Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Zugriffsbeschränkung mit Protokollierung und Vorgabe von Bedingungen

Frage Netzwerke LAN, WAN, Wireless

Mitglied: diemilz

diemilz (Level 1) - Jetzt verbinden

18.05.2009, aktualisiert 18.10.2012, 4896 Aufrufe, 11 Kommentare

Ich möchte unser Wireless LAN so aufrüsten, dass sich niemand mehr mit nem einfachen PSK anmelden kann (WPA-Enterprise). Dazu bin ich auf der Suche nach einem RADIUS-Server, der folgende Eigenschaften beherrscht:

- Anmeldung am WLAN über Benutzername und Kennwort
- Protokollierung der Anmeldung am WLAN UND über welchen Access-Point diese erfolgte
- Koppeln von Benutzername mit einem einmaligen Attribut des Laptops, z.B. MAC-Adresse; wenn der Benutzer Franz Mustermann sich anmeldet, soll er erst dann Zugriff bekommen, wenn die MAC-Adresse xyz lautet (Eindämmung von MAC-Spoofing)
- Protokollierung sämtlicher Zugriffe samt Zielports innerhalb des Netzes

Ich habe mir schon unter Windows Server 2008 den Netzwerkrichtlinienserver angeschaut. Der Server bietet sehr gute Einstellungsmöglichkeiten, allerdings kann ich da keine Bedingungen festlegen, wann ein Benutzer sich anmelden kann. Kennt ihr da Alternativprodukte, möglichst Freeware?
Mitglied: aqui
18.05.2009, aktualisiert 18.10.2012
Vielleicht hilft dir das weiter:

http://www.administrator.de/wissen/wlan-oder-lan-gastnetz-einrichten-mi ...

Allerdings wird eine Protokollierung der benutzen APs damit nicht ganz einfach.
Mit Windows Bordmitteln kannst du sowas ganz vergessen, denn das erlaubt auch dessen Protokollierungsmöglichkeiten nicht.

Professionelle WLAN Lösungen von Trapeze, Cisco, Meru, Brocade und anderen sind aber Controllerbasierend.
Dort hast du schon per se aufgrund des Produkts alle die von dir geforderten Möglichkeiten als Default zur Verfügung, denn diese sind immer Teil deren Protokollierung die diese Produkte von sich auch schon selber ohne externe Zusätze machen.

Logischerweise bewegst du dich dann dort aber auch in einem anderen Preissegement als wenn du Consumer Billig Accesspoints vom Blödmarkt verwendest die so etwas natürlich nicht bieten können, das ist klar !!
Bitte warten ..
Mitglied: diemilz
18.05.2009 um 14:15 Uhr
Gibt es keinen Radius-Server, der diese Funktionen bereitstellen kann? Ich wollte jetzt nicht noch einen extra Server dafür einrichten.
Bitte warten ..
Mitglied: aqui
18.05.2009 um 17:36 Uhr
Vermutlich weisst du nicht wirklich wovon du sprichst.... Ein Radius Server ist ein Authentifizierungs Server, sprich ist also für das Authentifizieren der Benutzer zuständig, nicht aber zum Loggen von Client oder Systemzuständen !!

System und Client Logging kann er aber nicht, denn das macht z.B. ein Syslog Server.
Wenn du ein Unix/Linux System hast kannst du beides auf einem Rechner betreiben (Freeradius.org). Mit Windows IAS und Kiwi Syslog z.B. auch wenn auch weniger komfortabel.

Professionelle WLAN Systeme haben wie oben bereits bemerkt ihre eigenen Logging Mechanismen.
Radius und Syslog benötigst du aber minimal um nur ansatzweise das realisieren zu können was du oben forderst von einem solchen System !!
Bitte warten ..
Mitglied: diemilz
18.05.2009 um 19:38 Uhr
Sry, das kam meinerseits unklar rüber. Natürlich geht es primär um die Authentifizierung der Benutzer, die Protokollierung ist zweitrangig.

Im Prinzip wäre der NAP-Server unter Windows 2008 nahezu perfekt, das Problem ist nur, dass er mit ner MAC-Adresse nichts anfangen kann, ich kann dort den Punkt "MAC-Adresse" zumindest nicht als Bedingung ranziehen. Gibt es andere Radius-Server, die das können?
Bitte warten ..
Mitglied: aqui
18.05.2009 um 20:35 Uhr
Ja bei Winblows Server ist es der IAS der immer mitgeliefert ist den du nur installieren musst.

Unter Linux/Unix ist es der meistverbreitete Klassiker www.Freeradius.org
Bitte warten ..
Mitglied: diemilz
18.05.2009 um 20:36 Uhr
Unter Windows Server 2008 gibts nur noch den NAP, der kann aber keine MACs als Bedingungen annehmen.
Bitte warten ..
Mitglied: aqui
19.05.2009, aktualisiert 18.10.2012
Der IAS konnte das aber problemlos !!! Ist eigentlich verwunderlich das MS dann solch einen Wechsel vollzieht.
Wenn der NAP dem IAS gleich ist bist du dir sicher das das nicht klappt mit den Macs ??

Mit Freeradius geht es wenigstens problemlos:
http://www.administrator.de/forum/vlan-konfiguration-von-freeradius-552 ...

Die IAS Konfig war dazu übrigens analog...
Bitte warten ..
Mitglied: diemilz
19.05.2009 um 11:29 Uhr
Ich habe alles durchgeschaut, ich kann die MAC nicht als Bedingung angeben.
Bitte warten ..
Mitglied: diemilz
19.05.2009 um 15:39 Uhr
Ich könnt Microsoft echt n paar um die Ohren hauen, Gott da hätte ich wirklich Spass dran.

Es gibt eine Bedingung für die MAC-Adresse, aber die heißt nicht MAC-Adresse, sondern Absender/Empfänger-ID und ist eigentlich ein Punkt für Telefonnummern. Den Hinweis hab ich ganz versteckt im Ereignisprotokoll in einer Fehlermeldung mittendrin gefunden, als unter dem Punkt Empfänger-ID eine MAC-Adressen-ähnliche Zeichenfolge zu finden war. Ich habe dann einfach mal spaßeshalber die MAC-Adresse des Laptops überprüft und siehe da, die MACs stimmen genau überein, gleiches Spiel mit nem anderen Laptop. Nirgends in der Hilfe war auch nur ein Sterbenswörtchen davon zu finden.

Ich krieg da so einen Hals, das hat mich schon wieder drei Stunden gekostet, die ich echt für was besseres hätte einsetzen können. -.-
Bitte warten ..
Mitglied: aqui
19.05.2009 um 16:07 Uhr
Eigentlich ist das vollkommen unverständlich, denn der IAS wird in geswitchten Netzen sehr sehr häufig bei dynamischen VLANs bzw. MAC basierten VLANs benutzt.
D.h. der IAS weist dann einem Switchport dynmaisch ein VLAN nach angeschlossener MAC Adresse zu.
Hier findest du ein Hersteller Dokument was dir zeigt wie es beim IAS mit MAC geht.
Wenn der IAS Nachfolger das wirklich nicht hat ist das schon sehr unverständlich von MS ?!
Bitte warten ..
Mitglied: diemilz
19.05.2009 um 17:19 Uhr
Wie gesagt, er hat es, aber es heißt jetzt nicht mehr MAC-Adresse, sondern Absender-ID bzw. Empfänger-ID. Darauf musst du erstmal kommen. Hätte ich nicht ins Ereignisptorokoll geschaut, hätte ich noch in drei Wochen hier gesessen und hätte es nicht rausbekommen.

Wenn ich jetzt nur die Anmeldung am WLAN per Benutzer und Kennwort realisieren könnte, wäre ich einen Schritt weiter. Komischerweise ging alles, als ich die Teststellung unseres Netzes hatte, auch mit WPA2-Enterprise und allen Schikanen. Jetzt im fertigen Netz geht gar nix mehr.
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Batch & Shell
Druckertreiber per Powershell auf PC installieren - Nach CSV Vorgabe (1)

Frage von pixel0815 zum Thema Batch & Shell ...

Microsoft
Robocopy sinnvolle Protokollierung (4)

Frage von chattie zum Thema Microsoft ...

Batch & Shell
gelöst Doppelte Bedingungen für eine Update Batch (2)

Frage von zeroblue2005 zum Thema Batch & Shell ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (20)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Festplatten, SSD, Raid
M.2 SSD wird nicht erkannt (14)

Frage von uridium69 zum Thema Festplatten, SSD, Raid ...