Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Radius und Backupserver

Frage Sicherheit Verschlüsselung & Zertifikate

Mitglied: Xaero1982

Xaero1982 (Level 4) - Jetzt verbinden

16.12.2013, aktualisiert 17.12.2013, 2334 Aufrufe, 6 Kommentare, 1 Danke

Hallo Zusammen,

ich versuche mich derzeit an der Radiusnutzung für WLAN.

Ich habe auf einem Server 2008 die Zertifizierungsstelle installiert und den NPS. Das läuft auch alles so weit.

Nun würde ich aber gerne einen BackupNPS einrichten, falls der andere mal ausfällt o.ä.

Nun stelle ich mir die Frage wie das mit den Zertifikaten läuft. Muss ich für den zweiten NPS ein neues Zertifikat ausstellen? So wie ich das sehe: Ja, weil das ja für den anderen Server ausgetellt wurde?!
Muss ich denn das zweite Zertifikat dann auch über die GPO auf den Clients verteilen?

Oder wie genau läuft das?

Wirklich viel Infos find ich leider nicht und eine Anleitung zum 2003er oder Freeradius hilft mir leider nicht weiter.

Gruß und Dank
Mitglied: Coreknabe
17.12.2013 um 08:56 Uhr
Moin,

auch wenn man immer wieder hört, dass man das nicht machen soll: Ich habe den Zertifikatsserver auf einem DC installiert. Ist auch in Microsoft-Büchern so beschrieben. Falls Du nähere Infos brauchst, suche ich das noch mal raus.

Gruß
Bitte warten ..
Mitglied: spacyfreak
LÖSUNG 17.12.2013, aktualisiert um 10:46 Uhr
Radius für WLAN - da gibt es 2 Varianten:

PEAP (EAP-Mschapv2) oder PEAP (EAP-TLS).

Bei erster Variante authentisiert sich der Radius-Server selbst beim anfragenden Client mit dem Radius Serverzertifikat.
Dieses Zertifikat kannst du auf beliebigen Radius-Servern verwenden, der Hostname oder DNS Name des Radius-Servers ist unerheblich für diesen Anwendungszweck. Einfach Serverzert exportieren und auf dem Backup NPS importieren (Certsotre Local Computer) und in der RAS Policy bei Profile.. Authentication.. EAP einbinden. Der Client dagegen authentisiert sich bei dieser Variante beim Radius-Server mit seinen Domaincredentials (Username / Kennwort) und benötigt kein Clientzertifikat. Allerdings braucht der Client das Root CA Zertifikat der CA, die das Radiusserverzertifikat signiert hat.
Sonst würde der Client dem Radiusserver Zertifikat nicht vertrauen.

Bei zweiter Variante authentisiert sich der Radiusserver mit seinem Servercert beim anfragenden Client - und der Client hat auch ein eigenes Clientzertifikat, mit dem er sich beim Radius authentisiert. Hier macht eine PKI die ins AD integriert ist Sinn, damit die Clients automatisch ihr individuelles Clientzertifikat bekommen.

Bei beiden Varianten muss das Root CA Zertifikat (nicht das Radiusserverzertifikat) an die Clients verteilt werden (Certstore "Vertrauenswürdige Stammzertifizierungsstellen") da der Client dem Radiusserver ja sonst nicht vertraut. Das Prinzip ist da selbe wie bei https://postbank.de - der Posstbank Webserver sendet beim Zugriff meinem Browser sein webzertifikat, und damit ich sicher sein kann, dass dies tatsächlich der Postbankserver ist, muss ich diesem Zertifikat vertrauen. Und das kann ich nur, wenn das Postbankzertifikat von einer Root CA signiert wurde, deren Root CA Zertfiikat sich in meinem Certstore "vertrauenswürdige stammzertifizierungsstellen" befindet. Ggfs. muss auch ein "intermediate CA Zertifikat" ( je nach Cert-chain ) installiert werden im entspr. Ordner.
Bitte warten ..
Mitglied: Xaero1982
17.12.2013 um 11:14 Uhr
Moin,

coreknabe, ich glaube du hast mein Problem missverstanden

@spacyfreak: Ich danke dir für die ausführlichen Informationen. Dass mit dem Root CA hab ich dann wohl tatsächlich falsch gemacht. Ich habe das Radiuszertifikat verteilt, mit dem es ja auch geht, aber vermutlich dann eben nur gegenüber dem einen Radiusserver.

Benutzen tu ich hier EAP-MSCHAPv2.

Gruß und Dank
Bitte warten ..
Mitglied: Xaero1982
17.12.2013 um 12:26 Uhr
Ich habe doch noch mal eine Frage.

Dieses Root Zertifikat ist für:

"Alle ausgegebenen Richtlinien"
"Alle Anwendungsrichtlinien"

Des Weiteren kann ich es auf einem Client auch exportieren.

Nun stell ich mir die Frage: Was kann man denn mit dem Zertifikat noch so anstellen, auch wenn man keine Benutzerdaten hat?

Deswegen hatte ich ein Zertifikat ausgestellt für die Clientauthentifizierung.

Gruß
Bitte warten ..
Mitglied: spacyfreak
17.12.2013, aktualisiert um 15:37 Uhr
Das wird funktionieren weil das Root Zertifikat das du verteilst auch die Root CA Zertifikate (zufällig.. hehe) enthält.
Das Radiuszertifikat das auf dem Client installiert wird hat ansonsten garkeine Auswirkungen da es ja bei EAP-MSchapv2 nicht verwendet wird da der Client sich nur mit seinen Domaincredentials authentisiert.

wenn sich der client mit nem zertifikat (und nicht mit domaincredentials) anmelden soll, musst du in der NPS policy eben "Smartcard oder anders Zertifika" wählen anstelle von "Protected EAP". Das wäre dann EAP-TLS.
Der Client braucht ein Clientzertifikat das für diesen Zweck "Clieintauthentisierung" ausgestellt ist.

Ist aber garnicht trivial das zum laufen zu bringen - die Clients im AD (benutzerkonten) müssen mit dem jeweiligen Clientzert verbunden werden (AD Konsole.. Benutzer und Comptuer.. Ansicht.. alles einblenden, das ist nämlcih normal ausgeblendet in den Benutzer-Eigenschaften im AD). Macht meines Erachtens nur Sinn wenn man die CA auf dem AD laufen hat, aber damit machst du ein ziemliches Fass auf - erstmal in ner Testumgebung testen wg. Nebenwirkungen
Ansonsten ist EAP-TLS noch ein wenig sicherer als EAP-Mschapv2 weil ja sonst jeder der in WLAN Reichweite ist mit nem Domain-Kennwort ins Netz kommt, auch Anwender die mit ihrem Android Smartphone rumlaufen. Mit Clientzert muss ja erstmal das Zertifikat aufs Endgerät, und wenn das mit ner Passphrase geschützt ist kann das keiner installieren der das Kennwort für die Installation nicht kennt. Allerdings ist das echt nicht so einfach, da brauchste im Vergleich zum relativ einfachen EAP-MSchapv2 schon viel Zeit zum Testen und Verstehen. Versuch erstma die einfache Variante sauber zum laufen zu bringen.

Das Root CA Zertifikat ist nur eine Art "Beglaubigung", dass das Radius Serverzert vertrauenswürdig ist.
Wenn das garnicht verteilt wird, bekommt der Anwender eine Aufforderung, das Zertfifikat zu bestätigen wenn er sich mit dem WLAN verbinden will, bzw. der RAdius-Server schickt das ggfs. fehlende Root-Zertifikat zum Anwender.
Bitte warten ..
Mitglied: Xaero1982
17.12.2013 um 16:46 Uhr
Alles klar Danke

Die EAP-TLS Variante hatte ich schon am Laufen, aber das ist eigentlich nicht das was ich will, weil ich sonst den Nutzern ein Zertifikat zur Verfügung stellen muss und das muss ich dann wohl auf allen Endgeräten selber einrichten und dazu ... naja Benutzernamen und PW schaffen sie sich noch zu merken.

Gruß
Bitte warten ..
Ähnliche Inhalte
SAN, NAS, DAS
Backupserver für KMU
Frage von Leo-leSAN, NAS, DAS16 Kommentare

Hallo Forum, ich suche für die Firma einen Backupserver mit ca. 15 TB. Momentan habe ich hier auch noch ...

Vmware
Dataprotection Backupserver startet nicht mehr
Frage von GelbkartskiVmware

Hallo, ich hoffe irgendjemand kann mir weiterhelfen, zuerst zur Info, ich bin was VM Ware betrifft sozusagen noch Anfänger, ...

Netzwerke
Authentifizerungsproblem mit RADIUS
Frage von Dom1091Netzwerke6 Kommentare

Guten Morgen allerseits, zurzeit befinde ich mich in der Ausbiildung zum FISI nun soll ich währen meines Projekts ein ...

Netzwerke
Welcher RADIUS-Server
Frage von GurustratorNetzwerke5 Kommentare

Hallo zusammen, Ich bin auf der Suche nach einem Radius Server für ein Unternehmensnetzwerk mit ca. 1000 Windows Clients. ...

Neue Wissensbeiträge
Windows 10

Systemdienste behalten nach Win10 inplace-Upgrade nicht die ggf. modifizierte Startart bei

Tipp von DerWoWusste vor 11 MinutenWindows 10

Stellt Euch vor, Ihr habt ein Win10 System und modifiziert dort die Startart von Systemdiensten. Zum Beispiel wollt Ihr ...

Microsoft Office

Deaktivieren von Startbildschirm und Backstage-Ansicht in Office 2016 per Batch-Datei

Anleitung von SarekHL vor 3 StundenMicrosoft Office13 Kommentare

Guten Morgen zusammen! Ich habe mir gestern (auch mit Hilfe dieses Boards) ein Script gebastelt, um in Office 2016 ...

Erkennung und -Abwehr

Sicherheitslücke Spectre und Meltdown: Status prüfen

Anleitung von Frank vor 9 StundenErkennung und -Abwehr2 Kommentare

Nach all den Updates der letzten Woche sollte man unbedingt auch den Status prüfen, ob die Sicherheitslücken Spectre, Meltdown ...

Microsoft Office

Office 2010 Starter erneut auf einer frischen Windows-Version installieren

Tipp von Lochkartenstanzer vor 1 TagMicrosoft Office10 Kommentare

Moin, vor ein paar Tagen schlug bei mir ein Kunde auf, der sein Widnows 7 geschrottet und es inklusive ...

Heiß diskutierte Inhalte
Netzwerke
NTFS-Berechtigung
Frage von Daoudi1973Netzwerke23 Kommentare

Hallo zusammen und frohes neues Jahr (Sorry, ich bin spät dran) Meine Frage: 1- Ich habe einen Ordner im ...

iOS
Einladung vom iphone kalender
Frage von jensgebkeniOS15 Kommentare

Hallo Gemeinschaft, folgendes Problem - immer wenn ich von meinem Iphone einen Termin einztrage und diesem Termin Teilnehmer zuweise, ...

Drucker und Scanner
Gesucht DIN A3 Drucker
Frage von NebellichtDrucker und Scanner15 Kommentare

Hallo, ich möchte einen neuen DIN A3 Drucker kaufen. Um ab und zu, ca. 1 mal die Woche Farbausdrucke ...

Batch & Shell
Dateien verschieben mit batch
gelöst Frage von michi-ffmBatch & Shell13 Kommentare

Hallo Zusammen hat jemand evtl eine Idee? Zunächst hier das Skript: Leider werden keine UNC-Pfade unterstüzt, kann mir jemand ...