RADIUS Authentifizierung Windows Server 2019
Hallo Community!
Folgendes betrifft die Authentifizierung von WLAN Clients mittels RADIUS in Kombination mit dem ActiveDirectory:
Nach Konfiguration und Test der Authentifizierung von WLAN Clients mittels Benutzerauthentifizierung ( Benutzername & Kennwort ) stellen wir in unserer Testumgebung folgendes fest:
Szenario:
Wird ein Benutzer welcher der erstellten Sicherheitsgruppe "WLAN-User" im ActiveDirectory angehört, deaktiviert, so ist es dem Benutzer weiterhin möglich eine erfolgreiche WLAN-Verbindung herzustellen.
Die Anmeldung wird erst dann Verweigert, wenn das am Smartphone oder Notebook definierte und eingerichtete WLAN - Profil gelöscht wird und sich der Benutzer versucht erneut durch Eingabe von Benutzername und Passwort zu authentifizieren.
Liegt hier ein Verständnisproblem meinerseits vor, oder gibt es zum besagten beschriebenen Szenario noch weitere ( unbeachtete ) Konfigurationsmöglichkeiten um den Intervall zu verkürzen bzw. eine neue Anfrage an das System zu stellen - ob dieser User generell noch berechtigt ist sich zu authentifizieren ( gültiges Kennwort / Konto aktiv ) ?
Danke Vorab an Alle für eure Ideen und Tipps!
Folgendes betrifft die Authentifizierung von WLAN Clients mittels RADIUS in Kombination mit dem ActiveDirectory:
Nach Konfiguration und Test der Authentifizierung von WLAN Clients mittels Benutzerauthentifizierung ( Benutzername & Kennwort ) stellen wir in unserer Testumgebung folgendes fest:
- Anfragende Clients authentifizieren sich mittels Benutzername und Kennwort - in Folge dessen kommt eine erfolgreiche WLAN - Verbindung zustande - soweit in Ordnung.
Szenario:
Wird ein Benutzer welcher der erstellten Sicherheitsgruppe "WLAN-User" im ActiveDirectory angehört, deaktiviert, so ist es dem Benutzer weiterhin möglich eine erfolgreiche WLAN-Verbindung herzustellen.
Die Anmeldung wird erst dann Verweigert, wenn das am Smartphone oder Notebook definierte und eingerichtete WLAN - Profil gelöscht wird und sich der Benutzer versucht erneut durch Eingabe von Benutzername und Passwort zu authentifizieren.
Liegt hier ein Verständnisproblem meinerseits vor, oder gibt es zum besagten beschriebenen Szenario noch weitere ( unbeachtete ) Konfigurationsmöglichkeiten um den Intervall zu verkürzen bzw. eine neue Anfrage an das System zu stellen - ob dieser User generell noch berechtigt ist sich zu authentifizieren ( gültiges Kennwort / Konto aktiv ) ?
Danke Vorab an Alle für eure Ideen und Tipps!
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1371072731
Url: https://administrator.de/forum/radius-authentifizierung-windows-server-2019-1371072731.html
Ausgedruckt am: 23.12.2024 um 02:12 Uhr
3 Kommentare
Neuester Kommentar
Moin,
das liegt daran das Client und NPS die TLS-Handles der Authentifizierung zwischenspeichern und diese ohne erneute Anfrage an den DC benutzen um den Client erneut zu authentifizieren (reduziert Auth Anfragen an den DC) . Standardmäßig beträgt die Zeit die so ein Handle gültig ist 10 Stunden. Die Zeit lässt sich mit Registry Keys auf Server und Client aber anpassen, siehe die passende Doku dazu
Konfigurieren der TLS-Handle-Ablaufzeit
das liegt daran das Client und NPS die TLS-Handles der Authentifizierung zwischenspeichern und diese ohne erneute Anfrage an den DC benutzen um den Client erneut zu authentifizieren (reduziert Auth Anfragen an den DC) . Standardmäßig beträgt die Zeit die so ein Handle gültig ist 10 Stunden. Die Zeit lässt sich mit Registry Keys auf Server und Client aber anpassen, siehe die passende Doku dazu
Konfigurieren der TLS-Handle-Ablaufzeit
selbst wenn der NPS - Dienst am Radius Server beendet ist oder der Server komplett offline genommen wurde.
In dem Fall ist dann aber dein Radius Client (der AP) der Schuldige, das darf so definitiv nicht sein! Vermutlich cacht der bei dir auch was. Ohne aktiven Radius darf der Client(AP) keine User rein lassen, außer es wurden dort spezielle Ausnahmen konfiguriert oder dieser hat selbst eine Cache-Table.