dr.cornwallis
Goto Top

RADIUS Zertifikat

Liebe Gemeinde,

ich habe auf einem Windows Server 2012 r2 alles fürt WLAN RADIUS konfiguriert (AD CA, NPS, Access Point etc...). Lt. einer online Anleitung muss man auch den Client(W10x64) entsprechend konfigurieren, dies habe ich auch gemacht (Zertifikat das auf dem Server ausgestellt wurde, auf den Client kopiert/importiert und dann das Zertifikat angehakt; Userauth etc...).

Das funktioniert auch wunderbar, nur musste ich feststellen dass die Authentifizierung auch ohne Zertifikat funktioniert(mit anderen Client getestet).

Daher meine Fragen an euch:

Was muss man machen damit eine Anmeldung nur mit dem Zertifikat funktioniert?
Wie kann man die Clientkonfiguration automatisieren? Ein großes Unternehmen wird noch nicht jede SSID manuell am Client konfigurieren
Wie kann man die Benutzer auf einzelne SSID's beschränken? zb. User Max darf alle SSID's benutzen, User Gast nur die SSID "guestwlan"?


Vielen Dank!

Gruß

Dr.Cornwallis

Content-ID: 541177

Url: https://administrator.de/forum/radius-zertifikat-541177.html

Ausgedruckt am: 24.12.2024 um 12:12 Uhr

aqui
aqui 30.01.2020 um 08:46:26 Uhr
Goto Top
Du hast vermutlich nur die einfache Variante umgesetzt und rein nur ein Server Zertifikat verwendet. Diese Prüfung kann man in der Tat im Client deaktivieren. Forcieren kannst du sowas nur mit Gruppenrichtlinien usw.
Das gilt auch für die Client Konfig an sich.
Große Unternehmen nutzen keinerlei multiple SSIDs. Sowas ist wenig sinnvoll und schlecht managebar bei größeren Netzen.
Dort wird sowas in der Regel komplett mit Zertifikaten gemacht also auch User Zertifikaten die ebenfalls dynamisch ausgerollt werden. Die Zuweisung der Netzwerksegmente geschieht dann über dynamische VLANs anhand dieser User Zertifikate. Siehe dazu auch hier:
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik
Dr.Cornwallis
Dr.Cornwallis 04.02.2020 aktualisiert um 11:27:36 Uhr
Goto Top
Hallo Aqui,

sorry für die verzögerte Rückmeldung..

Ich habe mich anhand dieser Anleitung orientiert:

https://ictschule.com/2014/08/08/wlan-mit-zertifikaten-migration-auf-neu ...

Mein AD CA, NPS läuft auf einem DC, die Clients erhalten auch autom. das Clientzertifikat und haben den NPS bzw. DC unter den vertrauenswürdigen Zertifizierungsstellen, trotzdem funktioniert der Login nicht...was mich richtig zur Verzweiflung bringt ist dass der Eventviewer (sobald ich die Policy auf "Smartcard od. Zert." usw. umstelle) auf dem NPS Server nichts anzeigt. Der Wireless Login endet dann nach ein paar Minuten mit der Meldung "Verbindung....nicht möglich"

Wie gesagt ich habe alles so gemacht wie in der Anleitung beschrieben, trotzdem keine Logs o.ä.

Ohne Clientzertifikat - EAP-MSCHAPv2 funktioniert der Zugriff mit Benutzer/Computergruppen + Logs im ev...


Besten Dank!

Gruß