EAP und Radius W2K3
Hallo zusammen,
vielleicht kann mir jemand sagen, wie sich folgende Situation auf mein WLAN auswirkt, wenn ich alles
vom PSK auf EAP umstelle... Undzwar so das ich kein Cleintzertifikat brauche.
Angenommen ich habe das also alles konfiguriert.
Habe eine Richtlinie erzeugt welche sagt, es dürfen sich aber nur Benutzer einer bestimmten
Active Directory Sicherheitsgruppe (also einer normalen Benutzergruppe) verbinden und das WLAN nutzen.
Was ist aber jetzt, wenn einer kommt. Ein Gast.
Kein Mitglied der Domäne und hat somit weder ein Computerkonto noch einen Benutzeraccount.
Der will sich verbinden. Wie ist die Reaktion?
Wird während des Verbindungsaufbaus nach einem Username gefragt? Sprich ein Fenster poppt auf.
Dann könnte man ja einen Gast WLAN Account einrichten und die Sache wäre gegessen.
Dieses Kennwort würde sich natürlich regelmäßig ändern...
Ist ja auch nicht die Sache... Es geht mir um die generelle Reaktion.
Danke euch...
vielleicht kann mir jemand sagen, wie sich folgende Situation auf mein WLAN auswirkt, wenn ich alles
vom PSK auf EAP umstelle... Undzwar so das ich kein Cleintzertifikat brauche.
Angenommen ich habe das also alles konfiguriert.
Habe eine Richtlinie erzeugt welche sagt, es dürfen sich aber nur Benutzer einer bestimmten
Active Directory Sicherheitsgruppe (also einer normalen Benutzergruppe) verbinden und das WLAN nutzen.
Was ist aber jetzt, wenn einer kommt. Ein Gast.
Kein Mitglied der Domäne und hat somit weder ein Computerkonto noch einen Benutzeraccount.
Der will sich verbinden. Wie ist die Reaktion?
Wird während des Verbindungsaufbaus nach einem Username gefragt? Sprich ein Fenster poppt auf.
Dann könnte man ja einen Gast WLAN Account einrichten und die Sache wäre gegessen.
Dieses Kennwort würde sich natürlich regelmäßig ändern...
Ist ja auch nicht die Sache... Es geht mir um die generelle Reaktion.
Danke euch...
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 123252
Url: https://administrator.de/forum/eap-und-radius-w2k3-123252.html
Ausgedruckt am: 23.12.2024 um 03:12 Uhr
5 Kommentare
Neuester Kommentar
Dafür nimmt man einen Accesspoint der mehrere virtuelle SSIDs supportet und richtet dort zusätzlich zu deiner EAP verschlüsselten SSID eine unverschlüsselte SSID ein z.B. FirmaXYZGastzugang.
Dieser AP spannt dann mit einem Gerät mehrere WLANs auf aus Clientsicht. Sowas können heutzutage auch schon gute und preiswerte Consumer APs.
Diese SSID legt man auf ein vollkommen vom Firmennetz isoliertes LAN oder VLAN um die Gäste sicherheitstechnisch vom Firmen LAN Zu trennen !
Mit einem Captive Portal wie in diesem Tutorial beschrieben:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Bindest du es ans Firmennetz oder Router dann an !
...Fertig bist du und dein Gastzugang !
Das Captive Portal hat natürlich auch eine Radius Option mit der du dann zentral auch ein Gäste Passwort für dein Captive Portal in deinem IAS verwalten kannst.
Hat man die Hardware ist das in 30 Minuten aufgesetzt !
Kannst das nicht umsetzen bleibt dir immer noch das Captive Portal aber dann musst du zwingend einen separaten zusätzlichen Accesspoint verwenden um ein Gast WLAN aufzuspannen, der natürlich mindestens 5 Funkkanäle von deinem AP entfernt ist um diesen nicht zu stören !
http://www.elektronik-kompendium.de/sites/net/0907031.htm
Dieser AP spannt dann mit einem Gerät mehrere WLANs auf aus Clientsicht. Sowas können heutzutage auch schon gute und preiswerte Consumer APs.
Diese SSID legt man auf ein vollkommen vom Firmennetz isoliertes LAN oder VLAN um die Gäste sicherheitstechnisch vom Firmen LAN Zu trennen !
Mit einem Captive Portal wie in diesem Tutorial beschrieben:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Bindest du es ans Firmennetz oder Router dann an !
...Fertig bist du und dein Gastzugang !
Das Captive Portal hat natürlich auch eine Radius Option mit der du dann zentral auch ein Gäste Passwort für dein Captive Portal in deinem IAS verwalten kannst.
Hat man die Hardware ist das in 30 Minuten aufgesetzt !
Kannst das nicht umsetzen bleibt dir immer noch das Captive Portal aber dann musst du zwingend einen separaten zusätzlichen Accesspoint verwenden um ein Gast WLAN aufzuspannen, der natürlich mindestens 5 Funkkanäle von deinem AP entfernt ist um diesen nicht zu stören !
http://www.elektronik-kompendium.de/sites/net/0907031.htm
Bei den Windows clients der Firma poppt je nach Einstellung kein Anmeldefenster auf bei Verwendung von EAP-PEAP MSchapv2.
Bei den Gästen die kein Firmen-Gerät haben muss die einstellung auf dem Client auch vorgenommen werden - da poppt dann aber ein Anmeldefenster auf, der Gast bräuchte im gegebenen Fall ein Active Directory Benutzerkonto um sich am WLAN anmelden zu können. Dazu muss man beim Client den Haken entfernen bei "Automatisch eigenen Windows Anmeldenamen und Kennwort verwenden" bei den EAP-MSCHAPv2 eigenschaften beim Client WLAN Adapter.
Beim Mitarbeiter wird also automatsich das Bentzername/Kennwort Pärchen an den Radius geschickt nachdem sich der User am Notebook anmeldet, und die Gäste melden sich an ihrem Notebook wie sie es gewohnt sind an - anschliessend poppt das WLAN Auth. Fenster auf wo der Gast seine Domaincredentials eingeben muss um sich am WLAN anzumelden.
Bei den Gästen die kein Firmen-Gerät haben muss die einstellung auf dem Client auch vorgenommen werden - da poppt dann aber ein Anmeldefenster auf, der Gast bräuchte im gegebenen Fall ein Active Directory Benutzerkonto um sich am WLAN anmelden zu können. Dazu muss man beim Client den Haken entfernen bei "Automatisch eigenen Windows Anmeldenamen und Kennwort verwenden" bei den EAP-MSCHAPv2 eigenschaften beim Client WLAN Adapter.
Beim Mitarbeiter wird also automatsich das Bentzername/Kennwort Pärchen an den Radius geschickt nachdem sich der User am Notebook anmeldet, und die Gäste melden sich an ihrem Notebook wie sie es gewohnt sind an - anschliessend poppt das WLAN Auth. Fenster auf wo der Gast seine Domaincredentials eingeben muss um sich am WLAN anzumelden.