RADIUS Zertifikat
Dr.Cornwallis (Level 1) - Jetzt verbinden
30.01.2020, aktualisiert 08:14 Uhr, 709 Aufrufe, 2 Kommentare
Liebe Gemeinde,
ich habe auf einem Windows Server 2012 r2 alles fürt WLAN RADIUS konfiguriert (AD CA, NPS, Access Point etc...). Lt. einer online Anleitung muss man auch den Client(W10x64) entsprechend konfigurieren, dies habe ich auch gemacht (Zertifikat das auf dem Server ausgestellt wurde, auf den Client kopiert/importiert und dann das Zertifikat angehakt; Userauth etc...).
Das funktioniert auch wunderbar, nur musste ich feststellen dass die Authentifizierung auch ohne Zertifikat funktioniert(mit anderen Client getestet).
Daher meine Fragen an euch:
Was muss man machen damit eine Anmeldung nur mit dem Zertifikat funktioniert?
Wie kann man die Clientkonfiguration automatisieren? Ein großes Unternehmen wird noch nicht jede SSID manuell am Client konfigurieren
Wie kann man die Benutzer auf einzelne SSID's beschränken? zb. User Max darf alle SSID's benutzen, User Gast nur die SSID "guestwlan"?
Vielen Dank!
Gruß
Dr.Cornwallis
ich habe auf einem Windows Server 2012 r2 alles fürt WLAN RADIUS konfiguriert (AD CA, NPS, Access Point etc...). Lt. einer online Anleitung muss man auch den Client(W10x64) entsprechend konfigurieren, dies habe ich auch gemacht (Zertifikat das auf dem Server ausgestellt wurde, auf den Client kopiert/importiert und dann das Zertifikat angehakt; Userauth etc...).
Das funktioniert auch wunderbar, nur musste ich feststellen dass die Authentifizierung auch ohne Zertifikat funktioniert(mit anderen Client getestet).
Daher meine Fragen an euch:
Was muss man machen damit eine Anmeldung nur mit dem Zertifikat funktioniert?
Wie kann man die Clientkonfiguration automatisieren? Ein großes Unternehmen wird noch nicht jede SSID manuell am Client konfigurieren
Wie kann man die Benutzer auf einzelne SSID's beschränken? zb. User Max darf alle SSID's benutzen, User Gast nur die SSID "guestwlan"?
Vielen Dank!
Gruß
Dr.Cornwallis
2 Antworten
- LÖSUNG aqui schreibt am 30.01.2020 um 08:46:26 Uhr
- LÖSUNG Dr.Cornwallis schreibt am 04.02.2020 um 11:26:02 Uhr
LÖSUNG 30.01.2020 um 08:46 Uhr
Du hast vermutlich nur die einfache Variante umgesetzt und rein nur ein Server Zertifikat verwendet. Diese Prüfung kann man in der Tat im Client deaktivieren. Forcieren kannst du sowas nur mit Gruppenrichtlinien usw.
Das gilt auch für die Client Konfig an sich.
Große Unternehmen nutzen keinerlei multiple SSIDs. Sowas ist wenig sinnvoll und schlecht managebar bei größeren Netzen.
Dort wird sowas in der Regel komplett mit Zertifikaten gemacht also auch User Zertifikaten die ebenfalls dynamisch ausgerollt werden. Die Zuweisung der Netzwerksegmente geschieht dann über dynamische VLANs anhand dieser User Zertifikate. Siehe dazu auch hier:
https://administrator.de/wissen/dynamische-vlan-zuweisung-wlan-u-lan-cli ...
Das gilt auch für die Client Konfig an sich.
Große Unternehmen nutzen keinerlei multiple SSIDs. Sowas ist wenig sinnvoll und schlecht managebar bei größeren Netzen.
Dort wird sowas in der Regel komplett mit Zertifikaten gemacht also auch User Zertifikaten die ebenfalls dynamisch ausgerollt werden. Die Zuweisung der Netzwerksegmente geschieht dann über dynamische VLANs anhand dieser User Zertifikate. Siehe dazu auch hier:
https://administrator.de/wissen/dynamische-vlan-zuweisung-wlan-u-lan-cli ...
LÖSUNG 04.02.2020, aktualisiert um 11:27 Uhr
Hallo Aqui,
sorry für die verzögerte Rückmeldung..
Ich habe mich anhand dieser Anleitung orientiert:
https://ictschule.com/2014/08/08/wlan-mit-zertifikaten-migration-auf-neu ...
Mein AD CA, NPS läuft auf einem DC, die Clients erhalten auch autom. das Clientzertifikat und haben den NPS bzw. DC unter den vertrauenswürdigen Zertifizierungsstellen, trotzdem funktioniert der Login nicht...was mich richtig zur Verzweiflung bringt ist dass der Eventviewer (sobald ich die Policy auf "Smartcard od. Zert." usw. umstelle) auf dem NPS Server nichts anzeigt. Der Wireless Login endet dann nach ein paar Minuten mit der Meldung "Verbindung....nicht möglich"
Wie gesagt ich habe alles so gemacht wie in der Anleitung beschrieben, trotzdem keine Logs o.ä.
Ohne Clientzertifikat - EAP-MSCHAPv2 funktioniert der Zugriff mit Benutzer/Computergruppen + Logs im ev...
Besten Dank!
Gruß
sorry für die verzögerte Rückmeldung..
Ich habe mich anhand dieser Anleitung orientiert:
https://ictschule.com/2014/08/08/wlan-mit-zertifikaten-migration-auf-neu ...
Mein AD CA, NPS läuft auf einem DC, die Clients erhalten auch autom. das Clientzertifikat und haben den NPS bzw. DC unter den vertrauenswürdigen Zertifizierungsstellen, trotzdem funktioniert der Login nicht...was mich richtig zur Verzweiflung bringt ist dass der Eventviewer (sobald ich die Policy auf "Smartcard od. Zert." usw. umstelle) auf dem NPS Server nichts anzeigt. Der Wireless Login endet dann nach ein paar Minuten mit der Meldung "Verbindung....nicht möglich"
Wie gesagt ich habe alles so gemacht wie in der Anleitung beschrieben, trotzdem keine Logs o.ä.
Ohne Clientzertifikat - EAP-MSCHAPv2 funktioniert der Zugriff mit Benutzer/Computergruppen + Logs im ev...
Besten Dank!
Gruß