Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

EAP und Radius W2K3

Frage Netzwerke LAN, WAN, Wireless

Mitglied: jimmyone

jimmyone (Level 1) - Jetzt verbinden

21.08.2009, aktualisiert 18.10.2012, 4988 Aufrufe, 5 Kommentare

Hallo zusammen,

vielleicht kann mir jemand sagen, wie sich folgende Situation auf mein WLAN auswirkt, wenn ich alles
vom PSK auf EAP umstelle... Undzwar so das ich kein Cleintzertifikat brauche.

Angenommen ich habe das also alles konfiguriert.
Habe eine Richtlinie erzeugt welche sagt, es dürfen sich aber nur Benutzer einer bestimmten
Active Directory Sicherheitsgruppe (also einer normalen Benutzergruppe) verbinden und das WLAN nutzen.

Was ist aber jetzt, wenn einer kommt. Ein Gast.
Kein Mitglied der Domäne und hat somit weder ein Computerkonto noch einen Benutzeraccount.

Der will sich verbinden. Wie ist die Reaktion?
Wird während des Verbindungsaufbaus nach einem Username gefragt? Sprich ein Fenster poppt auf.
Dann könnte man ja einen Gast WLAN Account einrichten und die Sache wäre gegessen.

Dieses Kennwort würde sich natürlich regelmäßig ändern...
Ist ja auch nicht die Sache... Es geht mir um die generelle Reaktion.

Danke euch...
Mitglied: aqui
21.08.2009, aktualisiert 18.10.2012
Dafür nimmt man einen Accesspoint der mehrere virtuelle SSIDs supportet und richtet dort zusätzlich zu deiner EAP verschlüsselten SSID eine unverschlüsselte SSID ein z.B. FirmaXYZGastzugang.
Dieser AP spannt dann mit einem Gerät mehrere WLANs auf aus Clientsicht. Sowas können heutzutage auch schon gute und preiswerte Consumer APs.

Diese SSID legt man auf ein vollkommen vom Firmennetz isoliertes LAN oder VLAN um die Gäste sicherheitstechnisch vom Firmen LAN Zu trennen !
Mit einem Captive Portal wie in diesem Tutorial beschrieben:

http://www.administrator.de/wissen/wlan-oder-lan-gastnetz-einrichten-mi ...

Bindest du es ans Firmennetz oder Router dann an !
...Fertig bist du und dein Gastzugang !
Das Captive Portal hat natürlich auch eine Radius Option mit der du dann zentral auch ein Gäste Passwort für dein Captive Portal in deinem IAS verwalten kannst.
Hat man die Hardware ist das in 30 Minuten aufgesetzt !

Kannst das nicht umsetzen bleibt dir immer noch das Captive Portal aber dann musst du zwingend einen separaten zusätzlichen Accesspoint verwenden um ein Gast WLAN aufzuspannen, der natürlich mindestens 5 Funkkanäle von deinem AP entfernt ist um diesen nicht zu stören !
http://www.elektronik-kompendium.de/sites/net/0907031.htm
Bitte warten ..
Mitglied: jimmyone
21.08.2009 um 17:41 Uhr
Hallo,

danke für den guten Beitrag... Meine APs unterstützen an dieser Stelle keine virtual SSIDs.
Das mit dem Gast war nur ein Beispiel... Für Gäste existiert ein extra WLAN, weil die APs nicht multi SSID fähig sind. Der Aufwand würde sich aber an der Stelle jetzt auch nicht lohnen, da aufzurüsten.
Dafür sind zu selsten Gäste hier, die einen Zugriff auf das Internet benötigen.

Mir gehts aber auch mehr um den generellen Verständnis Aspekt in dieser Authentifizierungssache...
Wie der W2K3 das prüft.. Wie fragt er das ab?
Meldet sich der Benutzer z.B. an seinem Notebook lokal an und will aber dann ins WLAN fehlen ihm ja diese Sicherheitsinformationen im Account... Was passiert dann? Gibts ein Fenster zur Anmeldung oder wird verweigert?

Lokal in dem Sinne, er nutzt ein lokales Profil auf dem Notebook... Unwahrscheinlich weil verboten durch uns... Gibt keine lokalen Profile... Aber wie gesagt, es geht darum zu verstehen, wie W2K3 das prüft.

Ich hab versucht irgendein aus der Luft gegriffenes Beispiel zu finden...

Grüße
Bitte warten ..
Mitglied: wiesi200
21.08.2009 um 19:54 Uhr
Binn gerade dabei bei mir es so einzustellen. Hab zwar noch 2-3 Probleme damit. Aber soweit ich es gesehen habe kann man hinterlegen ob die Windowsanmeldung verwendet wird oder ob man einen Benutzer manuell angeben muß
Bitte warten ..
Mitglied: spacyfreak
22.08.2009 um 04:03 Uhr
Bei den Windows clients der Firma poppt je nach Einstellung kein Anmeldefenster auf bei Verwendung von EAP-PEAP MSchapv2.
Bei den Gästen die kein Firmen-Gerät haben muss die einstellung auf dem Client auch vorgenommen werden - da poppt dann aber ein Anmeldefenster auf, der Gast bräuchte im gegebenen Fall ein Active Directory Benutzerkonto um sich am WLAN anmelden zu können. Dazu muss man beim Client den Haken entfernen bei "Automatisch eigenen Windows Anmeldenamen und Kennwort verwenden" bei den EAP-MSCHAPv2 eigenschaften beim Client WLAN Adapter.

Beim Mitarbeiter wird also automatsich das Bentzername/Kennwort Pärchen an den Radius geschickt nachdem sich der User am Notebook anmeldet, und die Gäste melden sich an ihrem Notebook wie sie es gewohnt sind an - anschliessend poppt das WLAN Auth. Fenster auf wo der Gast seine Domaincredentials eingeben muss um sich am WLAN anzumelden.
Bitte warten ..
Mitglied: jimmyone
29.08.2009 um 13:41 Uhr
Hallo zusammen,

so habe das ganze jetzt mal testweise in einer Testumgebung probiert....
Das ganze funktioniert muss man schon sagen... Aber eine Sache ist mir negativ aufgefallen und ich weiß nicht ob es für diesen Punkt eine Richtlinie gibt... Gefunden habe ich auf Anhieb keine.

Und zwar scheint er das Passwort nicht bei jedem Connect bzw. Re-Connect zu prüfen.
Wenn ich sage, das nicht automatisch die Domänen Benutzername und PW Kombination genutzt werden soll...

Dann zeigt er mir eine Sprechblase... Danach erscheint ein Fenster.
Da trage ich den Benutzername, PW und Domäne ein. Klappt.
Beim nächsten Connect, wenn ich als hingehe und dann trenne und wieder auf verbinden klicke, meldet er sich automatisch an.
Er nutzt dann die Anmeldeinformtionen, die ein eingegeben habe.

Aber daran ändert dummerweise auch ein Neustart des Client nichts.
Wenn ich aber doch die Maschine neustarte, dann sollte er alles vergessen. Wo bekommt er also die Anmeldeinformationen für das Netz her?

Eine zweite Sache ist mehr als nervend und könnte das ganze EAP Projekt gefährden... Der Hauseigene WLAN Client von Windows XP unterscheidet offenbar in zwei Profile... Nämlich dem manuellen und dem automatischen. Ihr kennt das... Ihr connected zu einem WLAN.
So lange ihr das nicht manuell trennt, würde er beim erreichen des Netzes automatisch wieder verbinden. Trennt ihr aber manuell, dann müsst ihr auch manuell wieder verbinden. Und genau für diese beiden, ja Profile könnte man sagen gibt es eigene Einstellungen.

Das hat bei mir zu dem Problem geführt, das viele Benutzer das Netz nach Nutzung manuell wieder trennen, weil sie wieder zum Arbeitsplatz im Büro kommen etc. Einstellungen für EAP werden also für das manuelle Profil vorgenommen.
Aber während des Connect schaltet er automatisch um auf das automatisch verbinden Profil. Und da fehlten ihm die EAP Settings. Das Profil stand wie die anderen standardmäßig auf Smartcard. Bis ich das raus hatte verging einige Zeit.

Was macht man denn da? Das kann ich keinem Benutzer zumuten.
Kann man das per Script steuern, wie die Settings sein müssen?
Einmal eingestellt, speichert er das.
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
LAN, WAN, Wireless
gelöst 802.1x Authentifizierung - NPS - RADIUS MAC (4)

Frage von LKaderavek zum Thema LAN, WAN, Wireless ...

Router & Routing
Radius für 15 User direkt über Mikrotik- oder Ubiquiti-Router (4)

Frage von Muesliriegel zum Thema Router & Routing ...

LAN, WAN, Wireless
Dd-wrt Hotspot mit Radius Server und Traffic Volume Limit (19)

Frage von Kubus0815 zum Thema LAN, WAN, Wireless ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (19)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...