Wifi Auth per PEAP-MSCHAPv2 - AD-Accounts geblockt nach PW-Änderung
N'Abend zusammen.
Vielleicht hat ja einer von euch ne zündende Idee...
Wir setzen Cisco Aironet-APs samt passenden WLCs ein, User dürfen sich von ihren Mobilgeräten (Schlaufons und Tablets oder private Rechner) aus mit ihren AD-Credentials im Wifi anmelden, klappt auch alles super (wird per RADIUS/NPS gemacht auf nem Server 2012R2). Einziges Manko:
User müssen nach n Tagen ihr AD-Passwort ändern, nach der Passwortänderung versuchen die o.g. Geräte aber weiterhin, sich mit dem "alten" Passwort am Wifi anzumelden. Führt unweigerlich zu geblockten AD-Accounts, wenn der User vergisst, das Passwort auch auf _allen!_ angemeldeten Mobilgeräten zu ändern.
Habe im Netz nur Infos gefunden, dass man per LDAP over SSL statt RADIUS einen Filter vorschalten kann, der eben den Account-Block verhindert; das löst aber das eigentliche Problem nicht. Davon abgesehen, dass man z.B. beim Windows Phone das Passwort gar nicht ändern kann, sondern das Wiif-Netz einmal löschen und sich komplett neu verbinden muss, hätte ich eigentlich erwartet, dass auf dem Gerät selbst ein Hinweis eingeblendet wird: Accountdaten ungültig oder sowas. Passiert aber bei keinem Gerät...
Wie löst ihr das?
EAP-TLS und Zertifikate scheiden als Lösungsmöglichkeit für diese Art Geräte leider aus.
Danke und frohe Ostern,
jsysde
Vielleicht hat ja einer von euch ne zündende Idee...
Wir setzen Cisco Aironet-APs samt passenden WLCs ein, User dürfen sich von ihren Mobilgeräten (Schlaufons und Tablets oder private Rechner) aus mit ihren AD-Credentials im Wifi anmelden, klappt auch alles super (wird per RADIUS/NPS gemacht auf nem Server 2012R2). Einziges Manko:
User müssen nach n Tagen ihr AD-Passwort ändern, nach der Passwortänderung versuchen die o.g. Geräte aber weiterhin, sich mit dem "alten" Passwort am Wifi anzumelden. Führt unweigerlich zu geblockten AD-Accounts, wenn der User vergisst, das Passwort auch auf _allen!_ angemeldeten Mobilgeräten zu ändern.
Habe im Netz nur Infos gefunden, dass man per LDAP over SSL statt RADIUS einen Filter vorschalten kann, der eben den Account-Block verhindert; das löst aber das eigentliche Problem nicht. Davon abgesehen, dass man z.B. beim Windows Phone das Passwort gar nicht ändern kann, sondern das Wiif-Netz einmal löschen und sich komplett neu verbinden muss, hätte ich eigentlich erwartet, dass auf dem Gerät selbst ein Hinweis eingeblendet wird: Accountdaten ungültig oder sowas. Passiert aber bei keinem Gerät...
Wie löst ihr das?
EAP-TLS und Zertifikate scheiden als Lösungsmöglichkeit für diese Art Geräte leider aus.
Danke und frohe Ostern,
jsysde
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 335133
Url: https://administrator.de/forum/wifi-auth-per-peap-mschapv2-ad-accounts-geblockt-nach-pw-aenderung-335133.html
Ausgedruckt am: 24.12.2024 um 18:12 Uhr
11 Kommentare
Neuester Kommentar
Hallo,
Das und einiges mehr gilt es vor BYOD zu klären
In der Wolke ist noch weniger Gold was glänzt als im echten Leben, aber die Wolke wird ja als allheilmittel angepriesen. (So wie das Schlangenöl im Wilden Westen)
Ich weiß, hilft dir jetzt nicht....
Gruß,
Peter
Zitat von @jsysde:
User dürfen sich von ihren Mobilgeräten (Schlaufons und Tablets oder private Rechner) aus mit ihren AD-Credentials im Wifi anmelden, klappt auch alles super (wird per RADIUS/NPS gemacht auf nem Server 2012R2). Einziges Manko:
BYOD ist nicht wirklich einfacher, biller, besser, keine Arbeit ... z.B. beim Windows Phone das Passwort gar nicht ändern kann, sondern das Wiif-Netz einmal löschen und sich komplett neu verbinden muss ....User dürfen sich von ihren Mobilgeräten (Schlaufons und Tablets oder private Rechner) aus mit ihren AD-Credentials im Wifi anmelden, klappt auch alles super (wird per RADIUS/NPS gemacht auf nem Server 2012R2). Einziges Manko:
Das und einiges mehr gilt es vor BYOD zu klären
In der Wolke ist noch weniger Gold was glänzt als im echten Leben, aber die Wolke wird ja als allheilmittel angepriesen. (So wie das Schlangenöl im Wilden Westen)
Ich weiß, hilft dir jetzt nicht....
Gruß,
Peter
Ich meine das man in den Passwort Policy Settings einstellen kann was Passiert bei Falschem Passwort.
Entweder Konto nach x Versuchen Deaktivieren oder Sperre für x Minuten.
Verwende auch WPA2-Enterprise und Radius bei mir wird für 30 Minuten nur gesperrt.
Setze einfach eine Zeitsperre z.B. für 30 Minuten.
Entweder Konto nach x Versuchen Deaktivieren oder Sperre für x Minuten.
Verwende auch WPA2-Enterprise und Radius bei mir wird für 30 Minuten nur gesperrt.
Setze einfach eine Zeitsperre z.B. für 30 Minuten.
EDIT:
Zum Thema vorher abklären - ich meine mich deutlich daran zu erinnern, dass es z.B. bei iPhones mal nen entsprechenden Hinweis gab (unter iOS 8.x)...
Zum Thema vorher abklären - ich meine mich deutlich daran zu erinnern, dass es z.B. bei iPhones mal nen entsprechenden Hinweis gab (unter iOS 8.x)...
Unter meinen iPhone 5 mit iOS 10.3.1 gibt es eine Fehlermeldung kann ich also Bestätigen. Windows Phone gibt gar nichts aus und muss gelöscht werden. Unter Android nur "Authentifizierungsfehler" muss auch gelöscht werden.
Zitat von @umount:
Ich meine das man in den Passwort Policy Settings einstellen kann was Passiert bei Falschem Passwort.
Entweder Konto nach x Versuchen Deaktivieren oder Sperre für x Minuten.
Verwende auch WPA2-Enterprise und Radius bei mir wird für 30 Minuten nur gesperrt.
Setze einfach eine Zeitsperre z.B. für 30 Minuten.
Ich meine das man in den Passwort Policy Settings einstellen kann was Passiert bei Falschem Passwort.
Entweder Konto nach x Versuchen Deaktivieren oder Sperre für x Minuten.
Verwende auch WPA2-Enterprise und Radius bei mir wird für 30 Minuten nur gesperrt.
Setze einfach eine Zeitsperre z.B. für 30 Minuten.
Das hilft aber auch nicht, wenn der Mitarbeiter dann 30 Minuten arbeitsunfähig ist.
Da hilft nur Erziehung. Ansonsten den Luxus wieder weg nehmen.
Gruß Looser
Hallo,
Virtualisiert ihr? Wen ja warum nutzt ihr nicht ein Linux Server oder eine 2.te Domäne um RADIUS Dienste zu betreiben. Weil RADIUS und Passwortänderungen bei nicht Domäne Clients passen irgendwie nicht so gut zusammen.
Zumal ist es nicht so Sicher die AD Zugangsdaten auf Geräten dritter zu speichern. Ansonsten was spricht gegen Zertifikate?
Gruß an die IT-Welt,
J Herbrich
Virtualisiert ihr? Wen ja warum nutzt ihr nicht ein Linux Server oder eine 2.te Domäne um RADIUS Dienste zu betreiben. Weil RADIUS und Passwortänderungen bei nicht Domäne Clients passen irgendwie nicht so gut zusammen.
Zumal ist es nicht so Sicher die AD Zugangsdaten auf Geräten dritter zu speichern. Ansonsten was spricht gegen Zertifikate?
Gruß an die IT-Welt,
J Herbrich