Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Radius und Backupserver

Mitglied: Xaero1982

Xaero1982 (Level 4) - Jetzt verbinden

16.12.2013, aktualisiert 17.12.2013, 2382 Aufrufe, 6 Kommentare, 1 Danke

Hallo Zusammen,

ich versuche mich derzeit an der Radiusnutzung für WLAN.

Ich habe auf einem Server 2008 die Zertifizierungsstelle installiert und den NPS. Das läuft auch alles so weit.

Nun würde ich aber gerne einen BackupNPS einrichten, falls der andere mal ausfällt o.ä.

Nun stelle ich mir die Frage wie das mit den Zertifikaten läuft. Muss ich für den zweiten NPS ein neues Zertifikat ausstellen? So wie ich das sehe: Ja, weil das ja für den anderen Server ausgetellt wurde?!
Muss ich denn das zweite Zertifikat dann auch über die GPO auf den Clients verteilen?

Oder wie genau läuft das?

Wirklich viel Infos find ich leider nicht und eine Anleitung zum 2003er oder Freeradius hilft mir leider nicht weiter.

Gruß und Dank
Mitglied: Coreknabe
17.12.2013 um 08:56 Uhr
Moin,

auch wenn man immer wieder hört, dass man das nicht machen soll: Ich habe den Zertifikatsserver auf einem DC installiert. Ist auch in Microsoft-Büchern so beschrieben. Falls Du nähere Infos brauchst, suche ich das noch mal raus.

Gruß
Bitte warten ..
Mitglied: spacyfreak
LÖSUNG 17.12.2013, aktualisiert um 10:46 Uhr
Radius für WLAN - da gibt es 2 Varianten:

PEAP (EAP-Mschapv2) oder PEAP (EAP-TLS).

Bei erster Variante authentisiert sich der Radius-Server selbst beim anfragenden Client mit dem Radius Serverzertifikat.
Dieses Zertifikat kannst du auf beliebigen Radius-Servern verwenden, der Hostname oder DNS Name des Radius-Servers ist unerheblich für diesen Anwendungszweck. Einfach Serverzert exportieren und auf dem Backup NPS importieren (Certsotre Local Computer) und in der RAS Policy bei Profile.. Authentication.. EAP einbinden. Der Client dagegen authentisiert sich bei dieser Variante beim Radius-Server mit seinen Domaincredentials (Username / Kennwort) und benötigt kein Clientzertifikat. Allerdings braucht der Client das Root CA Zertifikat der CA, die das Radiusserverzertifikat signiert hat.
Sonst würde der Client dem Radiusserver Zertifikat nicht vertrauen.

Bei zweiter Variante authentisiert sich der Radiusserver mit seinem Servercert beim anfragenden Client - und der Client hat auch ein eigenes Clientzertifikat, mit dem er sich beim Radius authentisiert. Hier macht eine PKI die ins AD integriert ist Sinn, damit die Clients automatisch ihr individuelles Clientzertifikat bekommen.

Bei beiden Varianten muss das Root CA Zertifikat (nicht das Radiusserverzertifikat) an die Clients verteilt werden (Certstore "Vertrauenswürdige Stammzertifizierungsstellen") da der Client dem Radiusserver ja sonst nicht vertraut. Das Prinzip ist da selbe wie bei https://postbank.de - der Posstbank Webserver sendet beim Zugriff meinem Browser sein webzertifikat, und damit ich sicher sein kann, dass dies tatsächlich der Postbankserver ist, muss ich diesem Zertifikat vertrauen. Und das kann ich nur, wenn das Postbankzertifikat von einer Root CA signiert wurde, deren Root CA Zertfiikat sich in meinem Certstore "vertrauenswürdige stammzertifizierungsstellen" befindet. Ggfs. muss auch ein "intermediate CA Zertifikat" ( je nach Cert-chain ) installiert werden im entspr. Ordner.
Bitte warten ..
Mitglied: Xaero1982
17.12.2013 um 11:14 Uhr
Moin,

coreknabe, ich glaube du hast mein Problem missverstanden

@spacyfreak: Ich danke dir für die ausführlichen Informationen. Dass mit dem Root CA hab ich dann wohl tatsächlich falsch gemacht. Ich habe das Radiuszertifikat verteilt, mit dem es ja auch geht, aber vermutlich dann eben nur gegenüber dem einen Radiusserver.

Benutzen tu ich hier EAP-MSCHAPv2.

Gruß und Dank
Bitte warten ..
Mitglied: Xaero1982
17.12.2013 um 12:26 Uhr
Ich habe doch noch mal eine Frage.

Dieses Root Zertifikat ist für:

"Alle ausgegebenen Richtlinien"
"Alle Anwendungsrichtlinien"

Des Weiteren kann ich es auf einem Client auch exportieren.

Nun stell ich mir die Frage: Was kann man denn mit dem Zertifikat noch so anstellen, auch wenn man keine Benutzerdaten hat?

Deswegen hatte ich ein Zertifikat ausgestellt für die Clientauthentifizierung.

Gruß
Bitte warten ..
Mitglied: spacyfreak
17.12.2013, aktualisiert um 15:37 Uhr
Das wird funktionieren weil das Root Zertifikat das du verteilst auch die Root CA Zertifikate (zufällig.. hehe) enthält.
Das Radiuszertifikat das auf dem Client installiert wird hat ansonsten garkeine Auswirkungen da es ja bei EAP-MSchapv2 nicht verwendet wird da der Client sich nur mit seinen Domaincredentials authentisiert.

wenn sich der client mit nem zertifikat (und nicht mit domaincredentials) anmelden soll, musst du in der NPS policy eben "Smartcard oder anders Zertifika" wählen anstelle von "Protected EAP". Das wäre dann EAP-TLS.
Der Client braucht ein Clientzertifikat das für diesen Zweck "Clieintauthentisierung" ausgestellt ist.

Ist aber garnicht trivial das zum laufen zu bringen - die Clients im AD (benutzerkonten) müssen mit dem jeweiligen Clientzert verbunden werden (AD Konsole.. Benutzer und Comptuer.. Ansicht.. alles einblenden, das ist nämlcih normal ausgeblendet in den Benutzer-Eigenschaften im AD). Macht meines Erachtens nur Sinn wenn man die CA auf dem AD laufen hat, aber damit machst du ein ziemliches Fass auf - erstmal in ner Testumgebung testen wg. Nebenwirkungen
Ansonsten ist EAP-TLS noch ein wenig sicherer als EAP-Mschapv2 weil ja sonst jeder der in WLAN Reichweite ist mit nem Domain-Kennwort ins Netz kommt, auch Anwender die mit ihrem Android Smartphone rumlaufen. Mit Clientzert muss ja erstmal das Zertifikat aufs Endgerät, und wenn das mit ner Passphrase geschützt ist kann das keiner installieren der das Kennwort für die Installation nicht kennt. Allerdings ist das echt nicht so einfach, da brauchste im Vergleich zum relativ einfachen EAP-MSchapv2 schon viel Zeit zum Testen und Verstehen. Versuch erstma die einfache Variante sauber zum laufen zu bringen.

Das Root CA Zertifikat ist nur eine Art "Beglaubigung", dass das Radius Serverzert vertrauenswürdig ist.
Wenn das garnicht verteilt wird, bekommt der Anwender eine Aufforderung, das Zertfifikat zu bestätigen wenn er sich mit dem WLAN verbinden will, bzw. der RAdius-Server schickt das ggfs. fehlende Root-Zertifikat zum Anwender.
Bitte warten ..
Mitglied: Xaero1982
17.12.2013 um 16:46 Uhr
Alles klar Danke

Die EAP-TLS Variante hatte ich schon am Laufen, aber das ist eigentlich nicht das was ich will, weil ich sonst den Nutzern ein Zertifikat zur Verfügung stellen muss und das muss ich dann wohl auf allen Endgeräten selber einrichten und dazu ... naja Benutzernamen und PW schaffen sie sich noch zu merken.

Gruß
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless
RADIUS - Abschlussprojekt
gelöst Frage von Dave57LAN, WAN, Wireless17 Kommentare

Hallo! ich bin momentan Azubi im 3. Lehrjahr und es geht langsam richtung Abschlussprojekt. Ich habe mich für ein ...

LAN, WAN, Wireless

WLAN per Radius absichern - Handy unterstützt Radius nicht

Frage von dietziLAN, WAN, Wireless10 Kommentare

Hallo Leute, ich hoffe, dass ich hier eine Antwort auf meine Frage finde. Ich habe einen Server mit Freeradius ...

Netzwerke

Authentifizerungsproblem mit RADIUS

Frage von Dom1091Netzwerke6 Kommentare

Guten Morgen allerseits, zurzeit befinde ich mich in der Ausbiildung zum FISI nun soll ich währen meines Projekts ein ...

Firewall

PfSense: Radius-Reset?

gelöst Frage von mrserious73Firewall3 Kommentare

Nabend zusammen, habe auf meiner pfSense mal testweise radius installiert. Dummerweise habe ich das aber nicht über die GUI ...

Neue Wissensbeiträge
Windows 10

Windows 10 - Programme laufen schneller, wenn Sie mit Administratorrechten ausgeführt werden

Erfahrungsbericht von 1Werner1 vor 13 StundenWindows 106 Kommentare

Moin, das wollte ich erst nicht glauben, aber es ist so. Wenn Ihr ein Programm mit Administratorrechten unter Windows ...

Sicherheits-Tools
Putty hat heftige Bugs korrigiert!
Information von Lochkartenstanzer vor 1 TagSicherheits-Tools5 Kommentare

Moin, Wie man aus herauslesen kann, sind in den Versionen vor 0.71 gravierende Bugs, die es angeraten erscheinen lassen, ...

Off Topic
Sachen die die Welt nicht braucht - Platz 1
Tipp von brammer vor 4 TagenOff Topic21 Kommentare

Hallo, ich habs als Tipp angelegt als Erfahrungsbericht nein Danke brammer

Humor (lol)
Spirit of Health-Kongress in Berlin
Information von AnkhMorpork vor 4 TagenHumor (lol)6 Kommentare

tgif! Beim dritten Spirit of Health-Kongress trafen sich am Wochenende Alternativmediziner und Naturheilkundler im Maritim Hotel Berlin, um sich ...

Heiß diskutierte Inhalte
Hardware
Telefonanlagen - Welche gibt es
Frage von Xaero1982Hardware21 Kommentare

Nabend Zusammen, ich suche eine neue TK Anlage und mein Auftraggeber will jetzt was völlig neues - State of ...

Windows Server
Eingeschränkte Gruppen - Spezielle Benutzergruppe hinzufügen
Frage von killtecWindows Server17 Kommentare

Hallo, ich möchte gerne folgendes Realisieren: Ich habe bei mir Eingeschränkte Gruppen via GPO aktiv und möchte nun der ...

LAN, WAN, Wireless
Intel(R) PRO Wireless 3945ABG
gelöst Frage von Leon509LAN, WAN, Wireless15 Kommentare

Hallo, habe ein Laptop Fujitsu (Intel, 4GB, 2GHz, Windos10, Intel(R) PRO/Wireless 3945ABG ) ein O2 DSL Anschluss Home50. Leider ...

Microsoft Office
Videodateien auf Windows Server 2008 R2 öffnen schlägt fehl
Frage von SchroediMicrosoft Office14 Kommentare

Hallo zusammen, wir haben das Problem das embedded Videos in PowerPoint (O365) auf unserer Citrix Farm (6.5) nicht abgespielt ...