Radius mit Windows NPAs + Computer?
Hallo zusammen,
ich habe nach dieser Anleitung einen Radius Server aufgesetzt und die Benutzer Authentifizierung funktioniert auch.
https://www.andysblog.de/ubiquiti-unifi-wlan-mit-radius-anbindung-an-act ...
Ich frage mich ob ich nicht zusätzlich Sicherheit reinbekommen könnte, wenn ich hier nur bestimmte Computer freischalten könnte. Ich habe schon versucht eine Computergruppe hinzuzufügen, doch dann hat nichts mehr funktioniert.
Kann hier eventuell jemand weiter helfen?
Vielen Dank,
Grüße
Leon
ich habe nach dieser Anleitung einen Radius Server aufgesetzt und die Benutzer Authentifizierung funktioniert auch.
https://www.andysblog.de/ubiquiti-unifi-wlan-mit-radius-anbindung-an-act ...
Ich frage mich ob ich nicht zusätzlich Sicherheit reinbekommen könnte, wenn ich hier nur bestimmte Computer freischalten könnte. Ich habe schon versucht eine Computergruppe hinzuzufügen, doch dann hat nichts mehr funktioniert.
Kann hier eventuell jemand weiter helfen?
Vielen Dank,
Grüße
Leon
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 5978868835
Url: https://administrator.de/forum/radius-mit-windows-npas-computer-5978868835.html
Ausgedruckt am: 26.12.2024 um 13:12 Uhr
5 Kommentare
Neuester Kommentar
zusätzlich Sicherheit reinbekommen könnte
Geräte Sicherheit dann immer mit einer zusätzlichen Mac Adress Authentisierung (MacBypass) zusätzlich zum 802.1x oder mit einem Zertifikat wenn dir die Mac Adresse zu unsicher ist. Beides bezieht sich ja auf die individuelle Hardware und führt zum Erfolg.Siehe u.a. auch hier.
Der AP sendet die Mac des WLAN Clients die ja immer Hardware bezogen ist and dne Radius Server und der bestimmt dann ob diese Mac darf oder nicht. Danach führt er dann die 802.1x Authentisierung durch.
Normalerweise kennt man diese aber nicht und .1x Credentials aber auch nicht. Deshalb macht man es bei Gästen ja auch immer so das man im Radius ein sog. Fallback VLAN einrichtet. D.h. Gäste die weder eine gültige Mac noch gültige .1x Credentials haben fallen dann in das Fallback VLAN was dann von sich aus an einm Captive Portal endet z.B. Switch oder Firewall. Hier müssen dann Gäste ein Einmalpasswort eingeben oder wie auch immer man diese dann authentisiert.
Gäste sind deshalb ein denkbar schlechtes Beispiel weil du je weder Mac Adresse noch .1x noch sonstwas von denen kennst. Eine Radius Authorisierung ist mit Gästen deshalb per se ja deshalb sinnfrei.
Wenn man dich oben richtig versteht willst du ja zur .1x Authentisierung noch irgendetwas haben was auch die Hardware authentisiert, denn .1x Credentials kann theoretisch jeder User nutzen. Das macht aber nur Sinn mit Geräten und/oder Usern die do so oder so aktiv authentisiert bzw. dann in entsprechende VLANs kommen wenn du mit dynmaischen VLANs arbeitest.
Das Gäste Beispiel widerspricht dann so ein bisschen deiner eigenen Anforderung?!
Das geht dann wie gesagt nur
hier nur spezielle MACs zulassen, dann funktioniert das Gästenetz soweit ich weiß nicht mehr.
Das funktioniert schon wenn du die entsprechenden Macs der Gäste authorisierst.Normalerweise kennt man diese aber nicht und .1x Credentials aber auch nicht. Deshalb macht man es bei Gästen ja auch immer so das man im Radius ein sog. Fallback VLAN einrichtet. D.h. Gäste die weder eine gültige Mac noch gültige .1x Credentials haben fallen dann in das Fallback VLAN was dann von sich aus an einm Captive Portal endet z.B. Switch oder Firewall. Hier müssen dann Gäste ein Einmalpasswort eingeben oder wie auch immer man diese dann authentisiert.
Gäste sind deshalb ein denkbar schlechtes Beispiel weil du je weder Mac Adresse noch .1x noch sonstwas von denen kennst. Eine Radius Authorisierung ist mit Gästen deshalb per se ja deshalb sinnfrei.
Wenn man dich oben richtig versteht willst du ja zur .1x Authentisierung noch irgendetwas haben was auch die Hardware authentisiert, denn .1x Credentials kann theoretisch jeder User nutzen. Das macht aber nur Sinn mit Geräten und/oder Usern die do so oder so aktiv authentisiert bzw. dann in entsprechende VLANs kommen wenn du mit dynmaischen VLANs arbeitest.
Das Gäste Beispiel widerspricht dann so ein bisschen deiner eigenen Anforderung?!
Das geht dann wie gesagt nur
Wenn es das denn nun war bitte deinen Thread hier dann auch als erledigt schliessen!