6
Radius Zertifikat erforderlich machen
Mahlzeit,
ich teste aktuell einen MS Server 2012R2 Radius mit ner Sophos UTM und deren Sophos APs durch.
Die Authtentifizierung über die AD Credentials habe ich hingekriegt. Ich würde aber gerne zusätzlich ein Zertifikat vorraussetzen, was ich auf den Clients/Handys etc. vorher ausrollen muss. Eine interne CA ist vorhanden.
Wenn ich mich mit einem Iphone im Testnetz anmelde, fragt mich das Iphone ob ich dem Radius Zertifikat vertraue. Klicke ich dort auf OK bin ich drinn.
Beim Windows 10 Rechner muss ich manuell das vom Radius exportierte ".der" Zertifkat in die vertrauenswürdige Stammzertifizierungsstellen importieren. Erst dann lässt der Radius mich rein.
Der Zusammehang da ist mir trotz @aqui 's Anleitung nicht ganz klar, da ich keinen Freeradius einsetze und andere Hardware. Also IST: Verbinden mittels AD Credentials ohne extra Zertifikat möglich. SOLL: Verbinden nur mit AD Credentials und extra Zertifikat möglich. Ich denke mal ich muss das im Radius als Bedingung irgendwo setzen aber ich finde diese Bedingung nicht.
Danke im Vorraus
ich teste aktuell einen MS Server 2012R2 Radius mit ner Sophos UTM und deren Sophos APs durch.
Die Authtentifizierung über die AD Credentials habe ich hingekriegt. Ich würde aber gerne zusätzlich ein Zertifikat vorraussetzen, was ich auf den Clients/Handys etc. vorher ausrollen muss. Eine interne CA ist vorhanden.
Wenn ich mich mit einem Iphone im Testnetz anmelde, fragt mich das Iphone ob ich dem Radius Zertifikat vertraue. Klicke ich dort auf OK bin ich drinn.
Beim Windows 10 Rechner muss ich manuell das vom Radius exportierte ".der" Zertifkat in die vertrauenswürdige Stammzertifizierungsstellen importieren. Erst dann lässt der Radius mich rein.
Der Zusammehang da ist mir trotz @aqui 's Anleitung nicht ganz klar, da ich keinen Freeradius einsetze und andere Hardware. Also IST: Verbinden mittels AD Credentials ohne extra Zertifikat möglich. SOLL: Verbinden nur mit AD Credentials und extra Zertifikat möglich. Ich denke mal ich muss das im Radius als Bedingung irgendwo setzen aber ich finde diese Bedingung nicht.
Danke im Vorraus
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 640112
Url: https://administrator.de/contentid/640112
Printed on: April 23, 2024 at 11:04 o'clock
6 Comments
Latest comment
aber ich finde diese Bedingung nicht.
Das haut nicht hin. Das Zertifikat, was du da abnicken musst, ist das Zertifikat des RADIUS-Servers. Das funktioniert genauso wie bei HTTPS. Der Server hat ein Zertifikat, was von einer CA ausgestellt sein muss, der der Client vertraut und der Name muss auch passen. Es erfolgt keine Prüfung, ob der Client eins hat. Ist bei HTTPS ja auch nicht.
Einzige Lösung ist EAP-TLS, hier muss dann auch der Client ein Zertifikat samt privatem Schlüssel haben, aber dann benötigst du kein AD mehr, weil es dann alles über die Chain of Trust der PKI läuft.
Einzige Lösung ist EAP-TLS, hier muss dann auch der Client ein Zertifikat samt privatem Schlüssel haben, aber dann benötigst du kein AD mehr, weil es dann alles über die Chain of Trust der PKI läuft.
@147069: Das ist keine UND-Verknüpfung sondern eine ODER-Verknüpfung. Man kann also entweder per PEAP-MSChapV2 ODER per EAP-TLS eine Verbindung aufbauen.
Zitat von @tikayevent:
@147069: Das ist keine UND-Verknüpfung sondern eine ODER-Verknüpfung. Man kann also entweder per PEAP-MSChapV2 ODER per EAP-TLS eine Verbindung aufbauen.
Schon klar aber wenn du MSCHap nicht zulässt geht das schon "nur mit Zertifikat" @147069: Das ist keine UND-Verknüpfung sondern eine ODER-Verknüpfung. Man kann also entweder per PEAP-MSChapV2 ODER per EAP-TLS eine Verbindung aufbauen.
. Beides zusammen geht hier natürlich nicht, das ist richtig, da muss er sich entscheiden.
Die Forderung ist ganz klar:
SOLL: Verbinden nur mit AD Credentials und extra Zertifikat möglich.
Und das geht nicht.
Alles klar danke für die Info.
