfach einem Besucher eine Art "WLAN-Pass" in Form einer Smartcard geben könnte, er diese einschiebt und sich sein WLAN sofort verbindet - das wäre die Traumlösung. Leider nur realisierbar, wenn alle Rechner in der Domäne sind und jedem Mitarbeiter seine eigene WLAN-Smartcard bereitgestellt wird (da Maschinen und Userabhängig).
Hierfür suchen wir eben eine Alternativlösung.... um WSUS und Softwareverteilung gehts hier garnicht. Nur um den reinen Netzwerkzugang....
Unser Cisco AccessPoint ist eigentlich ein gutes Gerät, welches Smartcard-basierte WLAN Authentifizierung unterstützt. Leider ist er sauschwer zu konfigurieren und macht bei WPA/WPA2 Verschlüsselung Probleme mit unseren WLAN-Karten.
However, nehmen wir mal an, dass wir nur WEP-verschlüsselung haben. Da dies zu unsicher ist wollen wir dies ändern. Wir möchten aber nicht bei jedem Mitarbeiter der uns im Bürtro besucht jedesmal am Rechner -wie wir es bislang machen- den WEP-Key eingeben, sondern einen Automatismus in die WLAN Nutzung bei uns bringen. Smartcards wären ne super Lösung. wenn man also einfach einem Besucher eine Art "WLAN-Pass" in Form einer Smartcard geben könnte, er diese einschiebt und sich sein WLAN sofort verbindet - das wäre die Traumlösung. Leider nur realisierbar, wenn alle Rechner in der Domäne sind und jedem Mitarbeiter seine eigene WLAN-Smartcard bereitgestellt wird (da Maschinen und Userabhängig).
Hierfür suchen wir eben eine Alternativlösung.... um WSUS und Softwareverteilung gehts hier garnicht. Nur um den reinen Netzwerkzugang....
Hi, auch an dich nochmal sorry wegen des späten feedbacks.
Es ist in der Tat so, dass sich die Domain-Policys nur auf max. 50 lokale Offlineanmeldungen einstellen lassen.
genauso schlimm ist aber, dass das Computerpasswort nach 90 Tagen seine Gültigkeit verliert.
Ohne Domänenmitgliedschaft, sprich ohne regelmäßige Netzwerkverbindung (ob lokal oder via VPN) klappt das 801.1x WLAN-Konzept mit Smartcards nicht.
Wie gesagt wäre das optimalste eine Art "WLAN-Pass", welcher ein zertifikat enthält mit dem man sich am RADIUS Authentifiziert und somit eine sichere, zertifikatbasierte, aber User- und Computerunabhängige WLAN-Verbindung zustande kommt.
Es ist in der Tat so, dass sich die Domain-Policys nur auf max. 50 lokale Offlineanmeldungen einstellen lassen.
genauso schlimm ist aber, dass das Computerpasswort nach 90 Tagen seine Gültigkeit verliert.
Ohne Domänenmitgliedschaft, sprich ohne regelmäßige Netzwerkverbindung (ob lokal oder via VPN) klappt das 801.1x WLAN-Konzept mit Smartcards nicht.
Wie gesagt wäre das optimalste eine Art "WLAN-Pass", welcher ein zertifikat enthält mit dem man sich am RADIUS Authentifiziert und somit eine sichere, zertifikatbasierte, aber User- und Computerunabhängige WLAN-Verbindung zustande kommt.
