Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Zugriffsbeschränkung mit Protokollierung und Vorgabe von Bedingungen

Frage Netzwerke LAN, WAN, Wireless

Mitglied: diemilz

diemilz (Level 1) - Jetzt verbinden

18.05.2009, aktualisiert 18.10.2012, 4922 Aufrufe, 11 Kommentare

Ich möchte unser Wireless LAN so aufrüsten, dass sich niemand mehr mit nem einfachen PSK anmelden kann (WPA-Enterprise). Dazu bin ich auf der Suche nach einem RADIUS-Server, der folgende Eigenschaften beherrscht:

- Anmeldung am WLAN über Benutzername und Kennwort
- Protokollierung der Anmeldung am WLAN UND über welchen Access-Point diese erfolgte
- Koppeln von Benutzername mit einem einmaligen Attribut des Laptops, z.B. MAC-Adresse; wenn der Benutzer Franz Mustermann sich anmeldet, soll er erst dann Zugriff bekommen, wenn die MAC-Adresse xyz lautet (Eindämmung von MAC-Spoofing)
- Protokollierung sämtlicher Zugriffe samt Zielports innerhalb des Netzes

Ich habe mir schon unter Windows Server 2008 den Netzwerkrichtlinienserver angeschaut. Der Server bietet sehr gute Einstellungsmöglichkeiten, allerdings kann ich da keine Bedingungen festlegen, wann ein Benutzer sich anmelden kann. Kennt ihr da Alternativprodukte, möglichst Freeware?
Mitglied: aqui
18.05.2009, aktualisiert 18.10.2012
Vielleicht hilft dir das weiter:

http://www.administrator.de/wissen/wlan-oder-lan-gastnetz-einrichten-mi ...

Allerdings wird eine Protokollierung der benutzen APs damit nicht ganz einfach.
Mit Windows Bordmitteln kannst du sowas ganz vergessen, denn das erlaubt auch dessen Protokollierungsmöglichkeiten nicht.

Professionelle WLAN Lösungen von Trapeze, Cisco, Meru, Brocade und anderen sind aber Controllerbasierend.
Dort hast du schon per se aufgrund des Produkts alle die von dir geforderten Möglichkeiten als Default zur Verfügung, denn diese sind immer Teil deren Protokollierung die diese Produkte von sich auch schon selber ohne externe Zusätze machen.

Logischerweise bewegst du dich dann dort aber auch in einem anderen Preissegement als wenn du Consumer Billig Accesspoints vom Blödmarkt verwendest die so etwas natürlich nicht bieten können, das ist klar !!
Bitte warten ..
Mitglied: diemilz
18.05.2009 um 14:15 Uhr
Gibt es keinen Radius-Server, der diese Funktionen bereitstellen kann? Ich wollte jetzt nicht noch einen extra Server dafür einrichten.
Bitte warten ..
Mitglied: aqui
18.05.2009 um 17:36 Uhr
Vermutlich weisst du nicht wirklich wovon du sprichst.... Ein Radius Server ist ein Authentifizierungs Server, sprich ist also für das Authentifizieren der Benutzer zuständig, nicht aber zum Loggen von Client oder Systemzuständen !!

System und Client Logging kann er aber nicht, denn das macht z.B. ein Syslog Server.
Wenn du ein Unix/Linux System hast kannst du beides auf einem Rechner betreiben (Freeradius.org). Mit Windows IAS und Kiwi Syslog z.B. auch wenn auch weniger komfortabel.

Professionelle WLAN Systeme haben wie oben bereits bemerkt ihre eigenen Logging Mechanismen.
Radius und Syslog benötigst du aber minimal um nur ansatzweise das realisieren zu können was du oben forderst von einem solchen System !!
Bitte warten ..
Mitglied: diemilz
18.05.2009 um 19:38 Uhr
Sry, das kam meinerseits unklar rüber. Natürlich geht es primär um die Authentifizierung der Benutzer, die Protokollierung ist zweitrangig.

Im Prinzip wäre der NAP-Server unter Windows 2008 nahezu perfekt, das Problem ist nur, dass er mit ner MAC-Adresse nichts anfangen kann, ich kann dort den Punkt "MAC-Adresse" zumindest nicht als Bedingung ranziehen. Gibt es andere Radius-Server, die das können?
Bitte warten ..
Mitglied: aqui
18.05.2009 um 20:35 Uhr
Ja bei Winblows Server ist es der IAS der immer mitgeliefert ist den du nur installieren musst.

Unter Linux/Unix ist es der meistverbreitete Klassiker www.Freeradius.org
Bitte warten ..
Mitglied: diemilz
18.05.2009 um 20:36 Uhr
Unter Windows Server 2008 gibts nur noch den NAP, der kann aber keine MACs als Bedingungen annehmen.
Bitte warten ..
Mitglied: aqui
19.05.2009, aktualisiert 18.10.2012
Der IAS konnte das aber problemlos !!! Ist eigentlich verwunderlich das MS dann solch einen Wechsel vollzieht.
Wenn der NAP dem IAS gleich ist bist du dir sicher das das nicht klappt mit den Macs ??

Mit Freeradius geht es wenigstens problemlos:
http://www.administrator.de/forum/vlan-konfiguration-von-freeradius-552 ...

Die IAS Konfig war dazu übrigens analog...
Bitte warten ..
Mitglied: diemilz
19.05.2009 um 11:29 Uhr
Ich habe alles durchgeschaut, ich kann die MAC nicht als Bedingung angeben.
Bitte warten ..
Mitglied: diemilz
19.05.2009 um 15:39 Uhr
Ich könnt Microsoft echt n paar um die Ohren hauen, Gott da hätte ich wirklich Spass dran.

Es gibt eine Bedingung für die MAC-Adresse, aber die heißt nicht MAC-Adresse, sondern Absender/Empfänger-ID und ist eigentlich ein Punkt für Telefonnummern. Den Hinweis hab ich ganz versteckt im Ereignisprotokoll in einer Fehlermeldung mittendrin gefunden, als unter dem Punkt Empfänger-ID eine MAC-Adressen-ähnliche Zeichenfolge zu finden war. Ich habe dann einfach mal spaßeshalber die MAC-Adresse des Laptops überprüft und siehe da, die MACs stimmen genau überein, gleiches Spiel mit nem anderen Laptop. Nirgends in der Hilfe war auch nur ein Sterbenswörtchen davon zu finden.

Ich krieg da so einen Hals, das hat mich schon wieder drei Stunden gekostet, die ich echt für was besseres hätte einsetzen können. -.-
Bitte warten ..
Mitglied: aqui
19.05.2009 um 16:07 Uhr
Eigentlich ist das vollkommen unverständlich, denn der IAS wird in geswitchten Netzen sehr sehr häufig bei dynamischen VLANs bzw. MAC basierten VLANs benutzt.
D.h. der IAS weist dann einem Switchport dynmaisch ein VLAN nach angeschlossener MAC Adresse zu.
Hier findest du ein Hersteller Dokument was dir zeigt wie es beim IAS mit MAC geht.
Wenn der IAS Nachfolger das wirklich nicht hat ist das schon sehr unverständlich von MS ?!
Bitte warten ..
Mitglied: diemilz
19.05.2009 um 17:19 Uhr
Wie gesagt, er hat es, aber es heißt jetzt nicht mehr MAC-Adresse, sondern Absender-ID bzw. Empfänger-ID. Darauf musst du erstmal kommen. Hätte ich nicht ins Ereignisptorokoll geschaut, hätte ich noch in drei Wochen hier gesessen und hätte es nicht rausbekommen.

Wenn ich jetzt nur die Anmeldung am WLAN per Benutzer und Kennwort realisieren könnte, wäre ich einen Schritt weiter. Komischerweise ging alles, als ich die Teststellung unseres Netzes hatte, auch mit WPA2-Enterprise und allen Schikanen. Jetzt im fertigen Netz geht gar nix mehr.
Bitte warten ..
Ähnliche Inhalte
Windows Server
gelöst DNS-Protokollierung auf Server 2012 R2 dauerhaft anschalten (2)

Frage von MarkusM zum Thema Windows Server ...

Datenbanken
gelöst SQL max wert in WHERE Bedingung (7)

Frage von StarMann zum Thema Datenbanken ...

Batch & Shell
For-Schleife Bedingung "nicht erfüllt" abfragen (8)

Frage von BatchNeuling zum Thema Batch & Shell ...

Microsoft Office
gelöst Zellen mit vba verketten bis Bedingung eintritt (2)

Frage von hellas zum Thema Microsoft Office ...

Neue Wissensbeiträge
Windows Server

Umstellung SHA 1 auf SHA 2 - Migration der CA von CSP auf KSP

Tipp von Badger zum Thema Windows Server ...

Windows 10

Quato DTP94 unter Windows 10 x64 installieren und verwenden

Anleitung von anteNope zum Thema Windows 10 ...

Windows 10

Win10 1703 und Nutzerkennwörter bei Ersteinrichtung - erstaunliche Erkenntnis

(15)

Erfahrungsbericht von DerWoWusste zum Thema Windows 10 ...

Heiß diskutierte Inhalte
Internet
gelöst Jeden morgen Internet-Probleme (58)

Frage von pjrtvly zum Thema Internet ...

DSL, VDSL
VDSL Signal via PowerLine an Fritzbox - Möglich? (19)

Frage von Seichobob zum Thema DSL, VDSL ...

Windows Server
Benutzer sperrt sich immer wieder im Active Directory Contoller (15)

Frage von Kirdy1301 zum Thema Windows Server ...