christian.widauer
Goto Top

Temporäre WLAN Verbindung für AD-Login

Hallo zusammen,

ich weiß leider nicht unter welchem Begriff ich dafür suchen muss, daher habe ich bisher leider nichts gefunden was mir weiterhilft. Falls jemand mir den Suchbegriff oder einen Link dazu sagen kann wäre ich auch schon sehr dankbar.

Mein Problem:
Ich habe hier 29 Laptops mit Windows 10 Enterprise, die von verschiedensten Benutzern (ca. 600) benutzt werden. Die Nutzer haben alle AD-Accounts und können sich am Laptop bei bestehender Netzwerkverbindung anmelden. Nur steht für diese Laptops kein LAN-Anschluss zur Verfügung, sondern nur WLAN. Die WLAN-Authentifizierung erfolgt ebenfalls über die AD-Accounts, allerdings erst, wenn der Benutzer sich einloggt und ausschließlich über die Benutzerdaten des Nutzers. Ein WLAN-Dummy-User, der für die Laptops eine dauerhafte Verbindung schon vor dem Login aufbaut und nach dem Login weiter aufrecht erhält, kommt aus sicherheitstechnischen Gründen nicht in Frage.

Ich suche eine Lösung, bei der der Laptop vor der Anmeldung des Benutzers über WLAN eine Verbindung zum AD-Server aufbaut, sodass ein Login möglich ist. Soweit kein Problem, der Knackpunkt: Nach dem Login soll dem Benutzer allerdings diese Verbindung nicht mehr zur Verfügung stehen. Entweder soll der Computer die Verbindung trennen und automatisch die Verbindung mit den Credentials des Nutzers wieder aufbauen (Idealfall) oder einfach nur die Verbindung trennen und der Nutzer muss sich anschließend mit seinen Credentials mit dem WLAN verbinden. Egal welcher der beiden Wege, die Verbindung ohne Credentials oder Dummy-Credentials darf nach dem Windows-Login für den Nutzer nicht mehr möglich sein. Auch muss sichergestellt werden, dass kein anderer Rechner / Laptop diese temporäre Verbindung dauerhaft nutzen kann. Mein Wunsch wäre eine Verbindung über Dummyzugangsdaten, die in den Laptops nicht sichtbar hinterlegt sind, nur im Anmeldebildschirm und nicht mit einem angemeldeten Benutzer verwendet werden können.

Gibt es hierfür eine Lösung? Ich weiß irgendwie suche ich hier eine eierlegende Wollmilchsau, aber vielleicht gibt es ja eine Lösung.

Viele Grüße

Content-Key: 398918

Url: https://administrator.de/contentid/398918

Ausgedruckt am: 19.03.2024 um 04:03 Uhr

Mitglied: aqui
aqui 21.01.2019 um 09:59:12 Uhr
Goto Top
Gibt es hierfür eine Lösung?
Ja und solltest du auch kennen. Zertifikate für den WLAN Zugang sind deine Freunde !
Ggf. würde es auch schon ein WPA2 Enterprise Login ins WLAN mit 802.1x und den User Credentials lösen.
Mitglied: DerWoWusste
DerWoWusste 21.01.2019 aktualisiert um 10:00:54 Uhr
Goto Top
Hi.

Deine Forderungen sind ungewöhnlich. Warum möchtest Du, dass die Verbindung pro Nutzer hergestellt wird?
Ich vermute, dass das etwas mit Internettraffic, den Du überwachen willst, zu tun hat. In dem Fall würde ich das auf andere Weise empfehlen zu tun, zum Beispiel über SQUID-Authentifizierung am Proxy.
Mitglied: Christian.Widauer
Christian.Widauer 21.01.2019 um 10:32:38 Uhr
Goto Top
Unsere Authentifizierung läuft über WPA2 Enterprise. Das Problem ist nur, dass ein AD-User, der vorher noch nie auf dem Laptop angemeldet war sich nur bei Windows anmelden kann, wenn eine Verbindung zum AD-Server besteht. Für alle weiteren Logins ist das nicht mehr nötig, aber der erste Login an dem Laptop braucht eine Verbindung vor der Nutzeranmeldung. Dafür braucht er eine WLAN-Verbindung, da kein LAN zur Verfügung steht. Und die hat der Laptop nicht vor dem Login. Ich kann auch nicht einen festen WLAN-Zugang einrichten (z.B. über Geräte-Auth oder Dummy Credentials), der sowohl vor als auch nach dem Login zur Verfügung steht, da dann nicht mehr nachvollziehbar ist, wer gerade in unserem WLAN unterwegs ist. Da es sich hierbei um keine Mitarbeiter handelt, die an Verträge und Dienstvorschriften gebunden sind, müssen wir immer nachvollziehen können, wer dahinter steckt, wenn Schindluder getrieben wurde. Daher ist es wichtig, dass jeder Nutzer sich mit seinen eigenen Credentials im WLAN einloggt. Das geht aber erst nach dem Windows-Login. Das heißt ich brauch vor dem Login eine Verbindung, die nach dem Login nicht mehr für den User zugänglich ist, sodass er sich selbst mit seinen eigenen Credentials einloggen muss.
Mitglied: Tommy70
Tommy70 21.01.2019 aktualisiert um 10:42:21 Uhr
Goto Top
Zitat von @Christian.Widauer:

Da es sich hierbei um keine Mitarbeiter handelt, die an Verträge und Dienstvorschriften gebunden sind, müssen wir immer nachvollziehen können, wer dahinter steckt, wenn Schindluder getrieben wurde.

Hallo,

du willst also Personen die keine Mitarbeiter sind in dein Firmennetzwerk lassen?
Wäre da nicht eher ein Gäste Netzwerk empfehlenswert?
Und wieso haben die einen AD-Account?

Tom
Mitglied: lcer00
lcer00 21.01.2019 um 10:48:20 Uhr
Goto Top
Hallo,

für mich hört sich das nach unsauber organisiserten Benutzerkonten an.

Normal wäre:
- Laptop authentifiziert sich über ein Computerzertifikat im WLAN
- der Benutzer authentifiziert sich über das AD

Das passt normalerweise. Voraussetzung wäre: Für jeden echten Benutzer (Mensch) ein AD-Konto. Die Kontoverwendung kann man dann auch sauber protokollieren. Niemand ist ja einfach "im WLAN unterwegs" - normalerweise greift er auf Dienste zu. Diese Zugriffe kann man überwachen. Dann weisst Du nicht nur, wer im WLAN war, sonder - und wichtiger - worauf der zugegriffen hat.

Ihr solltet sowieso nur Leute in Euer WLAN lassen, die eine dazu irgendwie geartete Vereinbarung unterschrieben haben. Ein Firmen-WLAN ist kein offenes WLAN.

Grüße

lcer
Mitglied: DerWoWusste
DerWoWusste 21.01.2019 um 10:49:32 Uhr
Goto Top
Hm, was hat das Nachvollziehen von "Schindluder treiben" nun mit dem WLAN zu tun? Du kannst alle Zugriffe auf Fileserver oder Dokumentenmanagementsysteme/Mailserver/Whatever doch unabhängig von der Verbindungsart loggen (?).
Mitglied: Christian.Widauer
Christian.Widauer 21.01.2019 aktualisiert um 11:15:09 Uhr
Goto Top
Es handelt sich hierbei um Studenten / Schüler. (Insgesamt ca 6000, aber etwa 600 am Standort), die mehrere Jahre bei uns sind und auch einen Mail-Account und weitere Dienste zur Verfügung gestellt bekommen, die an deren AD-Accounts geknüpft sind. Die Accounts werden automatisch über ein IDM bei der Einschreibung angelegt und nach ausscheiden wieder deaktiviert. Wie man sich das vorstellen kann, wird hier auch viel ausprobiert und versucht, weswegen wir auch nachvollziehbar haben wollen, wer wann was im Netzwerk gemacht hat und wer wann welche IP hatte, falls jemand die Grenzen übertritt.

Mit dem Problem der fehlenden LAN-Verbindung bin ich jedoch das erste Mal konfrontiert, da wir hier aus Platzmangel für ein paar Jahre als Übergangslösung in einem Gebäude eingemietet sind, welches in den Räumen nicht genügend Netzwerkanschlüsse zur Verfügung stellt. Auch haben wir für einen festen PC-Raum hier leider keinen Platz, was sich im neuen Gebäude in ein paar Jahren wieder ändern wird. Hier muss ich die Gegebenheiten nehmen wie sie sind. Daher haben wir einen Laptopwagen zusammengestellt, um aus jedem Raum einen provisorischen Rechnerraum machen zu können. Diese müssen sich jedoch dank der fehlenden LAN-Verbindung mit WLAN verbinden. Jedoch habe ich durch fehlende Verbindung vor dem Windows-Login das Problem, dass sich niemand mit dem AD-Account am Rechner anmelden kann. Daher diese Konstellation.

Die Vorgabe, dass ein "anonymer" Zugang über das Computerzertifikat (jeder kann sich hier den Laptop nehmen) nicht möglich sein darf, kommt von unserem Sicherheitsbeauftragten und ist auch verständlich, wenn die Laptops öffentlich zugänglich sind (zwar nicht durch den Login, dort haben wir ja AD-Konten, aber physisch).
Mitglied: lcer00
lcer00 21.01.2019 um 11:13:23 Uhr
Goto Top
Hallo nochmal,
Zitat von @Christian.Widauer:

Es handelt sich hierbei um Studenten / Schüler. (Insgesamt ca 6000, aber etwa 600 am Standort), die mehrere Jahre bei uns sind und auch einen Mail-Account und weitere Dienste zur Verfügung gestellt bekommen, die an deren AD-Accounts geknüpft sind. Die Accounts werden automatisch über ein IDM bei der Einschreibung angelegt und nach ausscheiden wieder deaktiviert. Wie man sich das vorstellen kann, wird hier auch viel ausprobiert und versucht, weswegen wir auch nachvollziehbar haben wollen, wer wann was im Netzwerk gemacht hat, falls jemand die Grenzen übertritt.

Wenn Du die WLAN-Anmeldung protokollierst weißt Du nicht, was der Benutzer gemacht hat. Das ist eigentlich sinnlos. Du willst wissen, wer wann welche Aktionen ausgeführt hat - das wirst Du so nicht mitbekommen.

Bei WPA2 Enterprise bekommst Du zum Beispiel auch nicht mit (man korrigiere mich, falls falsch) wann der Benutzer das WLAN wieder verlassen hat. RADIUS/NPS ist erstmal nur für das Genehmigen des Zugriffs da.

kurzum: Ihr macht Euch was vor und Euer Sicherheitskonzept ist "ausbaufähig".

Grüße


lcer
Mitglied: heilgecht
heilgecht 21.01.2019 um 11:21:51 Uhr
Goto Top
Hi, ich denke du musst die Authentifizierung von User auf Device umstellen.
Wir machen auch Benutzerauthentifizierung im WLAN, die erste Anmeldung und die Zertifikatsausstellung erfolgt dann über LAN.

MfG
Mitglied: Christian.Widauer
Christian.Widauer 21.01.2019 aktualisiert um 11:28:40 Uhr
Goto Top
Es geht mir auch nicht darum, dass die WLAN-Authentifizierung alleine dafür genutzt werden soll. Dass das nicht ausreicht ist uns durchaus bewusst. Wir haben da durchaus viel mehr. Jedoch ist es auch ein Baustein zu wissen, WER wann etwas gemacht hat, da ja an einem Rechner durchaus an einem Tag 50 verschiedene Leute gearbeitet haben können. Die WLAN Authentifizierung alleine ist nicht unsere Absicherung aber ein kleiner Teil davon. Der Punkt ist, dass ich aufgrund unserer Sicherheitsrichtlinie keine Computerauthentifizierung verwenden darf, wenn der Nutzer diese Verbindung nacher weiter verwendet und jetzt eine Lösung finden muss, die unserer Richtlinie entspricht. Und die besagt, dass sich niemand anonym auf unser Netzwerk zugreifen darf, was bei einem öffentlich zugänglichen Rechner mit Computer-Auth der Fall wäre.
Mitglied: Tommy70
Tommy70 21.01.2019 um 12:35:45 Uhr
Goto Top
Zitat von @Christian.Widauer:

Und die besagt, dass sich niemand anonym auf unser Netzwerk zugreifen darf, was bei einem öffentlich zugänglichen Rechner mit Computer-Auth der Fall wäre.

Wieso anonym? Wenn er sich mit einem AD Konto am Laptop anmelden muss um damit arbeiten zu können ist er ja nicht mehr anonym.
Daher würde ich mit einer Computerauthentifizierung eigentlich kein Problem sehen.

Tom
Mitglied: Bem0815
Bem0815 21.01.2019 um 12:36:09 Uhr
Goto Top
Ich würde bei der Notebookausgabe einfach einen LAN Anschluss zur Verfügung stellen und den Hinweis geben, dass eine erste Anmeldung erfolgen muss während das Notebook über diesem LAN Anschluss mit der AD verbunden ist.

Alles andere wird entweder sehr schwierig oder gar nicht zu bewerkstelligen sein.
Mitglied: lcer00
lcer00 21.01.2019 um 13:43:20 Uhr
Goto Top
Hallo nochmal,

auch wenn ich hier vielleicht nerve...
Zitat von @Christian.Widauer:

Der Punkt ist, dass ich aufgrund unserer Sicherheitsrichtlinie keine Computerauthentifizierung verwenden darf, wenn der Nutzer diese Verbindung nacher weiter verwendet und jetzt eine Lösung finden muss, die unserer Richtlinie entspricht.

Möglicherweise ist Eure Sicherheitsrichtlinie unpassend oder schlicht falsch.

Zitat von @Christian.Widauer:

Und die besagt, dass sich niemand anonym auf unser Netzwerk zugreifen darf, was bei einem öffentlich zugänglichen Rechner mit Computer-Auth der Fall wäre.
Auf dem Laptop - korrekt konfiguriert - können sich nur Benutzer anmelden, die sich am AD authentifizieren können. Natürlich kann man lokale Anmeldungen zulassen, aber wofür?


Grüße

lcer
Mitglied: Bem0815
Bem0815 21.01.2019 um 16:44:22 Uhr
Goto Top
Zitat von @lcer00:

Hallo nochmal,

auch wenn ich hier vielleicht nerve...
Zitat von @Christian.Widauer:

Der Punkt ist, dass ich aufgrund unserer Sicherheitsrichtlinie keine Computerauthentifizierung verwenden darf, wenn der Nutzer diese Verbindung nacher weiter verwendet und jetzt eine Lösung finden muss, die unserer Richtlinie entspricht.

Möglicherweise ist Eure Sicherheitsrichtlinie unpassend oder schlicht falsch.

Ich sehe auch nicht wirklich einen Grund für diese Richtlinie, gerade da sie sich technisch so wohl nicht umsetzen lässt.
Eine Richtlinie sollte immer umsetzbar sein, sonst ist sie wertlos.


Zitat von @Christian.Widauer:

Und die besagt, dass sich niemand anonym auf unser Netzwerk zugreifen darf, was bei einem öffentlich zugänglichen Rechner mit Computer-Auth der Fall wäre.
Auf dem Laptop - korrekt konfiguriert - können sich nur Benutzer anmelden, die sich am AD authentifizieren können. Natürlich kann man lokale Anmeldungen zulassen, aber wofür?

Es ist doch eigentlich niemand wirklich anonym im Netzwerk wenn er gleichzeitig zur WLAN Verbindung mit seinem AD Konto angemeldet ist.
Zugriffsberechtigungen auf Netzlaufwerke usw. sind ja hoffentlich nicht anonym möglich sondern nur aufgrund der Freigaben die der User hat.

Wo ist das also bitte anonym?
Mitglied: Daemmerung
Daemmerung 21.01.2019 um 19:57:21 Uhr
Goto Top
Ich glaube, er meint folgendes:
Wenn sich ein User mit seinen eigenen Anmeldedaten im W-LAN anmeldet, ist nachvollziehbar, welcher User gerade die W-LAN-Verbindung hergestellt hat. Verbindet man das Notebook generell, sei es über Zertifikate oder eben über ANmeldedaten, mit dem W-LAN, ohne userspezifische Anmeldedaten, würde man zumindest auf dieser Verbindungsebene nicht feststellen können, wer sich nun mit dem W-LAN verbunden hat - also erst nach erfolgreicher DOmänen-Anmeldung, was bei einer hergestellten Verbindung am Ende kein Problem wäre, festzustellen, wer sich angemeldet hat.

Für mich klingt das so, als hätte die Chefetage irgendwelche Richtlinien erstellt und die armen Mitarbeiter müssen jetzt zusehen, wie sie die Traumvorstellung der Chefetage umsetzen können.

Ich versteh noch nicht ganz, wo das Problem ist, wenn das Notebook eine W-LAN-Verbindung hat. Wenn man sich mit keinem Benutzer anmeldet und am Gerät selbst die lokale Anmeldung über GPOs unterbindet, kann man mit dem Gerät doch gar nichts anfangen. Das Einzige was das Gerät hat ist die Verbindung über W-LAN, mehr nicht.

Gut, ich hätte zwei folgende, kreative Ideen:
1. Ihr aktiviert erst die standardmäßige W-LAN-Verbindung. Nach erfolgreicher Anmeldung am Notebook könnt ihr im Anmeldescript hinterlegen, dass die bestehende W-LAN-Verbindung getrennt werden soll. Ggf. könnt ihr sogar den User auffordern eine W-LAN-Verbindung herzustellen, indem ihr das dafür passende Fenster autoamtisch öffnet (mit Powershell alles möglich)
2. Ihr richtet bei jedem Notebook ein Standard-Benutzer ein, mit dem man im Grunde nichts machen kann, außer eben die userspezifische W-LAN-Verbindung herzustellen. Ist die hergestellt, meldet man sich um auf das andere Benutzerkonto. Ich weiß aber nicht, ob diese Möglichkeit ansatzweise realistisch ist, weil ich mir nicht sicher bin, ob die Verbindung bei Abmeldung bestehen bleiben würde.
Mitglied: Bem0815
Bem0815 22.01.2019 um 09:12:43 Uhr
Goto Top
Was ich am Problem vom OP noch nicht so ganz verstehe ist. Warum es nicht möglich sein soll, dass sich die Schüler/Studenten schon vor dem ersten Windows Login (bei dem dann das Profil von der AD überhaupt mal auf das Notebook kopiert wird) mit ihren eigenen AD Zugangsdaten am WLAN anmelden können?

Wenn ein RADIUS Server da ist sollte das auch gehen ohne dass man am Notebook bereits mal angemeldet war.
Mitglied: aqui
aqui 22.01.2019 um 09:23:22 Uhr
Goto Top
Du hast recht. Die Antwort dazu kennt wohl nur der Wind....?!