dralcome
Goto Top

Synology mit Radius-Funktion - Zertifikat wird nicht abgefragt

Moin zusammen,

ich habe mal auf unserem Synology-NAS den Radius-Dienst installiert um unser WLAN abzusichern. Geräte ohne Zertifikat sollen sich am WLAN nicht mehr anmelden können.
Benutzer mit Passwort habe ich auch auf dem NAS angelegt und ich kann mich erfolgreich mit jedem Endgerät mit den entsprechenden Daten im WLAN anmelden, das Radius-Protokoll sieht auch sauber aus.

ABER: Eigentlich sollte doch der Zugriff auf das WLAN erst funktioniert wenn auf dem Endgerät das entsprechende Zertifikat abgelegt ist (auf dem NAS gibt es ja ab Werk die Möglichkeit ein Zertifikat zu erstellen, das habe ich auch getan).
Ich kann mich aber mit jedem Gerät verbinden sobald ich User und Passwort eingegeben habe - völlig egal ob das Zertifikat drauf ist oder nicht. Genau das will ich aber nicht, so kann ja wieder jeder Kollege hin gehen und sein Passwort munter weitergeben.

Ich hatte früher mal den FreeRadius in einer VirtualBox zum testen installiert nach Aquis bekannter Anleitung, da hatte das mit der Zertifikatsabfrage dann auch funktioniert.
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Aber weil das NAS sowieso im Keller steht hätte ich das gerne auf der selben Kiste am laufen, außerdem ist die Administration komfortabler.

Warum brauche ich kein Zertifikat?
Habe ich vielleicht einen simplen Denkfehler hier drin?

Content-ID: 313429

Url: https://administrator.de/contentid/313429

Ausgedruckt am: 22.11.2024 um 02:11 Uhr

aqui
aqui 24.08.2016 um 11:47:15 Uhr
Goto Top
Es kann eigentlich nur sein das die Zertifikatsabfrage im .1x Client deaktiviert ist.
Das ist möglich. Sollte man logischerweise aber nicht machen weil Angreifer dem Client dann jeden beliebigen Radius unterschieben könnten.
Mit deaktivierter Zertifikatsabfrage wäre der Zugriff aber möglich.
Wenn du ein Linux basiertes Synology hast werkelt da dann auch ein FreeRadius drauf.
Über einen SSH Shellzugang könntest du dir mal die Logs ansehen oder der Radius im Debug Mode starten um zu sehen was der Client da genau macht.