Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Freeradius - Ein Zertifikat pro Benutzer?

Frage Sicherheit

Mitglied: HBTuR0k

HBTuR0k (Level 1) - Jetzt verbinden

23.04.2012 um 08:32 Uhr, 3480 Aufrufe, 5 Kommentare

Hallo allerseits,

ich beschäftige mich derzeit mit dem Freeradius-Serverdienst auf OpenSUSE und habe bisher relativ erfolgreich erste Versuche gewagt. Bisher regel ich den Zugang mit der clients.conf und der users.conf.. Wie in mehreren Tutorials hier auch schon super beschrieben wurde. Tests mit WLAN-Accesspoints waren auch erfolgreich. Doch ich möchte den Dienst noch umfangreicher und sicherer gestalten, und zwar mit mehreren Zertifikaten.

Mein Ziel ist es innerhalb eines Betriebes mit mehreren Netzen für jeden Benutzer einzigartige Zugangsdaten zur Verfügung zu stellen und gewährleisten, dass wirklich nur er diese Daten nutzen kann und niemand anderes. Also könnte man theoretisch pro Benutzer ein Zertifikat erstellen. Ist dies möglich? Zwar wäre das zu Beginn viel Aufwand, würde sich später sicher als nützlich erweisen. Zudem würden wir dieses Zertifikat nicht lokal, sondern auf einen USB-Stick oder eToken speichern oder ein bereits vorhandenes verwenden wollen. Somit könnte jemand nur Zugang zum Netzwerk erlangen, der sich den Token unter den Nagel gerissen hat und sogar das Passwort von dem Zugangskonto verfügt.

Ich hoffe ich habe mein Anliegen halbwegs verständlich geschildert.
Danke im Voraus!
Mitglied: aqui
23.04.2012 um 11:00 Uhr
Ja, natürlich ist das problemlos möglich. Man generiert die Zertifikate mit OpenSSL oder sofern man einen Winblows Server mit AD hat dort mit dem certsrv.
Importiert diese Zertifikate und schaltet den .1x Client auf dem Rechner auf Token und Zertifikatsbetrieb...das wars.
http://bryanhinton.com/radius-and-802.1x
http://www.cs.umd.edu/~mvanopst/8021x/howto/client.html
Bitte warten ..
Mitglied: HBTuR0k
23.04.2012 um 11:26 Uhr
Schon mal danke für die schnelle Antwort, allerdings komme ich mit dem ersten Tutorial gar nicht zurecht... Kann wohl daran liegen, dass ich noch der totale Linux-Anfänger bin ..
Sind all diese Schritte nur für EIN Zertifikat notwendig? Gibt es vllt eine Alternative? Hab schon kräftig gesucht, aber im Endeffekt nichts passendes gefunden, was mir helfen könnte..

Oder anders.... Wie kann ich denn eine MySQL-Datenbank unter den RADIUS-Server klemmen? Wäre diese dann praktisch nur ein Ersatz für die "users.conf"? Kann man auch beim freeradius bestimmen, dass der Zugang z.B nach 3 fehlgeschlagenen Versuchen für eine Stunde gesperrt ist?
Bitte warten ..
Mitglied: aqui
23.04.2012 um 11:43 Uhr
Besorg dir ein OpenSSL Buch oder frag Dr. Google. Dia gibt es zuhauf Anleitungen dazu. Mit Linux hat einen Zertifikats Erstellung nicht das geringste zu tun, da machst du irgendwie einen Denkfehler....
Du musst für jeden User entweder mit OpenSSL oder Winblows ein Client Zertifikat erstellen. Genau das wolltest du ja auch ?!
Wie du die MySQL Datenbank unter FreeRadius einbindest findest du auf der FreeRadius.org Webseite mit diversen Tutorials beschrieben oder auch wieder bei Dr. Google denn dafür gibt es tausendfach Dokumente im Netz da das eine weltweit verbreitete simple Standardkonfig ist !
Bitte warten ..
Mitglied: HBTuR0k
07.05.2012 um 12:45 Uhr
Nun gut, ich bin bisher immer noch nicht weiter gekommen, hatte allerdings auch wenig Zeit dafür..

Folgendes:
Wir haben in unserer Firma eToken-USB-Sticks mit vorgefertigten Zertifikaten drauf, die wir beliebig exportieren können. Nun kam uns die Idee, dass man die Zertifikate auf dem eToken für die Authentifizierung am RADIUS-Server verwendet, damit WLAN-Clients dann überhaupt Zugriff ins Netz haben können. Sprich, eToken nicht drin = keine Verbindung zum WLAN möglich. Könnte es theoretisch bedeuten, dass wir jedes einzelne Zertifikat von jedem eToken exportieren und auf den RADIUS-Server übertragen müssen? Ist das überhaupt möglich den Server mit diesen Zertifikaten lauffähig zu machen?
Bitte warten ..
Mitglied: aqui
07.05.2012 um 17:26 Uhr
Ja, das geht. Von allen am Markt befindlichen e-Token Herstellern gibt es ein Plugin für FreeRadius was das automatisiert.
Diese Software wird installiert und erzeugt dann automatisch im Server die passenden Zertifikate. Das ist genereller Standard schon seit Jahren für diese e-Tokens.
Bitte warten ..
Ähnliche Inhalte
Linux Netzwerk
Freeradius Server ohne Zertifikate betreiben
Frage von HenkamLinux Netzwerk4 Kommentare

Hallo an Alle, nach langer Zeit stehe ich mal wieder vor einem Problem. Auf der Basis von Suse 12.2 ...

LAN, WAN, Wireless
WLAN mit Zertifikaten über Freeradius
Frage von TheBesthLAN, WAN, Wireless1 Kommentar

Hallo, ich habe mal eine spezielle Frage: Ist es möglich Freeradius so zu konfigurieren, dass ich folgendes erreichen kann: ...

Netzwerkmanagement
FreeRadius - Anmelden nur mit Zertifikat - Wie?
Frage von sleeplessnightNetzwerkmanagement1 Kommentar

Hallo ihr, ich hab soweit den Radius am laufen. Mein Problem dabei: Er akzeptiert unter Peap Username+Passwort ohne jegliches ...

Verschlüsselung & Zertifikate
FreeRadius: Zertifikat erstellen failed. - pfSense
gelöst Frage von PertinaxoVerschlüsselung & Zertifikate1 Kommentar

Guten Morgen, ich arbeite aktuell an meiner Projektarbeit. Mein System auf dem ich arbeite ist ein x86. - Intel ...

Neue Wissensbeiträge
Windows 10

Autsch: Microsoft bündelt Windows 10 mit unsicherer Passwort-Manager-App

Tipp von kgborn vor 13 StundenWindows 102 Kommentare

Unter Microsofts Windows 10 haben Endbenutzer keine Kontrolle mehr, was Microsoft an Apps auf dem Betriebssystem installiert (die Windows ...

Sicherheits-Tools

Achtung: Sicherheitslücke im FortiClient VPN-Client

Tipp von kgborn vor 15 StundenSicherheits-Tools

Ich weiß nicht, wie häufig die NextGeneration Endpoint Protection-Lösung von Fortinet in deutschen Unternehmen eingesetzt wird. An dieser Stelle ...

Internet

USA: Die FCC schaff die Netzneutralität ab

Information von Frank vor 1 TagInternet3 Kommentare

Jetzt beschädigt US-Präsident Donald Trump auch noch das Internet. Der neu eingesetzte FCC-Chef Ajit Pai ist bekannter Gegner einer ...

DSL, VDSL

ALL-BM200VDSL2V - Neues VDSL-Modem mit Vectoring von Allnet

Information von Lochkartenstanzer vor 1 TagDSL, VDSL2 Kommentare

Moin, Falls jemand eine Alternative zu dem draytek sucht: Gruß lks

Heiß diskutierte Inhalte
TK-Netze & Geräte
VPN-fähige IP-Telefone
Frage von the-buccaneerTK-Netze & Geräte16 Kommentare

Hi! Weiss noch jemand ein VPN-fähiges IP-Telefon mit dem man z.B. einen Heimarbeitsplatz gesichert anbinden könnte? Habe nur einen ...

Windows Server
GPO nur für bestimmte Computer
Frage von Leo-leWindows Server13 Kommentare

Hallo Forum, gern würde ich ein Robocopy script per Bat an eine GPO hängen. Wichtig wäre aber dort der ...

Windows Server
KMS Facts for Client configuration
Frage von winlinWindows Server13 Kommentare

Hey Leute, wir haben in unserem Netz nun einen neuen KMS Server. Haben Bestands-VMs die noch nicht aktiviert sind. ...

Windows Tools
Software-Tool zum Entfernen von bösartigem Windows
Frage von emeriksWindows Tools11 Kommentare

Hi, siehe Betreff hat das jemals irgendjemand schonmal sinnvoll eingesetzt? (MRT) E.