Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Radius und Backupserver

Mitglied: Xaero1982

Xaero1982 (Level 4) - Jetzt verbinden

16.12.2013, aktualisiert 17.12.2013, 2418 Aufrufe, 6 Kommentare, 1 Danke

Hallo Zusammen,

ich versuche mich derzeit an der Radiusnutzung für WLAN.

Ich habe auf einem Server 2008 die Zertifizierungsstelle installiert und den NPS. Das läuft auch alles so weit.

Nun würde ich aber gerne einen BackupNPS einrichten, falls der andere mal ausfällt o.ä.

Nun stelle ich mir die Frage wie das mit den Zertifikaten läuft. Muss ich für den zweiten NPS ein neues Zertifikat ausstellen? So wie ich das sehe: Ja, weil das ja für den anderen Server ausgetellt wurde?!
Muss ich denn das zweite Zertifikat dann auch über die GPO auf den Clients verteilen?

Oder wie genau läuft das?

Wirklich viel Infos find ich leider nicht und eine Anleitung zum 2003er oder Freeradius hilft mir leider nicht weiter.

Gruß und Dank
Mitglied: Coreknabe
17.12.2013 um 08:56 Uhr
Moin,

auch wenn man immer wieder hört, dass man das nicht machen soll: Ich habe den Zertifikatsserver auf einem DC installiert. Ist auch in Microsoft-Büchern so beschrieben. Falls Du nähere Infos brauchst, suche ich das noch mal raus.

Gruß
Bitte warten ..
Mitglied: spacyfreak
LÖSUNG 17.12.2013, aktualisiert um 10:46 Uhr
Radius für WLAN - da gibt es 2 Varianten:

PEAP (EAP-Mschapv2) oder PEAP (EAP-TLS).

Bei erster Variante authentisiert sich der Radius-Server selbst beim anfragenden Client mit dem Radius Serverzertifikat.
Dieses Zertifikat kannst du auf beliebigen Radius-Servern verwenden, der Hostname oder DNS Name des Radius-Servers ist unerheblich für diesen Anwendungszweck. Einfach Serverzert exportieren und auf dem Backup NPS importieren (Certsotre Local Computer) und in der RAS Policy bei Profile.. Authentication.. EAP einbinden. Der Client dagegen authentisiert sich bei dieser Variante beim Radius-Server mit seinen Domaincredentials (Username / Kennwort) und benötigt kein Clientzertifikat. Allerdings braucht der Client das Root CA Zertifikat der CA, die das Radiusserverzertifikat signiert hat.
Sonst würde der Client dem Radiusserver Zertifikat nicht vertrauen.

Bei zweiter Variante authentisiert sich der Radiusserver mit seinem Servercert beim anfragenden Client - und der Client hat auch ein eigenes Clientzertifikat, mit dem er sich beim Radius authentisiert. Hier macht eine PKI die ins AD integriert ist Sinn, damit die Clients automatisch ihr individuelles Clientzertifikat bekommen.

Bei beiden Varianten muss das Root CA Zertifikat (nicht das Radiusserverzertifikat) an die Clients verteilt werden (Certstore "Vertrauenswürdige Stammzertifizierungsstellen") da der Client dem Radiusserver ja sonst nicht vertraut. Das Prinzip ist da selbe wie bei https://postbank.de - der Posstbank Webserver sendet beim Zugriff meinem Browser sein webzertifikat, und damit ich sicher sein kann, dass dies tatsächlich der Postbankserver ist, muss ich diesem Zertifikat vertrauen. Und das kann ich nur, wenn das Postbankzertifikat von einer Root CA signiert wurde, deren Root CA Zertfiikat sich in meinem Certstore "vertrauenswürdige stammzertifizierungsstellen" befindet. Ggfs. muss auch ein "intermediate CA Zertifikat" ( je nach Cert-chain ) installiert werden im entspr. Ordner.
Bitte warten ..
Mitglied: Xaero1982
17.12.2013 um 11:14 Uhr
Moin,

coreknabe, ich glaube du hast mein Problem missverstanden

@spacyfreak: Ich danke dir für die ausführlichen Informationen. Dass mit dem Root CA hab ich dann wohl tatsächlich falsch gemacht. Ich habe das Radiuszertifikat verteilt, mit dem es ja auch geht, aber vermutlich dann eben nur gegenüber dem einen Radiusserver.

Benutzen tu ich hier EAP-MSCHAPv2.

Gruß und Dank
Bitte warten ..
Mitglied: Xaero1982
17.12.2013 um 12:26 Uhr
Ich habe doch noch mal eine Frage.

Dieses Root Zertifikat ist für:

"Alle ausgegebenen Richtlinien"
"Alle Anwendungsrichtlinien"

Des Weiteren kann ich es auf einem Client auch exportieren.

Nun stell ich mir die Frage: Was kann man denn mit dem Zertifikat noch so anstellen, auch wenn man keine Benutzerdaten hat?

Deswegen hatte ich ein Zertifikat ausgestellt für die Clientauthentifizierung.

Gruß
Bitte warten ..
Mitglied: spacyfreak
17.12.2013, aktualisiert um 15:37 Uhr
Das wird funktionieren weil das Root Zertifikat das du verteilst auch die Root CA Zertifikate (zufällig.. hehe) enthält.
Das Radiuszertifikat das auf dem Client installiert wird hat ansonsten garkeine Auswirkungen da es ja bei EAP-MSchapv2 nicht verwendet wird da der Client sich nur mit seinen Domaincredentials authentisiert.

wenn sich der client mit nem zertifikat (und nicht mit domaincredentials) anmelden soll, musst du in der NPS policy eben "Smartcard oder anders Zertifika" wählen anstelle von "Protected EAP". Das wäre dann EAP-TLS.
Der Client braucht ein Clientzertifikat das für diesen Zweck "Clieintauthentisierung" ausgestellt ist.

Ist aber garnicht trivial das zum laufen zu bringen - die Clients im AD (benutzerkonten) müssen mit dem jeweiligen Clientzert verbunden werden (AD Konsole.. Benutzer und Comptuer.. Ansicht.. alles einblenden, das ist nämlcih normal ausgeblendet in den Benutzer-Eigenschaften im AD). Macht meines Erachtens nur Sinn wenn man die CA auf dem AD laufen hat, aber damit machst du ein ziemliches Fass auf - erstmal in ner Testumgebung testen wg. Nebenwirkungen
Ansonsten ist EAP-TLS noch ein wenig sicherer als EAP-Mschapv2 weil ja sonst jeder der in WLAN Reichweite ist mit nem Domain-Kennwort ins Netz kommt, auch Anwender die mit ihrem Android Smartphone rumlaufen. Mit Clientzert muss ja erstmal das Zertifikat aufs Endgerät, und wenn das mit ner Passphrase geschützt ist kann das keiner installieren der das Kennwort für die Installation nicht kennt. Allerdings ist das echt nicht so einfach, da brauchste im Vergleich zum relativ einfachen EAP-MSchapv2 schon viel Zeit zum Testen und Verstehen. Versuch erstma die einfache Variante sauber zum laufen zu bringen.

Das Root CA Zertifikat ist nur eine Art "Beglaubigung", dass das Radius Serverzert vertrauenswürdig ist.
Wenn das garnicht verteilt wird, bekommt der Anwender eine Aufforderung, das Zertfifikat zu bestätigen wenn er sich mit dem WLAN verbinden will, bzw. der RAdius-Server schickt das ggfs. fehlende Root-Zertifikat zum Anwender.
Bitte warten ..
Mitglied: Xaero1982
17.12.2013 um 16:46 Uhr
Alles klar Danke

Die EAP-TLS Variante hatte ich schon am Laufen, aber das ist eigentlich nicht das was ich will, weil ich sonst den Nutzern ein Zertifikat zur Verfügung stellen muss und das muss ich dann wohl auf allen Endgeräten selber einrichten und dazu ... naja Benutzernamen und PW schaffen sie sich noch zu merken.

Gruß
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless
RADIUS - Abschlussprojekt
gelöst Frage von Dave57LAN, WAN, Wireless17 Kommentare

Hallo! ich bin momentan Azubi im 3. Lehrjahr und es geht langsam richtung Abschlussprojekt. Ich habe mich für ein ...

LAN, WAN, Wireless
RADIUS Zertifikat
Frage von Dr.CornwallisLAN, WAN, Wireless2 Kommentare

Liebe Gemeinde, ich habe auf einem Windows Server 2012 r2 alles fürt WLAN RADIUS konfiguriert (AD CA, NPS, Access ...

Netzwerke
Authentifizerungsproblem mit RADIUS
Frage von Dom1091Netzwerke6 Kommentare

Guten Morgen allerseits, zurzeit befinde ich mich in der Ausbiildung zum FISI nun soll ich währen meines Projekts ein ...

Firewall
PfSense: Radius-Reset?
gelöst Frage von mrserious73Firewall3 Kommentare

Nabend zusammen, habe auf meiner pfSense mal testweise radius installiert. Dummerweise habe ich das aber nicht über die GUI ...

Neue Wissensbeiträge
Windows Update
MS SQL Server Updates
Information von sabines vor 1 StundeWindows Update

Für 2012, 2014 und 2016 sind seit Dienstag wichtige Sicherheitsupdates verfügar, die eine remote, leicht auszunutzende Lücke im Reporting ...

Microsoft Office

Microsoft warnt: Office 365 am 29. Februar leider nicht nutzbar

Information von Lochkartenstanzer vor 14 StundenMicrosoft Office3 Kommentare

Moin, Wie die Überschrift schon sagt, gibt es offensichtlicham 29. februar ein Problem: Microsoft warnt: Office 365 am 29. ...

Netzwerkmanagement
Siemens Switche initial konfigurieren
Tipp von brammer vor 17 StundenNetzwerkmanagement2 Kommentare

Hallo, Bisher gab es für Siemens Switche die Möglichkeit die initiale Konfiguration über den Simatic Manager oder das Primary ...

Virtualisierung

VEEAM Instant VM Recovery Datenverlust möglich

Information von sabines vor 2 TagenVirtualisierung

Wer instant VM Recovery unter Veeam nutzt, sollte seine Installation überprüfen. In manchen Fällen könnte es zu Datenverlust kommen, ...

Heiß diskutierte Inhalte
Windows Server
Active Directory: Fehler beim Re-Promoten eines Servers
Frage von jordelWindows Server38 Kommentare

Hallo zusammen, Wir hatten einige Replikationsprobleme, weshalb ich gestern Nacht einen Domain Controller erst demoten und danach wieder promoten ...

Netzwerkprotokolle
Verständnissfrage IPv6
Frage von killtecNetzwerkprotokolle22 Kommentare

Hi, ich habe mir einen Online-Kurs zu IPv6 angeschaut. Dabei stellt sich mir die Frage der nutzbaren IPv6-Adressen. Bei ...

PHP
Dynamisches Array erstellen in PHP
Frage von Xaero1982PHP20 Kommentare

Moin Zusammen, ich bräuchte mal einen Geistesblitz. Ich habe ganz viele Daten in einer MongoDb. Ich möchte diese Daten ...

Microsoft Office
Welches MS Office Lizensmodell für 7 Arbeitsplätze in kleinen Unternehmen
Frage von harbyadmMicrosoft Office20 Kommentare

Hallo, Ich frage Euch welches Lizensmodell das günstigste ist.? ich benötige für z.Zeit 7 ARBEITSPLÄTZE , alles Windows 8-10, ...