Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Bereitstellung von Unternehmens-WLAN an Nicht-Domänennotebooks mit Active Direcory Authentifizierung

Frage Netzwerke LAN, WAN, Wireless

Mitglied: azubaer

azubaer (Level 2) - Jetzt verbinden

10.06.2008, aktualisiert 13.06.2008, 5707 Aufrufe, 4 Kommentare

Es geht um den Zugang zu einem WLAN (für Internet und lokalen Serverzugriff) für Stand-Alone-Clients (keine Domänenmitgliedschaft). Die Authentifizierung zum WLAn soll aber über die vorhandenen AD-Konten abgewickelt werden.

Folgender Hintergrund:
Wir sind eine dezentral arbeitende Beratungsfirma, welche den Mitarbeitern Windows XP Pro Laptops aushändigt. Innerhalb des unternehmens gibt es ein AD, in dem für jeden Mitarbeiter ein user angelegt ist. Diese werden u.a. für VPN-Verbindungen, Exchange-Konten etc benötigt. Aus technischen Gründen ist keiner dieser Computer Mitglied der besagten Active Directory Domäne, da wir nicht gewährleisten können und wollen, dass sich die Mitarbeiter regelmäßig über (aus Kostengründen nicht vorhandenes) Internet mit dem Server authentifizieren.

Nun zum eigentlichen Problem:
Unregelmäßig kommen die Mitarbeiter mit ihren Standalone-Notebooks aber in die Zentrale, in der Sie sich über WLAN mit dem Firmennetz verbinden möchten um ins Internet gehen zu können und um ihre Daten auf den Servern abzulegen.
Im Moment müssen wir jeden Rechner jedesmal bei Bedarf vor Ort manuell und einzeln für WLAN einrichten.
Die Idee ist aber, dass jeder Mitarbeiter auch ohne administrative Hilfe vor Ort selber ins WLAN kommen soll.
Wären die Notebooks in der Domäne (was bei uns mehrmals geprüft wurde aber hier schlicht unmöglich ist) könnte man mit Smartcards eine 801.1x Authentifizierung per Radius-Server realisieren. Bei Standalones klappt dies aber nicht, da auch die Computerzertifikate der Domänen-Computer passen müssen.
Eine andere Idee die wir nun haben, wäre eine Art Hotspot-Lösung. Sprich, der User verbindet sich an ein offenes WLAN, loggt sich auf einer Startseite mit seinem Domänen-Benutzterdaten an und bekommt Zugang zum Netz. Den Hacken den ich daran sehe ist, dass ich weder eine Hotspotsoftware kenne die dies kann, noch weiß, ob eine Verbindung so sicher wäre, da WLAn ja immernoch unverschlüsselt abläuft.

Welche Ideen und Meinungen habt ihr zu diesem Problem?
Bin für alle Tipps dankbar!

Gruß
Martin
Mitglied: 60730
10.06.2008 um 17:52 Uhr
Servus,

verstehe ich dich richtig - das Wlan ist ansonsten ausgeschaltet und wird eingeschaltet - wenn die Anwender in der Zentrale sind?

Wir haben ca. 80 Notebooks im Einsatz - jedes ist Mitglied unserer Domain und 50 davon habe ich (unser Server) seit Anfang des Jahres nicht gesehen - Ersatzgeräte für den Fall des falles usw.
Das läuft "Problemlos, außer das der WSUS gemotzt hat und die Softwareverteilung die Clients gerne als nicht mehr existent deklariert hat - (bis ich den Timeout auf 360 Tage erhöht habe und diese rechner Ihre Updates "anders" bekommen) - meiner Meinung nach ist das kein großes Problem.
Du mußt halt nur für diese rechner eine OU bereithalten, wo WSUS "anders" läuft als sonst.
Bitte warten ..
Mitglied: 51705
10.06.2008 um 18:59 Uhr
Hallo,

ergänzend vielleicht der Hinweis, daß auf einem Domain-Laptop durchaus lokale Anmeldungen genutzt werden können (Offline-Anmeldungen sind, soweit mir bekannt, max. 50 möglich).

Grüße, Steffen
Bitte warten ..
Mitglied: azubaer
13.06.2008 um 11:38 Uhr
Hi, sorry für das späte Feedback...aber jetzt ;)

Unser Cisco AccessPoint ist eigentlich ein gutes Gerät, welches Smartcard-basierte WLAN Authentifizierung unterstützt. Leider ist er sauschwer zu konfigurieren und macht bei WPA/WPA2 Verschlüsselung Probleme mit unseren WLAN-Karten.
However, nehmen wir mal an, dass wir nur WEP-verschlüsselung haben. Da dies zu unsicher ist wollen wir dies ändern. Wir möchten aber nicht bei jedem Mitarbeiter der uns im Bürtro besucht jedesmal am Rechner -wie wir es bislang machen- den WEP-Key eingeben, sondern einen Automatismus in die WLAN Nutzung bei uns bringen. Smartcards wären ne super Lösung. wenn man also einfach einem Besucher eine Art "WLAN-Pass" in Form einer Smartcard geben könnte, er diese einschiebt und sich sein WLAN sofort verbindet - das wäre die Traumlösung. Leider nur realisierbar, wenn alle Rechner in der Domäne sind und jedem Mitarbeiter seine eigene WLAN-Smartcard bereitgestellt wird (da Maschinen und Userabhängig).

Hierfür suchen wir eben eine Alternativlösung.... um WSUS und Softwareverteilung gehts hier garnicht. Nur um den reinen Netzwerkzugang....
Bitte warten ..
Mitglied: azubaer
13.06.2008 um 11:42 Uhr
Hi, auch an dich nochmal sorry wegen des späten feedbacks.

Es ist in der Tat so, dass sich die Domain-Policys nur auf max. 50 lokale Offlineanmeldungen einstellen lassen.
genauso schlimm ist aber, dass das Computerpasswort nach 90 Tagen seine Gültigkeit verliert.
Ohne Domänenmitgliedschaft, sprich ohne regelmäßige Netzwerkverbindung (ob lokal oder via VPN) klappt das 801.1x WLAN-Konzept mit Smartcards nicht.

Wie gesagt wäre das optimalste eine Art "WLAN-Pass", welcher ein zertifikat enthält mit dem man sich am RADIUS Authentifiziert und somit eine sichere, zertifikatbasierte, aber User- und Computerunabhängige WLAN-Verbindung zustande kommt.
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Mac OS X
WLAN Anmeldung vor Active Directory Anmeldung? (1)

Frage von PascalSpethmann zum Thema Mac OS X ...

LAN, WAN, Wireless
gelöst Laptop über WLAN anmelden mit RADIUS im active directory (2)

Frage von tobivan zum Thema LAN, WAN, Wireless ...

LAN, WAN, Wireless
Hat On Networks PL500PS WLAN-Funktion? (4)

Frage von Andy1987 zum Thema LAN, WAN, Wireless ...

Heiß diskutierte Inhalte
Router & Routing
gelöst Ipv4 mieten (22)

Frage von homermg zum Thema Router & Routing ...

Windows Server
DHCP Server switchen (20)

Frage von M.Marz zum Thema Windows Server ...

Exchange Server
gelöst Exchange 2010 Berechtigungen wiederherstellen (20)

Frage von semperf1delis zum Thema Exchange Server ...

Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...