win-admin
Goto Top

WLAN Authentifizierung mit RAS

Hallo, folgendes Problem:

Momentan arbeite ich mit einem Netgear AP auf WPA2-PSK Schlüssel Basis. Ich möchte die Authentifizierung aber ins AD mit einem RAS verlegen.
Zur Seite steht mir ein Windows 2003 Server.

Wer hat ein solches Szenario bereits erfolgreich realisiert und kann mir eine genau Anleitung geben?

Bitte nur Leute mit Ahnung von der Praxis und keine Google Ratschläge!

Mfg

Content-ID: 20043

Url: https://administrator.de/contentid/20043

Ausgedruckt am: 05.11.2024 um 16:11 Uhr

BartSimpson
BartSimpson 04.01.2006 um 11:57:03 Uhr
Goto Top
Und was will du denn später zur Autententifiezuerung einsetzten? EAP-TLS oder EAP-TTLS etc??
Der Sicherheit wegen würde ich dir EAP-TLS empfehlen, was aber eine PKI vorraussetzt. Wobei zu prüfen währen, ob dein AP WPA2 Enterprise fähig ist.
win-admin
win-admin 04.01.2006 um 15:09:40 Uhr
Goto Top
Hallo!

WPA2 fähig ist der AP, hab ja schon länger damit erfolgreich gearbeitet. Ist WPA2 zwingend nötig? Nicht alle WLAN Adapter in meinem Netz unterstützen nämlich WPA2.

Über die Art Authentifizierung mach ich mir noch keine so großen Gedanken. Zunächst einmal interessiert mich der prinzipielle Aufbau und die Integration ins AD.

Bitte Schritt für Schritt Anleitung!

mfg
BartSimpson
BartSimpson 04.01.2006 um 15:33:04 Uhr
Goto Top
Aber erst nachdem die Fragen geklöät sind, kann man sich überlegen, ob und wie man das ganze ins AD bekommt. Ich habe die das ganze Unter Linux am laufen. Die Clienten sind teilweise Winndows. Deshalb kann ich dir verrarten, was du du allen unter Windows beachten must. Falls du EAP-TLS nimmst, muss in dem Server und Client Zetifikaten die entsprechenden Erweiterung gesetzt sein. Desweiteren sind die Intelkarten B/G bzw A/B/G kein großen Probelm. Jedoch z.b RT2500 Karten sind ein echtes Problem. Aber lößbar. mit etwas Friemellei. Das hat aber nix mit dem Linuxserver sondern mit dem extrem Verbugten Treiber zu tun. Du must zuerst mal schauen, welche WLAN Hardware bei dir was kann. Dann kanste dich auf einen Standart einigen. Wichtig, ist da du für XP SP2/SP1 das extra WPA2 update installiert. Dieses wird aber nicht über die Windowsupdate Funktion bereitgestellt. Denn sonst läuft WPA2 fähige Hardware nicht mit WPA2.
win-admin
win-admin 04.01.2006 um 18:14:09 Uhr
Goto Top
Hallo!

1. Ich arbeite mit AD, das hat Null mit Linux zu tun.
2. Alle WLAN Adapter in meinem Netz beherrschen mind. WPA
3. Mich interessiert nur was ich im AD, auf dem Server und mit den AP machen muss, um mich übers AD zu authentifizieren. Das muss unabhängig vom Hersteller oder dem Chip funktionieren

Mfg
BartSimpson
BartSimpson 04.01.2006 um 18:24:47 Uhr
Goto Top
Theroretisch sollte das Herstellerunabhänig sein. Doch leider sieht die Praxis anders aus.
Also nehmen wir an, du machst EAP-TLS. Dann must du zuerst die Zertifikatsdienste installieren(so fern noch nicht geschehen).
Siehe http://support.microsoft.com/?id=814394
Und hier die Anleting von MS was du an deinem Server einstellen must: http://www.microsoft.com/technet/prodtechnol/winxppro/evaluate/eap.mspx
win-admin
win-admin 07.01.2006 um 19:25:54 Uhr
Goto Top
Hallo!

Zertifikatsdienste sind installiert und funktionieren (Hab meinen Webserver übern Zertifikat auf https umgestellt)
Außerdem hab ich den Internetauthentifizierungsdienst installiert und den AP als RAS-Client eingetragen.
Am AP sind bereits alle Einstellungen gemacht.

So, wie gehts weiter?
Wie erhalten der IAS und die Clients die nötigen Zertifikate?
Was muss noch eingestellt werden?

Mfg
BartSimpson
BartSimpson 07.01.2006 um 19:39:27 Uhr
Goto Top
Die Komputertertifkate muste auf den Clients endwerder per AD oder per Hand installieren. Der RAS Server sollte die Zertifikate automatsich per AD und der Stammzertizierungstelle prüfen, sobald sich ein Cleint am AP anmeldet. Wichtig ist, da du das Secret auf dem AP und dem RAS Server setzte. Wo du das Secret beim RAS Server einstellen must kann ich dir gerade mangels passendem Windows Server zum testen nicht verraten. Wichtig ist, das die Client das Root Zertifikat deiner Zertifizierungstelle haben. Denn sonnst können sie die Identität des RAS Server nicht prüfen!!!
BartSimpson
BartSimpson 07.01.2006 um 21:10:31 Uhr
Goto Top
So habe jetzte mal ein Testserver ausgestezt.
Der radius Server versteckt sich als Indernetautentifietungsdiensf"
dort trägts du denn bei Radius clients den AP ein
Dann legtst du noch eine neie RAS richtiliene für dratlose Netzwerke benfalls in dem Internetaudenti... Dienst.
win-admin
win-admin 08.01.2006 um 11:42:20 Uhr
Goto Top
Hallo!

Habs zum Laufen gebracht. Allerdings noch nicht so, wie ich mir das vorstelle.

Wenn ich ein Benutzerzertifikat manuell anfordere und installiere, steht das Zertifikat unter Eigene Zertifikate und wird als Vertrauenswürdige Stammzertifizierungsstelle eingetragen.
Im IAS ist in den Richtlinien eine Benutzergruppe angegeben.
Konfiguration funktioniert aber nur dann, wenn der User aus der Gruppe eingeloggt ist.

Ich möchte deswegen die Authentifikation und Autorisation nicht auf Benutzer-, sondern auf Computerebene durchführen. Und die Zertifikate (in diesem Fall Computerzertifikate) automatisch zuteilen.

Letzteres ist mir bereits gelungen. Per Gruppenrichtlinie werden Computerzertifikate automatisch zugeteilt. Im IAS hab ich in den Richtlinien dann eine Computergruppe angegeben.
Dann erhalte ich aber die Meldung dass mir das Zertifikat fehlt. (Logisch, sind ja keine Benutzerzertifikate vergeben worden sondern Computerzertifikate)
Aber wozu die Benutzerzertifikate? Muss sich dann nicht der Rechner authentifizieren?

mfg
BartSimpson
BartSimpson 08.01.2006 um 12:38:37 Uhr
Goto Top
Stimmen bei deinen zertifikaten der CN Name im Zertifikat mit dem kompletten Rechnername auch überein. Denn daürber findet Windows das richtige Zertifikat. Aber frage mich nicht warum, das ganze hat bisher immer nur geklappt, wenn ich die Rechnerzertifikate als Benutzerzertifkate installiert hatte. Eventuell kann man über die AD Richtilienen was machen. Damit auch die AD anmledung bereits über WLAN geht. Aber das hängt davon ab, in wie weit die Treiber der Karten mitspielen.
win-admin
win-admin 08.01.2006 um 15:49:19 Uhr
Goto Top
Hallo!

Rechnername stimmt mit CN Namen überein.
Verbindung klappt aber nur wenn ich eine Benutzergruppe im IAS angebe und mir manuell
ein Benutzerzertifikat anlege. Das ist aber keine akzeptable Lösung.

Die Authentifikation muss auf Computerebene mit Computerzertifikaten möglich sein.
Aber wie wirds gemacht?

Mfg
BartSimpson
BartSimpson 08.01.2006 um 15:52:06 Uhr
Goto Top
Sorry, an der Stelle muss ich denn leider passen.
Da das denn zu Windows spezifisch ist.
win-admin
win-admin 08.01.2006 um 15:58:09 Uhr
Goto Top
Trotzdem Danke für die Mithilfe! Bin dadurch schon mal paar Schritte weitergekommen!

Und die Frage an andre Forumsteilnehmer: Wer weiß Rat???

Mfg