WLAN mit RADIUS global absichern
Moinmoin ...
... ich spiele mit dem Gedanken unsere WLANs zentral via RADIUS zu verwalten ...
Wir haben einen Root-Server Win2k3 R2 mit ADS ...
Dieser bedient unseren Groupware-Server und einen Terminal-Server als Anmelde-Server.
Auf diesem haben wir bereits RADIUS eingerichtet.
Nun war unsere Idee, wenn ich unseren lokalen AP (DD-WRT) mit RADIUS konfiguriere, dass man sich am WLAN mit den AD-Credentials des Root-Servers anmelden muss ...
Lt. Ereignisanzeige kommen die Anfragen auch dort an, werden aber verworfen, da User und oder Passwort fehlerhaft sind ...
Sieht also nach Authentifizierungsproblem aus ...
Hier as Ereignis, dass protokolliert wird:
Benutzer "ruth" wurde Zugriff verweigert.
Vollqualifizierter Benutzername = vhs.lan/intranet/Server, Ruth
NAS-IP-Adresse = 192.168.1.30
NAS-Kennung = aa1d7eed0da9
Kennung der Anrufstation = aa1d7eed0da9
Kennung der Empfängerstation = aa26c7e983a6
Clientanzeigename = Verwaltung
Client-IP-Adresse = 213.81.212.251
NAS-Porttyp = Wireless - IEEE 802.11
NAS-Port = 12
Proxyrichtlinienname = Windows-Authentifizierung für alle Benutzer verwenden
Authentifizierungsanbieter = Windows
Authentifizierungsserver = <unbestimmt>
Richtlinien-Name = Wireless Access
Authentifizierungstyp = PEAP
EAP-Typ = <unbestimmt>
Code = 16
Ursache = Die Authentifizierung war nicht erfolgreich, da ein unbekannter Benutzername oder ein ungültiges Kennwort verwendet wurde.
Hat schon jemand ähnliches versucht oder gar erfolgreich im Einsatz?
Feedback wäre klasse ...
Der Rico
... ich spiele mit dem Gedanken unsere WLANs zentral via RADIUS zu verwalten ...
Wir haben einen Root-Server Win2k3 R2 mit ADS ...
Dieser bedient unseren Groupware-Server und einen Terminal-Server als Anmelde-Server.
Auf diesem haben wir bereits RADIUS eingerichtet.
Nun war unsere Idee, wenn ich unseren lokalen AP (DD-WRT) mit RADIUS konfiguriere, dass man sich am WLAN mit den AD-Credentials des Root-Servers anmelden muss ...
Lt. Ereignisanzeige kommen die Anfragen auch dort an, werden aber verworfen, da User und oder Passwort fehlerhaft sind ...
Sieht also nach Authentifizierungsproblem aus ...
Hier as Ereignis, dass protokolliert wird:
Benutzer "ruth" wurde Zugriff verweigert.
Vollqualifizierter Benutzername = vhs.lan/intranet/Server, Ruth
NAS-IP-Adresse = 192.168.1.30
NAS-Kennung = aa1d7eed0da9
Kennung der Anrufstation = aa1d7eed0da9
Kennung der Empfängerstation = aa26c7e983a6
Clientanzeigename = Verwaltung
Client-IP-Adresse = 213.81.212.251
NAS-Porttyp = Wireless - IEEE 802.11
NAS-Port = 12
Proxyrichtlinienname = Windows-Authentifizierung für alle Benutzer verwenden
Authentifizierungsanbieter = Windows
Authentifizierungsserver = <unbestimmt>
Richtlinien-Name = Wireless Access
Authentifizierungstyp = PEAP
EAP-Typ = <unbestimmt>
Code = 16
Ursache = Die Authentifizierung war nicht erfolgreich, da ein unbekannter Benutzername oder ein ungültiges Kennwort verwendet wurde.
Hat schon jemand ähnliches versucht oder gar erfolgreich im Einsatz?
Feedback wäre klasse ...
Der Rico
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 206570
Url: https://administrator.de/forum/wlan-mit-radius-global-absichern-206570.html
Ausgedruckt am: 26.12.2024 um 00:12 Uhr
11 Kommentare
Neuester Kommentar
Hallo Rico,
das Forum hat auch eine Suchfunktion und einige Mitglieder hier haben auch Anleitungen geschrieben!!!
Sichere WLAN-Benutzer Authentifizierung über Radius
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Die beiden hier finde ich zumindest passen recht gut zu dem was Du vorhast!
Gruß
Dobby
das Forum hat auch eine Suchfunktion und einige Mitglieder hier haben auch Anleitungen geschrieben!!!
Sichere WLAN-Benutzer Authentifizierung über Radius
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Die beiden hier finde ich zumindest passen recht gut zu dem was Du vorhast!
Gruß
Dobby
wenn ich unseren lokalen AP (DD-WRT) mit RADIUS konfiguriere,
Da habe ich mich wohl etwas verlesen!
Gruß
Dobby
Wer lesen kann und will....
http://www.heise.de/ct/inhalt/2010/12/180/
Wie man das Zertifikat im Client importiert steht im Tutorial. Wie immer nicht gelesen...
http://www.heise.de/ct/inhalt/2010/12/180/
Wie man das Zertifikat im Client importiert steht im Tutorial. Wie immer nicht gelesen...
Na ja das kann eigentlich jeder Dummie. Über den Zertifikatsassistenten exportierst du das zertifikat und importierst es in die Clients wie es im Tutorial beschrieben ist.
Bei MS mit all seinen Klicki Bunti GUIs ist das eine Sache von 3 Minuten...wenn man denn weiss was man tut ?!
Das Zertifikat MUSS auch nicht unbedingt auf den Client !!
Du kannst auch die Zertifikatsprüfung im 802.1x Client abschalten (Steht übrigens auch genau im Tutorial beschrieben in den Client Settings !!)
Dann prüft er eben nicht das Radius Zertifikat, hat dann aber den Nachteil das dir jeder x-beliebige einen Radius Server ins Netz hängen kann den die Clients dann immer akzeptieren solange er Radius spricht, da sie die ursprüngliche Identität des Servers nicht überprüfen.
Ob du das dann willst ist deine Entscheidung ?!
Dann wäre eine Radius Authentisierung allerdings Schwachsinn wie du dir sicher selber denken kannst, denn was hätte man dann gewonnen wenn die Radius Server Authentizität völlig egal ist ?!
Dann könnte man auch mit simplen Pre Shared Keys arbeiten und gut iss...
Bei MS mit all seinen Klicki Bunti GUIs ist das eine Sache von 3 Minuten...wenn man denn weiss was man tut ?!
Das Zertifikat MUSS auch nicht unbedingt auf den Client !!
Du kannst auch die Zertifikatsprüfung im 802.1x Client abschalten (Steht übrigens auch genau im Tutorial beschrieben in den Client Settings !!)
Dann prüft er eben nicht das Radius Zertifikat, hat dann aber den Nachteil das dir jeder x-beliebige einen Radius Server ins Netz hängen kann den die Clients dann immer akzeptieren solange er Radius spricht, da sie die ursprüngliche Identität des Servers nicht überprüfen.
Ob du das dann willst ist deine Entscheidung ?!
Dann wäre eine Radius Authentisierung allerdings Schwachsinn wie du dir sicher selber denken kannst, denn was hätte man dann gewonnen wenn die Radius Server Authentizität völlig egal ist ?!
Dann könnte man auch mit simplen Pre Shared Keys arbeiten und gut iss...
Mmmhhh, eigentlich komisch. Das wäre dann ein Bug im Client, denn wenn die Zertifikatsprüfung deaktiviert ist sollte es ohne gehen. Beim XP, Win7 und Apple OS-X Client ist es jedenfalls so.
Aber egal wenns nun klappt ist ja alles gut !
Bitte dann auch
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !!
Aber egal wenns nun klappt ist ja alles gut !
Bitte dann auch
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !!