Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

RADIUS-Authentifizierung mit Windows Server 2008 und NPS, mit 802.1x für einen W-LAN zugang für Schüler (aus der AD)

Frage Netzwerke LAN, WAN, Wireless

Mitglied: juschue

juschue (Level 1) - Jetzt verbinden

03.12.2010, aktualisiert 18.10.2012, 10714 Aufrufe, 11 Kommentare

Ich habe vor für Schüler meiner Schule einen WLAN-Accesspoint einzurichten, an dem sie sich mit Benutzername und Passwort aus der ActiveDirectory anmelden können.

Bei der Realisierung habe ich schon einige Anläufe genommen, jedoch hat es nie ganz geklappt. Ich habe einen Windows Server 2008 mit NPS und ADCS, einen Netgear Accesspoint und beliebiges Notebook, ein PDA o. Ä.. Der Client (AP) ist mit IP-Adresse und Kennwort mit dem Server verbunden. Auf dem Server läuft der NPS als RADIUS-Server mit MS-CHAPv2 und nimmt sich die User+Kennwort aus einer Gruppe in der AD. Der NPS ist in der AD auch registriert. Ich habe schon jegliche Variationen bei den NPS Einstellungen ausprobiert, jedoch hat es nie geklappt. Ein Zertifikat ist auch ausgestellt. Wenn ich jetzt einen Laptop oÄ mit dem RADIUS-Client verbinde, sagt mir mein Laptop es wurde kein Zertifikat gefunden. Brauch der Laptop auch das Zertifikat, dass der Server ausstellt um überhaupt eine Verbindung herzustellen? Ist es überhaupt ohne weiteres Möglich jedes beliebige Notebook so mit dem AP zu verbinden um ins Internet zu kommen? Im Netzwerk gibt es einen DHCP-Server über den die Notebooks ihre IP beziehen müssen, würde das ein Problem darstellen?
Mitglied: juschue
03.12.2010 um 18:28 Uhr
Danke schonmal!

ich werde mich nochmal melden wenn es Probleme gibt :S
Bitte warten ..
Mitglied: aqui
03.12.2010, aktualisiert 18.10.2012
Noch einfacher gehts mit einem Captive Portal (Hotspot Lösung) für die Schüler:
http://www.administrator.de/wissen/wlan-oder-lan-gastnetz-einrichten-mi ...
Die dortige Authentifizierung kannst du auch an den IAS (Radius) bzw. AD weiterleiten lassen statt es lokal zu machen. Damit ersparst du dir die Frickelei mit Zertifikaten und kannst zudem noch im Log sehen wer wann was macht...


Wenns das war bitte
http://www.administrator.de/index.php?faq=32
nicht vergessen !
Bitte warten ..
Mitglied: dog
04.12.2010 um 01:11 Uhr
Zum Thema 802.1x im WLAN:

Das läuft bei uns auch grade in der Testphase und es sieht aus, als müssten wir es bald wieder abschießen.
802.1x und WPA2 sind nicht das Problem, die laufen schön sauber (wobei IAS schwer zu debuggen ist), aaaaber Windows-Clients mit so einem WLAN zu verbinden ist gelinde gesagt die Hölle.
Macs, iPhones, iPads - kein Problem. Aber bei Windows sinkt meine Erfolgsrate grade unter 50%
Das hängt
a) An der absolut konfusen Implementierung von 802.1x in Windows
b) An den ganzen Bastel-Treibern, die Notebook-Hersteller ja ach so gerne drauf packen und die völliges Chaos verursachen

Der administrative Aufwand ist einfach nicht mehr handlebar, weil selbst ich schon teilweise 15 Minuten pro Gerät brauche (wenn es überhaupt mal klappt) - von selbst einrichten wollen wir mal gar nicht reden.
Wir werden wohl bald auf offenes WLAN und VPN über ISA-Server wechseln...

Von einfachen Captive Portals ohne Zertifikate würde ich auf jeden Fall im Schulumfeld abraten.
Ein WLAN-Adapter der im promiscuous-Mode läuft kostet 20€ und die Versuchung ist in einer Schule einfach zu groß.
Bitte warten ..
Mitglied: kingkong
05.12.2010 um 15:16 Uhr
Für sowas würde sich auch OpenVPN eignen, denn die verschiedenen WPA2-Implementierungen mit RADIUS sind tatsächlich ziemlich chaotisch durchgeführt worden. Mit Windows XP-Bordmitteln sollte es allerdings schon ziemlich einfach möglich sein, eine Verbindung herzustellen (zumindest meine Versuche haben mit XP Pro SP3 immer ausgezeichnet funktioniert, nur SP2 macht Probleme, allerdings sollte das sowieso nicht mehr zulässig sein, wenn man Clients in sein Netz lässt) und Windows 7 funktioniert auch einwandfrei...
Bitte warten ..
Mitglied: aqui
06.12.2010 um 12:27 Uhr
Na ja OpenVPN in einem Schülernetz ist etwas mit Kanonen auf Spatzen zumal es mit der eigentlichen Fragestellung rein gar nix zu tun hat....
Vermutlich geht es dem Kollegen juschue lediglich um eine Dokumentation wer von seinen Schülern wann das WLAN nutzt.
Generell stellt sich die Frage ob der Weg WPA2 und Radius da der richtige ist. Mit genau dem Chaos was dog dort beschreibt wird das vermutlich für eine Schule mit begrenzten Resourecen und begrenzten Fachwissen sehr schwer zu managen sein.
Der weg dann über ein simples Captive Portal (Hotspot) an der Schule und darüber zu gehen ist erheblich einfacher zumal üder das Portal jo problemlos eine Radius basierende Userabfrage inkl. Accounting problemlos möglich ist... Und das sogar mit Einmalpasswörtern für externe Gäste.
Vermutlich ist es genau das was juschue will.
Aber sein fehlendes Feedback lässt vermuten das er eh das Interesse an einer sinnvollen Lösung verloren hat ?!
Bitte warten ..
Mitglied: juschue
06.12.2010 um 16:35 Uhr
Hallo zusammen, und vielen Dank für das große FeedBack, ich habe in letzter Zeit selbst noch vieles in dem Netzwerk zu basteln und konnte das Wochenende nicht reingucken...
Es geht mir darum, dass Schüler sich anmelden können, aber Externe nicht so ohne weiteres ins Netzwerk kommen, eine Protokollierung wäre wahrscheinlich eher ein angenehmer Nebeneffekt.

Wenn die Implementation mit RADIUS und W-LAN/WPA2 zu schwierigL ist, gibt es denn Programme, die ein Captive Portal, das mit AD o. RADIUS arbeitet?
Bitte warten ..
Mitglied: aqui
06.12.2010, aktualisiert 18.10.2012
Guckst du hier:
http://www.administrator.de/wissen/wlan-oder-lan-gastnetz-einrichten-mi ...
Kannst du schön mit den Schülern in der Informatik AG realisieren....

Die Authentifizierung der Benutzer am Captive Portal kannst du dann auch bequem über Radius machen:
http://doc.m0n0.ch/handbook/ch12s02.html
Bitte warten ..
Mitglied: kingkong
07.12.2010 um 00:22 Uhr
Ehrlich gesagt finde ich OpenVPN durchaus passend. Seine Anforderung ist meiner Meinung nach nur, dass sich die Schüler authentifizieren müssen. Und das ist hier gegeben. Und selbst wenn er Protokolle haben wollte (wobei das dann explizit den Schülern bekannt gemacht werden muss) ist das mit den umfangreichen OpenVPN-Logging-Optionen möglich! Auch der Aufwand ist nicht zu krass - jeder hat seinen Schlüssel und das wars. Das Installieren der Software etc. können die Schüler ja selbst machen (man kann ihnen ja sogar ein angepasstes Installationsprogramm erstellen) Ist z.B. mit einem IPCop o.ä. auch nicht sonderlich viel komplizierter als ein Captive Portal, das aber unerschlüsselt läuft. Wenn ich dog richtig verstanden habe kritisiert er die Möglichkeit, eine fremde Verbindung zu übernehmen und da hat er durchaus Recht. Insbesondere Schüler sind sehr experimentierfreudig - da ist die MAC schnell mal geändert und dann fehlt nicht mehr viel...
Bitte warten ..
Mitglied: aqui
11.12.2010 um 21:37 Uhr
@kingkong
Vielleicht hast du immer noch nicht die Anforderung vom Kollegen juschue verstanden oder durchschaut ?!
Es geht ihm NICHT um den Zugang zum Schulnetzwerk über ein öffentliches Netzwerk wie dem Internet. Damit meint er also NICHT Techniken wie VPN und damit auch OpenVPN.
Es geht ihm lediglich um eine Authentifizierung lokal, also Leute die schon am lokalen Netzwerk sind, insbesondere WLAN Benutzern !
Damit ist das eine klassische Captive Portal Anwendung oder eine Authentisierung nach 802.1x, wobei das Captive Portal mit einer lokalen oder besser zentralen Radius Authentifizierung der erheblich einfachere Weg ist wenn es gilt eine Menge Schüler zu verwalten !
Bitte warten ..
Mitglied: kingkong
12.12.2010 um 12:48 Uhr
Nunja, ich habe die Anforderung durchaus verstanden - ich habe sie ja in meinem obigen Post explizit ausgesprochen. Im Prinzip genau so, wie Du sie auch siehst (mal abgesehen davon, dass "lokal" wohl nicht passt - sie sollen sich ja nicht gegenüber ihrem eigenen Laptop authentifizieren, sondern ggü. dem Netzwerk). Der Unterschied ist nur, dass Du OpenVPN scheinbar nicht als passenden Mechanismus für die Authentifizierung ansiehst. Ist es meiner Meinung nach aber schon.

Sofern die Benutzer bereits in einem WPA/WPA2-gesicherten WLAN-Netzwerk arbeiten und eine zentrale Benutzerdatenbank bereits existiert, gegenüber der die Schüler sich dann nur noch mit ihrem persönlichen Passwort anmelden, ist das Captive Portal auch in Ordnung. Ungesichert kannst Du das aber nicht guten Gewissens machen. Da der TO ja nicht geschrieben hat, wie sein Netz aussieht, sollte das einfach eine Alternative sein.
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung! - BNG - Broadband Network Gateway

(3)

Erfahrungsbericht von ashnod zum Thema Internet ...

Ähnliche Inhalte
Heiß diskutierte Inhalte
Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (17)

Frage von JayyyH zum Thema Switche und Hubs ...

Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

Microsoft Office
Keine Updates für Office 2016 (11)

Frage von Motte990 zum Thema Microsoft Office ...