8
WLAN-Userauthentifizierung wie ?
Hallo,
wir haben folgendes Szenario:
Quer durchs ganze Haus sind WLAN-Accesspoints angebracht. Diese sind aktuell per Gastzugang nutzbar, indem wir den Benutzern die Schlüssel auf Nachfrage mitteilen. So ist das natürlich extrem unsicher. Nun stelle ich mir folgendes vor: Alle Benutzer mit Gastzugängen können sich auch an unserer Win2003-Domäne anmelden. Diese Kennung sollen Sie idealerweise nutzen, wenn sie sich per WLAN mit dem Hausnetz verbinden und/oder ins Internet wollen.
Frage: Wie mache ich das am geschicktesten? Habe von der Windows-Radiusimplementierung IAS gelesen, allerdings ist mir die Umsetzung zur Zeit absolut unklar. Dann gibt es hier ein HowTo mit einem Zusatzrechner, auf dem M0n0wall läuft. Finde ich soweit sympathisch, aber kann ich da auch automatisch die AD-User einpflegen? Außerdem käme dann ein zusätzlicher Rechner hinzu, diese Lösung ist ja in heutigen Zeit eher unclever und uncool
wir haben folgendes Szenario:
Quer durchs ganze Haus sind WLAN-Accesspoints angebracht. Diese sind aktuell per Gastzugang nutzbar, indem wir den Benutzern die Schlüssel auf Nachfrage mitteilen. So ist das natürlich extrem unsicher. Nun stelle ich mir folgendes vor: Alle Benutzer mit Gastzugängen können sich auch an unserer Win2003-Domäne anmelden. Diese Kennung sollen Sie idealerweise nutzen, wenn sie sich per WLAN mit dem Hausnetz verbinden und/oder ins Internet wollen.
Frage: Wie mache ich das am geschicktesten? Habe von der Windows-Radiusimplementierung IAS gelesen, allerdings ist mir die Umsetzung zur Zeit absolut unklar. Dann gibt es hier ein HowTo mit einem Zusatzrechner, auf dem M0n0wall läuft. Finde ich soweit sympathisch, aber kann ich da auch automatisch die AD-User einpflegen? Außerdem käme dann ein zusätzlicher Rechner hinzu, diese Lösung ist ja in heutigen Zeit eher unclever und uncool
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 99445
Url: https://administrator.de/contentid/99445
Printed on: April 25, 2024 at 20:04 o'clock
8 Comments
Latest comment
Hallo,
sollen die Gäste ins "normale Netz" oder nur Internetzugang? Wenn nur Internetzugang, würde ich über eine Firewall ein komplett getrenntes Netz aufbauen, damit da überhaupt keine Verbindung besteht.
Sollen sie ins normale Netz, könntest du die Absicherung des WLAN über "PEAP" machen. Ich vermute, das meinst du, da hier ein Radius (z.B. IAS) benötigt wird. Dabei wird dann nach einem Benutzernamen/Passwort gefragt. Diese kannst du über das ActiveDirectory dann pflegen.
Benötigt etwas an Vorarbeit, ist dann später aber recht harmlos in der Bedienung.
Zum Einlesen:
http://www.microsoft.com/germany/technet/datenbank/articles/900010.mspx
Oder "Geheim-Tipp":
http://www.support-netz.de/wml-radius-server.html
Dabei wird ein PEAP-System für ein bestimmtes schulisches Netzwerk beschrieben. Da aber nur Standard-Komponenten zum Einsatz kommen, kann man daran angelehnt auch für andere Netze vorgehen.
Gruß,
Schorsch
sollen die Gäste ins "normale Netz" oder nur Internetzugang? Wenn nur Internetzugang, würde ich über eine Firewall ein komplett getrenntes Netz aufbauen, damit da überhaupt keine Verbindung besteht.
Sollen sie ins normale Netz, könntest du die Absicherung des WLAN über "PEAP" machen. Ich vermute, das meinst du, da hier ein Radius (z.B. IAS) benötigt wird. Dabei wird dann nach einem Benutzernamen/Passwort gefragt. Diese kannst du über das ActiveDirectory dann pflegen.
Benötigt etwas an Vorarbeit, ist dann später aber recht harmlos in der Bedienung.
Zum Einlesen:
http://www.microsoft.com/germany/technet/datenbank/articles/900010.mspx
Oder "Geheim-Tipp":
http://www.support-netz.de/wml-radius-server.html
Dabei wird ein PEAP-System für ein bestimmtes schulisches Netzwerk beschrieben. Da aber nur Standard-Komponenten zum Einsatz kommen, kann man daran angelehnt auch für andere Netze vorgehen.
Gruß,
Schorsch
Hi Schorsch,
danke, sieht vielversprechend aus, genau sowas habe ich gesucht. Dafür hätte ich eigentlich das Zu-Doof-Zum-Googeln-Siegel verdient! Danke nochmal!
danke, sieht vielversprechend aus, genau sowas habe ich gesucht. Dafür hätte ich eigentlich das Zu-Doof-Zum-Googeln-Siegel verdient! Danke nochmal!
Das funktioniert mit jedem beliebigen Radius Server wie Freeradius oder MS IAS Server....
Um dir weniger Muehe machen zu muessen solltest du ggf. einen besseren Gast Zugang einrichten !!!
Wie man das am besten macht beschreibt dir dieses Tutorial:
Um dir weniger Muehe machen zu muessen solltest du ggf. einen besseren Gast Zugang einrichten !!!
Wie man das am besten macht beschreibt dir dieses Tutorial:
Hallo nochmal,
jetzt komme ich endlich wieder mal dazu, etwas weiterzubasteln. Habe noch grundsätzliche Fragen, die sich mir nicht erschliessen...
Das Zertifikat kann ich mir auch selbst erstellen, z.B. mit SelfSSL aus dem MS Resource Kit?
jetzt komme ich endlich wieder mal dazu, etwas weiterzubasteln. Habe noch grundsätzliche Fragen, die sich mir nicht erschliessen...
Das Zertifikat kann ich mir auch selbst erstellen, z.B. mit SelfSSL aus dem MS Resource Kit?
Hallo,
ich glaube nicht, dass es mit SelfSSL geht. Aber du kannst dir doch einfach eine Zertifizierungsstelle aufsetzen und hast damit doch auch eigene Zertifikate.
Gruß,
Schorsch
ich glaube nicht, dass es mit SelfSSL geht. Aber du kannst dir doch einfach eine Zertifizierungsstelle aufsetzen und hast damit doch auch eigene Zertifikate.
Gruß,
Schorsch
Hi Schorsch,
danke für die Info... Ich habe auf einem anderen Server (Mailserver) bereits die Zertifierungsstelle. Kann ich die auch nehmen oder muss die auf dem IAS-Server sein?
danke für die Info... Ich habe auf einem anderen Server (Mailserver) bereits die Zertifierungsstelle. Kann ich die auch nehmen oder muss die auf dem IAS-Server sein?
Hallo,
klar kannst du diese nehmen. Der IAS benötigt ein Zertifikat dieser CA und die Clients müssen ihr vertrauen, das ist alles.
Gruß,
Schorsch
klar kannst du diese nehmen. Der IAS benötigt ein Zertifikat dieser CA und die Clients müssen ihr vertrauen, das ist alles.
Gruß,
Schorsch
Hallo,
sorry, dass ich auf diesen Thread immer sporadisch antworte, kümmer mich immer wieder mal, komme aber nicht dazu, es komplett fertigzustellen. Ich habe mich jetzt an diese Anleitung gehalten:
http://www.microsoft.com/downloads/details.aspx?FamilyID=269902e8-fc41- ...
Eine Gruppenrichtlinie habe ich allerdings nicht erstellt, da die Benutzer sich mit ihren eigenen Notebooks einloggen und nicht zwingend in der Domäne angemeldet sind. Ich stelle mir das so vor, dass Ihre Domänen-Anmeldedaten dann beim Versuch, eine Verbindung zum AccessPoint aufzubauen, abgefragt werden. Ich habs mal mit einem Notebook, dass so nicht der Domäne ist, mal versucht, bekomme aber nur eine eingeschränkte Verbindung hin. Bin ziemlich ratlos, wo ich da jetzt weiter ansetzen könnte, in den Windows-Logs fällt mir nichts auf...
sorry, dass ich auf diesen Thread immer sporadisch antworte, kümmer mich immer wieder mal, komme aber nicht dazu, es komplett fertigzustellen. Ich habe mich jetzt an diese Anleitung gehalten:
http://www.microsoft.com/downloads/details.aspx?FamilyID=269902e8-fc41- ...
Eine Gruppenrichtlinie habe ich allerdings nicht erstellt, da die Benutzer sich mit ihren eigenen Notebooks einloggen und nicht zwingend in der Domäne angemeldet sind. Ich stelle mir das so vor, dass Ihre Domänen-Anmeldedaten dann beim Versuch, eine Verbindung zum AccessPoint aufzubauen, abgefragt werden. Ich habs mal mit einem Notebook, dass so nicht der Domäne ist, mal versucht, bekomme aber nur eine eingeschränkte Verbindung hin. Bin ziemlich ratlos, wo ich da jetzt weiter ansetzen könnte, in den Windows-Logs fällt mir nichts auf...
