Radius und UPN
Hey Leute,
wir haben eine 2008er Domämen mit folgender Struktur laufen:
Single forest mit mehreren Bäumen mit eine meinefirma.de als root domäne daneben exetieren noch folgende Domänen in dem Forest: meinefirma.nl, meinefirma.pl, meinefirma.ch, meinefirm.fr und so weiter.
Nun habe ich einen Radius Proxy unter Server 2008 eingerichtet diese leitet seine Anfragen an einen anderen Server in einem anderen Netzwerk/AD. Dort sind auch alle unsere User vorhanden und zwar als UPN als username@unseredomäne.de. Bei uns sind alle Access Points so konfiguriert das die sich alle mit unserem Radisuproxy kommunizieren.
soweit so gut
Das Problem ist das die Authentifizierungsanfragen nicht im UPN Format weitergeleitet werden. sondern meine-domäne/username. So kann die Authentifizierungsserver die leider nicht authentifizieren.
Gibt es eine Möglichkeit dieses verhalten zu ändern. Sprich die im User Principal Name Format von dem Proxy aus zu schicken?
oder wiest ihr wie ich die automatische Übermittlung (SSO) der Userdaten der gerade am Client angemeldet ist abschalten kann?
Sprich wenn der User am Client das Wlan auswählt dort manuell Benutzername und Passwort eingibt?
Hoffe ihr könnt mir da weiter helfen.
wir haben eine 2008er Domämen mit folgender Struktur laufen:
Single forest mit mehreren Bäumen mit eine meinefirma.de als root domäne daneben exetieren noch folgende Domänen in dem Forest: meinefirma.nl, meinefirma.pl, meinefirma.ch, meinefirm.fr und so weiter.
Nun habe ich einen Radius Proxy unter Server 2008 eingerichtet diese leitet seine Anfragen an einen anderen Server in einem anderen Netzwerk/AD. Dort sind auch alle unsere User vorhanden und zwar als UPN als username@unseredomäne.de. Bei uns sind alle Access Points so konfiguriert das die sich alle mit unserem Radisuproxy kommunizieren.
soweit so gut
Das Problem ist das die Authentifizierungsanfragen nicht im UPN Format weitergeleitet werden. sondern meine-domäne/username. So kann die Authentifizierungsserver die leider nicht authentifizieren.
Gibt es eine Möglichkeit dieses verhalten zu ändern. Sprich die im User Principal Name Format von dem Proxy aus zu schicken?
oder wiest ihr wie ich die automatische Übermittlung (SSO) der Userdaten der gerade am Client angemeldet ist abschalten kann?
Sprich wenn der User am Client das Wlan auswählt dort manuell Benutzername und Passwort eingibt?
Hoffe ihr könnt mir da weiter helfen.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 239302
Url: https://administrator.de/forum/radius-und-upn-239302.html
Ausgedruckt am: 04.04.2025 um 09:04 Uhr
11 Kommentare
Neuester Kommentar
Zitat von @homermg:
Wenn das Clientseitig einzustellen ist, dann müsste ich das mit GPO machen können, eine Idee wo dort?
VG und Danke
Wenn das Clientseitig einzustellen ist, dann müsste ich das mit GPO machen können, eine Idee wo dort?
VG und Danke
Warscheinlich unter Computerconfiguration->Richtlinien->Win. Einstellungen->Sicherheitseinstellungen->Richtlinien für 802.11 Netzwerke.
Wobei die Einstellung "nutze UPN" habe ich bei mir nicht gefunden. Bei mir funktioniert das aber problemlos.
Was meinst du genau mit "dargestellt" ??
Wie und in welchem Format es an den Radius Server übermittelt wird kannst du doch ganz einfach mit einem kostenlosen Wireshark mitsniffern wenn du dir die Radius Requests vom Client mal ansiehst ?
Da hast du es ja dann schwarz auf weiss ?? Warum hast du das nicht gemacht, das klärt doch deine Frage wasserdicht in 3 Minuten ohne in Foren rumfragen zu müssen ??
Wie und in welchem Format es an den Radius Server übermittelt wird kannst du doch ganz einfach mit einem kostenlosen Wireshark mitsniffern wenn du dir die Radius Requests vom Client mal ansiehst ?
Da hast du es ja dann schwarz auf weiss ?? Warum hast du das nicht gemacht, das klärt doch deine Frage wasserdicht in 3 Minuten ohne in Foren rumfragen zu müssen ??
Zitat von @aqui:
Was meinst du genau mit "dargestellt" ??
Wie und in welchem Format es an den Radius Server übermittelt wird kannst du doch ganz einfach mit einem kostenlosen
Wireshark mitsniffern wenn du dir die Radius Requests vom Client mal ansiehst ?
Da hast du es ja dann schwarz auf weiss ?? Warum hast du das nicht gemacht, das klärt doch deine Frage wasserdicht in 3
Minuten ohne in Foren rumfragen zu müssen ??
Was meinst du genau mit "dargestellt" ??
Wie und in welchem Format es an den Radius Server übermittelt wird kannst du doch ganz einfach mit einem kostenlosen
Wireshark mitsniffern wenn du dir die Radius Requests vom Client mal ansiehst ?
Da hast du es ja dann schwarz auf weiss ?? Warum hast du das nicht gemacht, das klärt doch deine Frage wasserdicht in 3
Minuten ohne in Foren rumfragen zu müssen ??
Fragst du mich?
Ich versuche nur zu verstehen was bei homermg anders ist. Bei mir funktioniert es ja.
MfG