MAC Adressen und gleichzeitige Benutzer Authentifizierung mit IAS in WIN2003
Hallo und Grüße,
ich löse das Thema mal aus meiner anderen Frage zu Produkten von lan-secure.com heraus...
Ich möchte, wie der Titel oben sagt, für meine WLAN Nutzer doppelte Sicherheit.
Einerseits sollen sie sich via Radius authentifizieren. Das funktioniert für sich allein.
Zusätzlich möchte ich eine Liste der erlaubten Rechner führen, so dass selbst ein authentifizierter Benutzer, bzw. geklauter Account sich nicht mit einem uns unbekannten Gerät, sprich MAC Adresse, anmelden kann.
Momentan hänge ich bzgl MAC Adressen Überprüfung hier:
Leider scheitere ich an der Radius Policy, die eine Überprüfung ermöglicht.
Meine Vorgehensweise zusammengefasst.
In den Eigenschaften des AD Benutzers, Reiter Einwählen, unter "Anruferkennung verifizieren", die MAC Adressen der erlaubten Geräte erfassen.
AD Benutzer ist Mitglied der Gruppe WLAN_Radius_Anwender (wird in Radius benötigt)
Ad Benutzer hat in Eigenschaft Einwählen, RAS Zugriff gestattet.
Auf IAS Server
In den RAS Richtlinien für den Access Point eine Regel anlegen,
Bedingung 1: Client IP Adresse = Access Point IP 10.0.0.x
Bedingung 2: Windows Group stimmen überein mit AD DOMÄNE\WLAN_Radius_Anwender
Jetzt wäre noch eine dritte Bedingung von Nöten, die die Caller ID Überprüfung macht, die nach meinem Verständnis,
die erfassten MAC Adressen aus der Anruferkennung mit der MAC Adresse des sich einwählenden zb. Iphones validiert.
Aber die Regel bekomme ich nicht hin...
Hat da jemand einen Tipp für mich? Gehe ich da komplett falsch ran?
Gleich vorab, die Access Points sind ultraintelligent (sarkasmus).. Sie erlauben entweder Radius Auth oder Mac Adressen Filterung, beides zugleich ist nicht.
Grüße
Oliver
ich löse das Thema mal aus meiner anderen Frage zu Produkten von lan-secure.com heraus...
Ich möchte, wie der Titel oben sagt, für meine WLAN Nutzer doppelte Sicherheit.
Einerseits sollen sie sich via Radius authentifizieren. Das funktioniert für sich allein.
Zusätzlich möchte ich eine Liste der erlaubten Rechner führen, so dass selbst ein authentifizierter Benutzer, bzw. geklauter Account sich nicht mit einem uns unbekannten Gerät, sprich MAC Adresse, anmelden kann.
Momentan hänge ich bzgl MAC Adressen Überprüfung hier:
Leider scheitere ich an der Radius Policy, die eine Überprüfung ermöglicht.
Meine Vorgehensweise zusammengefasst.
In den Eigenschaften des AD Benutzers, Reiter Einwählen, unter "Anruferkennung verifizieren", die MAC Adressen der erlaubten Geräte erfassen.
AD Benutzer ist Mitglied der Gruppe WLAN_Radius_Anwender (wird in Radius benötigt)
Ad Benutzer hat in Eigenschaft Einwählen, RAS Zugriff gestattet.
Auf IAS Server
In den RAS Richtlinien für den Access Point eine Regel anlegen,
Bedingung 1: Client IP Adresse = Access Point IP 10.0.0.x
Bedingung 2: Windows Group stimmen überein mit AD DOMÄNE\WLAN_Radius_Anwender
Jetzt wäre noch eine dritte Bedingung von Nöten, die die Caller ID Überprüfung macht, die nach meinem Verständnis,
die erfassten MAC Adressen aus der Anruferkennung mit der MAC Adresse des sich einwählenden zb. Iphones validiert.
Aber die Regel bekomme ich nicht hin...
Hat da jemand einen Tipp für mich? Gehe ich da komplett falsch ran?
Gleich vorab, die Access Points sind ultraintelligent (sarkasmus).. Sie erlauben entweder Radius Auth oder Mac Adressen Filterung, beides zugleich ist nicht.
Grüße
Oliver
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 165275
Url: https://administrator.de/contentid/165275
Ausgedruckt am: 22.11.2024 um 21:11 Uhr
1 Kommentar
Ich möchte, wie der Titel oben sagt, für meine WLAN Nutzer doppelte Sicherheit.
Du bekommst bei 2,5x Aufwand 1,01x die Sicherheit.
Das geht nicht auf dem IAS sondern du musst den WLAN AP so einstellen, dass der die MAC-IDs prüft.
Die MAC-IDs müssen dafür in einem bestimmten Format als User im AD angelegt sein.
Andernfalls musst du die C-API vom IAS benutzen und dir ein eigenes Modul schreiben.