3
RADIUS Authentifizierung Windows Server 2019
Hallo Community!
Folgendes betrifft die Authentifizierung von WLAN Clients mittels RADIUS in Kombination mit dem ActiveDirectory:
Nach Konfiguration und Test der Authentifizierung von WLAN Clients mittels Benutzerauthentifizierung ( Benutzername & Kennwort ) stellen wir in unserer Testumgebung folgendes fest:
Szenario:
Wird ein Benutzer welcher der erstellten Sicherheitsgruppe "WLAN-User" im ActiveDirectory angehört, deaktiviert, so ist es dem Benutzer weiterhin möglich eine erfolgreiche WLAN-Verbindung herzustellen.
Die Anmeldung wird erst dann Verweigert, wenn das am Smartphone oder Notebook definierte und eingerichtete WLAN - Profil gelöscht wird und sich der Benutzer versucht erneut durch Eingabe von Benutzername und Passwort zu authentifizieren.
Liegt hier ein Verständnisproblem meinerseits vor, oder gibt es zum besagten beschriebenen Szenario noch weitere ( unbeachtete ) Konfigurationsmöglichkeiten um den Intervall zu verkürzen bzw. eine neue Anfrage an das System zu stellen - ob dieser User generell noch berechtigt ist sich zu authentifizieren ( gültiges Kennwort / Konto aktiv ) ?
Danke Vorab an Alle für eure Ideen und Tipps!
Folgendes betrifft die Authentifizierung von WLAN Clients mittels RADIUS in Kombination mit dem ActiveDirectory:
Nach Konfiguration und Test der Authentifizierung von WLAN Clients mittels Benutzerauthentifizierung ( Benutzername & Kennwort ) stellen wir in unserer Testumgebung folgendes fest:
- Anfragende Clients authentifizieren sich mittels Benutzername und Kennwort - in Folge dessen kommt eine erfolgreiche WLAN - Verbindung zustande - soweit in Ordnung.
Szenario:
Wird ein Benutzer welcher der erstellten Sicherheitsgruppe "WLAN-User" im ActiveDirectory angehört, deaktiviert, so ist es dem Benutzer weiterhin möglich eine erfolgreiche WLAN-Verbindung herzustellen.
Die Anmeldung wird erst dann Verweigert, wenn das am Smartphone oder Notebook definierte und eingerichtete WLAN - Profil gelöscht wird und sich der Benutzer versucht erneut durch Eingabe von Benutzername und Passwort zu authentifizieren.
Liegt hier ein Verständnisproblem meinerseits vor, oder gibt es zum besagten beschriebenen Szenario noch weitere ( unbeachtete ) Konfigurationsmöglichkeiten um den Intervall zu verkürzen bzw. eine neue Anfrage an das System zu stellen - ob dieser User generell noch berechtigt ist sich zu authentifizieren ( gültiges Kennwort / Konto aktiv ) ?
Danke Vorab an Alle für eure Ideen und Tipps!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1371072731
Url: https://administrator.de/contentid/1371072731
Printed on: April 27, 2024 at 12:04 o'clock
3 Comments
Latest comment
Moin,
das liegt daran das Client und NPS die TLS-Handles der Authentifizierung zwischenspeichern und diese ohne erneute Anfrage an den DC benutzen um den Client erneut zu authentifizieren (reduziert Auth Anfragen an den DC) . Standardmäßig beträgt die Zeit die so ein Handle gültig ist 10 Stunden. Die Zeit lässt sich mit Registry Keys auf Server und Client aber anpassen, siehe die passende Doku dazu
Konfigurieren der TLS-Handle-Ablaufzeit
das liegt daran das Client und NPS die TLS-Handles der Authentifizierung zwischenspeichern und diese ohne erneute Anfrage an den DC benutzen um den Client erneut zu authentifizieren (reduziert Auth Anfragen an den DC) . Standardmäßig beträgt die Zeit die so ein Handle gültig ist 10 Stunden. Die Zeit lässt sich mit Registry Keys auf Server und Client aber anpassen, siehe die passende Doku dazu
Konfigurieren der TLS-Handle-Ablaufzeit
Servus Hacktor!
Vielen Dank für die parate Lösung zu meiner Frage!
Nach der Anpassung des Registry Keys: ist der gewünschte Effekt nun gegeben!
Hierzu noch folgender Erfahrungsbericht:
Getestet wurde die Authetifizierung mit zwei Smartphones:
- Motorola X Play
- Samsung Galaxy A6
Das Samsung Gerät verbindet sich nachdem der AD - User deaktiviert wurde - wie gewünscht - nicht mehr.
Das Motorola Gerät hingegen - völlig unbeeindruckt - stellt eine Verbindung mit dem Netzwerk her - selbst wenn der NPS - Dienst am Radius Server beendet ist oder der Server komplett offline genommen wurde.
Fällt das unter die Kategorie - It`s a feature not a BUG?
--- solved ---
--- closed ---
Vielen Dank für die parate Lösung zu meiner Frage!
Nach der Anpassung des Registry Keys:
ServerCacheTime=dword:00000000Hierzu noch folgender Erfahrungsbericht:
Getestet wurde die Authetifizierung mit zwei Smartphones:
- Motorola X Play
- Samsung Galaxy A6
Das Samsung Gerät verbindet sich nachdem der AD - User deaktiviert wurde - wie gewünscht - nicht mehr.
Das Motorola Gerät hingegen - völlig unbeeindruckt - stellt eine Verbindung mit dem Netzwerk her - selbst wenn der NPS - Dienst am Radius Server beendet ist oder der Server komplett offline genommen wurde.
Fällt das unter die Kategorie - It`s a feature not a BUG?
--- solved ---
--- closed ---
selbst wenn der NPS - Dienst am Radius Server beendet ist oder der Server komplett offline genommen wurde.
In dem Fall ist dann aber dein Radius Client (der AP) der Schuldige, das darf so definitiv nicht sein! Vermutlich cacht der bei dir auch was. Ohne aktiven Radius darf der Client(AP) keine User rein lassen, außer es wurden dort spezielle Ausnahmen konfiguriert oder dieser hat selbst eine Cache-Table.