dave57
Goto Top

RADIUS - Abschlussprojekt

Hallo!

ich bin momentan Azubi im 3. Lehrjahr und es geht langsam richtung Abschlussprojekt.

Ich habe mich für ein RADIUS Server (Windows) entschieden, das Thema hat in der Berufsschule interesse geweckt.

Edit (mehr Infos):
Wir haben ein heterogenes Netzwerk, das auf einer AD Domäne unter Windows Server 2008 R2 & Windows 2012 R2 aufbaut.
Unsere Clients sind unter Win10 LTSB 1607 und Win10 Pro 1709 aufgeteilt.

In der Firma pflegen wir zurzeit unser WLAN mit einer MAC-Adressen Whitelist (Sophos), unser LAN dagegen ist ungeschützt. Unbefugte Zugriffe sollen also auch im LAN (mittels RADIUS) unterbunden werden. Ob RADIUS letztendlich dann auch das WLAN abdecken soll/wird ist erstmal nicht geplant (keine Ahnung ob das dann letztendlich viel mehr aufwand ist). Aber Fakt ist, dass das LAN gesichert werden soll.

D.h. niemand soll sich einfach "einstöpseln" können.

Leider habe ich dies bzgl. wenig bis zu kein Vorwissen und habe deswegen ein paar Fragen.

Gibt es irgendwelche Do's und Don'ts die ihr einen Anfänger nennen könnt?

Wäre über jede Art von Input dankbar

Vielen Dank!

Content-ID: 398703

Url: https://administrator.de/contentid/398703

Ausgedruckt am: 26.11.2024 um 08:11 Uhr

Pjordorf
Pjordorf 18.01.2019 um 14:37:53 Uhr
Goto Top
Hallo,

Zitat von @Dave57:
Ist es notwendig bzw. empfehlenswert, für einen RADIUS Server einen eigenen Server aufzusetzen?
Server OS?
RADIUS ist was? NPS?

.. oder könnte man diesen auf einem bereits bestehenden Server installieren (z.B. unseren Domain Controller)?
Warum willst du das auf deinen Produktiven DC haben? NPS auf Win 10 Client? Keine Virtualisierungsmöglichkeiten wie Hyper-V oder ESXi?

Gruß,
Peter
emeriks
emeriks 18.01.2019 um 14:44:46 Uhr
Goto Top
Dave57
Dave57 18.01.2019 um 15:13:07 Uhr
Goto Top
Danke für die Rückmeldung!

Bei einem neu aufsetzen von einem Server habe ich die Möglichkeit Windows Server 2012 R2 oder Windows Server 2016 zu nehmen. Wenn ich einen bereits bestehenden Server nehme, dann nur 2012. Eignet sich 2016 besser?

Ich hatte vor, NPS zu nehmen, ja. Es sei denn, davon wird unbedingt abgeraten oder du hast eine Empfehlung?

Die Idee war, mit einem bereits bestehenden Server, Ressourcen zu sparen. Der DC galt hierbei nur als Beispiel.

Unsere Clients haben alle Windows 10. Auf unseren Servern laufen ESXi VMware 5.5.

Gruß,
Dave
emeriks
emeriks 18.01.2019 um 15:14:01 Uhr
Goto Top
Ja, aber zum Testen wirst Du doch kaum den produktiven DC verwenden wollen?
Pjordorf
Pjordorf 18.01.2019 um 15:42:48 Uhr
Goto Top
Hallo,

Zitat von @Dave57:
Bei einem neu aufsetzen von einem Server habe ich die Möglichkeit Windows Server 2012 R2 oder Windows Server 2016 zu nehmen. Wenn ich einen bereits bestehenden Server nehme, dann nur 2012. Eignet sich 2016 besser?
Und du befindest dich im 3.ten Lehrjahr - zum Pizzabäcker?face-smile Es ist dein ausgedachtest Projekt, oder nicht?

Ich hatte vor, NPS zu nehmen, ja.
Dann berichtige deine Überschrift wo du so überzeugend von RADIUS gesprochen hast. NPS kann auch RADIUS.

Die Idee war, mit einem bereits bestehenden Server, Ressourcen zu sparen. Der DC galt hierbei nur als Beispiel.
Es ist ein Unterschied ob das in einer Testumgebung oder in einer Produktiven Umgebung gebaut wird. Was ist wenn du ein Fehler machst?

Unsere Clients haben alle Windows 10. Auf unseren Servern laufen ESXi VMware 5.5.
Einen Produktiven Client sollst du auch nicht nehmen. Und das in eurer Server Hardware ESXi läuft ist ja OK, aber das in euren Servern (und da hast ja von Windows Servern gesprochen) dann dort ESXi läuft ist doch schwer zu glauben. Ist so als wenn ich von Mac Rechner rede und sage dir ich hab Windows 3.11 gerade Installiert. Selbst im 1ten Lehrjahr wird einem schon genauigkeit beigebracht. Oder bist du wirklich nur in eine Pizzabäcke lehre?

Gruß,
Peter
SeaStorm
SeaStorm 18.01.2019 um 16:01:35 Uhr
Goto Top
Zitat von @Dave57:

Hallo!
Hi

Ist es notwendig bzw. empfehlenswert, für einen RADIUS Server einen eigenen Server aufzusetzen?
Notwendig nicht. Empfehlenswert durchaus.
.. oder könnte man diesen auf einem bereits bestehenden Server installieren (z.B. unseren Domain Controller)?
Kann man.
Wird in der Praxis wohl davon abhängen, wie die Lizenzierung der Windows VM aussieht. Hat man einen Hypervisor mit einer Windows Datacenter Lizenz, nimmt man wohl eine eigene VM. Wenn einen das aber eine Lizenz kosten würde, dann eher nicht.

Zum testen allerdings: eigene VM.
Dave57
Dave57 18.01.2019 um 16:31:55 Uhr
Goto Top
Und du befindest dich im 3.ten Lehrjahr - zum Pizzabäcker?face-smile Es ist dein ausgedachtest Projekt, oder nicht?

Es ist mein ausgedachtes Projekt, richtig. Trotzdem ist die Frage, ob RADIUS mit NPS besser auf 2012 oder 2016 läuft, völlig legitim?


Dann berichtige deine Überschrift wo du so überzeugend von RADIUS gesprochen hast. NPS kann auch RADIUS.

Leider habe ich dem Thema kein großes Vorwissen, deswegen bin ich hier. Ist RADIUS denn mit NPS empfehlenswert, oder gibt es besseres/anderes was Du empfehlen kannst?


Es ist ein Unterschied ob das in einer Testumgebung oder in einer Produktiven Umgebung gebaut wird. Was ist wenn du ein Fehler machst?

Da ich wenig bis zu kein Vorwissen habe, werde ich es erstmal auf einer eigenen VM testen.


Gruß,
Dave
emeriks
emeriks 18.01.2019 um 16:39:28 Uhr
Goto Top
Zitat von @Dave57:
Da ich wenig bis zu kein Vorwissen habe, werde ich es erstmal auf einer eigenen VM testen.
Für was soll dieser RADIUS denn dienen? Bedenke, dass Du für den effektiven Test dann weitere Test-VM's oder Test-Geräte benötigen wirst.
Pjordorf
Pjordorf 18.01.2019 um 16:53:06 Uhr
Goto Top
Hallo,

Zitat von @Dave57:
Es ist mein ausgedachtes Projekt, richtig. Trotzdem ist die Frage, ob RADIUS mit NPS besser auf 2012 oder 2016 läuft, völlig legitim?
Ich würde noch Server 2012R2 nehmen, aber auch nur weil ich die Netze kenne. Ansonsten bei ein komplett neues Netz und nur windows 10 währe ich zum testen bei Server 2019 und wenn es etwas stabiler laufen soll eben bei Server 2016. Wo also willst du hin?
https://docs.microsoft.com/en-us/windows-server/networking/technologies/ ...
https://docs.microsoft.com/en-us/windows-server/networking/technologies/ ...

Leider habe ich dem Thema kein großes Vorwissen, deswegen bin ich hier. Ist RADIUS denn mit NPS empfehlenswert, oder gibt es besseres/anderes was Du empfehlen kannst?
Ist Linux besser als MacOS oder besser als Windows. Soll nur Lieder wiedergeben, die Routen berechnen, meine Highscores verwalten, und ab und an auch in der Firma RDP (ohne VPN) was machen können. In der Firma gibt es nur Server 2016 und Windows 10 (1809). So wie ich nichts zu den tatsächlichen Fakten schrieb, wie solltest du mir dann ein OS Vorschlagen welches sich mit meiner Sitzheizung und Radio verträgt und nicht den Motor blockiert weil ich verkehrtherum in einer Strasse stehe. Wir wissen von dein Projekt auch nicht was du genau wie machen und Lösen willst.

Da ich wenig bis zu kein Vorwissen habe, werde ich es erstmal auf einer eigenen VM testen.
Gute und kluge Entscheidung.

Gruß,
Peter
aqui
aqui 19.01.2019, aktualisiert am 08.07.2023 um 19:19:41 Uhr
Goto Top
für einen RADIUS Server einen eigenen Server aufzusetzen?
Nein !
Man kann ihn z.B. auch auf einer Firewall laufen lassen:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Oder als VM oder auf einem 30 Euro Raspberry Pi
Netzwerk Management Server mit Raspberry Pi
oder...oder..
Da ich wenig bis zu kein Vorwissen habe
Gegen das fehlende Vorwissen hilft wie immer Administrator.de:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Virtual Box, Ubuntu und FreeRadius sind hier deine besten Freunde. Oder...
ein Raspberry Pi !
Freeradius Management mit WebGUI
Netzwerk Management Server mit Raspberry Pi
Dave57
Dave57 21.01.2019 aktualisiert um 07:54:30 Uhr
Goto Top
Danke für die Rückmeldung(en).


Ansonsten bei ein komplett neues Netz und nur windows 10 währe ich zum testen bei Server 2019

Was genau meinst Du mit "komplett neues Netz"? Der RADIUS Server soll in einem bereits bestehenden Netz integriert werden, oder verstehe ich die Aussage falsch?

Wir haben ein heterogenes Netzwerk, das auf einer AD Domäne unter Windows Server 2008 R2 & Windows 2012 R2 aufbaut.
Unsere Clients sind unter Win10 LTSB 1607 und Win10 Pro 1709 aufgeteilt.


Für was soll dieser RADIUS denn dienen? Bedenke, dass Du für den effektiven Test dann weitere Test-VM's oder Test-Geräte benötigen wirst.

Wir wissen von dein Projekt auch nicht was du genau wie machen und Lösen willst.

Ehrlich gesagt weiß ich das genau auch noch nicht. Gerne gebe ich weitere Infos:

Das Thema hat erstmals in der Berufsschule interesse geweckt. In der Firma pflegen wir zurzeit unser WLAN mit einer MAC-Adressen Whitelist (Sophos), unser LAN dagegen ist ungeschützt. Unbefugte Zugriffe sollen also auch im LAN (mittels RADIUS) unterbunden werden. Ob RADIUS letztendlich dann auch das WLAN abdecken soll/wird ist erstmal nicht geplant (keine Ahnung ob das dann letztendlich viel mehr aufwand ist). Aber Fakt ist, dass das LAN gesichert werden soll.

D.h. niemand soll sich einfach "einstöpseln" können.
Dave57
Dave57 21.01.2019 um 08:22:03 Uhr
Goto Top
Virtual Box, Ubuntu und FreeRadius sind hier deine besten Freunde

Sorry, falls ich blöde Fragen stelle, aber:

"FreeRadius" hört sich dann nach einer anderen Lösung an (nicht mittels NPS).
Könntest Du mir bitte mehr darüber sagen?

Besser als NPS?
Vielleicht "Anfänger" freundlicher / Benutzerfreundlicher?

Danke!
aqui
aqui 21.01.2019 aktualisiert um 09:02:54 Uhr
Goto Top
Sorry, falls ich blöde Fragen stelle, aber:
Gibts ja nicht, nur blöde Antworten face-wink
"FreeRadius" hört sich dann nach einer anderen Lösung an (nicht mittels NPS).
Ja richtig. FreeRadius ist der weltweit am meisten genutzte Radius Server. NPS ist der Radius Server von Winblows.
Beide machen aber exakt das Gleiche.
Besser als NPS?
Ja, da mächtigeres Featureset.
Vielleicht "Anfänger" freundlicher / Benutzerfreundlicher?
Eher nicht wenn du ein Klicki Bunti Winblows Knecht bist und nichts anderes kennst. Dann wäre sicher NPS die vielleicht bessere Wahl für dich.

Wenn du allerdings lernen willst was Radius ist und wie es funktioniert und auch gute Debugging Optionen nutzen willst, dann wäre der FreeRadius für dich die allererste Wahl.
Allein schon aus dem Grund das es kostenlos ist und sich auch auf Kleinstrechnern wie z.B. einem Raspberry Pi betreiben lässt. Auch einen alten PC kann man mit Linux/Xubuntu LTS recyceln und FreeRadius kostenfrei damit nutzen. Siehe auch hier:
Netzwerk Management Server mit Raspberry Pi
Dave57
Dave57 21.01.2019 aktualisiert um 13:25:46 Uhr
Goto Top
Wäre es möglich als Testumgebung einen Desktop-PC als Server einzurichten, diesen an einen IEEE 802.1x fähigen Switch anzuschließen und dort meine RADIUS Test Clients anzuschließen?

Dies fiel mir ein, um sich vielleicht erstmal vertraut mit dem ganzen zu machen.

Wie wären in dem Fall hier die Authentifizierungsmöglichkeiten des Clients? Dies würde dann ja nicht über den AD gehen.

Wir haben leider nicht ausreichend Ressourcen für eine virtuelle Client/Server Testumgebung.

Danke!
Pjordorf
Pjordorf 21.01.2019 aktualisiert um 12:24:08 Uhr
Goto Top
Hallo,

Zitat von @Dave57:
Wäre es möglich als Testumgebung einen Desktop-PC als Server einzurichten, diesen an einen IEEE 802.1x fähigen Switch anzuschließen und dort 2 Notebooks per LAN (als Clients) anzuschließen?
Nun, dein Switch wird eben RADIUS machen oder nicht. Ich kennen keinen Switch wo du nur 2 Ports für Radius nutzen kannst und die anderen für einen anderen Mechanismus. Entweder alles oder gar nichts.

Dies fiel mir ein, um sich vielleicht erstmal vertraut mit dem ganzen zu machen.
Dazu nutzt man Testnetze.

Wie wären in dem Fall hier die Authentifizierungsmöglichkeiten des Clients? Dies würde dann ja nicht über den AD gehen.
Das ist dir ja ungenommen und auch die Benutzerauthentífizierung am AD bleibt dir ungenommen.

So wie es ausschaut haben wir nicht ausreichend Ressourcen für eine virtuelle Testumgebung mit Server+Clients.
Das ist aber kein Grund die C5 Böller gleich zu nehmen und dein Produktives LAN zu zerbretzeln face-smile Fehler beim Konfigurieren und Einsetzen einer 802.1x Umgebung kann dein Netz (LAN und WLAN) inoperativ gestalten. Deshalb ein Testnetz bis du RADIUS und Co. beherrscht.

https://en.wikipedia.org/wiki/IEEE_802.1X

Gruß,
Peter
Dave57
Dave57 21.01.2019 um 13:20:02 Uhr
Goto Top
Nun, dein Switch wird eben RADIUS machen oder nicht. Ich kennen keinen Switch wo du nur 2 Ports für Radius nutzen kannst und die anderen für einen anderen Mechanismus. Entweder alles oder gar nichts.

Ungünstig formuliert. Mein Fehler. Ja, das ist mir bewusst.


Dazu nutzt man Testnetze.

Genau. Ich möchte ein abgeschottetes Testnetz mit einem Desktop PC der als Server fungiert dafür benutzen, dieser wird an einem kleinen Cisco Switch angeschlossen und meine Test RADIUS Clients damit verbunden.

Wie wären in dem Fall hier die Authentifizierungsmöglichkeiten des Clients? Dies würde dann ja nicht über den AD gehen.
Das ist dir ja ungenommen und auch die Benutzerauthentífizierung am AD bleibt dir ungenommen.

Ich bin nur verwirrt, da ich RADIUS bis jetzt nur in Verbindung mit einer AD Authentifizierung kennengelernt habe. Der Testserver wird natürlich kein AD haben. Wie würde denn eine Benutzerauthentifizierung dann verlaufen? Könntest du mir für mein Verständnis ein Beispiel nennen oder empfehlen?


Das ist aber kein Grund die C5 Böller gleich zu nehmen und dein Produktives LAN zu zerbretzeln face-smile Fehler beim Konfigurieren und Einsetzen einer 802.1x Umgebung kann dein Netz (LAN und WLAN) inoperativ gestalten. Deshalb ein Testnetz bis du RADIUS und Co. beherrscht.

Das ist mir bewusst. Ich werde nicht auf dem produktiven LAN Testen.

Danke für deine bisherigen Beiträge Peter!
aqui
aqui 21.01.2019 aktualisiert um 13:51:08 Uhr
Goto Top
Ich kennen keinen Switch wo du nur 2 Ports für Radius nutzen kannst und die anderen für einen anderen Mechanismus. Entweder alles oder gar nichts.
Nein ! Diese Aussage ist falsch oder zumindest bedarf sie einer Klärung.

Man muss hier grundsätzlich 2 verschiedene Dinger unterscheiden:
  • Einmal die Radius Zugangssicherung zum Switch und dessen Konfig selber
  • zum anderen die Zugangssicherung zum Netzwerk bzw. Switchports des Switches
Das sind 2 verschiedene Paar Schuhe und der TO hat bis dato nicht gesagt WAS er machen will oder ob er beides machen will.
Die Aussage stimmt was den Management Zugang anbetrifft. Hier ist entweder ein lokal gesicherter oder ein Radius gesichereter Zugang möglich.
Generell falsch ist sie aber bei der Port- bzw. Netzwerk Zugangssicherung auf dem Switch per Radius.
Dort kann man sehr wohl und granular einstellen welcher Port so eine Sicherung machen soll und welcher nicht !
da ich RADIUS bis jetzt nur in Verbindung mit einer AD Authentifizierung kennengelernt habe.
Das ist natürlich Blödsinn und zeugt eher von Microsoft Blindheit, sorry !
Radius gab es schon bevor MS überhaupt wusste wie man Netzwerk überhaupt schreibt. Wie immer haben die nur kopiert und es in ihre Klicki Bunti Umgebung gebracht.
Wie würde denn eine Benutzerauthentifizierung dann verlaufen?
Wenn du das mit einem FreeRadius machen willst, dann gibt es 3 Optionen das zu machen:
  • Statisch über eine lokale User / Passwort Datei auf dem Radius Server
  • Per LDAP
  • Per Koppelung an ein AD
OK, in einer reinen Winblows Umgebung braucht man letzteres natürlich nicht.
Die letzten beiden wenn man einen externen Radius Radius Server in einer Winblows AD Umgebung betreiben will oder muss.
Bitte lese dir die oben bereits mehrfach zitierten Tutorials dazu durch. Da steht alles drin !!
Netzwerk Management Server mit Raspberry Pi
Netzwerk Management Server mit Raspberry Pi
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
https://www.heise.de/ct/artikel/WLAN-sichern-mit-Radius-1075339.html
https://www.heise.de/ct/artikel/Radius-mit-Windows-Server-2087800.html
https://www.andysblog.de/windows-drahtgebundenes-lan-802-1x-und-nps
Dort steht alles was du dazu wissen musst.