7
WLAN-User protokollieren mit ISA Server 2004, Symbol WS5000 und Radius
Hallo!
da ich langsam selbst mit meinen Formulierungen für die Suchbegriffe zu meinem Problem am Ende bin, muss ich doch mal selber einen Beitrag aufmachen! Ich hoffe jemandem ist das Problem bekannt und kann mir vielleicht helfen.
Es geht um folgende Umgebung:
- ISA-Server 2004 SP3 auf Windows Server 2003 (Domain Member)
- Symbol WS5000 WLAN-Switch (neuste Firmware)
- Active Directory im Win 2000/2003 Modus
Erstmal der Aufbau:
Wir haben bei uns WLAN-Netz aufgebaut, welches mit einem Symbol WS5000 Switch als Herz betrieben wird und derzeit ein einfaches WPA mit einem Pre-Shared Key betreibt. Damit nicht alle User einfach mit ihren Laptops(keine Domänen-Computer) in das Internet kommen, setzen wir dazu einen ISA Server 2004 mit einem HTTP-Proxy ein, an dem Sie sich mit einem AD-User authentifizieren.
Soweit funktioniert das Ganze auch, allerdings möchte ich weg von dem Proxy, da er immer von Hand im Browser aktiviert und deaktiviert werden muss.
Aus diesem Grund habe ich nun ein zweites WLAN auf dem Symbol konfiguriert, welches einen IAS (Internetauthentifizierungsdienst auf einem Windows 2000 DC) per Radius (PEAP) kontaktiert und damit den Zugang zu dem Netz steuert! Dieses funktioniert auch grundsätzlich.
Das Problem:
Wenn ich jetzt allerdings auf den ISA schaue, kann ich bei dem Protokollieren des HTTP-Verkehrs leider nicht mehr sehen welcher User die Anfragen schickt, es wird nur "anonymous" angzeigt.
Die Fragen:
Gibt es eine Möglichkeit, dass der User in der Protokollierung des ISA-Servers angezeigt wird und somit auch protokolliert werden kann?
Muss auch nicht zwingend im ISA geschehen, allerdings muss ich irgendwie eine Möglichkeit haben, auf anfrage zu sagen, wann welcher User auf welcher Seite war!
Ich hoffe ich konnte das Problem relativ klar beschreiben, falls noch Infos benötigt werden, werde ich mich bemühen sie so schnell wie möglich mitzuteilen!
Danke im voraus!
- ISA-Server 2004 SP3 auf Windows Server 2003 (Domain Member)
- Symbol WS5000 WLAN-Switch (neuste Firmware)
- Active Directory im Win 2000/2003 Modus
Erstmal der Aufbau:
Wir haben bei uns WLAN-Netz aufgebaut, welches mit einem Symbol WS5000 Switch als Herz betrieben wird und derzeit ein einfaches WPA mit einem Pre-Shared Key betreibt. Damit nicht alle User einfach mit ihren Laptops(keine Domänen-Computer) in das Internet kommen, setzen wir dazu einen ISA Server 2004 mit einem HTTP-Proxy ein, an dem Sie sich mit einem AD-User authentifizieren.
Soweit funktioniert das Ganze auch, allerdings möchte ich weg von dem Proxy, da er immer von Hand im Browser aktiviert und deaktiviert werden muss.
Aus diesem Grund habe ich nun ein zweites WLAN auf dem Symbol konfiguriert, welches einen IAS (Internetauthentifizierungsdienst auf einem Windows 2000 DC) per Radius (PEAP) kontaktiert und damit den Zugang zu dem Netz steuert! Dieses funktioniert auch grundsätzlich.
Das Problem:
Wenn ich jetzt allerdings auf den ISA schaue, kann ich bei dem Protokollieren des HTTP-Verkehrs leider nicht mehr sehen welcher User die Anfragen schickt, es wird nur "anonymous" angzeigt.
Die Fragen:
Gibt es eine Möglichkeit, dass der User in der Protokollierung des ISA-Servers angezeigt wird und somit auch protokolliert werden kann?
Muss auch nicht zwingend im ISA geschehen, allerdings muss ich irgendwie eine Möglichkeit haben, auf anfrage zu sagen, wann welcher User auf welcher Seite war!
Ich hoffe ich konnte das Problem relativ klar beschreiben, falls noch Infos benötigt werden, werde ich mich bemühen sie so schnell wie möglich mitzuteilen!
Danke im voraus!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 149550
Url: https://administrator.de/contentid/149550
Printed on: April 19, 2024 at 20:04 o'clock
7 Comments
Latest comment
hallo,
wie wärs, wenn du des konstrukt so lässt und einfach im logon skript die proxyserver einstellungen übergibst? dann würdest du die ganze radius geschichte nicht brauchen?
grüße
wie wärs, wenn du des konstrukt so lässt und einfach im logon skript die proxyserver einstellungen übergibst? dann würdest du die ganze radius geschichte nicht brauchen?
grüße
Würde ich auch gerne machen, aber die einzige mir bekannte Methode ist es das WLAN als einfaches WLAN zu belassen und den ISA als VPN-Server für die Clients zu benutzen.
Eigentlich eine gute Idee, aber leider sind die Laptops nicht in der Domäne und auch nicht in meinem/unserem Besitz!(Wir sind eine Hochschule und es handelt sich dabei die Laptops der Studenten) Deshalb kann ich leider kein logon skript auf den Geräten ausführen.
hallo, mir wäre jetzt noch was eingefallen, was evlt auch ne lösung wäre.
und zwar kennt ihr ja die möglichkeit, wie sie am flughafen oder am bahnhof besteht.
user will ins internet und muss sich auf einer seite anmelden. nach erfolgreicher anmeldung kann man dann im inet surfen.
quasi ein vpn server mit webauthentivizirung..
grüße
und zwar kennt ihr ja die möglichkeit, wie sie am flughafen oder am bahnhof besteht.
user will ins internet und muss sich auf einer seite anmelden. nach erfolgreicher anmeldung kann man dann im inet surfen.
quasi ein vpn server mit webauthentivizirung..
grüße
Das ist ein Captive Portal.
Die entsprechende Software für ISA ist: http://www.collectivesoftware.com/Products/Captivate
So etwas sollte man sich natürlich aufgrund der Sicherheit immer 2x überlegen.
Die entsprechende Software für ISA ist: http://www.collectivesoftware.com/Products/Captivate
So etwas sollte man sich natürlich aufgrund der Sicherheit immer 2x überlegen.
Zitat von @dog:
Das ist ein Captive Portal.
Die entsprechende Software für ISA ist: http://www.collectivesoftware.com/Products/Captivate
So etwas sollte man sich natürlich aufgrund der Sicherheit immer 2x überlegen.
Das ist ein Captive Portal.
Die entsprechende Software für ISA ist: http://www.collectivesoftware.com/Products/Captivate
So etwas sollte man sich natürlich aufgrund der Sicherheit immer 2x überlegen.
Das sieht doch schon nach der Lösung aus die ich mir vorstelle! Werde ich heute mal testen!
Was genau ist denn das Sicherheitskritische an dieser Lösung?
Das kritische ist wenn du das CP offen betreibst wie es ja gemeinhin auch bei CPs üblich ist. Es ist natürlich nur für die User kritisch wenn sie vertrauliche Daten über das WLAN übertragen nicht für dich als Betreiber.
Es hindert dich aber niemand darand das CP auch mit WPA zu betreiben, da es dir ja nur um die User Registrierung geht und ganu das ist damit problemlos machbar.
Ebenso können die Studenten ja auch ein VPN über das WLAN CP betreiben wie es beu fast allen Unis und Hochschulen ja auch die Regel ist.
Über das VPN Login wäre dann ebenso wieder ein User Accounting möglich. Viele Wege führen nach Rom....
Weitere Anleitungen zu dem Thema findest du hier:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Es hindert dich aber niemand darand das CP auch mit WPA zu betreiben, da es dir ja nur um die User Registrierung geht und ganu das ist damit problemlos machbar.
Ebenso können die Studenten ja auch ein VPN über das WLAN CP betreiben wie es beu fast allen Unis und Hochschulen ja auch die Regel ist.
Über das VPN Login wäre dann ebenso wieder ein User Accounting möglich. Viele Wege führen nach Rom....
Weitere Anleitungen zu dem Thema findest du hier:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
