6
Radius Zertifikat erforderlich machen
Mahlzeit,
ich teste aktuell einen MS Server 2012R2 Radius mit ner Sophos UTM und deren Sophos APs durch.
Die Authtentifizierung über die AD Credentials habe ich hingekriegt. Ich würde aber gerne zusätzlich ein Zertifikat vorraussetzen, was ich auf den Clients/Handys etc. vorher ausrollen muss. Eine interne CA ist vorhanden.
Wenn ich mich mit einem Iphone im Testnetz anmelde, fragt mich das Iphone ob ich dem Radius Zertifikat vertraue. Klicke ich dort auf OK bin ich drinn.
Beim Windows 10 Rechner muss ich manuell das vom Radius exportierte ".der" Zertifkat in die vertrauenswürdige Stammzertifizierungsstellen importieren. Erst dann lässt der Radius mich rein.
Der Zusammehang da ist mir trotz @aqui 's Anleitung nicht ganz klar, da ich keinen Freeradius einsetze und andere Hardware. Also IST: Verbinden mittels AD Credentials ohne extra Zertifikat möglich. SOLL: Verbinden nur mit AD Credentials und extra Zertifikat möglich. Ich denke mal ich muss das im Radius als Bedingung irgendwo setzen aber ich finde diese Bedingung nicht.
Danke im Vorraus
ich teste aktuell einen MS Server 2012R2 Radius mit ner Sophos UTM und deren Sophos APs durch.
Die Authtentifizierung über die AD Credentials habe ich hingekriegt. Ich würde aber gerne zusätzlich ein Zertifikat vorraussetzen, was ich auf den Clients/Handys etc. vorher ausrollen muss. Eine interne CA ist vorhanden.
Wenn ich mich mit einem Iphone im Testnetz anmelde, fragt mich das Iphone ob ich dem Radius Zertifikat vertraue. Klicke ich dort auf OK bin ich drinn.
Beim Windows 10 Rechner muss ich manuell das vom Radius exportierte ".der" Zertifkat in die vertrauenswürdige Stammzertifizierungsstellen importieren. Erst dann lässt der Radius mich rein.
Der Zusammehang da ist mir trotz @aqui 's Anleitung nicht ganz klar, da ich keinen Freeradius einsetze und andere Hardware. Also IST: Verbinden mittels AD Credentials ohne extra Zertifikat möglich. SOLL: Verbinden nur mit AD Credentials und extra Zertifikat möglich. Ich denke mal ich muss das im Radius als Bedingung irgendwo setzen aber ich finde diese Bedingung nicht.
Danke im Vorraus
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 640112
Url: https://administrator.de/contentid/640112
Ausgedruckt am: 24.11.2024 um 00:11 Uhr
6 Kommentare
Neuester Kommentar
aber ich finde diese Bedingung nicht.
Das haut nicht hin. Das Zertifikat, was du da abnicken musst, ist das Zertifikat des RADIUS-Servers. Das funktioniert genauso wie bei HTTPS. Der Server hat ein Zertifikat, was von einer CA ausgestellt sein muss, der der Client vertraut und der Name muss auch passen. Es erfolgt keine Prüfung, ob der Client eins hat. Ist bei HTTPS ja auch nicht.
Einzige Lösung ist EAP-TLS, hier muss dann auch der Client ein Zertifikat samt privatem Schlüssel haben, aber dann benötigst du kein AD mehr, weil es dann alles über die Chain of Trust der PKI läuft.
Einzige Lösung ist EAP-TLS, hier muss dann auch der Client ein Zertifikat samt privatem Schlüssel haben, aber dann benötigst du kein AD mehr, weil es dann alles über die Chain of Trust der PKI läuft.
@147069: Das ist keine UND-Verknüpfung sondern eine ODER-Verknüpfung. Man kann also entweder per PEAP-MSChapV2 ODER per EAP-TLS eine Verbindung aufbauen.
Zitat von @tikayevent:
@147069: Das ist keine UND-Verknüpfung sondern eine ODER-Verknüpfung. Man kann also entweder per PEAP-MSChapV2 ODER per EAP-TLS eine Verbindung aufbauen.
Schon klar aber wenn du MSCHap nicht zulässt geht das schon "nur mit Zertifikat" @147069: Das ist keine UND-Verknüpfung sondern eine ODER-Verknüpfung. Man kann also entweder per PEAP-MSChapV2 ODER per EAP-TLS eine Verbindung aufbauen.
. Beides zusammen geht hier natürlich nicht, das ist richtig, da muss er sich entscheiden.
Die Forderung ist ganz klar:
SOLL: Verbinden nur mit AD Credentials und extra Zertifikat möglich.
Und das geht nicht.
Alles klar danke für die Info.
