Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Freeradius - Ein Zertifikat pro Benutzer?

Frage Sicherheit

Mitglied: HBTuR0k

HBTuR0k (Level 1) - Jetzt verbinden

23.04.2012 um 08:32 Uhr, 3375 Aufrufe, 5 Kommentare

Hallo allerseits,

ich beschäftige mich derzeit mit dem Freeradius-Serverdienst auf OpenSUSE und habe bisher relativ erfolgreich erste Versuche gewagt. Bisher regel ich den Zugang mit der clients.conf und der users.conf.. Wie in mehreren Tutorials hier auch schon super beschrieben wurde. Tests mit WLAN-Accesspoints waren auch erfolgreich. Doch ich möchte den Dienst noch umfangreicher und sicherer gestalten, und zwar mit mehreren Zertifikaten.

Mein Ziel ist es innerhalb eines Betriebes mit mehreren Netzen für jeden Benutzer einzigartige Zugangsdaten zur Verfügung zu stellen und gewährleisten, dass wirklich nur er diese Daten nutzen kann und niemand anderes. Also könnte man theoretisch pro Benutzer ein Zertifikat erstellen. Ist dies möglich? Zwar wäre das zu Beginn viel Aufwand, würde sich später sicher als nützlich erweisen. Zudem würden wir dieses Zertifikat nicht lokal, sondern auf einen USB-Stick oder eToken speichern oder ein bereits vorhandenes verwenden wollen. Somit könnte jemand nur Zugang zum Netzwerk erlangen, der sich den Token unter den Nagel gerissen hat und sogar das Passwort von dem Zugangskonto verfügt.

Ich hoffe ich habe mein Anliegen halbwegs verständlich geschildert.
Danke im Voraus!
Mitglied: aqui
23.04.2012 um 11:00 Uhr
Ja, natürlich ist das problemlos möglich. Man generiert die Zertifikate mit OpenSSL oder sofern man einen Winblows Server mit AD hat dort mit dem certsrv.
Importiert diese Zertifikate und schaltet den .1x Client auf dem Rechner auf Token und Zertifikatsbetrieb...das wars.
http://bryanhinton.com/radius-and-802.1x
http://www.cs.umd.edu/~mvanopst/8021x/howto/client.html
Bitte warten ..
Mitglied: HBTuR0k
23.04.2012 um 11:26 Uhr
Schon mal danke für die schnelle Antwort, allerdings komme ich mit dem ersten Tutorial gar nicht zurecht... Kann wohl daran liegen, dass ich noch der totale Linux-Anfänger bin ..
Sind all diese Schritte nur für EIN Zertifikat notwendig? Gibt es vllt eine Alternative? Hab schon kräftig gesucht, aber im Endeffekt nichts passendes gefunden, was mir helfen könnte..

Oder anders.... Wie kann ich denn eine MySQL-Datenbank unter den RADIUS-Server klemmen? Wäre diese dann praktisch nur ein Ersatz für die "users.conf"? Kann man auch beim freeradius bestimmen, dass der Zugang z.B nach 3 fehlgeschlagenen Versuchen für eine Stunde gesperrt ist?
Bitte warten ..
Mitglied: aqui
23.04.2012 um 11:43 Uhr
Besorg dir ein OpenSSL Buch oder frag Dr. Google. Dia gibt es zuhauf Anleitungen dazu. Mit Linux hat einen Zertifikats Erstellung nicht das geringste zu tun, da machst du irgendwie einen Denkfehler....
Du musst für jeden User entweder mit OpenSSL oder Winblows ein Client Zertifikat erstellen. Genau das wolltest du ja auch ?!
Wie du die MySQL Datenbank unter FreeRadius einbindest findest du auf der FreeRadius.org Webseite mit diversen Tutorials beschrieben oder auch wieder bei Dr. Google denn dafür gibt es tausendfach Dokumente im Netz da das eine weltweit verbreitete simple Standardkonfig ist !
Bitte warten ..
Mitglied: HBTuR0k
07.05.2012 um 12:45 Uhr
Nun gut, ich bin bisher immer noch nicht weiter gekommen, hatte allerdings auch wenig Zeit dafür..

Folgendes:
Wir haben in unserer Firma eToken-USB-Sticks mit vorgefertigten Zertifikaten drauf, die wir beliebig exportieren können. Nun kam uns die Idee, dass man die Zertifikate auf dem eToken für die Authentifizierung am RADIUS-Server verwendet, damit WLAN-Clients dann überhaupt Zugriff ins Netz haben können. Sprich, eToken nicht drin = keine Verbindung zum WLAN möglich. Könnte es theoretisch bedeuten, dass wir jedes einzelne Zertifikat von jedem eToken exportieren und auf den RADIUS-Server übertragen müssen? Ist das überhaupt möglich den Server mit diesen Zertifikaten lauffähig zu machen?
Bitte warten ..
Mitglied: aqui
07.05.2012 um 17:26 Uhr
Ja, das geht. Von allen am Markt befindlichen e-Token Herstellern gibt es ein Plugin für FreeRadius was das automatisiert.
Diese Software wird installiert und erzeugt dann automatisch im Server die passenden Zertifikate. Das ist genereller Standard schon seit Jahren für diese e-Tokens.
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Verschlüsselung & Zertifikate
gelöst FreeRadius: Zertifikat erstellen failed. - pfSense (1)

Frage von Pertinaxo zum Thema Verschlüsselung & Zertifikate ...

Netzwerkmanagement
FreeRadius - Anmelden nur mit Zertifikat - Wie? (1)

Frage von sleeplessnight zum Thema Netzwerkmanagement ...

Windows Server
Windows Server 2012 R2 Benutzerkonto für Zugriff auf AD Benutzer (1)

Frage von JulianOhm zum Thema Windows Server ...

Windows Tools
Automatischer FTP-Upload ohne angemeldeten Benutzer (5)

Frage von SarekHL zum Thema Windows Tools ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (33)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...