Radius Zertifikat erforderlich machen

Mitglied: Ex0r2k16

Ex0r2k16 (Level 2) - Jetzt verbinden

13.01.2021 um 11:15 Uhr, 283 Aufrufe, 6 Kommentare

Mahlzeit,

ich teste aktuell einen MS Server 2012R2 Radius mit ner Sophos UTM und deren Sophos APs durch.

Die Authtentifizierung über die AD Credentials habe ich hingekriegt. Ich würde aber gerne zusätzlich ein Zertifikat vorraussetzen, was ich auf den Clients/Handys etc. vorher ausrollen muss. Eine interne CA ist vorhanden.

Wenn ich mich mit einem Iphone im Testnetz anmelde, fragt mich das Iphone ob ich dem Radius Zertifikat vertraue. Klicke ich dort auf OK bin ich drinn.

Beim Windows 10 Rechner muss ich manuell das vom Radius exportierte ".der" Zertifkat in die vertrauenswürdige Stammzertifizierungsstellen importieren. Erst dann lässt der Radius mich rein.

Der Zusammehang da ist mir trotz @aqui 's Anleitung nicht ganz klar, da ich keinen Freeradius einsetze und andere Hardware. Also IST: Verbinden mittels AD Credentials ohne extra Zertifikat möglich. SOLL: Verbinden nur mit AD Credentials und extra Zertifikat möglich. Ich denke mal ich muss das im Radius als Bedingung irgendwo setzen aber ich finde diese Bedingung nicht.

Danke im Vorraus
Mitglied: 147069
147069 (Level 1)
13.01.2021, aktualisiert um 11:50 Uhr
aber ich finde diese Bedingung nicht.

screenshot - Klicke auf das Bild, um es zu vergrößern

screenshot - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: tikayevent
13.01.2021 um 11:51 Uhr
Das haut nicht hin. Das Zertifikat, was du da abnicken musst, ist das Zertifikat des RADIUS-Servers. Das funktioniert genauso wie bei HTTPS. Der Server hat ein Zertifikat, was von einer CA ausgestellt sein muss, der der Client vertraut und der Name muss auch passen. Es erfolgt keine Prüfung, ob der Client eins hat. Ist bei HTTPS ja auch nicht.

Einzige Lösung ist EAP-TLS, hier muss dann auch der Client ein Zertifikat samt privatem Schlüssel haben, aber dann benötigst du kein AD mehr, weil es dann alles über die Chain of Trust der PKI läuft.
Bitte warten ..
Mitglied: tikayevent
13.01.2021, aktualisiert um 11:53 Uhr
@bluewonder: Das ist keine UND-Verknüpfung sondern eine ODER-Verknüpfung. Man kann also entweder per PEAP-MSChapV2 ODER per EAP-TLS eine Verbindung aufbauen.
Bitte warten ..
Mitglied: 147069
147069 (Level 1)
13.01.2021, aktualisiert um 11:54 Uhr
Zitat von tikayevent:

@bluewonder: Das ist keine UND-Verknüpfung sondern eine ODER-Verknüpfung. Man kann also entweder per PEAP-MSChapV2 ODER per EAP-TLS eine Verbindung aufbauen.
Schon klar aber wenn du MSCHap nicht zulässt geht das schon "nur mit Zertifikat" ;-) face-wink. Beides zusammen geht hier natürlich nicht, das ist richtig, da muss er sich entscheiden.
Bitte warten ..
Mitglied: tikayevent
LÖSUNG 13.01.2021 um 11:56 Uhr
Die Forderung ist ganz klar:
SOLL: Verbinden nur mit AD Credentials und extra Zertifikat möglich.
Und das geht nicht.
Bitte warten ..
Mitglied: Ex0r2k16
13.01.2021 um 11:59 Uhr
Alles klar danke für die Info.
Bitte warten ..
Heiß diskutierte Inhalte
Off Topic
HomeOffice Pflicht - Büroaustattung vom Arbeitgeber?
h45okeg493sVor 1 TagFrageOff Topic37 Kommentare

Hallo zusammen, aufgrund der HomeOffice Situation wollte ich mal rumfragen, muss der Arbeitgeber neben der Hardware wie Notebook, etc. auch Büroausstattung wie Bürostühle zur ...

Server-Hardware
Gebrauchte Server von eBay-Kleinanzeigen
gelöst dh2411Vor 1 TagFrageServer-Hardware16 Kommentare

Hallo zusammen, neulich war ich auf eBay-Kleinanzeigen unterwegs und dort wurden mir einige Server vorgeschlagen. Ich habe dort auch meinen aktuellen Home-Server recht günstig ...

Backup
Backupmöglichkeit Teamviewer
gelöst greenhorn1Vor 1 TagFrageBackup19 Kommentare

Hallo, ich habe bei meiner Teamviewer Lizenz die Möglichkeit ein Backup des PC´s durchzuführen. Leider funktioniert das nicht! Nach Rückfrage an Teamviewer erhielt ich ...

Grafikkarten & Monitore
Zweiter Bildschirm geht sporadisch immer aus?!
GeronimooVor 1 TagFrageGrafikkarten & Monitore8 Kommentare

Moin zusammen, ich habe ein Problem mit meinem 2. Monitor und zwar geht dieser sporadisch immer für 1-2 Sekunden aus oder flackert ein bisschen ...

Windows Tools
Jemand hat bereits Teams für Ihre Organisation eingerichtet (Microsoft Teams)
nachgefragtVor 1 TagFrageWindows Tools6 Kommentare

Hallo Administratoren, bevor ich weiß, dass Internet ist voll davon, daher darf ich es kurz machen: Problem Wir nutzten ausschließlich die kostenlose Variante von ...

Switche und Hubs
Kurioses Problem IP Adresse ändern am Cisco SG350 10p
gelöst Xaero1982Vor 1 TagFrageSwitche und Hubs16 Kommentare

Moin Zusammen, ich habe hier einen neuen Cisco SG350 10p. Wie schon so oft wollte ich ihm eine neue IP geben, also gehe ich ...

TK-Netze & Geräte
Panasonic NS700 - Endgeräte klingeln nicht, bzw. Gespräche kommen nicht an
gelöst jensgebkenVor 1 TagFrageTK-Netze & Geräte24 Kommentare

Hallo Gemeinschaft, nun habe ich mir für meine gebrauchte Anlage doch noch eine gebrauchte BRI gekauft - Installation klappte soweit auch - raustelefonieren kann ...

Internet
TV-Anschluss zu DSL Anschluss
FabioST88Vor 1 TagAllgemeinInternet12 Kommentare

Hallo zusammen, ich bin vor kurzer Zeit in eine kleine Wohnung gezogen und habe nur einen TV-Anschluss sprich das runde Kabel. Leider kenne ich ...