RADIUS Zertifikat
Liebe Gemeinde,
ich habe auf einem Windows Server 2012 r2 alles fürt WLAN RADIUS konfiguriert (AD CA, NPS, Access Point etc...). Lt. einer online Anleitung muss man auch den Client(W10x64) entsprechend konfigurieren, dies habe ich auch gemacht (Zertifikat das auf dem Server ausgestellt wurde, auf den Client kopiert/importiert und dann das Zertifikat angehakt; Userauth etc...).
Das funktioniert auch wunderbar, nur musste ich feststellen dass die Authentifizierung auch ohne Zertifikat funktioniert(mit anderen Client getestet).
Daher meine Fragen an euch:
Was muss man machen damit eine Anmeldung nur mit dem Zertifikat funktioniert?
Wie kann man die Clientkonfiguration automatisieren? Ein großes Unternehmen wird noch nicht jede SSID manuell am Client konfigurieren
Wie kann man die Benutzer auf einzelne SSID's beschränken? zb. User Max darf alle SSID's benutzen, User Gast nur die SSID "guestwlan"?
Vielen Dank!
Gruß
Dr.Cornwallis
ich habe auf einem Windows Server 2012 r2 alles fürt WLAN RADIUS konfiguriert (AD CA, NPS, Access Point etc...). Lt. einer online Anleitung muss man auch den Client(W10x64) entsprechend konfigurieren, dies habe ich auch gemacht (Zertifikat das auf dem Server ausgestellt wurde, auf den Client kopiert/importiert und dann das Zertifikat angehakt; Userauth etc...).
Das funktioniert auch wunderbar, nur musste ich feststellen dass die Authentifizierung auch ohne Zertifikat funktioniert(mit anderen Client getestet).
Daher meine Fragen an euch:
Was muss man machen damit eine Anmeldung nur mit dem Zertifikat funktioniert?
Wie kann man die Clientkonfiguration automatisieren? Ein großes Unternehmen wird noch nicht jede SSID manuell am Client konfigurieren
Wie kann man die Benutzer auf einzelne SSID's beschränken? zb. User Max darf alle SSID's benutzen, User Gast nur die SSID "guestwlan"?
Vielen Dank!
Gruß
Dr.Cornwallis
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 541177
Url: https://administrator.de/forum/radius-zertifikat-541177.html
Ausgedruckt am: 24.12.2024 um 12:12 Uhr
2 Kommentare
Neuester Kommentar
Du hast vermutlich nur die einfache Variante umgesetzt und rein nur ein Server Zertifikat verwendet. Diese Prüfung kann man in der Tat im Client deaktivieren. Forcieren kannst du sowas nur mit Gruppenrichtlinien usw.
Das gilt auch für die Client Konfig an sich.
Große Unternehmen nutzen keinerlei multiple SSIDs. Sowas ist wenig sinnvoll und schlecht managebar bei größeren Netzen.
Dort wird sowas in der Regel komplett mit Zertifikaten gemacht also auch User Zertifikaten die ebenfalls dynamisch ausgerollt werden. Die Zuweisung der Netzwerksegmente geschieht dann über dynamische VLANs anhand dieser User Zertifikate. Siehe dazu auch hier:
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik
Das gilt auch für die Client Konfig an sich.
Große Unternehmen nutzen keinerlei multiple SSIDs. Sowas ist wenig sinnvoll und schlecht managebar bei größeren Netzen.
Dort wird sowas in der Regel komplett mit Zertifikaten gemacht also auch User Zertifikaten die ebenfalls dynamisch ausgerollt werden. Die Zuweisung der Netzwerksegmente geschieht dann über dynamische VLANs anhand dieser User Zertifikate. Siehe dazu auch hier:
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik