11
RADIUS-Authentifizierung mit Windows Server 2008 und NPS, mit 802.1x für einen W-LAN zugang für Schüler (aus der AD)
Ich habe vor für Schüler meiner Schule einen WLAN-Accesspoint einzurichten, an dem sie sich mit Benutzername und Passwort aus der ActiveDirectory anmelden können.
Bei der Realisierung habe ich schon einige Anläufe genommen, jedoch hat es nie ganz geklappt. Ich habe einen Windows Server 2008 mit NPS und ADCS, einen Netgear Accesspoint und beliebiges Notebook, ein PDA o. Ä.. Der Client (AP) ist mit IP-Adresse und Kennwort mit dem Server verbunden. Auf dem Server läuft der NPS als RADIUS-Server mit MS-CHAPv2 und nimmt sich die User+Kennwort aus einer Gruppe in der AD. Der NPS ist in der AD auch registriert. Ich habe schon jegliche Variationen bei den NPS Einstellungen ausprobiert, jedoch hat es nie geklappt. Ein Zertifikat ist auch ausgestellt. Wenn ich jetzt einen Laptop oÄ mit dem RADIUS-Client verbinde, sagt mir mein Laptop es wurde kein Zertifikat gefunden. Brauch der Laptop auch das Zertifikat, dass der Server ausstellt um überhaupt eine Verbindung herzustellen? Ist es überhaupt ohne weiteres Möglich jedes beliebige Notebook so mit dem AP zu verbinden um ins Internet zu kommen? Im Netzwerk gibt es einen DHCP-Server über den die Notebooks ihre IP beziehen müssen, würde das ein Problem darstellen?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 156311
Url: https://administrator.de/contentid/156311
Printed on: April 25, 2024 at 14:04 o'clock
11 Comments
Latest comment
Guckst du hier:
Dynamische VLAN-Zuweisung mit FreeRADIUS und Active Directory
bzw.
http://www.air09.net/air09_dokumentation.pdf
und natürlich
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
und
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Winblows Schritt für Schritt Anleitung:
http://www.heise.de/artikel-archiv/ct/2010/12/180_kiosk
dann klappts auf Anhieb mit ein paar Mausklicks problemlos !
Dynamische VLAN-Zuweisung mit FreeRADIUS und Active Directory
bzw.
http://www.air09.net/air09_dokumentation.pdf
und natürlich
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
und
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Winblows Schritt für Schritt Anleitung:
http://www.heise.de/artikel-archiv/ct/2010/12/180_kiosk
dann klappts auf Anhieb mit ein paar Mausklicks problemlos !
Danke schonmal!
ich werde mich nochmal melden wenn es Probleme gibt :S
ich werde mich nochmal melden wenn es Probleme gibt :S
Noch einfacher gehts mit einem Captive Portal (Hotspot Lösung) für die Schüler:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Die dortige Authentifizierung kannst du auch an den IAS (Radius) bzw. AD weiterleiten lassen statt es lokal zu machen. Damit ersparst du dir die Frickelei mit Zertifikaten und kannst zudem noch im Log sehen wer wann was macht...
Wenns das war bitte
How can I mark a post as solved?
nicht vergessen !
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Die dortige Authentifizierung kannst du auch an den IAS (Radius) bzw. AD weiterleiten lassen statt es lokal zu machen. Damit ersparst du dir die Frickelei mit Zertifikaten und kannst zudem noch im Log sehen wer wann was macht...
Wenns das war bitte
How can I mark a post as solved?
nicht vergessen !
Zum Thema 802.1x im WLAN:
Das läuft bei uns auch grade in der Testphase und es sieht aus, als müssten wir es bald wieder abschießen.
802.1x und WPA2 sind nicht das Problem, die laufen schön sauber (wobei IAS schwer zu debuggen ist), aaaaber Windows-Clients mit so einem WLAN zu verbinden ist gelinde gesagt die Hölle.
Macs, iPhones, iPads - kein Problem. Aber bei Windows sinkt meine Erfolgsrate grade unter 50%
Das hängt
a) An der absolut konfusen Implementierung von 802.1x in Windows
b) An den ganzen Bastel-Treibern, die Notebook-Hersteller ja ach so gerne drauf packen und die völliges Chaos verursachen
Der administrative Aufwand ist einfach nicht mehr handlebar, weil selbst ich schon teilweise 15 Minuten pro Gerät brauche (wenn es überhaupt mal klappt) - von selbst einrichten wollen wir mal gar nicht reden.
Wir werden wohl bald auf offenes WLAN und VPN über ISA-Server wechseln...
Von einfachen Captive Portals ohne Zertifikate würde ich auf jeden Fall im Schulumfeld abraten.
Ein WLAN-Adapter der im promiscuous-Mode läuft kostet 20€ und die Versuchung ist in einer Schule einfach zu groß.
Das läuft bei uns auch grade in der Testphase und es sieht aus, als müssten wir es bald wieder abschießen.
802.1x und WPA2 sind nicht das Problem, die laufen schön sauber (wobei IAS schwer zu debuggen ist), aaaaber Windows-Clients mit so einem WLAN zu verbinden ist gelinde gesagt die Hölle.
Macs, iPhones, iPads - kein Problem. Aber bei Windows sinkt meine Erfolgsrate grade unter 50%
Das hängt
a) An der absolut konfusen Implementierung von 802.1x in Windows
b) An den ganzen Bastel-Treibern, die Notebook-Hersteller ja ach so gerne drauf packen und die völliges Chaos verursachen
Der administrative Aufwand ist einfach nicht mehr handlebar, weil selbst ich schon teilweise 15 Minuten pro Gerät brauche (wenn es überhaupt mal klappt) - von selbst einrichten wollen wir mal gar nicht reden.
Wir werden wohl bald auf offenes WLAN und VPN über ISA-Server wechseln...
Von einfachen Captive Portals ohne Zertifikate würde ich auf jeden Fall im Schulumfeld abraten.
Ein WLAN-Adapter der im promiscuous-Mode läuft kostet 20€ und die Versuchung ist in einer Schule einfach zu groß.
Für sowas würde sich auch OpenVPN eignen, denn die verschiedenen WPA2-Implementierungen mit RADIUS sind tatsächlich ziemlich chaotisch durchgeführt worden. Mit Windows XP-Bordmitteln sollte es allerdings schon ziemlich einfach möglich sein, eine Verbindung herzustellen (zumindest meine Versuche haben mit XP Pro SP3 immer ausgezeichnet funktioniert, nur SP2 macht Probleme, allerdings sollte das sowieso nicht mehr zulässig sein, wenn man Clients in sein Netz lässt) und Windows 7 funktioniert auch einwandfrei...
Na ja OpenVPN in einem Schülernetz ist etwas mit Kanonen auf Spatzen zumal es mit der eigentlichen Fragestellung rein gar nix zu tun hat....
Vermutlich geht es dem Kollegen juschue lediglich um eine Dokumentation wer von seinen Schülern wann das WLAN nutzt.
Generell stellt sich die Frage ob der Weg WPA2 und Radius da der richtige ist. Mit genau dem Chaos was dog dort beschreibt wird das vermutlich für eine Schule mit begrenzten Resourecen und begrenzten Fachwissen sehr schwer zu managen sein.
Der weg dann über ein simples Captive Portal (Hotspot) an der Schule und darüber zu gehen ist erheblich einfacher zumal üder das Portal jo problemlos eine Radius basierende Userabfrage inkl. Accounting problemlos möglich ist... Und das sogar mit Einmalpasswörtern für externe Gäste.
Vermutlich ist es genau das was juschue will.
Aber sein fehlendes Feedback lässt vermuten das er eh das Interesse an einer sinnvollen Lösung verloren hat ?!
Vermutlich geht es dem Kollegen juschue lediglich um eine Dokumentation wer von seinen Schülern wann das WLAN nutzt.
Generell stellt sich die Frage ob der Weg WPA2 und Radius da der richtige ist. Mit genau dem Chaos was dog dort beschreibt wird das vermutlich für eine Schule mit begrenzten Resourecen und begrenzten Fachwissen sehr schwer zu managen sein.
Der weg dann über ein simples Captive Portal (Hotspot) an der Schule und darüber zu gehen ist erheblich einfacher zumal üder das Portal jo problemlos eine Radius basierende Userabfrage inkl. Accounting problemlos möglich ist... Und das sogar mit Einmalpasswörtern für externe Gäste.
Vermutlich ist es genau das was juschue will.
Aber sein fehlendes Feedback lässt vermuten das er eh das Interesse an einer sinnvollen Lösung verloren hat ?!
Hallo zusammen, und vielen Dank für das große FeedBack, ich habe in letzter Zeit selbst noch vieles in dem Netzwerk zu basteln und konnte das Wochenende nicht reingucken...
Es geht mir darum, dass Schüler sich anmelden können, aber Externe nicht so ohne weiteres ins Netzwerk kommen, eine Protokollierung wäre wahrscheinlich eher ein angenehmer Nebeneffekt.
Wenn die Implementation mit RADIUS und W-LAN/WPA2 zu schwierigL ist, gibt es denn Programme, die ein Captive Portal, das mit AD o. RADIUS arbeitet?
Es geht mir darum, dass Schüler sich anmelden können, aber Externe nicht so ohne weiteres ins Netzwerk kommen, eine Protokollierung wäre wahrscheinlich eher ein angenehmer Nebeneffekt.
Wenn die Implementation mit RADIUS und W-LAN/WPA2 zu schwierigL ist, gibt es denn Programme, die ein Captive Portal, das mit AD o. RADIUS arbeitet?
Guckst du hier:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Kannst du schön mit den Schülern in der Informatik AG realisieren....
Die Authentifizierung der Benutzer am Captive Portal kannst du dann auch bequem über Radius machen:
http://doc.m0n0.ch/handbook/ch12s02.html
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Kannst du schön mit den Schülern in der Informatik AG realisieren....
Die Authentifizierung der Benutzer am Captive Portal kannst du dann auch bequem über Radius machen:
http://doc.m0n0.ch/handbook/ch12s02.html
Ehrlich gesagt finde ich OpenVPN durchaus passend. Seine Anforderung ist meiner Meinung nach nur, dass sich die Schüler authentifizieren müssen. Und das ist hier gegeben. Und selbst wenn er Protokolle haben wollte (wobei das dann explizit den Schülern bekannt gemacht werden muss) ist das mit den umfangreichen OpenVPN-Logging-Optionen möglich! Auch der Aufwand ist nicht zu krass - jeder hat seinen Schlüssel und das wars. Das Installieren der Software etc. können die Schüler ja selbst machen (man kann ihnen ja sogar ein angepasstes Installationsprogramm erstellen) Ist z.B. mit einem IPCop o.ä. auch nicht sonderlich viel komplizierter als ein Captive Portal, das aber unerschlüsselt läuft. Wenn ich dog richtig verstanden habe kritisiert er die Möglichkeit, eine fremde Verbindung zu übernehmen und da hat er durchaus Recht. Insbesondere Schüler sind sehr experimentierfreudig - da ist die MAC schnell mal geändert und dann fehlt nicht mehr viel...
@kingkong
Vielleicht hast du immer noch nicht die Anforderung vom Kollegen juschue verstanden oder durchschaut ?!
Es geht ihm NICHT um den Zugang zum Schulnetzwerk über ein öffentliches Netzwerk wie dem Internet. Damit meint er also NICHT Techniken wie VPN und damit auch OpenVPN.
Es geht ihm lediglich um eine Authentifizierung lokal, also Leute die schon am lokalen Netzwerk sind, insbesondere WLAN Benutzern !
Damit ist das eine klassische Captive Portal Anwendung oder eine Authentisierung nach 802.1x, wobei das Captive Portal mit einer lokalen oder besser zentralen Radius Authentifizierung der erheblich einfachere Weg ist wenn es gilt eine Menge Schüler zu verwalten !
Vielleicht hast du immer noch nicht die Anforderung vom Kollegen juschue verstanden oder durchschaut ?!
Es geht ihm NICHT um den Zugang zum Schulnetzwerk über ein öffentliches Netzwerk wie dem Internet. Damit meint er also NICHT Techniken wie VPN und damit auch OpenVPN.
Es geht ihm lediglich um eine Authentifizierung lokal, also Leute die schon am lokalen Netzwerk sind, insbesondere WLAN Benutzern !
Damit ist das eine klassische Captive Portal Anwendung oder eine Authentisierung nach 802.1x, wobei das Captive Portal mit einer lokalen oder besser zentralen Radius Authentifizierung der erheblich einfachere Weg ist wenn es gilt eine Menge Schüler zu verwalten !
Nunja, ich habe die Anforderung durchaus verstanden - ich habe sie ja in meinem obigen Post explizit ausgesprochen. Im Prinzip genau so, wie Du sie auch siehst (mal abgesehen davon, dass "lokal" wohl nicht passt - sie sollen sich ja nicht gegenüber ihrem eigenen Laptop authentifizieren, sondern ggü. dem Netzwerk). Der Unterschied ist nur, dass Du OpenVPN scheinbar nicht als passenden Mechanismus für die Authentifizierung ansiehst. Ist es meiner Meinung nach aber schon.
Sofern die Benutzer bereits in einem WPA/WPA2-gesicherten WLAN-Netzwerk arbeiten und eine zentrale Benutzerdatenbank bereits existiert, gegenüber der die Schüler sich dann nur noch mit ihrem persönlichen Passwort anmelden, ist das Captive Portal auch in Ordnung. Ungesichert kannst Du das aber nicht guten Gewissens machen. Da der TO ja nicht geschrieben hat, wie sein Netz aussieht, sollte das einfach eine Alternative sein.
Sofern die Benutzer bereits in einem WPA/WPA2-gesicherten WLAN-Netzwerk arbeiten und eine zentrale Benutzerdatenbank bereits existiert, gegenüber der die Schüler sich dann nur noch mit ihrem persönlichen Passwort anmelden, ist das Captive Portal auch in Ordnung. Ungesichert kannst Du das aber nicht guten Gewissens machen. Da der TO ja nicht geschrieben hat, wie sein Netz aussieht, sollte das einfach eine Alternative sein.
