2
RADIUS Zertifikat
Liebe Gemeinde,
ich habe auf einem Windows Server 2012 r2 alles fürt WLAN RADIUS konfiguriert (AD CA, NPS, Access Point etc...). Lt. einer online Anleitung muss man auch den Client(W10x64) entsprechend konfigurieren, dies habe ich auch gemacht (Zertifikat das auf dem Server ausgestellt wurde, auf den Client kopiert/importiert und dann das Zertifikat angehakt; Userauth etc...).
Das funktioniert auch wunderbar, nur musste ich feststellen dass die Authentifizierung auch ohne Zertifikat funktioniert(mit anderen Client getestet).
Daher meine Fragen an euch:
Was muss man machen damit eine Anmeldung nur mit dem Zertifikat funktioniert?
Wie kann man die Clientkonfiguration automatisieren? Ein großes Unternehmen wird noch nicht jede SSID manuell am Client konfigurieren
Wie kann man die Benutzer auf einzelne SSID's beschränken? zb. User Max darf alle SSID's benutzen, User Gast nur die SSID "guestwlan"?
Vielen Dank!
Gruß
Dr.Cornwallis
ich habe auf einem Windows Server 2012 r2 alles fürt WLAN RADIUS konfiguriert (AD CA, NPS, Access Point etc...). Lt. einer online Anleitung muss man auch den Client(W10x64) entsprechend konfigurieren, dies habe ich auch gemacht (Zertifikat das auf dem Server ausgestellt wurde, auf den Client kopiert/importiert und dann das Zertifikat angehakt; Userauth etc...).
Das funktioniert auch wunderbar, nur musste ich feststellen dass die Authentifizierung auch ohne Zertifikat funktioniert(mit anderen Client getestet).
Daher meine Fragen an euch:
Was muss man machen damit eine Anmeldung nur mit dem Zertifikat funktioniert?
Wie kann man die Clientkonfiguration automatisieren? Ein großes Unternehmen wird noch nicht jede SSID manuell am Client konfigurieren
Wie kann man die Benutzer auf einzelne SSID's beschränken? zb. User Max darf alle SSID's benutzen, User Gast nur die SSID "guestwlan"?
Vielen Dank!
Gruß
Dr.Cornwallis
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 541177
Url: https://administrator.de/contentid/541177
Ausgedruckt am: 22.11.2024 um 18:11 Uhr
2 Kommentare
Neuester Kommentar
Du hast vermutlich nur die einfache Variante umgesetzt und rein nur ein Server Zertifikat verwendet. Diese Prüfung kann man in der Tat im Client deaktivieren. Forcieren kannst du sowas nur mit Gruppenrichtlinien usw.
Das gilt auch für die Client Konfig an sich.
Große Unternehmen nutzen keinerlei multiple SSIDs. Sowas ist wenig sinnvoll und schlecht managebar bei größeren Netzen.
Dort wird sowas in der Regel komplett mit Zertifikaten gemacht also auch User Zertifikaten die ebenfalls dynamisch ausgerollt werden. Die Zuweisung der Netzwerksegmente geschieht dann über dynamische VLANs anhand dieser User Zertifikate. Siehe dazu auch hier:
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik
Das gilt auch für die Client Konfig an sich.
Große Unternehmen nutzen keinerlei multiple SSIDs. Sowas ist wenig sinnvoll und schlecht managebar bei größeren Netzen.
Dort wird sowas in der Regel komplett mit Zertifikaten gemacht also auch User Zertifikaten die ebenfalls dynamisch ausgerollt werden. Die Zuweisung der Netzwerksegmente geschieht dann über dynamische VLANs anhand dieser User Zertifikate. Siehe dazu auch hier:
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik
Hallo Aqui,
sorry für die verzögerte Rückmeldung..
Ich habe mich anhand dieser Anleitung orientiert:
https://ictschule.com/2014/08/08/wlan-mit-zertifikaten-migration-auf-neu ...
Mein AD CA, NPS läuft auf einem DC, die Clients erhalten auch autom. das Clientzertifikat und haben den NPS bzw. DC unter den vertrauenswürdigen Zertifizierungsstellen, trotzdem funktioniert der Login nicht...was mich richtig zur Verzweiflung bringt ist dass der Eventviewer (sobald ich die Policy auf "Smartcard od. Zert." usw. umstelle) auf dem NPS Server nichts anzeigt. Der Wireless Login endet dann nach ein paar Minuten mit der Meldung "Verbindung....nicht möglich"
Wie gesagt ich habe alles so gemacht wie in der Anleitung beschrieben, trotzdem keine Logs o.ä.
Ohne Clientzertifikat - EAP-MSCHAPv2 funktioniert der Zugriff mit Benutzer/Computergruppen + Logs im ev...
Besten Dank!
Gruß
sorry für die verzögerte Rückmeldung..
Ich habe mich anhand dieser Anleitung orientiert:
https://ictschule.com/2014/08/08/wlan-mit-zertifikaten-migration-auf-neu ...
Mein AD CA, NPS läuft auf einem DC, die Clients erhalten auch autom. das Clientzertifikat und haben den NPS bzw. DC unter den vertrauenswürdigen Zertifizierungsstellen, trotzdem funktioniert der Login nicht...was mich richtig zur Verzweiflung bringt ist dass der Eventviewer (sobald ich die Policy auf "Smartcard od. Zert." usw. umstelle) auf dem NPS Server nichts anzeigt. Der Wireless Login endet dann nach ein paar Minuten mit der Meldung "Verbindung....nicht möglich"
Wie gesagt ich habe alles so gemacht wie in der Anleitung beschrieben, trotzdem keine Logs o.ä.
Ohne Clientzertifikat - EAP-MSCHAPv2 funktioniert der Zugriff mit Benutzer/Computergruppen + Logs im ev...
Besten Dank!
Gruß
