3
Radius Authentifizierung nur mit Domäne
Hallo zusammen,
ich komme bei einer Aufgabenstellung nicht so recht ans Ziel.
Ich nutze für die Authentifizierung für WLAN und SSL-VPN den Radius-Server auf einem Windows 2008R2.
Nun ist es so, dass unabhängig davon ob ich
benutzer@domäne.local
oder nur
benutzer
die Netzwerkrichtlinie die Anmeldung akzeptiert.
Wie löse ich es nun, dass nur Anmeldungen von benutzer@domäne.local akzeptiert und jene ohne Angabe der Domäne abgelehnt werden?
Grüße
Christoph
ich komme bei einer Aufgabenstellung nicht so recht ans Ziel.
Ich nutze für die Authentifizierung für WLAN und SSL-VPN den Radius-Server auf einem Windows 2008R2.
Nun ist es so, dass unabhängig davon ob ich
benutzer@domäne.local
oder nur
benutzer
die Netzwerkrichtlinie die Anmeldung akzeptiert.
Wie löse ich es nun, dass nur Anmeldungen von benutzer@domäne.local akzeptiert und jene ohne Angabe der Domäne abgelehnt werden?
Grüße
Christoph
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 289882
Url: https://administrator.de/contentid/289882
Printed on: April 19, 2024 at 21:04 o'clock
3 Comments
Latest comment
Hi,
nur so als Frage:
Was soll das bringen?
Die Domäne findest du an jeden PC schnell heraus, den Namen auch. Also hält dich nur das Kennwort auf.
Wie geht denn die Anmeldung genau?
Müssen die User Name und Kennwort eintippen (was ich vermute)?
VG,
Deepsys
nur so als Frage:
Was soll das bringen?
Die Domäne findest du an jeden PC schnell heraus, den Namen auch. Also hält dich nur das Kennwort auf.
Wie geht denn die Anmeldung genau?
Müssen die User Name und Kennwort eintippen (was ich vermute)?
VG,
Deepsys
Wir haben bei uns eine eigene Berechtigungsgruppe. Wer dort nicht drin ist, kann sich auch nicht verbinden .
Unter 2012 (habe 2008 nicht im Kopf) ist es unter MMC "Netzwerkrichtlinienserver" - RIchtlinien - Netzwerkrichtlinien und dann der Punkt Berechtigungen, hier könntest du z.B. eine Berechtigungsgruppe eintragen.
Unter 2012 (habe 2008 nicht im Kopf) ist es unter MMC "Netzwerkrichtlinienserver" - RIchtlinien - Netzwerkrichtlinien und dann der Punkt Berechtigungen, hier könntest du z.B. eine Berechtigungsgruppe eintragen.
Hi,
jup, mit der Frage habe ich schon berechtigt. Der Knackpunkt liegt bei der Authentifizierung für SSL-VPN.
Hier kommt die Anfrage von der entsprechenden Firewall und diese gibt die Benutzereingabe 1:1 weiter.
Da ich auf der Firewall nun eine Zwei-Stufen-Authentifizierung einrichte, führt es dazu, dass ich den Benutzer aus dem AD noch einmal namentlich der Firewall bekannt machen muss, damit diese die zweite Stufe der Authentifizierung dazu schaltet. Auf der Firewall kann ich aber nur einen Benutzernamen mit einem Token verknüpfen.
Beispiel:
Auf der Firewall ist benutzer@domäne.local eingerichtet und mit dem Token A verknüpft. Der Anwender kommt nun und meldet sich mit benutzer@domäne.local an, die Firewall prüft ob sie das Konto lokal hat -> Ja, merkt, dass es ein Radius-Konto ist, prüft gegen Radius -> OK, fragen den Token ab -> OK.
Meldet sich der Benutzer nun ohne @domäne.local an prüft die Firewall immer noch ob es den user auch lokal kennt. Sie kennt ihn nicht, also gibt Sie die Anmeldung brav an den Radius-Server weiter. Diesem ist es nun egal, dass die Domäne fehlt und zack habe ich die TWA umgangen
jup, mit der Frage habe ich schon berechtigt. Der Knackpunkt liegt bei der Authentifizierung für SSL-VPN.
Hier kommt die Anfrage von der entsprechenden Firewall und diese gibt die Benutzereingabe 1:1 weiter.
Da ich auf der Firewall nun eine Zwei-Stufen-Authentifizierung einrichte, führt es dazu, dass ich den Benutzer aus dem AD noch einmal namentlich der Firewall bekannt machen muss, damit diese die zweite Stufe der Authentifizierung dazu schaltet. Auf der Firewall kann ich aber nur einen Benutzernamen mit einem Token verknüpfen.
Beispiel:
Auf der Firewall ist benutzer@domäne.local eingerichtet und mit dem Token A verknüpft. Der Anwender kommt nun und meldet sich mit benutzer@domäne.local an, die Firewall prüft ob sie das Konto lokal hat -> Ja, merkt, dass es ein Radius-Konto ist, prüft gegen Radius -> OK, fragen den Token ab -> OK.
Meldet sich der Benutzer nun ohne @domäne.local an prüft die Firewall immer noch ob es den user auch lokal kennt. Sie kennt ihn nicht, also gibt Sie die Anmeldung brav an den Radius-Server weiter. Diesem ist es nun egal, dass die Domäne fehlt und zack habe ich die TWA umgangen
