ex0r2k16
Goto Top

Radius Zertifikat erforderlich machen

Mahlzeit,

ich teste aktuell einen MS Server 2012R2 Radius mit ner Sophos UTM und deren Sophos APs durch.

Die Authtentifizierung über die AD Credentials habe ich hingekriegt. Ich würde aber gerne zusätzlich ein Zertifikat vorraussetzen, was ich auf den Clients/Handys etc. vorher ausrollen muss. Eine interne CA ist vorhanden.

Wenn ich mich mit einem Iphone im Testnetz anmelde, fragt mich das Iphone ob ich dem Radius Zertifikat vertraue. Klicke ich dort auf OK bin ich drinn.

Beim Windows 10 Rechner muss ich manuell das vom Radius exportierte ".der" Zertifkat in die vertrauenswürdige Stammzertifizierungsstellen importieren. Erst dann lässt der Radius mich rein.

Der Zusammehang da ist mir trotz @aqui 's Anleitung nicht ganz klar, da ich keinen Freeradius einsetze und andere Hardware. Also IST: Verbinden mittels AD Credentials ohne extra Zertifikat möglich. SOLL: Verbinden nur mit AD Credentials und extra Zertifikat möglich. Ich denke mal ich muss das im Radius als Bedingung irgendwo setzen aber ich finde diese Bedingung nicht.

Danke im Vorraus

Content-ID: 640112

Url: https://administrator.de/forum/radius-zertifikat-erforderlich-machen-640112.html

Ausgedruckt am: 25.12.2024 um 14:12 Uhr

147069
147069 13.01.2021 aktualisiert um 11:50:10 Uhr
Goto Top
aber ich finde diese Bedingung nicht.

screenshot

screenshot
tikayevent
tikayevent 13.01.2021 um 11:51:40 Uhr
Goto Top
Das haut nicht hin. Das Zertifikat, was du da abnicken musst, ist das Zertifikat des RADIUS-Servers. Das funktioniert genauso wie bei HTTPS. Der Server hat ein Zertifikat, was von einer CA ausgestellt sein muss, der der Client vertraut und der Name muss auch passen. Es erfolgt keine Prüfung, ob der Client eins hat. Ist bei HTTPS ja auch nicht.

Einzige Lösung ist EAP-TLS, hier muss dann auch der Client ein Zertifikat samt privatem Schlüssel haben, aber dann benötigst du kein AD mehr, weil es dann alles über die Chain of Trust der PKI läuft.
tikayevent
tikayevent 13.01.2021 aktualisiert um 11:53:04 Uhr
Goto Top
@147069: Das ist keine UND-Verknüpfung sondern eine ODER-Verknüpfung. Man kann also entweder per PEAP-MSChapV2 ODER per EAP-TLS eine Verbindung aufbauen.
147069
147069 13.01.2021 aktualisiert um 11:54:49 Uhr
Goto Top
Zitat von @tikayevent:

@147069: Das ist keine UND-Verknüpfung sondern eine ODER-Verknüpfung. Man kann also entweder per PEAP-MSChapV2 ODER per EAP-TLS eine Verbindung aufbauen.
Schon klar aber wenn du MSCHap nicht zulässt geht das schon "nur mit Zertifikat" face-wink. Beides zusammen geht hier natürlich nicht, das ist richtig, da muss er sich entscheiden.
tikayevent
Lösung tikayevent 13.01.2021 um 11:56:12 Uhr
Goto Top
Die Forderung ist ganz klar:
SOLL: Verbinden nur mit AD Credentials und extra Zertifikat möglich.
Und das geht nicht.
Ex0r2k16
Ex0r2k16 13.01.2021 um 11:59:57 Uhr
Goto Top
Alles klar danke für die Info.