5
WLAN 2 Faktor Authentifizierung
Hallo,
wir sind gerade dabei ein dienstliches WLAN aufzubauen.
Es soll so sein, dass einerseits ein Computerzertifikat vorhanden sein soll und man dann noch zusätzlich sich mit einem AD-User anmelden muss.
Die Authentifizierung mit Computerzertifikat klappt auch soweit aber ich habe keine Ahnung wie man zusätzlich noch einen AD-User abfragen kann.
Ich finde auch keine Infos zu diesem Problem.
MfG
wir sind gerade dabei ein dienstliches WLAN aufzubauen.
Es soll so sein, dass einerseits ein Computerzertifikat vorhanden sein soll und man dann noch zusätzlich sich mit einem AD-User anmelden muss.
Die Authentifizierung mit Computerzertifikat klappt auch soweit aber ich habe keine Ahnung wie man zusätzlich noch einen AD-User abfragen kann.
Ich finde auch keine Infos zu diesem Problem.
MfG
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 6393176853
Url: https://administrator.de/contentid/6393176853
Printed on: April 27, 2024 at 07:04 o'clock
5 Comments
Latest comment
Moin...
Frank
wir sind gerade dabei ein dienstliches WLAN aufzubauen.
klingt so nach Amt!Ich finde auch keine Infos zu diesem Problem.
he he... wir bekommen ja auch keine Infos zu verwendeten Hardware / Controler etc.. oder ist das VS?Frank
Moin.
Also WPA Enterprise ist entweder/oder also Userzertifikat oder Computerzertifikat, nicht beides gleichzeitig. Du könnest die WIFI-Auth selbst per Computer-Zertifikat absichern und dann zusätzlich noch einen Proxy für Zugriff auf weitere Dienste vorschalten bei dem man sich mit seinen User-Credentials gegen das AD Authentifizieren muss.
Oder halt ne Smartcard mit User-Zertifikat und PIN das ist auch 2FA.
Wieso das ganze? Wenn die private Keys der Certs als "nicht exportierbar" import worden sind (was der Default ist wenn man Certs per MS-CA verteilt) kann die auch niemand entwenden um sie auf anderen Geräten zu nutzen falls das dein Gedanke dahinter ist.
Cheers briggs
Also WPA Enterprise ist entweder/oder also Userzertifikat oder Computerzertifikat, nicht beides gleichzeitig. Du könnest die WIFI-Auth selbst per Computer-Zertifikat absichern und dann zusätzlich noch einen Proxy für Zugriff auf weitere Dienste vorschalten bei dem man sich mit seinen User-Credentials gegen das AD Authentifizieren muss.
Oder halt ne Smartcard mit User-Zertifikat und PIN das ist auch 2FA.
Wieso das ganze? Wenn die private Keys der Certs als "nicht exportierbar" import worden sind (was der Default ist wenn man Certs per MS-CA verteilt) kann die auch niemand entwenden um sie auf anderen Geräten zu nutzen falls das dein Gedanke dahinter ist.
Cheers briggs
1
Moin,
ja genau ein Amt.
Hintergrund ist das ja ein Notebook entwendet werden könnte und der Dieb sich ja dann mit dem Notebook auf den Parkplatz stellt und dann ja schon direkt im Netz ist (WLAN Verbindung wird schon vor AD-Anmeldung erfolgreich hergestellt). Dann kann der Dieb ja alle möglichen Passwörter ausprobieren...
WLAN Hardware (APs und Controller) ist Huawei (ja ich weiß da lesen die Chinesen sowie mit) aber wie schon oben geschrieben ein Amt da gewinnt der günstigste
MfG
Zitat von @Vision2015:
Moin...
Moin...
wir sind gerade dabei ein dienstliches WLAN aufzubauen.
klingt so nach Amt!ja genau ein Amt.
Hintergrund ist das ja ein Notebook entwendet werden könnte und der Dieb sich ja dann mit dem Notebook auf den Parkplatz stellt und dann ja schon direkt im Netz ist (WLAN Verbindung wird schon vor AD-Anmeldung erfolgreich hergestellt). Dann kann der Dieb ja alle möglichen Passwörter ausprobieren...
WLAN Hardware (APs und Controller) ist Huawei (ja ich weiß da lesen die Chinesen sowie mit) aber wie schon oben geschrieben ein Amt da gewinnt der günstigste
MfG
wenn entwendet wird das ja hoffentlich gemeldet. Dann sperrt man das Computer Zertifikat in der CA (und löscht im NPS den Cache) und das war's mit dem Zugang.
Ansonsten kann man natürlich immernoch jederzeit ein Captive Portal in das Wifi stellen, so wie bei einem Gast Wifi.
Dann muss der PC ein Cert haben und der User darf sich noch mal zusätzlich authentifizieren. Je nach Lösung kann man da auch OAuth\SAML machen
Ansonsten kann man natürlich immernoch jederzeit ein Captive Portal in das Wifi stellen, so wie bei einem Gast Wifi.
Dann muss der PC ein Cert haben und der User darf sich noch mal zusätzlich authentifizieren. Je nach Lösung kann man da auch OAuth\SAML machen
Moin,
Gruß,
Dani
wenn entwendet wird das ja hoffentlich gemeldet. Dann sperrt man das Computer Zertifikat in der CA (und löscht im NPS den Cache) und das war's mit dem Zugang.
setzt voraus, dass entweder ein OSCP oder dir CRL erzeugt wird, veröffentlicht wird und auch erreichbar ist. Möchtest du wetten, ob dem so (nicht) ist?!Hintergrund ist das ja ein Notebook entwendet werden könnte und der Dieb sich ja dann mit dem Notebook auf den Parkplatz stellt und dann ja schon direkt im Netz ist (WLAN Verbindung wird schon vor AD-Anmeldung erfolgreich hergestellt). Dann kann der Dieb ja alle möglichen Passwörter ausprobieren...
Der Angreifer benötigt ja noch gültige Anmeldedaten am Active Directory oder ist auf dem Notebook Autologon aktiviert? Wenn dem so ist, kann man dem Kunde nicht mehr helfen. Wenn dem nicht so ist, werden doch sicherlich Konten nach x Anmeldeversuche gesperrt oder sogar deaktiviert.Gruß,
Dani