tomschaf91
Goto Top

Radius -Server für zwei Domänen konfigurieren

Hallo zusammen,

da wir aktuell in der Migrationsphase von einer Domäne in eine Konzern-Domäne sind, wollte ich fragen, ob es möglich ist, einen Radius Server (Domäne A) so zu konfigurieren, dass er auch Objekte von Domäne B in unser WLAN-Netzwerk lässt?

Aktuell befinden sich die User-Objekte noch in Domäne A, Computerobjekte in Domäne B.
Der Radius-Server befindet sich in Domäne A, kann aber gerne auch umgezogen werden, falls es in dieser Konstellation nicht funktioniert.

Ist es möglich, dass sich ein User (Domäne A) mit seinem Computer (Domäne B) am Radius authentifizieren kann?
Aktuell ist nur die Konstellation User + Computer beide in Domäne A möglich.

Ein Trust zwischen den Domänen ist natürlich vorhanden.

Vielen Dank im Voraus und viele Grüße,
Tomschaf91

Content-ID: 370902

Url: https://administrator.de/forum/radius-server-fuer-zwei-domaenen-konfigurieren-370902.html

Ausgedruckt am: 26.12.2024 um 04:12 Uhr

wiesi200
wiesi200 12.04.2018 um 11:29:35 Uhr
Goto Top
Hallo,

ohne es jemals getestet zu haben. Radius Forwarding?
aqui
aqui 12.04.2018 aktualisiert um 11:42:32 Uhr
Goto Top
Dem Radius Server selbst ist es ja völlig wumpe in und für welche Domain er authentisiert.
Der TO ist vermutlich reiner Microsoft Knecht und meint das (vermutlich) nur auf den MS NPS bezogen.
Dem Klassiker FreeRadius sind MS Domänen Latte.
wiesi200
wiesi200 12.04.2018 um 11:45:38 Uhr
Goto Top
Zitat von @aqui:

Der TO ist vermutlich reiner Microsoft Knecht und meint das (vermutlich) nur auf den MS NPS bezogen.

Bin ich auch davon ausgegangen.
rzlbrnft
rzlbrnft 12.04.2018 um 15:58:42 Uhr
Goto Top
Habs grad mal bei uns getestet.
Man kann Gruppen, Computer und User aus einer Trusted Domain in den Policies des Netzwerkrichtlinienservers hinzufügen.
Ob der Zugriff klappt kann ich jetzt nicht auf Anhieb testen, am besten einfach mal mit nem Testclient machen.

Trust ist ja vorhanden wie du sagst, du muss dann nur sicherstellen, das die verwendete Certificate Authority für EAP auf dem sich anmeldenden Client auch in den vertrauenswürdigen Stammzertifizierungsstellen eingetragen ist, am besten per GPO.
aqui
aqui 12.04.2018 um 16:10:09 Uhr
Goto Top
Oder FreeRadius nehmen dann hat man dieses Gefrickel erst gar nicht... face-wink
rzlbrnft
rzlbrnft 12.04.2018 um 16:32:19 Uhr
Goto Top
Zitat von @aqui:
Oder FreeRadius nehmen dann hat man dieses Gefrickel erst gar nicht... face-wink

Janeisklar.
Dafür hat man die Datenhaltung dann halt fünfmal, bei Microdoof deaktivier ich einfach Rechner oder User im AD. Fertig.
Tomschaf91
Tomschaf91 13.04.2018 aktualisiert um 11:18:34 Uhr
Goto Top
Hi rzlbrnft,

ja, ich habe auch schon die Gruppen aus der anderen Domäne hinzugefügt, das geht einwandfrei;
aktuell funktioniert

User A + Computer A
User B + Computer B

aber leider keine Quer-Kombinationen...

Wie meinst du das mit der Certificate Authority? In meinem Falle sind das ja Certificate Authoritys aus beiden Domänen; oder nur die CA aus der Domäne, in der sich der Radius-Server befindet?

im Eventlog meines Computers (Computer B und User A) erscheint die Fehlermeldung 36882 - Schannel
Das vom Remoteserver empfangene Zertifikat wurde von einer nicht vertrauenswürdigen Zertifizierungsstelle ausgestellt. Aus diesem Grund können keine der im Zertifikat enthalten Daten überprüft werden. Fehler bei der TLS-Verbindungsanforderung. Die angefügten Daten enthalten das Serverzertifikat.


Ich habe jetzt schon mehrere Kombinationen aus Zertifikats-Imports durch, aber leider kein Erfolg face-sad

Danke und VG,
Tom
rzlbrnft
rzlbrnft 13.04.2018 um 12:26:52 Uhr
Goto Top
Zitat von @Tomschaf91:
Hi rzlbrnft,
ja, ich habe auch schon die Gruppen aus der anderen Domäne hinzugefügt, das geht einwandfrei;
aktuell funktioniert
User A + Computer A
User B + Computer B
aber leider keine Quer-Kombinationen...

Da ich solche Kombis selbst nicht einsetze kann ich dazu nichts sagen, aber hört sich für mich plausibel an das der Request eindeutig in einer der beiden Domänen authentifiziert werden muss, der Radius fragt den DC, wenn der eins von beiden nicht findet wird er die Authentifizierung ablehnen.
Wir prüfen lediglich gegen das Computerkonto, da ansonsten beim Hochfahren kein WLAN Zugriff besteht und somit die GPO für Computer nicht ausgeführt wird. In der Ereignisanzeige des Auth Servers solltest du dazu mehr finden.

Wie meinst du das mit der Certificate Authority? In meinem Falle sind das ja Certificate Authoritys aus beiden Domänen; oder nur die CA aus der Domäne, in der sich der Radius-Server befindet?
im Eventlog meines Computers (Computer B und User A) erscheint die Fehlermeldung **36882 - Schannel
Das vom Remoteserver empfangene Zertifikat wurde von einer nicht vertrauenswürdigen Zertifizierungsstelle ausgestellt. Aus diesem Grund können keine der im Zertifikat enthalten Daten überprüft werden. Fehler bei der TLS-Verbindungsanforderung. Die angefügten Daten enthalten das Serverzertifikat.

Das heißt das dein Client der Zertifizierungsstelle, von der der Radius Server das Zertifikat bekommen hat, nicht vertraut. Der Trust muss beidseitig bestehen, der Server muss der Zertifizierungsstelle der Clientcomputer vertrauen und umgekehrt.
Um das zu ändern musst du die Zertifikatverwaltung des Computers über die MMC aufrufen und das Zertifizierungsstellenzertifikat(langes Wort) in die vertrauenswürdigen Stammzertifizierungsstellen importieren. Falls es sich um eine Zertifikatskette handelt, musst du alle Bestandteile der Kette importieren.
Du kannst das in der Domain des Clients auch über die GPO verbreiten, dann sollte es hinhauen.