denkis
Goto Top

Microsoft NPS zum RADIUS konfigurieren

Hallo,

ich bin dazu verdonnert worden ein sicheres WLAN in unserer Infrastruktur zu etablieren. Und wie es eben ist - Budget ist knapp, sicher soll es sein und mit AD-Authentifizierung einschl. Zertifikaten.
Für ca. 20 mobile Clients bei uns im Haus haben wir jetzt

1x DLink DWC-1000 (WLAN-Controller),
3x DLink DWS-3600 (AP)

gekauft (passte gut ins Budget).

Das Ganze hängt an HP2530er. Darüber findet sich ein SBS2011 einschl. NPS den ich als RADIUS einsetzen möchte.
Der RADIUS - Server erhielt den DWC-1000 als Client, der wiederum auch den Server erkennt. Die Accesspoints erhalten ihr Profil vom DWC-1000 und bieten im VLAN 1 ein WLANProd wo sich die Benutzer des Hauses via AD authentifizieren sollen. Zusätzlich gibt es ein WLANGast, im VLAN 10, welches direkt nach draußen geroutet wird.

Ich weiß das RADIUS hier schon sehr oft und ausführlich behandelt wurde. Leider habe ich jedoch nichts detailliertes zu verschlüsselten Verbindungen via Zertifikaten gefunden. Ich vermute, dass sich aufgrund falschen Verständnisses, was Zertifikate angeht meine Verbindungen nicht generiert werden.
In den Zertifikatseinstellungen des RADIUS hatte ich zwei zur Auswahl.
1.) Domainname-Servername-CA
2.) *.Domainname.de (Sternchen steht tatsächlich so da)

Unverschlüsselte Verbindungen habe ich in den Einstellungen gekappt. Über eine separate Funktionsgruppe möchte ich auf diesem Wege Notebooks, also Gerätebezogen, den WLAN-Zugang ermöglichen, was leider nicht klappt.

Schaue ich unter certmgr.msc auf einem Testnotebook, sehe ich auch das Domainname-Servername--CA als vertrauenswürdige Zertifizierungsstelle hinterlegt.

Was mache ich falsch? Ich glaube mit Zertifikaten geht etwas schief.

Vielen Dank schon jetzt.

denkis

Content-Key: 267282

Url: https://administrator.de/contentid/267282

Ausgedruckt am: 28.03.2024 um 19:03 Uhr

Mitglied: Dani
Dani 30.03.2015 um 20:41:47 Uhr
Goto Top
Moin,
sicher soll es sein und mit AD-Authentifizierung einschl. Zertifikaten.
Ich würde ausschließlich auf Zertifikate, welche pro Gerät ausgestellt werden, setzen. Mit Active Directory-Anmeldung könnte der Mitarbeiter auch sein privates Smartphone ins WLAN hängen und seine Zugangsdaten eingeben. Ist sicherlich nicht die Vorstellung deines Chefs.

Was mache ich falsch? Ich glaube mit Zertifikaten geht etwas schief.
Bitte poste von der NPS-Richtlinien die getätigen Einstellungen.

Schaue ich unter certmgr.msc auf einem Testnotebook, sehe ich auch das Domainname-Servername--CA als vertrauenswürdige Zertifizierungsstelle hinterlegt.
Das ist nur die halbe Miete. Das muss auch so sein... Bekommen deine Geräte auch ein Zertifikat jeweils ausgestellt. Entweder sobald diese in die Domäne aufgenommen werden oder manuell. Wichtig ist dabei, dass dieses auf das Computerkonto ausgestellt wird.


Gruß,
Dani
Mitglied: denkis
denkis 31.03.2015 um 13:56:41 Uhr
Goto Top
Hallo Dani,

vielen Dank erstmal für Deine Rückmeldung.
Die Sache mit der Benutzeranmeldung habe ich gar nicht bedacht. Ich hätte eher intuitiv auf Geräte zertifiziert.

Zu den Einstellungen:
Verbindungsanforderungsrichtlinie "Sichere Drahtlosverbindungen"
- Register Übersicht
Richtlinie aktiviert
Typ des Netzwerkzugriffsserver: Unspecified

- Register Bedingungen
Bedingung: NAS-Porttyp
Wert: Wireless...802.11

- Register Einstellungen
Authentifizierungsmethode - default keine Nutzereinstellungen
Authentifizierung - Anforderungen auf diesem Server authentifizieren
Kontoführung - default keine Nutzereinstellungen
Attribut - default keine Nutzereinstellungen
Standard - default keine Nutzereinstellungen
Herstellerspezifisch - default keine Nutzereinstellungen

Netzwerkrichtlinie "Sichere Drahtlosverbindungen"
- Register Übersicht
Richtlinie aktiviert
Zugriff gewähren... aktiviert
Benutzerkonto-Einwähleigenschaften ignorieren
Typ des Netzwerkzugriffsserver: Unspecified

- Register Bedingungen
Bedingung: NAS-Porttyp
Wert: Wireless...802.11

Bedingung: Windows-Gruppe
Wert: Domänenname\WLAN-Computer

- Register Einschränkungen
Authentifizierungsmethode
          • Microsoft Smartcard- oder andere Zertifikate --> Domänenname-Servername-CA
          • Microsoft verschlüsselte Authentifizierung Version 2 (MS-CHAP-v2;v1)
Leerlaufzeitüberschrietung - default keine Nutzereinstellung
Sitzungszeitüberschreitung - default keine Nutzereinstellung
Empfangs ID - default keine Nutzereinstellung
Tag- und Uhrzeitbeschränkung - default keine Nutzereinstellung
NAS Porttyp - default keine Nutzereinstellung (Wireless und 802.11 sind nicht angehakt)

- Register Einstellungen
Standard - default keine Nutzereinstellungen
Herstellerspezifisch - default keine Nutzereinstellung
NAP-Erzwingung - Vollständigen Netzwerkzugriff gewähren
erweiterter Status - default keine Nutzereinstellung
Mehrfachverbindungen - default keine Nutzereinstellung
IP Filter - default keine Nutzereinstellung
Verschlüsselung - "keine Verschlüsselung" ist nicht angehakt
IP-Einstellung - Servereinstellung definieren IP-Adresszuordnung

Ich hoffe, dass alles wesentliche dabei ist.

Jetzt zu den Zertifikaten:
Ich habe für die Clientcomputer keine Zertifikate ausgestellt. Ich bin bisher davon ausgegangen, dass der Domänencomputer automatisch eines erhält. Wahrscheinlich klemmt es daran.
Muss ich für jeden betreffenden Clientcomputer ein individuelles Zertifikat erstellen? Wenn ja, wo und und wie?

Vielen Dank

beste Grüße
denkis
Mitglied: Dani
Dani 06.04.2015 um 18:34:39 Uhr
Goto Top
Moin,
puh... muss ich mir in ruhigen Stunden ansehen.
Mmir wären Screenshots lieber. Die Einstellungen sind schneller verglichen.


Gruß,
Dani