Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Freeradius - Ein Zertifikat pro Benutzer?

Frage Sicherheit

Mitglied: HBTuR0k

HBTuR0k (Level 1) - Jetzt verbinden

23.04.2012 um 08:32 Uhr, 3463 Aufrufe, 5 Kommentare

Hallo allerseits,

ich beschäftige mich derzeit mit dem Freeradius-Serverdienst auf OpenSUSE und habe bisher relativ erfolgreich erste Versuche gewagt. Bisher regel ich den Zugang mit der clients.conf und der users.conf.. Wie in mehreren Tutorials hier auch schon super beschrieben wurde. Tests mit WLAN-Accesspoints waren auch erfolgreich. Doch ich möchte den Dienst noch umfangreicher und sicherer gestalten, und zwar mit mehreren Zertifikaten.

Mein Ziel ist es innerhalb eines Betriebes mit mehreren Netzen für jeden Benutzer einzigartige Zugangsdaten zur Verfügung zu stellen und gewährleisten, dass wirklich nur er diese Daten nutzen kann und niemand anderes. Also könnte man theoretisch pro Benutzer ein Zertifikat erstellen. Ist dies möglich? Zwar wäre das zu Beginn viel Aufwand, würde sich später sicher als nützlich erweisen. Zudem würden wir dieses Zertifikat nicht lokal, sondern auf einen USB-Stick oder eToken speichern oder ein bereits vorhandenes verwenden wollen. Somit könnte jemand nur Zugang zum Netzwerk erlangen, der sich den Token unter den Nagel gerissen hat und sogar das Passwort von dem Zugangskonto verfügt.

Ich hoffe ich habe mein Anliegen halbwegs verständlich geschildert.
Danke im Voraus!
Mitglied: aqui
23.04.2012 um 11:00 Uhr
Ja, natürlich ist das problemlos möglich. Man generiert die Zertifikate mit OpenSSL oder sofern man einen Winblows Server mit AD hat dort mit dem certsrv.
Importiert diese Zertifikate und schaltet den .1x Client auf dem Rechner auf Token und Zertifikatsbetrieb...das wars.
http://bryanhinton.com/radius-and-802.1x
http://www.cs.umd.edu/~mvanopst/8021x/howto/client.html
Bitte warten ..
Mitglied: HBTuR0k
23.04.2012 um 11:26 Uhr
Schon mal danke für die schnelle Antwort, allerdings komme ich mit dem ersten Tutorial gar nicht zurecht... Kann wohl daran liegen, dass ich noch der totale Linux-Anfänger bin ..
Sind all diese Schritte nur für EIN Zertifikat notwendig? Gibt es vllt eine Alternative? Hab schon kräftig gesucht, aber im Endeffekt nichts passendes gefunden, was mir helfen könnte..

Oder anders.... Wie kann ich denn eine MySQL-Datenbank unter den RADIUS-Server klemmen? Wäre diese dann praktisch nur ein Ersatz für die "users.conf"? Kann man auch beim freeradius bestimmen, dass der Zugang z.B nach 3 fehlgeschlagenen Versuchen für eine Stunde gesperrt ist?
Bitte warten ..
Mitglied: aqui
23.04.2012 um 11:43 Uhr
Besorg dir ein OpenSSL Buch oder frag Dr. Google. Dia gibt es zuhauf Anleitungen dazu. Mit Linux hat einen Zertifikats Erstellung nicht das geringste zu tun, da machst du irgendwie einen Denkfehler....
Du musst für jeden User entweder mit OpenSSL oder Winblows ein Client Zertifikat erstellen. Genau das wolltest du ja auch ?!
Wie du die MySQL Datenbank unter FreeRadius einbindest findest du auf der FreeRadius.org Webseite mit diversen Tutorials beschrieben oder auch wieder bei Dr. Google denn dafür gibt es tausendfach Dokumente im Netz da das eine weltweit verbreitete simple Standardkonfig ist !
Bitte warten ..
Mitglied: HBTuR0k
07.05.2012 um 12:45 Uhr
Nun gut, ich bin bisher immer noch nicht weiter gekommen, hatte allerdings auch wenig Zeit dafür..

Folgendes:
Wir haben in unserer Firma eToken-USB-Sticks mit vorgefertigten Zertifikaten drauf, die wir beliebig exportieren können. Nun kam uns die Idee, dass man die Zertifikate auf dem eToken für die Authentifizierung am RADIUS-Server verwendet, damit WLAN-Clients dann überhaupt Zugriff ins Netz haben können. Sprich, eToken nicht drin = keine Verbindung zum WLAN möglich. Könnte es theoretisch bedeuten, dass wir jedes einzelne Zertifikat von jedem eToken exportieren und auf den RADIUS-Server übertragen müssen? Ist das überhaupt möglich den Server mit diesen Zertifikaten lauffähig zu machen?
Bitte warten ..
Mitglied: aqui
07.05.2012 um 17:26 Uhr
Ja, das geht. Von allen am Markt befindlichen e-Token Herstellern gibt es ein Plugin für FreeRadius was das automatisiert.
Diese Software wird installiert und erzeugt dann automatisch im Server die passenden Zertifikate. Das ist genereller Standard schon seit Jahren für diese e-Tokens.
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless
WLAN EAP-TLS mit FreeRadius unsupported certificate (3)

Frage von Phill93 zum Thema LAN, WAN, Wireless ...

LAN, WAN, Wireless
Freeradius, einige Win10-Clients machen Probleme (2)

Frage von mrserious73 zum Thema LAN, WAN, Wireless ...

LAN, WAN, Wireless
PfSense: Freeradius, EAP-TLS, VLAN-Zuordnung (5)

Frage von mrserious73 zum Thema LAN, WAN, Wireless ...

Neue Wissensbeiträge
Firewall

PfSense Repository für Version 2.3.x

(2)

Information von Dobby zum Thema Firewall ...

LAN, WAN, Wireless

WPA-2 hat erste Risse: KRACK

(4)

Information von the-buccaneer zum Thema LAN, WAN, Wireless ...

Hardware

GPD Pocket: Winziger Laptop für Wenig Tipper

(1)

Information von pelzfrucht zum Thema Hardware ...

Windows 10

Microsoft veröffentlicht das "Fall Creators Update

(10)

Information von Penny.Cilin zum Thema Windows 10 ...

Heiß diskutierte Inhalte
Windows Server
gelöst Gruppenrichtlinie greift nicht zu! (23)

Frage von Syosse zum Thema Windows Server ...

Hosting & Housing
Mailserver Software Empfehlungen (20)

Frage von sunics zum Thema Hosting & Housing ...

Windows 7
gelöst Windows 7 Anmeldedomäne festlegen (13)

Frage von flotaut zum Thema Windows 7 ...