11
Wifi Auth per PEAP-MSCHAPv2 - AD-Accounts geblockt nach PW-Änderung
N'Abend zusammen.
Vielleicht hat ja einer von euch ne zündende Idee...
Wir setzen Cisco Aironet-APs samt passenden WLCs ein, User dürfen sich von ihren Mobilgeräten (Schlaufons und Tablets oder private Rechner) aus mit ihren AD-Credentials im Wifi anmelden, klappt auch alles super (wird per RADIUS/NPS gemacht auf nem Server 2012R2). Einziges Manko:
User müssen nach n Tagen ihr AD-Passwort ändern, nach der Passwortänderung versuchen die o.g. Geräte aber weiterhin, sich mit dem "alten" Passwort am Wifi anzumelden. Führt unweigerlich zu geblockten AD-Accounts, wenn der User vergisst, das Passwort auch auf _allen!_ angemeldeten Mobilgeräten zu ändern.
Habe im Netz nur Infos gefunden, dass man per LDAP over SSL statt RADIUS einen Filter vorschalten kann, der eben den Account-Block verhindert; das löst aber das eigentliche Problem nicht. Davon abgesehen, dass man z.B. beim Windows Phone das Passwort gar nicht ändern kann, sondern das Wiif-Netz einmal löschen und sich komplett neu verbinden muss, hätte ich eigentlich erwartet, dass auf dem Gerät selbst ein Hinweis eingeblendet wird: Accountdaten ungültig oder sowas. Passiert aber bei keinem Gerät...
Wie löst ihr das?
EAP-TLS und Zertifikate scheiden als Lösungsmöglichkeit für diese Art Geräte leider aus.
Danke und frohe Ostern,
jsysde
Vielleicht hat ja einer von euch ne zündende Idee...
Wir setzen Cisco Aironet-APs samt passenden WLCs ein, User dürfen sich von ihren Mobilgeräten (Schlaufons und Tablets oder private Rechner) aus mit ihren AD-Credentials im Wifi anmelden, klappt auch alles super (wird per RADIUS/NPS gemacht auf nem Server 2012R2). Einziges Manko:
User müssen nach n Tagen ihr AD-Passwort ändern, nach der Passwortänderung versuchen die o.g. Geräte aber weiterhin, sich mit dem "alten" Passwort am Wifi anzumelden. Führt unweigerlich zu geblockten AD-Accounts, wenn der User vergisst, das Passwort auch auf _allen!_ angemeldeten Mobilgeräten zu ändern.
Habe im Netz nur Infos gefunden, dass man per LDAP over SSL statt RADIUS einen Filter vorschalten kann, der eben den Account-Block verhindert; das löst aber das eigentliche Problem nicht. Davon abgesehen, dass man z.B. beim Windows Phone das Passwort gar nicht ändern kann, sondern das Wiif-Netz einmal löschen und sich komplett neu verbinden muss, hätte ich eigentlich erwartet, dass auf dem Gerät selbst ein Hinweis eingeblendet wird: Accountdaten ungültig oder sowas. Passiert aber bei keinem Gerät...
Wie löst ihr das?
EAP-TLS und Zertifikate scheiden als Lösungsmöglichkeit für diese Art Geräte leider aus.
Danke und frohe Ostern,
jsysde
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 335133
Url: https://administrator.de/contentid/335133
Printed on: April 25, 2024 at 16:04 o'clock
11 Comments
Latest comment
Ich habe unsere Mitarbeiter erzogen, alle Passwörter zu ändern.
N'Abend.
Meinen Glückwunsch - daran beisse ich mir die Zähne aus...
Cheers,
jsysde
Meinen Glückwunsch - daran beisse ich mir die Zähne aus...
Cheers,
jsysde
Man kann sie auch Zwingen mit einer schönen GPO Richtlinie ihre PW,s zu ändern und auch dass diese Komplex sein müssen 
Gruß an die IT-Welt,
J Herbrich
Gruß an die IT-Welt,
J Herbrich
N'Abend.
Das will ich sehen, wie du User an domain-fremden Gerät mit ner GPO zu irgendwas zwingst...
Davon abgesehen, dass es null mit meiner Frage zu tun hat.
Cheers,
jsysde
Zitat von @Herbrich19:
Man kann sie auch Zwingen mit einer schönen GPO Richtlinie ihre PW,s zu ändern und auch dass diese Komplex sein müssen
Man kann sie auch Zwingen mit einer schönen GPO Richtlinie ihre PW,s zu ändern und auch dass diese Komplex sein müssen
Das will ich sehen, wie du User an domain-fremden Gerät mit ner GPO zu irgendwas zwingst...
Davon abgesehen, dass es null mit meiner Frage zu tun hat.
Cheers,
jsysde
Hallo,
Das und einiges mehr gilt es vor BYOD zu klären
In der Wolke ist noch weniger Gold was glänzt als im echten Leben, aber die Wolke wird ja als allheilmittel angepriesen. (So wie das Schlangenöl im Wilden Westen)
Ich weiß, hilft dir jetzt nicht....
Gruß,
Peter
Zitat von @jsysde:
User dürfen sich von ihren Mobilgeräten (Schlaufons und Tablets oder private Rechner) aus mit ihren AD-Credentials im Wifi anmelden, klappt auch alles super (wird per RADIUS/NPS gemacht auf nem Server 2012R2). Einziges Manko:
BYOD ist nicht wirklich einfacher, biller, besser, keine Arbeit ... z.B. beim Windows Phone das Passwort gar nicht ändern kann, sondern das Wiif-Netz einmal löschen und sich komplett neu verbinden muss ....User dürfen sich von ihren Mobilgeräten (Schlaufons und Tablets oder private Rechner) aus mit ihren AD-Credentials im Wifi anmelden, klappt auch alles super (wird per RADIUS/NPS gemacht auf nem Server 2012R2). Einziges Manko:
Das und einiges mehr gilt es vor BYOD zu klären
In der Wolke ist noch weniger Gold was glänzt als im echten Leben, aber die Wolke wird ja als allheilmittel angepriesen. (So wie das Schlangenöl im Wilden Westen)
Ich weiß, hilft dir jetzt nicht....
Gruß,
Peter
N'Abend.
DIE Weisheit des Abends.
Ich bin da auch kein Fan von, aber ich muss mich damit rumschlagen - das ist reine "Zugabe", auf den Geräten passiert nix berufliches (außer dem Abruf von Mails), das Wifi dient nur für Internetzugriff, Datenvolumen sparen etc. Für externe gibt's nen Weblogin, da fällt das Passwort-Thema weg.
Die Domain-joined Clients authentifizieren sich per Zertifikat...
Cheers,
jsysde
EDIT:
Zum Thema vorher abklären - ich meine mich deutlich daran zu erinnern, dass es z.B. bei iPhones mal nen entsprechenden Hinweis gab (unter iOS 8.x)...
DIE Weisheit des Abends.
Ich bin da auch kein Fan von, aber ich muss mich damit rumschlagen - das ist reine "Zugabe", auf den Geräten passiert nix berufliches (außer dem Abruf von Mails), das Wifi dient nur für Internetzugriff, Datenvolumen sparen etc. Für externe gibt's nen Weblogin, da fällt das Passwort-Thema weg.
Die Domain-joined Clients authentifizieren sich per Zertifikat...
Cheers,
jsysde
EDIT:
Zum Thema vorher abklären - ich meine mich deutlich daran zu erinnern, dass es z.B. bei iPhones mal nen entsprechenden Hinweis gab (unter iOS 8.x)...
Ich meine das man in den Passwort Policy Settings einstellen kann was Passiert bei Falschem Passwort.
Entweder Konto nach x Versuchen Deaktivieren oder Sperre für x Minuten.
Verwende auch WPA2-Enterprise und Radius bei mir wird für 30 Minuten nur gesperrt.
Setze einfach eine Zeitsperre z.B. für 30 Minuten.
Entweder Konto nach x Versuchen Deaktivieren oder Sperre für x Minuten.
Verwende auch WPA2-Enterprise und Radius bei mir wird für 30 Minuten nur gesperrt.
Setze einfach eine Zeitsperre z.B. für 30 Minuten.
EDIT:
Zum Thema vorher abklären - ich meine mich deutlich daran zu erinnern, dass es z.B. bei iPhones mal nen entsprechenden Hinweis gab (unter iOS 8.x)...
Zum Thema vorher abklären - ich meine mich deutlich daran zu erinnern, dass es z.B. bei iPhones mal nen entsprechenden Hinweis gab (unter iOS 8.x)...
Unter meinen iPhone 5 mit iOS 10.3.1 gibt es eine Fehlermeldung kann ich also Bestätigen. Windows Phone gibt gar nichts aus und muss gelöscht werden. Unter Android nur "Authentifizierungsfehler" muss auch gelöscht werden.
Zitat von @umount:
Ich meine das man in den Passwort Policy Settings einstellen kann was Passiert bei Falschem Passwort.
Entweder Konto nach x Versuchen Deaktivieren oder Sperre für x Minuten.
Verwende auch WPA2-Enterprise und Radius bei mir wird für 30 Minuten nur gesperrt.
Setze einfach eine Zeitsperre z.B. für 30 Minuten.
Ich meine das man in den Passwort Policy Settings einstellen kann was Passiert bei Falschem Passwort.
Entweder Konto nach x Versuchen Deaktivieren oder Sperre für x Minuten.
Verwende auch WPA2-Enterprise und Radius bei mir wird für 30 Minuten nur gesperrt.
Setze einfach eine Zeitsperre z.B. für 30 Minuten.
Das hilft aber auch nicht, wenn der Mitarbeiter dann 30 Minuten arbeitsunfähig ist.
Da hilft nur Erziehung. Ansonsten den Luxus wieder weg nehmen.
Gruß Looser
Hallo,
Virtualisiert ihr? Wen ja warum nutzt ihr nicht ein Linux Server oder eine 2.te Domäne um RADIUS Dienste zu betreiben. Weil RADIUS und Passwortänderungen bei nicht Domäne Clients passen irgendwie nicht so gut zusammen.
Zumal ist es nicht so Sicher die AD Zugangsdaten auf Geräten dritter zu speichern. Ansonsten was spricht gegen Zertifikate?
Gruß an die IT-Welt,
J Herbrich
Virtualisiert ihr? Wen ja warum nutzt ihr nicht ein Linux Server oder eine 2.te Domäne um RADIUS Dienste zu betreiben. Weil RADIUS und Passwortänderungen bei nicht Domäne Clients passen irgendwie nicht so gut zusammen.
Zumal ist es nicht so Sicher die AD Zugangsdaten auf Geräten dritter zu speichern. Ansonsten was spricht gegen Zertifikate?
Gruß an die IT-Welt,
J Herbrich
N'Abend.
Scheint wohl (einmal mehr) auf die Quadratur des Kreises hinauszulaufen. *seufz*
Danke für's Hirnschmalz investieren.
Cheers,
jsysde
Scheint wohl (einmal mehr) auf die Quadratur des Kreises hinauszulaufen. *seufz*
Danke für's Hirnschmalz investieren.
Cheers,
jsysde
