regedit19
Goto Top

RADIUS Authentifizierung Windows Server 2019

Hallo Community!

Folgendes betrifft die Authentifizierung von WLAN Clients mittels RADIUS in Kombination mit dem ActiveDirectory:

Nach Konfiguration und Test der Authentifizierung von WLAN Clients mittels Benutzerauthentifizierung ( Benutzername & Kennwort ) stellen wir in unserer Testumgebung folgendes fest:

  • Anfragende Clients authentifizieren sich mittels Benutzername und Kennwort - in Folge dessen kommt eine erfolgreiche WLAN - Verbindung zustande - soweit in Ordnung.

Szenario:
Wird ein Benutzer welcher der erstellten Sicherheitsgruppe "WLAN-User" im ActiveDirectory angehört, deaktiviert, so ist es dem Benutzer weiterhin möglich eine erfolgreiche WLAN-Verbindung herzustellen.

Die Anmeldung wird erst dann Verweigert, wenn das am Smartphone oder Notebook definierte und eingerichtete WLAN - Profil gelöscht wird und sich der Benutzer versucht erneut durch Eingabe von Benutzername und Passwort zu authentifizieren.

Liegt hier ein Verständnisproblem meinerseits vor, oder gibt es zum besagten beschriebenen Szenario noch weitere ( unbeachtete ) Konfigurationsmöglichkeiten um den Intervall zu verkürzen bzw. eine neue Anfrage an das System zu stellen - ob dieser User generell noch berechtigt ist sich zu authentifizieren ( gültiges Kennwort / Konto aktiv ) ?


Danke Vorab an Alle für eure Ideen und Tipps!

Content-ID: 1371072731

Url: https://administrator.de/forum/radius-authentifizierung-windows-server-2019-1371072731.html

Ausgedruckt am: 23.12.2024 um 02:12 Uhr

149569
Lösung 149569 09.10.2021 aktualisiert um 17:15:54 Uhr
Goto Top
Moin,
das liegt daran das Client und NPS die TLS-Handles der Authentifizierung zwischenspeichern und diese ohne erneute Anfrage an den DC benutzen um den Client erneut zu authentifizieren (reduziert Auth Anfragen an den DC) . Standardmäßig beträgt die Zeit die so ein Handle gültig ist 10 Stunden. Die Zeit lässt sich mit Registry Keys auf Server und Client aber anpassen, siehe die passende Doku dazu
Konfigurieren der TLS-Handle-Ablaufzeit
regedit19
regedit19 10.10.2021 um 13:21:40 Uhr
Goto Top
Servus Hacktor!

Vielen Dank für die parate Lösung zu meiner Frage!
Nach der Anpassung des Registry Keys:
ServerCacheTime=dword:00000000
ist der gewünschte Effekt nun gegeben!


Hierzu noch folgender Erfahrungsbericht:

Getestet wurde die Authetifizierung mit zwei Smartphones:

- Motorola X Play
- Samsung Galaxy A6

Das Samsung Gerät verbindet sich nachdem der AD - User deaktiviert wurde - wie gewünscht - nicht mehr.
Das Motorola Gerät hingegen - völlig unbeeindruckt - stellt eine Verbindung mit dem Netzwerk her - selbst wenn der NPS - Dienst am Radius Server beendet ist oder der Server komplett offline genommen wurde.

Fällt das unter die Kategorie - It`s a feature not a BUG?

--- solved ---
--- closed ---
149569
149569 10.10.2021 aktualisiert um 14:11:46 Uhr
Goto Top
selbst wenn der NPS - Dienst am Radius Server beendet ist oder der Server komplett offline genommen wurde.
In dem Fall ist dann aber dein Radius Client (der AP) der Schuldige, das darf so definitiv nicht sein! Vermutlich cacht der bei dir auch was. Ohne aktiven Radius darf der Client(AP) keine User rein lassen, außer es wurden dort spezielle Ausnahmen konfiguriert oder dieser hat selbst eine Cache-Table.