jimmyone
Goto Top

EAP und Radius W2K3

Hallo zusammen,

vielleicht kann mir jemand sagen, wie sich folgende Situation auf mein WLAN auswirkt, wenn ich alles
vom PSK auf EAP umstelle... Undzwar so das ich kein Cleintzertifikat brauche.

Angenommen ich habe das also alles konfiguriert.
Habe eine Richtlinie erzeugt welche sagt, es dürfen sich aber nur Benutzer einer bestimmten
Active Directory Sicherheitsgruppe (also einer normalen Benutzergruppe) verbinden und das WLAN nutzen.

Was ist aber jetzt, wenn einer kommt. Ein Gast.
Kein Mitglied der Domäne und hat somit weder ein Computerkonto noch einen Benutzeraccount.

Der will sich verbinden. Wie ist die Reaktion?
Wird während des Verbindungsaufbaus nach einem Username gefragt? Sprich ein Fenster poppt auf.
Dann könnte man ja einen Gast WLAN Account einrichten und die Sache wäre gegessen.

Dieses Kennwort würde sich natürlich regelmäßig ändern...
Ist ja auch nicht die Sache... Es geht mir um die generelle Reaktion.

Danke euch...

Content-ID: 123252

Url: https://administrator.de/forum/eap-und-radius-w2k3-123252.html

Ausgedruckt am: 23.12.2024 um 03:12 Uhr

aqui
aqui 21.08.2009, aktualisiert am 18.10.2012 um 18:39:06 Uhr
Goto Top
Dafür nimmt man einen Accesspoint der mehrere virtuelle SSIDs supportet und richtet dort zusätzlich zu deiner EAP verschlüsselten SSID eine unverschlüsselte SSID ein z.B. FirmaXYZGastzugang.
Dieser AP spannt dann mit einem Gerät mehrere WLANs auf aus Clientsicht. Sowas können heutzutage auch schon gute und preiswerte Consumer APs.

Diese SSID legt man auf ein vollkommen vom Firmennetz isoliertes LAN oder VLAN um die Gäste sicherheitstechnisch vom Firmen LAN Zu trennen !
Mit einem Captive Portal wie in diesem Tutorial beschrieben:

WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)

Bindest du es ans Firmennetz oder Router dann an !
...Fertig bist du und dein Gastzugang !
Das Captive Portal hat natürlich auch eine Radius Option mit der du dann zentral auch ein Gäste Passwort für dein Captive Portal in deinem IAS verwalten kannst.
Hat man die Hardware ist das in 30 Minuten aufgesetzt !

Kannst das nicht umsetzen bleibt dir immer noch das Captive Portal aber dann musst du zwingend einen separaten zusätzlichen Accesspoint verwenden um ein Gast WLAN aufzuspannen, der natürlich mindestens 5 Funkkanäle von deinem AP entfernt ist um diesen nicht zu stören !
http://www.elektronik-kompendium.de/sites/net/0907031.htm
jimmyone
jimmyone 21.08.2009 um 17:41:03 Uhr
Goto Top
Hallo,

danke für den guten Beitrag... Meine APs unterstützen an dieser Stelle keine virtual SSIDs.
Das mit dem Gast war nur ein Beispiel... Für Gäste existiert ein extra WLAN, weil die APs nicht multi SSID fähig sind. Der Aufwand würde sich aber an der Stelle jetzt auch nicht lohnen, da aufzurüsten.
Dafür sind zu selsten Gäste hier, die einen Zugriff auf das Internet benötigen.

Mir gehts aber auch mehr um den generellen Verständnis Aspekt in dieser Authentifizierungssache...
Wie der W2K3 das prüft.. Wie fragt er das ab?
Meldet sich der Benutzer z.B. an seinem Notebook lokal an und will aber dann ins WLAN fehlen ihm ja diese Sicherheitsinformationen im Account... Was passiert dann? Gibts ein Fenster zur Anmeldung oder wird verweigert?

Lokal in dem Sinne, er nutzt ein lokales Profil auf dem Notebook... Unwahrscheinlich weil verboten durch uns... Gibt keine lokalen Profile... Aber wie gesagt, es geht darum zu verstehen, wie W2K3 das prüft.

Ich hab versucht irgendein aus der Luft gegriffenes Beispiel zu finden...

Grüße
wiesi200
wiesi200 21.08.2009 um 19:54:55 Uhr
Goto Top
Binn gerade dabei bei mir es so einzustellen. Hab zwar noch 2-3 Probleme damit. Aber soweit ich es gesehen habe kann man hinterlegen ob die Windowsanmeldung verwendet wird oder ob man einen Benutzer manuell angeben muß
spacyfreak
spacyfreak 22.08.2009 um 04:03:45 Uhr
Goto Top
Bei den Windows clients der Firma poppt je nach Einstellung kein Anmeldefenster auf bei Verwendung von EAP-PEAP MSchapv2.
Bei den Gästen die kein Firmen-Gerät haben muss die einstellung auf dem Client auch vorgenommen werden - da poppt dann aber ein Anmeldefenster auf, der Gast bräuchte im gegebenen Fall ein Active Directory Benutzerkonto um sich am WLAN anmelden zu können. Dazu muss man beim Client den Haken entfernen bei "Automatisch eigenen Windows Anmeldenamen und Kennwort verwenden" bei den EAP-MSCHAPv2 eigenschaften beim Client WLAN Adapter.

Beim Mitarbeiter wird also automatsich das Bentzername/Kennwort Pärchen an den Radius geschickt nachdem sich der User am Notebook anmeldet, und die Gäste melden sich an ihrem Notebook wie sie es gewohnt sind an - anschliessend poppt das WLAN Auth. Fenster auf wo der Gast seine Domaincredentials eingeben muss um sich am WLAN anzumelden.
jimmyone
jimmyone 29.08.2009 um 13:41:14 Uhr
Goto Top
Hallo zusammen,

so habe das ganze jetzt mal testweise in einer Testumgebung probiert....
Das ganze funktioniert muss man schon sagen... Aber eine Sache ist mir negativ aufgefallen und ich weiß nicht ob es für diesen Punkt eine Richtlinie gibt... Gefunden habe ich auf Anhieb keine.

Und zwar scheint er das Passwort nicht bei jedem Connect bzw. Re-Connect zu prüfen.
Wenn ich sage, das nicht automatisch die Domänen Benutzername und PW Kombination genutzt werden soll...

Dann zeigt er mir eine Sprechblase... Danach erscheint ein Fenster.
Da trage ich den Benutzername, PW und Domäne ein. Klappt.
Beim nächsten Connect, wenn ich als hingehe und dann trenne und wieder auf verbinden klicke, meldet er sich automatisch an.
Er nutzt dann die Anmeldeinformtionen, die ein eingegeben habe.

Aber daran ändert dummerweise auch ein Neustart des Client nichts.
Wenn ich aber doch die Maschine neustarte, dann sollte er alles vergessen. Wo bekommt er also die Anmeldeinformationen für das Netz her?

Eine zweite Sache ist mehr als nervend und könnte das ganze EAP Projekt gefährden... Der Hauseigene WLAN Client von Windows XP unterscheidet offenbar in zwei Profile... Nämlich dem manuellen und dem automatischen. Ihr kennt das... Ihr connected zu einem WLAN.
So lange ihr das nicht manuell trennt, würde er beim erreichen des Netzes automatisch wieder verbinden. Trennt ihr aber manuell, dann müsst ihr auch manuell wieder verbinden. Und genau für diese beiden, ja Profile könnte man sagen gibt es eigene Einstellungen.

Das hat bei mir zu dem Problem geführt, das viele Benutzer das Netz nach Nutzung manuell wieder trennen, weil sie wieder zum Arbeitsplatz im Büro kommen etc. Einstellungen für EAP werden also für das manuelle Profil vorgenommen.
Aber während des Connect schaltet er automatisch um auf das automatisch verbinden Profil. Und da fehlten ihm die EAP Settings. Das Profil stand wie die anderen standardmäßig auf Smartcard. Bis ich das raus hatte verging einige Zeit.

Was macht man denn da? Das kann ich keinem Benutzer zumuten.
Kann man das per Script steuern, wie die Settings sein müssen?
Einmal eingestellt, speichert er das.