Radius mit Windows NPAs + Computer?

Hallo zusammen,

ich habe nach dieser Anleitung einen Radius Server aufgesetzt und die Benutzer Authentifizierung funktioniert auch.
https://www.andysblog.de/ubiquiti-unifi-wlan-mit-radius-anbindung-an-act ...

Ich frage mich ob ich nicht zusätzlich Sicherheit reinbekommen könnte, wenn ich hier nur bestimmte Computer freischalten könnte. Ich habe schon versucht eine Computergruppe hinzuzufügen, doch dann hat nichts mehr funktioniert.

Kann hier eventuell jemand weiter helfen?

Vielen Dank,
Grüße
Leon

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 5978868835

Url: https://administrator.de/contentid/5978868835

Ausgedruckt am: 25.11.2024 um 06:11 Uhr

5 Kommentare

Neuester Kommentar

zusätzlich Sicherheit reinbekommen könnte

Geräte Sicherheit dann immer mit einer zusätzlichen Mac Adress Authentisierung (MacBypass) zusätzlich zum 802.1x oder mit einem Zertifikat wenn dir die Mac Adresse zu unsicher ist. Beides bezieht sich ja auf die individuelle Hardware und führt zum Erfolg.
Siehe u.a. auch hier.

Danke für die Antwort.

Ich verstehe jetzt nur nicht wie das über MAC funktioniert. Über den Switch kann ich das ja nicht laufen lassen, da ich port-security bei den HP switchen ja nur auf den ganzen port setzen kann.

Die UBNT Sender hängen ja im VLAN und darüber geht auch das Gästenetz in einem weiterem VLAN. Wenn ich hier nur spezielle MACs zulassen, dann funktioniert das Gästenetz soweit ich weiß nicht mehr.

Oder kann man hier das VLAN bezogen machen?

Also meine Frage ist am ehesten Richtung Netzwerkrichtlinien Server.

Ich hab mir noch dieses Video hier angeschaut: https://www.youtube.com/watch?v=QKVBite1p3E&t=975s

Zertifikate werden bei uns bereits sauber verteilt, genau wie im Video beschrieben. Diese GPO haben wir schon.

Ich habe jetzt auch noch den den Server in der Domäne registriert. Seither kann ich mich nicht mehr mit Domänen User und Passwort anmelden.

Ich habe jetzt den Computer in die Gruppe und jetzt kann der Computer ohne Username + Passwort in das WLAN.

Ich würde jetzt gerne verstehen, wo der Umschalter ist? Warum war es vorher mit Username und Passwort möglich und jetzt nur noch mit dem Computer in der Gruppe?

Der AP sendet die Mac des WLAN Clients die ja immer Hardware bezogen ist and dne Radius Server und der bestimmt dann ob diese Mac darf oder nicht. Danach führt er dann die 802.1x Authentisierung durch.

hier nur spezielle MACs zulassen, dann funktioniert das Gästenetz soweit ich weiß nicht mehr.

Das funktioniert schon wenn du die entsprechenden Macs der Gäste authorisierst.
Normalerweise kennt man diese aber nicht und .1x Credentials aber auch nicht. Deshalb macht man es bei Gästen ja auch immer so das man im Radius ein sog. Fallback VLAN einrichtet. D.h. Gäste die weder eine gültige Mac noch gültige .1x Credentials haben fallen dann in das Fallback VLAN was dann von sich aus an einm Captive Portal endet z.B. Switch oder Firewall. Hier müssen dann Gäste ein Einmalpasswort eingeben oder wie auch immer man diese dann authentisiert.

Gäste sind deshalb ein denkbar schlechtes Beispiel weil du je weder Mac Adresse noch .1x noch sonstwas von denen kennst. Eine Radius Authorisierung ist mit Gästen deshalb per se ja deshalb sinnfrei.

Wenn man dich oben richtig versteht willst du ja zur .1x Authentisierung noch irgendetwas haben was auch die Hardware authentisiert, denn .1x Credentials kann theoretisch jeder User nutzen. Das macht aber nur Sinn mit Geräten und/oder Usern die do so oder so aktiv authentisiert bzw. dann in entsprechende VLANs kommen wenn du mit dynmaischen VLANs arbeitest.
Das Gäste Beispiel widerspricht dann so ein bisschen deiner eigenen Anforderung?!
Das geht dann wie gesagt nur