Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

WLAN Zugriffsverwaltung mit Windows 2008 R2 (NPS)

Frage Microsoft Windows Netzwerk

Mitglied: casitsb

casitsb (Level 1) - Jetzt verbinden

18.12.2014, aktualisiert 22.12.2014, 1856 Aufrufe, 8 Kommentare

Hallo Wissende,

ich stehe vor einer Herausforderung und bin wohl mittlerweile etwas blind geworden, seit einiger Zeit versuche ich mittels Radius/NPS (Windows 2008R2) zwei WLANs zu verwalten.
Die Einrichtung der Authentifizierung mittels RADIUS habe ich mit einem Guide vorgenommen, in der "Standard"-Ausführung läuft das Ganze auch ohne Probleme.
Leider handeln diese Guides immer nur den soeben erwähnten "Standard" ab, ein WLAN mit einem RADIUS Server.


Das Ziel und damit meine Aufgabe:
Meine Firma wünscht die Bereitstellung zweier WLANs (A & B).
WLAN A ist für die Notebooks der Kollegen mit Zugriff auf das Intranet sowie das Internet via Proxy (einfach ausgedrückt, statt dem Netzwerkkabel wird das WLAN genutzt)
WLAN B ist für die Smartphones der Kollegen mit direktem und freien Zugriff auf das Internet OHNE Zugriff auf das interne Netzwerk. (separates VLAN, eigener IP-Kreis)


Zusammenfassung der Anforderungen:
- WLAN A für Notebooks
- WLAN B für Smartphones
- Notebooks dürfen nicht in das WLAN B
- firmeneigene Smartphones dürfen nicht in das WLAN A
- firmenfremde Smartphones dürfen nicht in das WLAN B
- Sicherstellung, dass Unbefugten kein Zugriff gewährt wird


Meine Idee:
WLAN A Zugriff mit User-Zertifikat (EAP-TLS), WLAN B Zugriff mit Username und Passwort (PEAP).
An die Notebooks wird das Zertifikat verteilt bzw. die User dürfen dieses selber anfordern, die Smartphones erhalten dieses Zertifikat nicht
Gruppe 1 "WLAN - Geräte" beinhaltet die Notebooknamen die auf WLAN-A zugreifen dürfen.
Gruppe 2 "WLAN - User" beinhaltet die Domänenbenutzer, die mit Ihrem Smartphone auf das WLAN B zugreifen dürfen.
die Smartphones sind nicht im AD erfasst!


Offene Fragen aus meiner Sicht:
- Unterbindung des Zugriffs der Notebooks auf WLAN B
- Unterbindung des Zugriffs von nicht firmeneigenen Smartphones auf WLAN B


Zur Umsetzung:

In meiner Testumgebung befindet sich der besagte Windows 2008R2 Server, alle benötigten Rollen (DC, CA, NPS, etc) sind installiert.
Ich habe nun das WLAN A eingerichtet und den RADIUS Server konfiguriert. Eine Verbindung mit dem WLAN A war leider erst zum Zeitpunkt
der Aufnahme des Domänenbenutzers in die Gruppe "WLAN - Geräte", welche als Einschränkung für das WLAN A genutzt werden sollte, möglich.

Soweit so gut / schlecht! Eine Eingrenzung auf bestimmte Geräte ist nicht möglich - ausschließlich auf Benutzerebene??? --> Das kann m.E.n. nicht richtig sein?!

Wenn ich die Richtlinie für das zweite WLAN einrichte, habe ich zwei unterschiedliche Phänomene,
entweder benötige ich auch für das WLAN B das Zertifikat oder wenn ich die Reihenfolge der Richtlinien vertausche,
genügt die Authentifizierung via Benutzername und Passwort um eine Verbindung mit dem WLAN A herzustellen.

Laut meinem Verständnis, bedeutet dies, dass der NPS nicht wie gedacht Richtlinie 1 für WLAN-A und Richtlinie 2 für WLAN-B nutzt
und auch nicht wenn eine Richtlinie nicht greift, zur anderen wechselt. --> Schade eigentlich - hätte so einfach sein können!

Konnte mir noch jemand folgen und weiß vielleicht, was ich wie machen muss, damit die Realisierung noch umsetzbar ist?
Ist eine Eingrenzung über die Geräte wirklich nicht möglich - nur über die Benutzer oder liegt dies an der Authentifizierung über ein Benutzerzertifikat?
Besteht wirklich nicht die Möglichkeit, eine Richtlinie einem WLAN zu zuordnen?

Wenn euch etwas an Informationen fehlt, meldet euch!

Danke im Voraus!
Mitglied: aqui
18.12.2014, aktualisiert um 16:23 Uhr
Konnte mir noch jemand folgen und weiß vielleicht, was ich wie machen muss, damit die Realisierung noch umsetzbar ist?
Ja, das ist ein simpler Allerwelts Klassiker und keine große Herausforderung für einen Netzwerk Admin !

Das macht man sinnigerweise mit APs die mSSID supporten also das Mapping virtueller WLAN SSIDs auf eine VLAN ID.
Die Kommunikation der VLANs die ja dann diese beiden WLANs beherbergen regelt man mit einer Router Accessliste oder wer ganz sicher gehen will mit einer Firewall und ggf. Captive Portal Option.

Wie das alles technisch sehr einfach zu lösen ist beschreibt ein hiesiges Forumstutorial mit einem Praxisbeispiel für genau diese Anwendung von dir:
http://www.administrator.de/wissen/vlan-installation-und-routing-mit-m0 ...
Bitte warten ..
Mitglied: sk
LÖSUNG 19.12.2014, aktualisiert 22.12.2014
@aqui: Den Ausführungen des TO kann man m.E. entnehmen, dass der AP zwei SSIDs anbietet und diese auf unterschiedliche VLANs gemappt sind.


@casitsb: Deine Ausführungen sind leider etwas verworren und es fehlen leider die entscheidenden Informationen. So ist zum Beispiel nicht ersichtlich, wie die Policies des NPS konkret konfiguriert sind und auch nicht, ob die dienstlichen Notebooks für das WLAN A Domainmember sind.


Zitat von casitsb:
Ich habe nun das WLAN A eingerichtet und den RADIUS Server konfiguriert. Eine Verbindung mit dem WLAN A war leider erst zum
Zeitpunkt der Aufnahme des Domänenbenutzers in die Gruppe "WLAN - Geräte", welche als Einschränkung für das
WLAN A genutzt werden sollte, möglich.
Soweit so gut / schlecht! Eine Eingrenzung auf bestimmte Geräte ist nicht möglich - ausschließlich auf
Benutzerebene??? --> Das kann m.E.n. nicht richtig sein?!

Sollten die dienstlichen Notebooks Mitglied der Domäne sein, dann empfehle ich diese mittels PEAP gegen die Computerkonten im AD zu authentifizieren.


Zitat von casitsb:
Wenn ich die Richtlinie für das zweite WLAN einrichte, habe ich zwei unterschiedliche Phänomene,
entweder benötige ich auch für das WLAN B das Zertifikat oder wenn ich die Reihenfolge der Richtlinien vertausche,
genügt die Authentifizierung via Benutzername und Passwort um eine Verbindung mit dem WLAN A herzustellen.
Laut meinem Verständnis, bedeutet dies, dass der NPS nicht wie gedacht Richtlinie 1 für WLAN-A und Richtlinie 2 für
WLAN-B nutzt und auch nicht wenn eine Richtlinie nicht greift, zur anderen wechselt.

Du musst halt in den NPS-Policies auswerten, in welches WLAN sich der Client versucht einzubuchen. Diese Information muss der Accesspoint dem RADIUS-Server in irgend einer Form liefern. Ich habe vergleichbare Projekte mit Zyxel und Meru umgesetzt. Zyxel liefert als "Called-Station-ID" die SSID. Meru hingegen den Namen des zugehörigen Konfigurationsprofils. Beides ist geeignet, um entsprechend zu filtern. Was Dein Accesspoint liefert, schreibt Dir Dein NPS ins Logfile...


Gruß
sk
Bitte warten ..
Mitglied: aqui
LÖSUNG 19.12.2014, aktualisiert 22.12.2014
Den Ausführungen des TO kann man m.E. entnehmen, dass der AP zwei SSIDs anbietet und diese auf unterschiedliche VLANs gemappt sind.
Richtig, würde man erstmal aus der Schilderung so verstehen, aber obs stimmt ?!
Bitte warten ..
Mitglied: casitsb
22.12.2014 um 11:17 Uhr
Fälschlicherweise hab ich den letzten Beitrag als "Lösung" markiert... ich sollte erst lesen, dann klicken!

Ich danke euch für eure Anregungen und Ideen, "leider" werde ich erst im neuen Jahr dazu kommen, diese umzusetzen / zu testen...

ja das ist richtig, es gibt bereits zwei SSIDs (Produktivsystem), diese sind auch auf zwei unterschiedliche VLANs gemappt, die Notebooks sind Mitglieder der Domäne, die einzigen Geräte, die nicht in die Domäne eingebunden sind, sind die Smartphones der Kollegen.

Dass meine Ausführungen verworren sind, wundert mich nicht... Entschuldigung dafür! Sicher ein Grund, da ich beim schreiben geistig zwischen Test- & Produktivumgebung hin und her gewechselt bin...

Mein Kernproblem ist, die Zuordnung der Richtlinien zu ihren SSIDs und ich denke, dass sk mir hier den richtigen Aufhänger gegeben hat!
Ich denke HP hat seinen Netzwerkprodukten die Fähigkeit gegeben, mir die benötigten Informationen zu liefern! Manchmal ist die Lösung so einfach!

Ich habe meine Hausaufgaben erkannt!


Ich wünsche euch ein frohes Weihnachtsfest und einen guten Rutsch ins neue Jahr! Sobald ich neue Informationen habe, werde ich berichten!

Mit freundlichen Grüßen

casitsb
Bitte warten ..
Mitglied: sk
22.12.2014 um 11:48 Uhr
Zitat von casitsb:
die Notebooks sind Mitglieder der Domäne

Dann kannst Du diese gegen eine Gruppe, welche die Computerkonten enthält, authentifizieren und vorallem auch die clientseitigen WLAN-Settings komplett über Gruppenrichtlinien steuern.


Zitat von casitsb:
Ich denke HP hat seinen Netzwerkprodukten die Fähigkeit gegeben, mir die benötigten Informationen zu liefern!

Definitiv.

Zitat von casitsb:
Ich wünsche euch ein frohes Weihnachtsfest und einen guten Rutsch ins neue Jahr!

Danke, Dir auch!


Gruß
sk
Bitte warten ..
Mitglied: aqui
22.12.2014 um 14:50 Uhr
Ich denke HP hat seinen Netzwerkprodukten die Fähigkeit gegeben, mir die benötigten Informationen zu liefern!
Na ja....in ihrem Kundensegment wo sie sich tummeln sicherlich...in anderen eher weniger aber dafür ists halt HP
Bitte warten ..
Mitglied: casitsb
07.01.2015 um 09:40 Uhr
Guten Morgen zusammen und ein frohes und gesundes neues Jahr!

es läuft - wie zu erwarten!

Was habe ich getan:
Die Umsetzung der angesprochenen Auswertung der SSIDs in die Anforderungs- & Netzwerkrichtlinien einbinden (das hat sk angesprochen) .
Durch die Aufnahme der "Empfangs-ID" (Called-Station-ID) unter den Bedingungen ist dies gewährleistet.
Da es bei dem von meiner Firma eingesetzten HP MSM Controller nicht die Möglichkeit gibt, ausschließlich die SSID als Called-Staion-ID zu senden (nur Kombi aus MAC & SSID), muss dies bei der Auswertung berücksichtigt werden.
Zwei Sachen, die vielleicht für andere hilfreich sein können:

ein Fix für die "IASNAP.dll" :
http://support.microsoft.com/kb/2599437/EN-US

eine kleine Hilfe für den Einsatz von Wildcards und RegEx:
https://social.technet.microsoft.com/Forums/windowsserver/en-US/fa662135 ...

Den Fix musste ich nicht anwenden, die "IASNAP.dll" unserer NPS hat die Versionsnummer 16385 und ist von 2009, hier scheint es noch keine Probleme zu geben.

Der Einfachheit halber, habe ich die Authentifizierung, so wie sk vorgeschlagen hat, gegen die Computerkonten im AD laufen lassen.


Was mache ich mit den Smartphones?
Die User sind in der Domäne, die Smartphones durchlaufen unsere Abteilung einmalig bei der Einrichtung (Softwareinstallation & Konfiguration).
Um keine Whitelist auf dem Controller pflegen zu müssen, bin ich gedanklich bei Userzertifikaten. Für andere Ideen bin ich offen!

Mit freundlichen Grüßen
Bitte warten ..
Mitglied: aqui
07.01.2015 um 09:43 Uhr
Registrier die Mac Adressen der Smartphones und lass die Authentisierung gegen die Mac Adresse laufen wenn dir das als Security reicht...
Ansonsten User Zertifikate.
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Windows Server
gelöst Oracle ODBC Treiber in Windows 2008 R2 (3)

Frage von kschi12 zum Thema Windows Server ...

Windows Server
gelöst Windows 2008 R2 Backup Domaincontroller als Primary DC heraufstufen (2)

Frage von adrian138 zum Thema Windows Server ...

Windows Server
gelöst Windows 2008 R2 RODC zum DC machen (4)

Frage von derLenhart zum Thema Windows Server ...

Heiß diskutierte Inhalte
Windows Server
DHCP Server switchen (25)

Frage von M.Marz zum Thema Windows Server ...

SAN, NAS, DAS
gelöst HP-Proliant Microserver Betriebssystem (14)

Frage von Yannosch zum Thema SAN, NAS, DAS ...

Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

Windows 7
Verteillösung für IT-Raum benötigt (12)

Frage von TheM-Man zum Thema Windows 7 ...