7
802.1X . NPS Server . PEAP mit MSCHAPv2 . Wo braucht man welche Zertifikate
Hallo liebe Community,
ich habe mal eine Frage allgemein zu 802.1X beim NPS Server. Folgendes ist meine Ausgangssituation:
- NPS Server auf Windows 2008 R2
- Active Directory auf Windows 2008 R2
- Active Directory Zertifikatdienste - für die Zertifikate
Auf dem NPS Server
1x Netzwerkrichtlinie für Sichere Dahrtlosverbindungen
1x Netzwerkrichtlinie für Sichere verkabelte Verbindungen
Authentifizierung
- PEAP + MSCHAPv2
____________________________________________________________________________________
Wenn ich meine LAN Clients authentifizieren möchte, muss auf den Clients anscheinend das Serverzertifikat und das Zertifikates der Stammzertifizierungsstelle installiert sein.
Wenn ich aber WLAN Clients (zB. Notebooks oder Smartphones) verbinden möchte, muss aber auf den Geräten kein Zertifikat hinterlegt sein - ich werde lediglich aufgefordert einen Benutzer aus dem Active Directory und ein Passwort einzugeben. Ich hatte es auf einem Smartphone nicht installiert und konnte mich dennoch einwählen - deshalb habe ich es dann auf Notebooks auch versucht und es hat ohne Zertifikat funktioniert...
Ist das richtig oder habe ich etwas falsch eingestellt? Es wäre echt sehr sehr nett, wenn ihr mir helfen könntet
Ganz lieben Gruß,
Desby2
ich habe mal eine Frage allgemein zu 802.1X beim NPS Server. Folgendes ist meine Ausgangssituation:
- NPS Server auf Windows 2008 R2
- Active Directory auf Windows 2008 R2
- Active Directory Zertifikatdienste - für die Zertifikate
Auf dem NPS Server
1x Netzwerkrichtlinie für Sichere Dahrtlosverbindungen
1x Netzwerkrichtlinie für Sichere verkabelte Verbindungen
Authentifizierung
- PEAP + MSCHAPv2
____________________________________________________________________________________
Wenn ich meine LAN Clients authentifizieren möchte, muss auf den Clients anscheinend das Serverzertifikat und das Zertifikates der Stammzertifizierungsstelle installiert sein.
Wenn ich aber WLAN Clients (zB. Notebooks oder Smartphones) verbinden möchte, muss aber auf den Geräten kein Zertifikat hinterlegt sein - ich werde lediglich aufgefordert einen Benutzer aus dem Active Directory und ein Passwort einzugeben. Ich hatte es auf einem Smartphone nicht installiert und konnte mich dennoch einwählen - deshalb habe ich es dann auf Notebooks auch versucht und es hat ohne Zertifikat funktioniert...
Ist das richtig oder habe ich etwas falsch eingestellt? Es wäre echt sehr sehr nett, wenn ihr mir helfen könntet
Ganz lieben Gruß,
Desby2
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 268504
Url: https://administrator.de/contentid/268504
Printed on: April 27, 2024 at 00:04 o'clock
7 Comments
Latest comment
Du musst einen CA erzeugen und brauchst ein Radius Zertifikat für Server und Clients. Das zertifikat verhindert das den Clients ein unbekannter Radius Server untergeschoben werden kann und so die ganze 802.1x Authentisierung damit dann aushebelt.
Grundlagen erklärt dir dieses Tutorial:
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Grundlagen erklärt dir dieses Tutorial:
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Ist das richtig oder habe ich etwas falsch eingestellt?
In 2 Fällen wirst du nicht nach einem Zertifikat gefragt:
a) Der Client vertraut der Stammzertifizierungsstelle schon
b) Du benutzt einen Login ohne Verschlüsselung (also z.B. EAP-MD5 statt EAP-TLS/PEAP)
Hi,
danke für die schnellen Antworten dass ist ja echt toll von euch.
Also bei meinem Handy hatte ich vorher nichts eingerichtet und kein Zertifikat installiert. Beim verbinden mit meinem WLAN habe ich folgendes eingestellt:
EAP-Methode: PEAP
Phase 2-Authentifizierung: MSCHAPv2
CA-Zertifikat:
Benutzerzertifikat:
Identität: Testuser
Passwort: 12345x...
Durch die Einstellungen gehe ich von " a) Der Client vertraut der Stammzertifizierungsstelle schon" aus... könnt ihr euch vorstellen, warum das so sein könnte?
Ich denke, dass es durch die Einstellung PEAP und P2 MSCHAPv2 "b) Du benutzt einen Login ohne Verschlüsselung (also z.B. EAP-MD5 statt EAP-TLS/PEAP)" ausschließt.
________________________________________________________________________________________________________________________
@aqui) Also eine CA hab ich ja schon installiert und die Zertifikate habe ich ja bei dem LAN Client erfolgreich angebunden.
Lieben Gruß
danke für die schnellen Antworten
dass ist ja echt toll von euch.Also bei meinem Handy hatte ich vorher nichts eingerichtet und kein Zertifikat installiert. Beim verbinden mit meinem WLAN habe ich folgendes eingestellt:
EAP-Methode: PEAP
Phase 2-Authentifizierung: MSCHAPv2
CA-Zertifikat:
Benutzerzertifikat:
Identität: Testuser
Passwort: 12345x...
Durch die Einstellungen gehe ich von " a) Der Client vertraut der Stammzertifizierungsstelle schon" aus... könnt ihr euch vorstellen, warum das so sein könnte?
Ich denke, dass es durch die Einstellung PEAP und P2 MSCHAPv2 "b) Du benutzt einen Login ohne Verschlüsselung (also z.B. EAP-MD5 statt EAP-TLS/PEAP)" ausschließt.
________________________________________________________________________________________________________________________
@aqui) Also eine CA hab ich ja schon installiert und die Zertifikate habe ich ja bei dem LAN Client erfolgreich angebunden.
Lieben Gruß
Zitat von @Desby2:
Also bei meinem Handy hatte ich vorher nichts eingerichtet und kein Zertifikat installiert. Beim verbinden mit meinem WLAN habe
ich folgendes eingestellt:
EAP-Methode: PEAP
Phase 2-Authentifizierung: MSCHAPv2
CA-Zertifikat:
Benutzerzertifikat:
Identität: Testuser
Passwort: 12345x...
Durch die Einstellungen gehe ich von " a) Der Client vertraut der Stammzertifizierungsstelle schon" aus... könnt
ihr euch vorstellen, warum das so sein könnte?
Also bei meinem Handy hatte ich vorher nichts eingerichtet und kein Zertifikat installiert. Beim verbinden mit meinem WLAN habe
ich folgendes eingestellt:
EAP-Methode: PEAP
Phase 2-Authentifizierung: MSCHAPv2
CA-Zertifikat:
Benutzerzertifikat:
Identität: Testuser
Passwort: 12345x...
Durch die Einstellungen gehe ich von " a) Der Client vertraut der Stammzertifizierungsstelle schon" aus... könnt
ihr euch vorstellen, warum das so sein könnte?
Ist mit Sicherheit ein Android-Handy. Dem ist das Cert völlig egal - prüft das ach so tolle Android nicht...
Gruß
sk
Hi,
ja genau, dass ist ein Android. Ich hab es auch mit einem BlackBerry Z10 ausprobiert, dass fragt auch nicht nach. Also liegt das an den Geräten und nicht an meiner Konfiguration? Kann ich die Geräte irgendwie dazu zwingen?
Bei meinem Windows 7 Notebook fragt das auch nicht nach dem Zertifikat, ist das dann auch normal?
Entschuldigung, dass ich so blöd nachfrage...
Danke
ja genau, dass ist ein Android. Ich hab es auch mit einem BlackBerry Z10 ausprobiert, dass fragt auch nicht nach. Also liegt das an den Geräten und nicht an meiner Konfiguration? Kann ich die Geräte irgendwie dazu zwingen?
Bei meinem Windows 7 Notebook fragt das auch nicht nach dem Zertifikat, ist das dann auch normal?
Entschuldigung, dass ich so blöd nachfrage...
Danke
Blackberry habe ich nicht getestet.
Bei Win7 sollte es nicht so sein. Es sei denn, Du hast dies bei der Einrichtung des WLAN-Profiles deaktiviert.
Gruß
sk
Bei Win7 sollte es nicht so sein. Es sei denn, Du hast dies bei der Einrichtung des WLAN-Profiles deaktiviert.
Gruß
sk
Hallo zusammen,
leider konnte ich das Problem nicht lösen. Daher ist der Stand noch der, wie ich ihn beschrieben hatte. Das Projekt ist nun durch.
Ich danke euch aber trozdem für die Hilfe!
Ganz lieben Gruß,
Desby2
leider konnte ich das Problem nicht lösen. Daher ist der Stand noch der, wie ich ihn beschrieben hatte. Das Projekt ist nun durch.
Ich danke euch aber trozdem für die Hilfe!
Ganz lieben Gruß,
Desby2