Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

WLAN Verschlüsselung und Zertifikate

Frage Sicherheit Verschlüsselung & Zertifikate

Mitglied: Xaero1982

Xaero1982 (Level 3) - Jetzt verbinden

29.11.2013, aktualisiert 15:45 Uhr, 5878 Aufrufe, 22 Kommentare, 1 Danke

Moin Zusammen,

im Moment hab ich hier ein WPA WLAN mit einem ziemlich langen Kennwort laufen, aber wie das nun mal so ist bei "öffentlich" zugänglichen Notebooks werden da kurzer Hand die Keys ausgelesen und dann zum Surfen mit dem eigenen Smartphone o.ä. zu nutzen.
Ich hatte das mal so von meinem Vorgänger übernommen und kam bisher nicht dazu das zu ändern.
Im Moment sperre ich die meisten nur über einen MAC Filter im DHCP aus, was leicht umgangen werden kann.

Lange Rede kurzer Sinn:

Ich wollte nun auf zertifikatbasierte Authentifizierung zurück greifen, wenn das sinnvoll ist.

Ich habe hier ca. 60 Notebooks laufen. Dazu kommen etliche Geräte wie Smartphones(IOS; Android, BB) und weitere Notebooks(Win/Mac) und Tablets.

Bei den 60 Notebooks gibt es bei den Zertifikaten erst mal kein Problem. Aber wie sieht es mit den anderen mobilen Endgeräten aus?

Ich habe das mal testweise versucht mit diesem Tutorial von LANCOM:

https://www2.lancom.de/kb.nsf/b8f10fe5665f950dc125726c00589d94/8ce39818c ...

Leider scheitert es bei mir schon bei den Zertifikaten.

Mit den Zertifikaten von der Seite klappt es.
Nach der verlinkten Anleitung zur Erstellung bin ich vorgegangen, aber welches Zertifikat und wie muss ich es für den Router erstellen?
Ein Lancom IAP 54.

Oder gibt es da inzwischen bessere Alternativen damit auch diese ganzen Smartphones Zugriff bekommen?

Wie würdet ihr das regeln?

Gruß und Dank

ps: es handelt es sich um 10 LANCOM IAP 54 Accesspoints mit der aktuellen Firmware.
edit: Die Nutzer können sich mit einem allgemeinem Konto an den 60 Notebooks anmelden oder mit einem eigenen Kontonamen.
Die anderen Geräte sind in der Regel private Geräte ohne Domänenzugehörigkeit etc. Sind insofern nur dem DHCP und DNS bekannt.
Mitglied: aqui
29.11.2013 um 15:48 Uhr
Auf allen Endgeräten kannst du diese Zertifikate importieren. Mit Smartphones geht das am einfachsten wenn man sie per Web downloaden kann oder einfach per Email gesendet bekommt.
Grundlagen dazu erklärt auch dieses Forumsturorial:
http://www.administrator.de/wissen/sichere-wlan-benutzer-authentifizier ...
Bitte warten ..
Mitglied: Xaero1982
29.11.2013 um 16:51 Uhr
Hi Aqui,

da bin ich auch schon drüber gestolpert.

Dieses Zertifikat kann ich dann auf jedem importieren oder sollte man für jeden Nutzer ein Zertifikat erstellen?
Das kann man dann auch nicht so einfach sperren, wenn einer nicht mehr ins Netz soll von den Nutzern, oder?
Gibt es eine Möglichkeit sowas zu automatisieren und nicht 60 + x Zertifikate von Hand zu erstellen? Bzw. kann ich ja auf diesen 60 das gleiche installieren, aber die anderen sind doch schon 20-30+x und steigend.
Und auf dem Radiusserver importiere ich das gleiche Zertifikat wie auf den Clients?!

Fragen über Fragen...

Gruß
Bitte warten ..
Mitglied: Dobby
29.11.2013 um 19:30 Uhr
Hallo,

wenn schon denn schon würde ich sagen.
Also alle Kabel gebundenen Geräte und Klienten mittels LDAP und alle Kabel losen Geräte via Radius Server anbinden,
das macht dann auch richtig Sinn, aber "haut" einem auch immer gleich mehr Last auf das Netzwerk und somit sollten die Switche
dann mindestens einen Layer3 Switch haben und gestapelt (Switch Stack) sein damit die gesamte Last dann auch abgearbeitet werden
kann und nicht Engpässe entstehen.

Für die Zertifikatserstellung unter;
- Windows
- Linux

gibt es auch Tools die das ganze Vorhaben auch vereinfachen.

Die Zertifikate kann man auch auf einer Zertifikatsperrliste (certificate revocation list (CRL)) "zurückstellen" bzw. zurück ziehen oder als
ungültig markieren, so dass sie nicht mehr greifen, nur man sollte dann den Mitarbeitern auch per Schulung und/oder Arbeitsanweisung
vermitteln, dass es dann eben auch unumgänglich ist, dass verlorene Geräte auch sofort gemeldet werden und das jeder seine "umsonst"
aber Schnüffel APP installiert sollte sich dann wohl auch erledigt haben. Denn was nützt Dir (Euch) ein Zertifikat was alle 2 Stunden
von selbst nach China verschickt wird.

Die Tools sind kostenlos und damit lassen sich auch recht gut alle Zertifikate inklusive die CRL managen, zusammen mit einem
RaspBerry PI für ~40 € ist das auch recht schnell mittels Debian Linux umzusetzen. Der @aqui hat dazu auch noch eine super
Anleitung (Debian auf dem RaspBerry PI) und somit sollte das ganze auch für jedermann gut zu realisieren sein.

Gruß
Dobby
Bitte warten ..
Mitglied: Xaero1982
29.11.2013 um 21:29 Uhr
Nabend,

Danke für die Antwort.

Leider hat mir bisher meine konkreten Fragen noch niemand beantwortet.

Welche Zertifikate benutze ich bzw. wie erstelle ich die korrekten für den Router.

Ansonsten verstehe ich es richtig, dass es sinnvoller wäre für jedes Gerät bzw. Nutzer ein Zertifikat zu erstellen, richtig?

Einen Radiusserver an sich benötige ich nicht extra, weil der in den Accesspoints bereits enthalten ist.

Gruß
Bitte warten ..
Mitglied: Dobby
30.11.2013 um 19:41 Uhr
Hallo nochmal,

Danke für die Antwort.
Kein Thema

Leider hat mir bisher meine konkreten Fragen noch niemand beantwortet.
Na dann jetzt aber hoffentlich.

Welche Zertifikate benutze ich bzw. wie erstelle ich die korrekten für den Router.
Ich würde X.509 Zertifikate nehmen wollen.
Mit den beiden oben genannten Tools hast Du die Möglichkeit dies zum Einen unter Linux zu erzeugen und mit zum Anderen
mit dem anderen Tool unter Windows. Man erzeugt dann ein Root CA Zertifikat mit einem geheimen Schlüssel und dieser
kommt dann in der Regel in den Radius Server und/oder den Router und die Zertifikate für Nutzer oder Geräte und öffentlichen
Schlüssel werden dann in einer .pem Datei für Windows oder einer .pam Datei für Linux abgespeichert, also Zertifikat und Schlüssel
und dann müssen eben diese auf den Klienten installiert werden von Dir.

Ansonsten verstehe ich es richtig, dass es sinnvoller wäre für jedes Gerät bzw. Nutzer ein Zertifikat zu erstellen, richtig?
Ja genau, zumindest würde ich das so machen wollen, aber ich würde auch immer einen eigenen kleinen Radius Server
betreiben wollen und zarw aus folgendem Grund, sollte mal der Router oder der WLAN AP überfüllt sein, nicht mehr ansprechbar
sein, nicht mehr erreichbar sein oder funktionieren, kommt man auch nicht mehr in das Netz um die Störung zu beheben!

Einen Radiusserver an sich benötige ich nicht extra, weil der in den Accesspoints bereits enthalten ist.
Man kann das sicherlich auf viele Arten erledigen aber direkt im Router oder aber wie schon angesprochen als kleinen
"Stand Alone" Radius Server würde ich halt bevorzugen wollen.


Gruß
Dobby
Bitte warten ..
Mitglied: Xaero1982
01.12.2013 um 00:59 Uhr
Hi,

ich hab das mit dem Programm von der Lancomseite gemacht und sowohl ein Client als auch ein Root CA erstellt. Das Root CA hab ich dann auf dem Accesspoint/Radiusserver geladen und das Client Zertifikat auf ein Notebook. Leider ohne Erfolg. Keine Verbindung.

Deswegen muss da noch irgendwo anders der Hase begraben sein.

Zu einer Überlastung dürfte es wohl nicht kommen da sich die Geräte wohl in der Regel auf 10 Accesspoints verteilen.

Gruß
Bitte warten ..
Mitglied: funnysandmann
01.12.2013 um 14:18 Uhr
Hi,

ich weiß zwar nicht wie tief du in die Materie eingedrungen bist bis jetzt. Aber ich beschäftige mich momentan sehr intensiv mit 802.1x Authentifizierung und könnte daher vielleicht etwas über Zertifikate sagen.

1. Auf dem Client brauchst du ein SSL/TLS Client zertifikat das von deiner RootCa ausgestellt wurde
2. Auf dem server brauchst du ein SSL/TLS server Zertifikat ebenfalls von deiner RootCA ausgestellt.
3. du brauchst auf allen Geräten von deiner RootCA das Zertifikat. ABER ohne Private key!

allerdings würde ich das persönlich nicht mit zertifikaten machen sondern mit einem radius server der an ein ldap hingeht und dort dann benutzername und passwort über 802.1x mit PEAP und MSCHAP-v2 abfrägt.

Was willst du eigentlich damit erreichen? Wenn willst du vor was schützen?

Gruß
Bitte warten ..
Mitglied: Xaero1982
01.12.2013 um 15:14 Uhr
Hi Funny,

noch nicht wirklich tief

Über MSCHAP hab ich ebenfalls schon nachgedacht. Wäre in meinem Vorhaben wohl auch das beste, aber ein Zertifikat muss so weit ich das verstanden habe dennoch auf allen Clients eingerichtet werden.

Zu den Zertifikaten: Das ist klar, aber:
Ich bin nach dieser Anleitung vorgegangen:
https://www2.lancom.de/kb.nsf/675ae5e6532c992a41256a100049e9e3/55eb39056 ...

Nun habe ich also ein Root CA und ein Client CA. Das Root CA hab ich auf den Radius geladen und das Client CA aufs Notebook.
Nur leider geht das nicht.
MIt den Zertifikaten in meinem oben genannten Link geht es hingegen problemlos, aber das sind eben nur Testzertifikate.

Gruß
Bitte warten ..
Mitglied: funnysandmann
01.12.2013 um 16:28 Uhr
Zitat von Xaero1982:

Hi Funny,

noch nicht wirklich tief
Dann sollten wir dies ändern. Sonst wird das nichts.

Über MSCHAP hab ich ebenfalls schon nachgedacht. Wäre in meinem Vorhaben wohl auch das beste, aber ein Zertifikat muss
so weit ich das verstanden habe dennoch auf allen Clients eingerichtet werden.
Vorsicht nicht MSCHAP alleine! da dies unverschlüsselt passwort und username überträgt. Daher im außeren PEAP(da überall vorhanden) und im inneren MSCHAP über Domäne oder LDAP oder weiß was sonst noch.

Zu den Zertifikaten: Das ist klar, aber:
Ich bin nach dieser Anleitung vorgegangen:
https://www2.lancom.de/kb.nsf/675ae5e6532c992a41256a100049e9e3/55eb39056 ...
Ok, aber dort wird nur erklärt wie eine CA erstellt wird und ein Zertifikat für einen Client. Allerdings werden andere Dinge bei einem Server Zertifikat benötigt. des Dein Radius Server braucht.

vorallem bei der key usage.


Nun habe ich also ein Root CA und ein Client CA. Das Root CA hab ich auf den Radius geladen und das Client CA aufs Notebook.
Ich hoffe du meinst eine RootCA mit einem Zertifikat und einem Private Key und ein Client Zertifikat mit Private Key.
CA = Certificate Authority = Ausstellende Instanz != Zertifkat.


Nur leider geht das nicht.
Ja ist klar. Du benötigst die CA nur damit beide Zertifikate sich gegenseitig vertrauen. Du kannst nicht das CA Zertifikat als Server Zertifikat missbrauchen.

MIt den Zertifikaten in meinem oben genannten Link geht es hingegen problemlos, aber das sind eben nur Testzertifikate.
OK.


Einigen Seiten die vielleicht interessant sind:
https://pki-tutorial.readthedocs.org/en/latest/
http://openvpn.net/index.php/open-source/documentation/howto.html#pki

Also nochmal:
Auf dem Client solltest du haben:
RootCA Zertifikat
Client Zertifikat + Private Key

auf deinem Radius Server:
Root CA Zertifikat
Server Zertifikat + private Key

Nirgends solltest du haben:
RootCA Private Key


übrigens wer macht den radius server? du sagtest was von deinem access point? aber du kannst nur einen haben ist klar oder? ich würde lieber einen kleinen server dafür hernehmen und alle access points so konfigurieren das sie auf diesen zugreifen. aber das kannst du dir ja selbst überlegen.


gruß
Bitte warten ..
Mitglied: Xaero1982
01.12.2013 um 16:38 Uhr
Hey,

danke für die zahlreichen Infos und Anmerkungen.
Ich glaub da muss ich mich noch bissel reinhängen

Der letzte Satz ist äußerst interessant. Aber ich könnte doch jeden AP gleich konfigurieren, aber ich werde das wohl einen Server 2008 übernehmen lassen.

Ich werde kommende Woche weiter basteln und mich dann zurück melden.

Gruß
Bitte warten ..
Mitglied: funnysandmann
01.12.2013 um 16:49 Uhr
Zitat von Xaero1982:

Hey,

danke für die zahlreichen Infos und Anmerkungen.
Ich glaub da muss ich mich noch bissel reinhängen

Der letzte Satz ist äußerst interessant. Aber ich könnte doch jeden AP gleich konfigurieren, aber ich werde das
wohl einen Server 2008 übernehmen lassen.
ja das kannst du. aber wenn du einen user hinzufügen möchtest du dies an allen machen. wäre doch echt blöd oder?


Ich werde kommende Woche weiter basteln und mich dann zurück melden.
ok


Gruß

Gruß
Bitte warten ..
Mitglied: Cthluhu
02.12.2013 um 09:32 Uhr
Hi zusammen,

Ich klinge mich da mit einer Verständnisfrage ein, die auch den TO interessieren dürfte:
Wie wird beim Einsatz eines Radiusserver und Zertifikaten verhindert, dass die User das Zertifikat vom Firmenlaptop auf ihr Privatgerät (Laptop/Telefon/Tablet) kopieren um mit dem Privatgerät im Firmen-WLAN zu surfen?

Mit freundlichen Grüßen

Cthluhu
Bitte warten ..
Mitglied: Xaero1982
02.12.2013 um 11:33 Uhr
Hi,

nun so weit ich das bisher gesehen habe wird für die Installation des Zertifikats ein Passwort benötigt.
Das heißt z.b. dass der Admin das Passwort nicht weiter gibt und das Zertifikat selbst auf dem Firmennotebook einrichten oder aber man wohl Geräte sperren kann.

Wirklich interessant ist die Frage für mich allerdings nicht Zertifikate bekommen nur eine bestimmte Nutzergruppe und diese wird das Zertifikat nicht weiter geben. Die anderen werden von mir eingerichtet - sprich das Passwort bekommt keiner.

Gruß
Bitte warten ..
Mitglied: funnysandmann
02.12.2013 um 13:52 Uhr
Zitat von Cthluhu:

Ich klinge mich da mit einer Verständnisfrage ein, die auch den TO interessieren dürfte:
Wie wird beim Einsatz eines Radiusserver und Zertifikaten verhindert, dass die User das Zertifikat vom Firmenlaptop auf ihr
Privatgerät (Laptop/Telefon/Tablet) kopieren um mit dem Privatgerät im Firmen-WLAN zu surfen?

indem Du das Zertifikat bei Windows importierst und dabei dem pc sagst das der private Schlüssel nicht exportierbar ist.



ich würde gar keine Zertifikate verteilen sondern alles über Passwort und username machen.

Gruß
Bitte warten ..
Mitglied: Xaero1982
10.12.2013 um 19:20 Uhr
So...

Hat jemand mal ne gescheite Anleitung für die Einrichtung eines RADIUS Servers unter Windows Server 2008 mit Anbindung an einen AP?

Ich habe heute die Anbindung an den Radiusserver auf dem AP erfolgreich umgesetzt. So weit so schön.

Aber ich würde das gerne über den Radius vom Server laufen lassen wegen der Nutzer etc.

Im AP hab ich den 2008er angegeben auf dem der Radius läuft, aber ich bekomme immer einen AUTH Fehler.

Gruß
Bitte warten ..
Mitglied: Xaero1982
11.12.2013 um 13:48 Uhr
Neuste Erkenntnis:

Im Eventlog des Radiusservers steht:

01.
Der Netzwerkrichtlinienserver verweigerte einem Benutzer den Zugriff. 
02.
 
03.
Kontaktieren Sie den Administrator des Netzwerkrichtlinienservers, um weitere Informationen zu erhalten. 
04.
 
05.
Benutzer: 
06.
	Sicherheits-ID:			xxx\Gast 
07.
	Kontoname:				- 
08.
	Kontodomäne:				xxx 
09.
	Vollqualifizierter Kontoname:		xxx\Gast 
10.
 
11.
Clientcomputer: 
12.
	Sicherheits-ID:			NULL SID 
13.
	Kontoname:				- 
14.
	Vollqualifizierter Kontoname:		- 
15.
	Betriebssystemversion:			- 
16.
	Empfangs-ID:				02-0B-6B-34-D3-6E:eap-PEAP-test 
17.
	Anrufer-ID:				00-26-82-97-E1-48 
18.
 
19.
NAS: 
20.
	NAS-IPv4-Adresse:			192.168.178.23 
21.
	NAS-IPv6-Adresse:			- 
22.
	NAS-ID:					WLANAP-xxx 
23.
	NAS-Porttyp:				Drahtlos - IEEE 802.11  
24.
	NAS-Port:				13 
25.
 
26.
RADIUS-Client: 
27.
	Clientname:				WLANAP-xxx 
28.
	Client-IP-Adresse:			192.168.178.23 
29.
 
30.
Authentifizierungsdetails: 
31.
	Proxyrichtlinienname:			Sichere Drahtlosverbindungen 
32.
	Netzwerkrichtlinienname:		- 
33.
	Authentifizierungsanbieter:		Windows  
34.
	Authentifizierungsserver:		xxxx 
35.
	Authentifizierungstyp:			EAP 
36.
	EAP-Typ:				- 
37.
	Kontositzungs-ID:			- 
38.
	Begründungscode:			34 
39.
	Grund:					Die Authentifizierung ist fehlgeschlagen, weil das Benutzerkonto nicht aktiviert ist. Bevor das Konto authentifiziert werden kann, muss eine Person mit Administratorrechten für den Computer bzw. die Domäne dieses Benutzerkonto aktivieren.  
40.
 
Das kommt egal welchen Nutzer ich bei der Anmeldung verwende. Auch beim Domänenadmin kommt immer nur "Gast".

Jemand eine Idee?

Gruß
Bitte warten ..
Mitglied: Xaero1982
11.12.2013 um 14:37 Uhr
So ... nun zeigt er mir den Namen an, aber:

01.
Der Netzwerkrichtlinienserver verweigerte einem Benutzer den Zugriff. 
02.
 
03.
Kontaktieren Sie den Administrator des Netzwerkrichtlinienservers, um weitere Informationen zu erhalten. 
04.
 
05.
Benutzer: 
06.
	Sicherheits-ID:			xxx\t.test 
07.
	Kontoname:				xxx\t.test 
08.
	Kontodomäne:				xxx 
09.
	Vollqualifizierter Kontoname:		xxx\t.test 
10.
 
11.
Clientcomputer: 
12.
	Sicherheits-ID:			NULL SID 
13.
	Kontoname:				- 
14.
	Vollqualifizierter Kontoname:		- 
15.
	Betriebssystemversion:			- 
16.
	Empfangs-ID:				02-0B-6B-34-D3-6E:eap-PEAP-test 
17.
	Anrufer-ID:				00-26-82-97-E1-48 
18.
 
19.
NAS: 
20.
	NAS-IPv4-Adresse:			192.168.178.23 
21.
	NAS-IPv6-Adresse:			- 
22.
	NAS-ID:					WLANAP-xxx 
23.
	NAS-Porttyp:				Drahtlos - IEEE 802.11  
24.
	NAS-Port:				13 
25.
 
26.
RADIUS-Client: 
27.
	Clientname:				WLANAP-xxx 
28.
	Client-IP-Adresse:			192.168.178.23 
29.
 
30.
Authentifizierungsdetails: 
31.
	Proxyrichtlinienname:			Sichere Drahtlosverbindungen 
32.
	Netzwerkrichtlinienname:		Sichere Drahtlosverbindungen 
33.
	Authentifizierungsanbieter:		Windows  
34.
	Authentifizierungsserver:		xxx 
35.
	Authentifizierungstyp:			PEAP 
36.
	EAP-Typ:				- 
37.
	Kontositzungs-ID:			- 
38.
	Begründungscode:			16 
39.
	Grund:					Die Authentifizierung war nicht erfolgreich, da ein unbekannter Benutzername oder ein ungültiges Kennwort verwendet wurde.  
40.
 
Hab das ganze nun über die GPOs eingerichtet. Client ist W7. Nutzername und PW stimmen natürlich - hab ich mich ja mit angemeldet.

Ideen?

Gruß
Bitte warten ..
Mitglied: Xaero1982
11.12.2013, aktualisiert um 15:23 Uhr
Das ist interessant:

Smartphone genommen (android)
Mit dem Testnetz verbunden - mit den gleichen Benutzerdaten wie auf den Clients.

Läuft!

Was läuft hier schief?

edit: Eventlog sagt:

Android: EAP-Typ: Microsoft: Gesichertes Kennwort (EAP-MSCHAP v2)
W7: EAP-Typ: -


Gruß
Bitte warten ..
Mitglied: Xaero1982
11.12.2013, aktualisiert um 15:53 Uhr
So, nun noch den ganzen Spaß auf einem Windows XP Notebook.

Netzwerk gefunden. Kurz eingerichtet, dass eine Nutzerabfrage erfolgen soll.

Nutzerdaten eingegeben.

Läuft!

EAP-Typ: Microsoft: Gesichertes Kennwort (EAP-MSCHAP v2)


Daran wirds beim w7 wohl scheitern.

Was mich wundert: Brauche ich bei EAPMSCHAP v2 keinerlei Zertifikate auf den Clients?

Edit: Sobald ich die Option: Serverzertifikat überprüfen deaktiviere funktioniert die Verbindung auch auf einem W7 Client.

Gruß
Bitte warten ..
Mitglied: Xaero1982
11.12.2013, aktualisiert um 16:46 Uhr
Wie finde ich heraus, ob eine Zertifikatsprüfung stattfindet? Edit: Löschen... ohne gehts nicht.

Was mich nur wundert: Auf den Windowsclients wird das Zertifikat wie folgt hinterlegt:
Windows XP: Vertrauenswürdige Stammzertifikate - Zertifikate
Windows 7: Zwischenzertifizierungsstellen - Zertifikate
Da muss ich das erst exportieren und in den Vertrauenswürdigen installieren.

Gruß
Bitte warten ..
Mitglied: aqui
13.12.2013 um 11:40 Uhr
Für eine Zertifikatsprüfung muss irgendwo zwingend ein Radius Request an den Radius Server gesendet werden. Normalweise macht das der Supplicant an dem der zu authentisierende Client hängt, sprich der AP.
Du müsstest also irgendwo diesen Radius Request sehen (Log, Wireshark etc.) Ohne Radius kein Zertifikat ! So einfach ist das.
Bitte warten ..
Mitglied: Xaero1982
13.12.2013 um 17:02 Uhr
Jep, ich sehs im Log.

Inzwischen läuft auch alles wie ich es mir vorgestellt habe und nur die Leute die Zugangsdaten haben oder die Geräte die im AD registriert sind bekommen Zugriff.

Gruß und Dank
Bitte warten ..
Neuester Wissensbeitrag
Festplatten, SSD, Raid

12TB written pro SSD in 2 Jahren mit RAID5 auf Hyper-VServer

Erfahrungsbericht von Lochkartenstanzer zum Thema Festplatten, SSD, Raid ...

Ähnliche Inhalte
Netzwerke
LAN und WLAN je mit gleicher IP (13)

Frage von dauatitsbest zum Thema Netzwerke ...

Verschlüsselung & Zertifikate
Veracrypt: Welcher Algorithmus ist bei der Verschlüsselung zu empfehlen? (6)

Frage von NCCTech zum Thema Verschlüsselung & Zertifikate ...

Verschlüsselung & Zertifikate
Verschlüsselung: Mit Veracrypt lässt sich nur eine Partition verschlüsseln (1)

Frage von NCCTech zum Thema Verschlüsselung & Zertifikate ...

LAN, WAN, Wireless
Hat On Networks PL500PS WLAN-Funktion? (4)

Frage von Andy1987 zum Thema LAN, WAN, Wireless ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (34)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...