chb1982
Goto Top

Radius Authentifizierung nur mit Domäne

Hallo zusammen,

ich komme bei einer Aufgabenstellung nicht so recht ans Ziel.

Ich nutze für die Authentifizierung für WLAN und SSL-VPN den Radius-Server auf einem Windows 2008R2.

Nun ist es so, dass unabhängig davon ob ich
benutzer@domäne.local
oder nur
benutzer

die Netzwerkrichtlinie die Anmeldung akzeptiert.

Wie löse ich es nun, dass nur Anmeldungen von benutzer@domäne.local akzeptiert und jene ohne Angabe der Domäne abgelehnt werden?

Grüße
Christoph

Content-ID: 289882

Url: https://administrator.de/forum/radius-authentifizierung-nur-mit-domaene-289882.html

Ausgedruckt am: 22.12.2024 um 15:12 Uhr

Deepsys
Deepsys 02.12.2015 um 15:09:52 Uhr
Goto Top
Hi,

nur so als Frage:
Was soll das bringen?

Die Domäne findest du an jeden PC schnell heraus, den Namen auch. Also hält dich nur das Kennwort auf.

Wie geht denn die Anmeldung genau?
Müssen die User Name und Kennwort eintippen (was ich vermute)?

VG,
Deepsys
xbast1x
xbast1x 02.12.2015 um 15:15:24 Uhr
Goto Top
Wir haben bei uns eine eigene Berechtigungsgruppe. Wer dort nicht drin ist, kann sich auch nicht verbinden .

Unter 2012 (habe 2008 nicht im Kopf) ist es unter MMC "Netzwerkrichtlinienserver" - RIchtlinien - Netzwerkrichtlinien und dann der Punkt Berechtigungen, hier könntest du z.B. eine Berechtigungsgruppe eintragen.
chb1982
chb1982 02.12.2015 um 15:17:15 Uhr
Goto Top
Hi,

jup, mit der Frage habe ich schon berechtigt. Der Knackpunkt liegt bei der Authentifizierung für SSL-VPN.
Hier kommt die Anfrage von der entsprechenden Firewall und diese gibt die Benutzereingabe 1:1 weiter.

Da ich auf der Firewall nun eine Zwei-Stufen-Authentifizierung einrichte, führt es dazu, dass ich den Benutzer aus dem AD noch einmal namentlich der Firewall bekannt machen muss, damit diese die zweite Stufe der Authentifizierung dazu schaltet. Auf der Firewall kann ich aber nur einen Benutzernamen mit einem Token verknüpfen.

Beispiel:
Auf der Firewall ist benutzer@domäne.local eingerichtet und mit dem Token A verknüpft. Der Anwender kommt nun und meldet sich mit benutzer@domäne.local an, die Firewall prüft ob sie das Konto lokal hat -> Ja, merkt, dass es ein Radius-Konto ist, prüft gegen Radius -> OK, fragen den Token ab -> OK.

Meldet sich der Benutzer nun ohne @domäne.local an prüft die Firewall immer noch ob es den user auch lokal kennt. Sie kennt ihn nicht, also gibt Sie die Anmeldung brav an den Radius-Server weiter. Diesem ist es nun egal, dass die Domäne fehlt und zack habe ich die TWA umgangen face-smile