5
Zertifikate erzeugen - gerätebasiert
Hallo Communitiy,
aufgrund einer unfreiwilligen Auszeit konnte ich das untenstehende Thema nicht weiter verfolgen.
Microsoft NPS zum RADIUS konfigurieren
Mittlerweile läuft das WLAN, jedoch nach wie vor über WPA-Key. RADIUS läuft auch testweise, macht aber ohne Zertifikate keinen Sinn.
Für die WLAN-Teilnehmer soll AD-Authentifizierung eingeführt werden, wofür ich jedoch gerätebasierende Zertifikate benötige. Diese Zertifikate zu erzeugen und zu verteilen bereitet mir einiges Kopfzerbrechen, da es nicht wirklich brauchbare Beiträge dazu gibt, noch dazu wenn es um Windowsumgebungen geht (DC=SBS2011).
Vielleicht könnt Ihr helfen.
Vielen Dank
denkis
aufgrund einer unfreiwilligen Auszeit konnte ich das untenstehende Thema nicht weiter verfolgen.
Microsoft NPS zum RADIUS konfigurieren
Mittlerweile läuft das WLAN, jedoch nach wie vor über WPA-Key. RADIUS läuft auch testweise, macht aber ohne Zertifikate keinen Sinn.
Für die WLAN-Teilnehmer soll AD-Authentifizierung eingeführt werden, wofür ich jedoch gerätebasierende Zertifikate benötige. Diese Zertifikate zu erzeugen und zu verteilen bereitet mir einiges Kopfzerbrechen, da es nicht wirklich brauchbare Beiträge dazu gibt, noch dazu wenn es um Windowsumgebungen geht (DC=SBS2011).
Vielleicht könnt Ihr helfen.
Vielen Dank
denkis
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 270397
Url: https://administrator.de/contentid/270397
Printed on: April 19, 2024 at 22:04 o'clock
5 Comments
Latest comment
Hi
installier auf deinem SBS (sofern supported) die Zertififikatsdienste. Danach machst du eine GPO für die entsprechenden Rechner damit sie sich autamtisch ein Zertifikat von der CA holen (diese muss AD integriert sein)
Computer Certificate Auto-Enrollment
Computer Configuration > Windows Settings > Security Settings > Public Key Policies > Certificate Services Client - Auto-Enrollment
User Certificate Auto-Enrollment
User Configuration > Windows Settings > Security Settings > Public Key Policies > Certificate Services Client - Auto-Enrollment
Soweit ich mich erinnere gibt es in der CA auch eine Einstellung die verhindert, dass die USer das Zertifikat selber exportieren und auf anderen Geräten einspielen können. Weiß gerade nicht auswendig wo. Sollte sich aber ergoogeln lassen
installier auf deinem SBS (sofern supported) die Zertififikatsdienste. Danach machst du eine GPO für die entsprechenden Rechner damit sie sich autamtisch ein Zertifikat von der CA holen (diese muss AD integriert sein)
Computer Certificate Auto-Enrollment
Computer Configuration > Windows Settings > Security Settings > Public Key Policies > Certificate Services Client - Auto-Enrollment
User Certificate Auto-Enrollment
User Configuration > Windows Settings > Security Settings > Public Key Policies > Certificate Services Client - Auto-Enrollment
Soweit ich mich erinnere gibt es in der CA auch eine Einstellung die verhindert, dass die USer das Zertifikat selber exportieren und auf anderen Geräten einspielen können. Weiß gerade nicht auswendig wo. Sollte sich aber ergoogeln lassen
Hallo,
Du legst im NPS eine Richtlinie an, die alle Geräte einer bestimmten Gruppe reinlässt.
In diese Gruppe kommen dann die Geräte die in das WLAN sollen.
Das mit den Zertifikaten habe ich auch versucht, bin aber auch gescheitert; auch das automatisch Rollout wollte irgendwie nicht.
Ich vermute auch einen Fehler in deinem älteren Post: Nicht nur der WLAN-Controller muss als RADIUS Client rein, auch alle anderen Controller und zwar mit dem Kennwort vom Controller!
Sonst erlaubt der RADIUS-Server die Anfrage nicht, weil die IP vom AccessPoint nicht erlaubt ist.
Ach ja, die Ergebnisanzeige und die Logs unter C:\Windows\System32\LogFiles sind den Freund
VG,
Deepsys
Zitat von @denkis:
Für die WLAN-Teilnehmer soll AD-Authentifizierung eingeführt werden, wofür ich jedoch gerätebasierende Zertifikate benötige.
Nicht unbedingt. Es reicht auch ein AD-Konto des Gerätes aus.Für die WLAN-Teilnehmer soll AD-Authentifizierung eingeführt werden, wofür ich jedoch gerätebasierende Zertifikate benötige.
Du legst im NPS eine Richtlinie an, die alle Geräte einer bestimmten Gruppe reinlässt.
In diese Gruppe kommen dann die Geräte die in das WLAN sollen.
Das mit den Zertifikaten habe ich auch versucht, bin aber auch gescheitert; auch das automatisch Rollout wollte irgendwie nicht.
Ich vermute auch einen Fehler in deinem älteren Post: Nicht nur der WLAN-Controller muss als RADIUS Client rein, auch alle anderen Controller und zwar mit dem Kennwort vom Controller!
Sonst erlaubt der RADIUS-Server die Anfrage nicht, weil die IP vom AccessPoint nicht erlaubt ist.
Ach ja, die Ergebnisanzeige und die Logs unter C:\Windows\System32\LogFiles sind den Freund
VG,
Deepsys
Hallo Deepsys, Hallo catachan
entschuldigt die späte Rückmeldung. Ich bin leider erst gestern dazu gekommen weiter zu testen.
Mit der Zertifikatvariante werde ich nicht froh und mein Chef wird langsam ungeduldig
.
Deshalb habe ich auch Deine Variante probiert Deepsys. Leider kam ich auch damit nicht weiter, weil der WLAN - Controller aus mir unerfindlichen Gründen den APs andere IP Adressen gibt. Jene Adressen die ich manuell zugewiesen habe sind nicht mehr da. Außerdem habe ich gestern in einer erweiterten Dokumentation unserer Switche (HP2530) entdeckt, dass es auch bei ihnen RADIUS Einstellungen gibt. Weiß jemand, ob die zum Durchschleifen von RADIUS Informationen relevant sind?
VG
denkis
entschuldigt die späte Rückmeldung. Ich bin leider erst gestern dazu gekommen weiter zu testen.
Mit der Zertifikatvariante werde ich nicht froh und mein Chef wird langsam ungeduldig
.Deshalb habe ich auch Deine Variante probiert Deepsys. Leider kam ich auch damit nicht weiter, weil der WLAN - Controller aus mir unerfindlichen Gründen den APs andere IP Adressen gibt. Jene Adressen die ich manuell zugewiesen habe sind nicht mehr da. Außerdem habe ich gestern in einer erweiterten Dokumentation unserer Switche (HP2530) entdeckt, dass es auch bei ihnen RADIUS Einstellungen gibt. Weiß jemand, ob die zum Durchschleifen von RADIUS Informationen relevant sind?
VG
denkis
Deshalb habe ich auch Deine Variante probiert Deepsys. Leider kam ich auch damit nicht weiter, weil der WLAN - Controller aus mir
unerfindlichen Gründen den APs andere IP Adressen gibt. Jene Adressen die ich manuell zugewiesen habe sind nicht mehr da.
Ähm, der WLAN-Controller "gibt" eigentlich doch gar keine IP-Adressen an die APs, das macht der DHCP-Server.unerfindlichen Gründen den APs andere IP Adressen gibt. Jene Adressen die ich manuell zugewiesen habe sind nicht mehr da.
Und vom dem DHCP-Server bekommt der AP dann gesagt wer sein Controller ist (CAPWAP); jedenfalls kenne ich das so von bintec.
Außerdem habe ich gestern in einer erweiterten Dokumentation unserer Switche (HP2530) entdeckt, dass es auch bei ihnen
RADIUS Einstellungen gibt. Weiß jemand, ob die zum Durchschleifen von RADIUS Informationen relevant sind?
Also, das ist normalerweise dafür da, das die Geräte mit Kabel sich authentifizieren. Mit WLAN wird das aber nicht gehen, dann dafür müssten die Geräte ja schon mit dem AP verbunden sein, tauchen ja sonst nicht am Switch auf.RADIUS Einstellungen gibt. Weiß jemand, ob die zum Durchschleifen von RADIUS Informationen relevant sind?
Fang mal mit dem APs und deren IP an, dann sollte das klappen.
Wie geschrieben, jeder AP muss mit seiner IP als RADIUS Client reingeschrieben werden.
Hallo,
ich habe jetzt entsprechend Eurer Vorlagen nochmals alles probiert. Die Lösung von Deepsys schien mir zuletzt jedoch am wenigsten kompliziert, bei einem akzeptablen Maß an Sicherheit.
Nachdem ich die Access Points dem Radius hinzugefügt hatte funktionierte alles problemlos.
Danke an Euch.
Viele Grüße
Denkis
ich habe jetzt entsprechend Eurer Vorlagen nochmals alles probiert. Die Lösung von Deepsys schien mir zuletzt jedoch am wenigsten kompliziert, bei einem akzeptablen Maß an Sicherheit.
Nachdem ich die Access Points dem Radius hinzugefügt hatte funktionierte alles problemlos.
Danke an Euch.
Viele Grüße
Denkis
