jsysde
Goto Top

Wifi Auth per PEAP-MSCHAPv2 - AD-Accounts geblockt nach PW-Änderung

N'Abend zusammen.

Vielleicht hat ja einer von euch ne zündende Idee...
Wir setzen Cisco Aironet-APs samt passenden WLCs ein, User dürfen sich von ihren Mobilgeräten (Schlaufons und Tablets oder private Rechner) aus mit ihren AD-Credentials im Wifi anmelden, klappt auch alles super (wird per RADIUS/NPS gemacht auf nem Server 2012R2). Einziges Manko:
User müssen nach n Tagen ihr AD-Passwort ändern, nach der Passwortänderung versuchen die o.g. Geräte aber weiterhin, sich mit dem "alten" Passwort am Wifi anzumelden. Führt unweigerlich zu geblockten AD-Accounts, wenn der User vergisst, das Passwort auch auf _allen!_ angemeldeten Mobilgeräten zu ändern.

Habe im Netz nur Infos gefunden, dass man per LDAP over SSL statt RADIUS einen Filter vorschalten kann, der eben den Account-Block verhindert; das löst aber das eigentliche Problem nicht. Davon abgesehen, dass man z.B. beim Windows Phone das Passwort gar nicht ändern kann, sondern das Wiif-Netz einmal löschen und sich komplett neu verbinden muss, hätte ich eigentlich erwartet, dass auf dem Gerät selbst ein Hinweis eingeblendet wird: Accountdaten ungültig oder sowas. Passiert aber bei keinem Gerät...

Wie löst ihr das?
EAP-TLS und Zertifikate scheiden als Lösungsmöglichkeit für diese Art Geräte leider aus.

Danke und frohe Ostern,
jsysde

Content-Key: 335133

Url: https://administrator.de/contentid/335133

Printed on: February 29, 2024 at 09:02 o'clock

Member: Looser27
Looser27 Apr 13, 2017 at 17:34:53 (UTC)
Goto Top
Ich habe unsere Mitarbeiter erzogen, alle Passwörter zu ändern.
Member: jsysde
jsysde Apr 13, 2017 at 17:36:25 (UTC)
Goto Top
N'Abend.
Zitat von @Looser27:
Ich habe unsere Mitarbeiter erzogen, alle Passwörter zu ändern.
Meinen Glückwunsch - daran beisse ich mir die Zähne aus...

Cheers,
jsysde
Member: Herbrich19
Herbrich19 Apr 13, 2017 at 17:57:54 (UTC)
Goto Top
Man kann sie auch Zwingen mit einer schönen GPO Richtlinie ihre PW,s zu ändern und auch dass diese Komplex sein müssen face-smile

Gruß an die IT-Welt,
J Herbrich
Member: jsysde
jsysde Apr 13, 2017 updated at 18:05:46 (UTC)
Goto Top
N'Abend.

Zitat von @Herbrich19:
Man kann sie auch Zwingen mit einer schönen GPO Richtlinie ihre PW,s zu ändern und auch dass diese Komplex sein müssen face-smile

Das will ich sehen, wie du User an domain-fremden Gerät mit ner GPO zu irgendwas zwingst...
Davon abgesehen, dass es null mit meiner Frage zu tun hat.

Cheers,
jsysde
Member: Pjordorf
Pjordorf Apr 13, 2017 at 18:10:23 (UTC)
Goto Top
Hallo,

Zitat von @jsysde:
User dürfen sich von ihren Mobilgeräten (Schlaufons und Tablets oder private Rechner) aus mit ihren AD-Credentials im Wifi anmelden, klappt auch alles super (wird per RADIUS/NPS gemacht auf nem Server 2012R2). Einziges Manko:
BYOD ist nicht wirklich einfacher, biller, besser, keine Arbeit ... z.B. beim Windows Phone das Passwort gar nicht ändern kann, sondern das Wiif-Netz einmal löschen und sich komplett neu verbinden muss ....

Das und einiges mehr gilt es vor BYOD zu klären

In der Wolke ist noch weniger Gold was glänzt als im echten Leben, aber die Wolke wird ja als allheilmittel angepriesen. (So wie das Schlangenöl im Wilden Westen)face-smile

Ich weiß, hilft dir jetzt nicht....

Gruß,
Peter
Member: jsysde
jsysde Apr 13, 2017 updated at 18:28:20 (UTC)
Goto Top
N'Abend.

Zitat von @Pjordorf:
Ich weiß, hilft dir jetzt nicht....

DIE Weisheit des Abends. face-wink
Ich bin da auch kein Fan von, aber ich muss mich damit rumschlagen - das ist reine "Zugabe", auf den Geräten passiert nix berufliches (außer dem Abruf von Mails), das Wifi dient nur für Internetzugriff, Datenvolumen sparen etc. Für externe gibt's nen Weblogin, da fällt das Passwort-Thema weg.
Die Domain-joined Clients authentifizieren sich per Zertifikat...

Cheers,
jsysde

EDIT:
Zum Thema vorher abklären - ich meine mich deutlich daran zu erinnern, dass es z.B. bei iPhones mal nen entsprechenden Hinweis gab (unter iOS 8.x)...
Member: umount
umount Apr 14, 2017 at 10:10:37 (UTC)
Goto Top
Ich meine das man in den Passwort Policy Settings einstellen kann was Passiert bei Falschem Passwort.

Entweder Konto nach x Versuchen Deaktivieren oder Sperre für x Minuten.

Verwende auch WPA2-Enterprise und Radius bei mir wird für 30 Minuten nur gesperrt.

Setze einfach eine Zeitsperre z.B. für 30 Minuten.
Member: umount
umount Apr 14, 2017 at 10:16:15 (UTC)
Goto Top
Zitat von @jsysde:

EDIT:
Zum Thema vorher abklären - ich meine mich deutlich daran zu erinnern, dass es z.B. bei iPhones mal nen entsprechenden Hinweis gab (unter iOS 8.x)...

Unter meinen iPhone 5 mit iOS 10.3.1 gibt es eine Fehlermeldung kann ich also Bestätigen. Windows Phone gibt gar nichts aus und muss gelöscht werden. Unter Android nur "Authentifizierungsfehler" muss auch gelöscht werden.
Member: Looser27
Looser27 Apr 14, 2017 at 10:24:31 (UTC)
Goto Top
Zitat von @umount:

Ich meine das man in den Passwort Policy Settings einstellen kann was Passiert bei Falschem Passwort.

Entweder Konto nach x Versuchen Deaktivieren oder Sperre für x Minuten.

Verwende auch WPA2-Enterprise und Radius bei mir wird für 30 Minuten nur gesperrt.

Setze einfach eine Zeitsperre z.B. für 30 Minuten.

Das hilft aber auch nicht, wenn der Mitarbeiter dann 30 Minuten arbeitsunfähig ist.
Da hilft nur Erziehung. Ansonsten den Luxus wieder weg nehmen.

Gruß Looser
Member: Herbrich19
Herbrich19 Apr 14, 2017 at 16:37:43 (UTC)
Goto Top
Hallo,

Virtualisiert ihr? Wen ja warum nutzt ihr nicht ein Linux Server oder eine 2.te Domäne um RADIUS Dienste zu betreiben. Weil RADIUS und Passwortänderungen bei nicht Domäne Clients passen irgendwie nicht so gut zusammen.

Zumal ist es nicht so Sicher die AD Zugangsdaten auf Geräten dritter zu speichern. Ansonsten was spricht gegen Zertifikate?

Gruß an die IT-Welt,
J Herbrich
Member: jsysde
jsysde Apr 14, 2017 at 17:26:19 (UTC)
Goto Top
N'Abend.

Scheint wohl (einmal mehr) auf die Quadratur des Kreises hinauszulaufen. *seufz*
Danke für's Hirnschmalz investieren.

Cheers,
jsysde