22
WLAN Verschlüsselung und Zertifikate
Moin Zusammen,
im Moment hab ich hier ein WPA WLAN mit einem ziemlich langen Kennwort laufen, aber wie das nun mal so ist bei "öffentlich" zugänglichen Notebooks werden da kurzer Hand die Keys ausgelesen und dann zum Surfen mit dem eigenen Smartphone o.ä. zu nutzen.
Ich hatte das mal so von meinem Vorgänger übernommen und kam bisher nicht dazu das zu ändern.
Im Moment sperre ich die meisten nur über einen MAC Filter im DHCP aus, was leicht umgangen werden kann.
Lange Rede kurzer Sinn:
Ich wollte nun auf zertifikatbasierte Authentifizierung zurück greifen, wenn das sinnvoll ist.
Ich habe hier ca. 60 Notebooks laufen. Dazu kommen etliche Geräte wie Smartphones(IOS; Android, BB) und weitere Notebooks(Win/Mac) und Tablets.
Bei den 60 Notebooks gibt es bei den Zertifikaten erst mal kein Problem. Aber wie sieht es mit den anderen mobilen Endgeräten aus?
Ich habe das mal testweise versucht mit diesem Tutorial von LANCOM:
https://www2.lancom.de/kb.nsf/b8f10fe5665f950dc125726c00589d94/8ce39818c ...
Leider scheitert es bei mir schon bei den Zertifikaten.
Mit den Zertifikaten von der Seite klappt es.
Nach der verlinkten Anleitung zur Erstellung bin ich vorgegangen, aber welches Zertifikat und wie muss ich es für den Router erstellen?
Ein Lancom IAP 54.
Oder gibt es da inzwischen bessere Alternativen damit auch diese ganzen Smartphones Zugriff bekommen?
Wie würdet ihr das regeln?
Gruß und Dank
ps: es handelt es sich um 10 LANCOM IAP 54 Accesspoints mit der aktuellen Firmware.
edit: Die Nutzer können sich mit einem allgemeinem Konto an den 60 Notebooks anmelden oder mit einem eigenen Kontonamen.
Die anderen Geräte sind in der Regel private Geräte ohne Domänenzugehörigkeit etc. Sind insofern nur dem DHCP und DNS bekannt.
im Moment hab ich hier ein WPA WLAN mit einem ziemlich langen Kennwort laufen, aber wie das nun mal so ist bei "öffentlich" zugänglichen Notebooks werden da kurzer Hand die Keys ausgelesen und dann zum Surfen mit dem eigenen Smartphone o.ä. zu nutzen.
Ich hatte das mal so von meinem Vorgänger übernommen und kam bisher nicht dazu das zu ändern.
Im Moment sperre ich die meisten nur über einen MAC Filter im DHCP aus, was leicht umgangen werden kann.
Lange Rede kurzer Sinn:
Ich wollte nun auf zertifikatbasierte Authentifizierung zurück greifen, wenn das sinnvoll ist.
Ich habe hier ca. 60 Notebooks laufen. Dazu kommen etliche Geräte wie Smartphones(IOS; Android, BB) und weitere Notebooks(Win/Mac) und Tablets.
Bei den 60 Notebooks gibt es bei den Zertifikaten erst mal kein Problem. Aber wie sieht es mit den anderen mobilen Endgeräten aus?
Ich habe das mal testweise versucht mit diesem Tutorial von LANCOM:
https://www2.lancom.de/kb.nsf/b8f10fe5665f950dc125726c00589d94/8ce39818c ...
Leider scheitert es bei mir schon bei den Zertifikaten.
Mit den Zertifikaten von der Seite klappt es.
Nach der verlinkten Anleitung zur Erstellung bin ich vorgegangen, aber welches Zertifikat und wie muss ich es für den Router erstellen?
Ein Lancom IAP 54.
Oder gibt es da inzwischen bessere Alternativen damit auch diese ganzen Smartphones Zugriff bekommen?
Wie würdet ihr das regeln?
Gruß und Dank
ps: es handelt es sich um 10 LANCOM IAP 54 Accesspoints mit der aktuellen Firmware.
edit: Die Nutzer können sich mit einem allgemeinem Konto an den 60 Notebooks anmelden oder mit einem eigenen Kontonamen.
Die anderen Geräte sind in der Regel private Geräte ohne Domänenzugehörigkeit etc. Sind insofern nur dem DHCP und DNS bekannt.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 223247
Url: https://administrator.de/contentid/223247
Ausgedruckt am: 25.11.2024 um 03:11 Uhr
22 Kommentare
Neuester Kommentar
Auf allen Endgeräten kannst du diese Zertifikate importieren. Mit Smartphones geht das am einfachsten wenn man sie per Web downloaden kann oder einfach per Email gesendet bekommt.
Grundlagen dazu erklärt auch dieses Forumsturorial:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Grundlagen dazu erklärt auch dieses Forumsturorial:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Hi Aqui,
da bin ich auch schon drüber gestolpert.
Dieses Zertifikat kann ich dann auf jedem importieren oder sollte man für jeden Nutzer ein Zertifikat erstellen?
Das kann man dann auch nicht so einfach sperren, wenn einer nicht mehr ins Netz soll von den Nutzern, oder?
Gibt es eine Möglichkeit sowas zu automatisieren und nicht 60 + x Zertifikate von Hand zu erstellen? Bzw. kann ich ja auf diesen 60 das gleiche installieren, aber die anderen sind doch schon 20-30+x und steigend.
Und auf dem Radiusserver importiere ich das gleiche Zertifikat wie auf den Clients?!
Fragen über Fragen...
Gruß
da bin ich auch schon drüber gestolpert.
Dieses Zertifikat kann ich dann auf jedem importieren oder sollte man für jeden Nutzer ein Zertifikat erstellen?
Das kann man dann auch nicht so einfach sperren, wenn einer nicht mehr ins Netz soll von den Nutzern, oder?
Gibt es eine Möglichkeit sowas zu automatisieren und nicht 60 + x Zertifikate von Hand zu erstellen? Bzw. kann ich ja auf diesen 60 das gleiche installieren, aber die anderen sind doch schon 20-30+x und steigend.
Und auf dem Radiusserver importiere ich das gleiche Zertifikat wie auf den Clients?!
Fragen über Fragen...
Gruß
Hallo,
wenn schon denn schon würde ich sagen.
Also alle Kabel gebundenen Geräte und Klienten mittels LDAP und alle Kabel losen Geräte via Radius Server anbinden,
das macht dann auch richtig Sinn, aber "haut" einem auch immer gleich mehr Last auf das Netzwerk und somit sollten die Switche
dann mindestens einen Layer3 Switch haben und gestapelt (Switch Stack) sein damit die gesamte Last dann auch abgearbeitet werden
kann und nicht Engpässe entstehen.
Für die Zertifikatserstellung unter;
- Windows
- Linux
gibt es auch Tools die das ganze Vorhaben auch vereinfachen.
Die Zertifikate kann man auch auf einer Zertifikatsperrliste (certificate revocation list (CRL)) "zurückstellen" bzw. zurück ziehen oder als
ungültig markieren, so dass sie nicht mehr greifen, nur man sollte dann den Mitarbeitern auch per Schulung und/oder Arbeitsanweisung
vermitteln, dass es dann eben auch unumgänglich ist, dass verlorene Geräte auch sofort gemeldet werden und das jeder seine "umsonst"
aber Schnüffel APP installiert sollte sich dann wohl auch erledigt haben. Denn was nützt Dir (Euch) ein Zertifikat was alle 2 Stunden
von selbst nach China verschickt wird.
Die Tools sind kostenlos und damit lassen sich auch recht gut alle Zertifikate inklusive die CRL managen, zusammen mit einem
RaspBerry PI für ~40 € ist das auch recht schnell mittels Debian Linux umzusetzen. Der @aqui hat dazu auch noch eine super
Anleitung (Debian auf dem RaspBerry PI) und somit sollte das ganze auch für jedermann gut zu realisieren sein.
Gruß
Dobby
wenn schon denn schon würde ich sagen.
Also alle Kabel gebundenen Geräte und Klienten mittels LDAP und alle Kabel losen Geräte via Radius Server anbinden,
das macht dann auch richtig Sinn, aber "haut" einem auch immer gleich mehr Last auf das Netzwerk und somit sollten die Switche
dann mindestens einen Layer3 Switch haben und gestapelt (Switch Stack) sein damit die gesamte Last dann auch abgearbeitet werden
kann und nicht Engpässe entstehen.
Für die Zertifikatserstellung unter;
- Windows
- Linux
gibt es auch Tools die das ganze Vorhaben auch vereinfachen.
Die Zertifikate kann man auch auf einer Zertifikatsperrliste (certificate revocation list (CRL)) "zurückstellen" bzw. zurück ziehen oder als
ungültig markieren, so dass sie nicht mehr greifen, nur man sollte dann den Mitarbeitern auch per Schulung und/oder Arbeitsanweisung
vermitteln, dass es dann eben auch unumgänglich ist, dass verlorene Geräte auch sofort gemeldet werden und das jeder seine "umsonst"
aber Schnüffel APP installiert sollte sich dann wohl auch erledigt haben. Denn was nützt Dir (Euch) ein Zertifikat was alle 2 Stunden
von selbst nach China verschickt wird.
Die Tools sind kostenlos und damit lassen sich auch recht gut alle Zertifikate inklusive die CRL managen, zusammen mit einem
RaspBerry PI für ~40 € ist das auch recht schnell mittels Debian Linux umzusetzen. Der @aqui hat dazu auch noch eine super
Anleitung (Debian auf dem RaspBerry PI) und somit sollte das ganze auch für jedermann gut zu realisieren sein.
Gruß
Dobby
Nabend,
Danke für die Antwort.
Leider hat mir bisher meine konkreten Fragen noch niemand beantwortet.
Welche Zertifikate benutze ich bzw. wie erstelle ich die korrekten für den Router.
Ansonsten verstehe ich es richtig, dass es sinnvoller wäre für jedes Gerät bzw. Nutzer ein Zertifikat zu erstellen, richtig?
Einen Radiusserver an sich benötige ich nicht extra, weil der in den Accesspoints bereits enthalten ist.
Gruß
Danke für die Antwort.
Leider hat mir bisher meine konkreten Fragen noch niemand beantwortet.
Welche Zertifikate benutze ich bzw. wie erstelle ich die korrekten für den Router.
Ansonsten verstehe ich es richtig, dass es sinnvoller wäre für jedes Gerät bzw. Nutzer ein Zertifikat zu erstellen, richtig?
Einen Radiusserver an sich benötige ich nicht extra, weil der in den Accesspoints bereits enthalten ist.
Gruß
Hallo nochmal,
Mit den beiden oben genannten Tools hast Du die Möglichkeit dies zum Einen unter Linux zu erzeugen und mit zum Anderen
mit dem anderen Tool unter Windows. Man erzeugt dann ein Root CA Zertifikat mit einem geheimen Schlüssel und dieser
kommt dann in der Regel in den Radius Server und/oder den Router und die Zertifikate für Nutzer oder Geräte und öffentlichen
Schlüssel werden dann in einer .pem Datei für Windows oder einer .pam Datei für Linux abgespeichert, also Zertifikat und Schlüssel
und dann müssen eben diese auf den Klienten installiert werden von Dir.
betreiben wollen und zarw aus folgendem Grund, sollte mal der Router oder der WLAN AP überfüllt sein, nicht mehr ansprechbar
sein, nicht mehr erreichbar sein oder funktionieren, kommt man auch nicht mehr in das Netz um die Störung zu beheben!
"Stand Alone" Radius Server würde ich halt bevorzugen wollen.
Gruß
Dobby
Danke für die Antwort.
Kein ThemaLeider hat mir bisher meine konkreten Fragen noch niemand beantwortet.
Na dann jetzt aber hoffentlich.Welche Zertifikate benutze ich bzw. wie erstelle ich die korrekten für den Router.
Ich würde X.509 Zertifikate nehmen wollen.Mit den beiden oben genannten Tools hast Du die Möglichkeit dies zum Einen unter Linux zu erzeugen und mit zum Anderen
mit dem anderen Tool unter Windows. Man erzeugt dann ein Root CA Zertifikat mit einem geheimen Schlüssel und dieser
kommt dann in der Regel in den Radius Server und/oder den Router und die Zertifikate für Nutzer oder Geräte und öffentlichen
Schlüssel werden dann in einer .pem Datei für Windows oder einer .pam Datei für Linux abgespeichert, also Zertifikat und Schlüssel
und dann müssen eben diese auf den Klienten installiert werden von Dir.
Ansonsten verstehe ich es richtig, dass es sinnvoller wäre für jedes Gerät bzw. Nutzer ein Zertifikat zu erstellen, richtig?
Ja genau, zumindest würde ich das so machen wollen, aber ich würde auch immer einen eigenen kleinen Radius Serverbetreiben wollen und zarw aus folgendem Grund, sollte mal der Router oder der WLAN AP überfüllt sein, nicht mehr ansprechbar
sein, nicht mehr erreichbar sein oder funktionieren, kommt man auch nicht mehr in das Netz um die Störung zu beheben!
Einen Radiusserver an sich benötige ich nicht extra, weil der in den Accesspoints bereits enthalten ist.
Man kann das sicherlich auf viele Arten erledigen aber direkt im Router oder aber wie schon angesprochen als kleinen"Stand Alone" Radius Server würde ich halt bevorzugen wollen.
Gruß
Dobby
Hi,
ich hab das mit dem Programm von der Lancomseite gemacht und sowohl ein Client als auch ein Root CA erstellt. Das Root CA hab ich dann auf dem Accesspoint/Radiusserver geladen und das Client Zertifikat auf ein Notebook. Leider ohne Erfolg. Keine Verbindung.
Deswegen muss da noch irgendwo anders der Hase begraben sein.
Zu einer Überlastung dürfte es wohl nicht kommen da sich die Geräte wohl in der Regel auf 10 Accesspoints verteilen.
Gruß
ich hab das mit dem Programm von der Lancomseite gemacht und sowohl ein Client als auch ein Root CA erstellt. Das Root CA hab ich dann auf dem Accesspoint/Radiusserver geladen und das Client Zertifikat auf ein Notebook. Leider ohne Erfolg. Keine Verbindung.
Deswegen muss da noch irgendwo anders der Hase begraben sein.
Zu einer Überlastung dürfte es wohl nicht kommen da sich die Geräte wohl in der Regel auf 10 Accesspoints verteilen.
Gruß
Hi,
ich weiß zwar nicht wie tief du in die Materie eingedrungen bist bis jetzt. Aber ich beschäftige mich momentan sehr intensiv mit 802.1x Authentifizierung und könnte daher vielleicht etwas über Zertifikate sagen.
1. Auf dem Client brauchst du ein SSL/TLS Client zertifikat das von deiner RootCa ausgestellt wurde
2. Auf dem server brauchst du ein SSL/TLS server Zertifikat ebenfalls von deiner RootCA ausgestellt.
3. du brauchst auf allen Geräten von deiner RootCA das Zertifikat. ABER ohne Private key!
allerdings würde ich das persönlich nicht mit zertifikaten machen sondern mit einem radius server der an ein ldap hingeht und dort dann benutzername und passwort über 802.1x mit PEAP und MSCHAP-v2 abfrägt.
Was willst du eigentlich damit erreichen? Wenn willst du vor was schützen?
Gruß
ich weiß zwar nicht wie tief du in die Materie eingedrungen bist bis jetzt. Aber ich beschäftige mich momentan sehr intensiv mit 802.1x Authentifizierung und könnte daher vielleicht etwas über Zertifikate sagen.
1. Auf dem Client brauchst du ein SSL/TLS Client zertifikat das von deiner RootCa ausgestellt wurde
2. Auf dem server brauchst du ein SSL/TLS server Zertifikat ebenfalls von deiner RootCA ausgestellt.
3. du brauchst auf allen Geräten von deiner RootCA das Zertifikat. ABER ohne Private key!
allerdings würde ich das persönlich nicht mit zertifikaten machen sondern mit einem radius server der an ein ldap hingeht und dort dann benutzername und passwort über 802.1x mit PEAP und MSCHAP-v2 abfrägt.
Was willst du eigentlich damit erreichen? Wenn willst du vor was schützen?
Gruß
Hi Funny,
noch nicht wirklich tief
Über MSCHAP hab ich ebenfalls schon nachgedacht. Wäre in meinem Vorhaben wohl auch das beste, aber ein Zertifikat muss so weit ich das verstanden habe dennoch auf allen Clients eingerichtet werden.
Zu den Zertifikaten: Das ist klar, aber:
Ich bin nach dieser Anleitung vorgegangen:
https://www2.lancom.de/kb.nsf/675ae5e6532c992a41256a100049e9e3/55eb39056 ...
Nun habe ich also ein Root CA und ein Client CA. Das Root CA hab ich auf den Radius geladen und das Client CA aufs Notebook.
Nur leider geht das nicht.
MIt den Zertifikaten in meinem oben genannten Link geht es hingegen problemlos, aber das sind eben nur Testzertifikate.
Gruß
noch nicht wirklich tief
Über MSCHAP hab ich ebenfalls schon nachgedacht. Wäre in meinem Vorhaben wohl auch das beste, aber ein Zertifikat muss so weit ich das verstanden habe dennoch auf allen Clients eingerichtet werden.
Zu den Zertifikaten: Das ist klar, aber:
Ich bin nach dieser Anleitung vorgegangen:
https://www2.lancom.de/kb.nsf/675ae5e6532c992a41256a100049e9e3/55eb39056 ...
Nun habe ich also ein Root CA und ein Client CA. Das Root CA hab ich auf den Radius geladen und das Client CA aufs Notebook.
Nur leider geht das nicht.
MIt den Zertifikaten in meinem oben genannten Link geht es hingegen problemlos, aber das sind eben nur Testzertifikate.
Gruß
Dann sollten wir dies ändern. Sonst wird das nichts.
vorallem bei der key usage.
CA = Certificate Authority = Ausstellende Instanz != Zertifkat.
Einigen Seiten die vielleicht interessant sind:
https://pki-tutorial.readthedocs.org/en/latest/
http://openvpn.net/index.php/open-source/documentation/howto.html#pki
Also nochmal:
Auf dem Client solltest du haben:
RootCA Zertifikat
Client Zertifikat + Private Key
auf deinem Radius Server:
Root CA Zertifikat
Server Zertifikat + private Key
Nirgends solltest du haben:
RootCA Private Key
übrigens wer macht den radius server? du sagtest was von deinem access point? aber du kannst nur einen haben ist klar oder? ich würde lieber einen kleinen server dafür hernehmen und alle access points so konfigurieren das sie auf diesen zugreifen. aber das kannst du dir ja selbst überlegen.
gruß
Über MSCHAP hab ich ebenfalls schon nachgedacht. Wäre in meinem Vorhaben wohl auch das beste, aber ein Zertifikat muss
so weit ich das verstanden habe dennoch auf allen Clients eingerichtet werden.
Vorsicht nicht MSCHAP alleine! da dies unverschlüsselt passwort und username überträgt. Daher im außeren PEAP(da überall vorhanden) und im inneren MSCHAP über Domäne oder LDAP oder weiß was sonst noch.so weit ich das verstanden habe dennoch auf allen Clients eingerichtet werden.
Zu den Zertifikaten: Das ist klar, aber:
Ich bin nach dieser Anleitung vorgegangen:
https://www2.lancom.de/kb.nsf/675ae5e6532c992a41256a100049e9e3/55eb39056 ...
Ok, aber dort wird nur erklärt wie eine CA erstellt wird und ein Zertifikat für einen Client. Allerdings werden andere Dinge bei einem Server Zertifikat benötigt. des Dein Radius Server braucht.Ich bin nach dieser Anleitung vorgegangen:
https://www2.lancom.de/kb.nsf/675ae5e6532c992a41256a100049e9e3/55eb39056 ...
vorallem bei der key usage.
Nun habe ich also ein Root CA und ein Client CA. Das Root CA hab ich auf den Radius geladen und das Client CA aufs Notebook.
Ich hoffe du meinst eine RootCA mit einem Zertifikat und einem Private Key und ein Client Zertifikat mit Private Key.CA = Certificate Authority = Ausstellende Instanz != Zertifkat.
Nur leider geht das nicht.
Ja ist klar. Du benötigst die CA nur damit beide Zertifikate sich gegenseitig vertrauen. Du kannst nicht das CA Zertifikat als Server Zertifikat missbrauchen.MIt den Zertifikaten in meinem oben genannten Link geht es hingegen problemlos, aber das sind eben nur Testzertifikate.
OK.Einigen Seiten die vielleicht interessant sind:
https://pki-tutorial.readthedocs.org/en/latest/
http://openvpn.net/index.php/open-source/documentation/howto.html#pki
Also nochmal:
Auf dem Client solltest du haben:
RootCA Zertifikat
Client Zertifikat + Private Key
auf deinem Radius Server:
Root CA Zertifikat
Server Zertifikat + private Key
Nirgends solltest du haben:
RootCA Private Key
übrigens wer macht den radius server? du sagtest was von deinem access point? aber du kannst nur einen haben ist klar oder? ich würde lieber einen kleinen server dafür hernehmen und alle access points so konfigurieren das sie auf diesen zugreifen. aber das kannst du dir ja selbst überlegen.
gruß
Hey,
danke für die zahlreichen Infos und Anmerkungen.
Ich glaub da muss ich mich noch bissel reinhängen
Der letzte Satz ist äußerst interessant. Aber ich könnte doch jeden AP gleich konfigurieren, aber ich werde das wohl einen Server 2008 übernehmen lassen.
Ich werde kommende Woche weiter basteln und mich dann zurück melden.
Gruß
danke für die zahlreichen Infos und Anmerkungen.
Ich glaub da muss ich mich noch bissel reinhängen
Der letzte Satz ist äußerst interessant. Aber ich könnte doch jeden AP gleich konfigurieren, aber ich werde das wohl einen Server 2008 übernehmen lassen.
Ich werde kommende Woche weiter basteln und mich dann zurück melden.
Gruß
Zitat von @Xaero1982:
Hey,
danke für die zahlreichen Infos und Anmerkungen.
Ich glaub da muss ich mich noch bissel reinhängen
Der letzte Satz ist äußerst interessant. Aber ich könnte doch jeden AP gleich konfigurieren, aber ich werde das
wohl einen Server 2008 übernehmen lassen.
ja das kannst du. aber wenn du einen user hinzufügen möchtest du dies an allen machen. wäre doch echt blöd oder?Hey,
danke für die zahlreichen Infos und Anmerkungen.
Ich glaub da muss ich mich noch bissel reinhängen
Der letzte Satz ist äußerst interessant. Aber ich könnte doch jeden AP gleich konfigurieren, aber ich werde das
wohl einen Server 2008 übernehmen lassen.
Ich werde kommende Woche weiter basteln und mich dann zurück melden.
okGruß
Gruß
Hi zusammen,
Ich klinge mich da mit einer Verständnisfrage ein, die auch den TO interessieren dürfte:
Wie wird beim Einsatz eines Radiusserver und Zertifikaten verhindert, dass die User das Zertifikat vom Firmenlaptop auf ihr Privatgerät (Laptop/Telefon/Tablet) kopieren um mit dem Privatgerät im Firmen-WLAN zu surfen?
mfg
Cthluhu
Ich klinge mich da mit einer Verständnisfrage ein, die auch den TO interessieren dürfte:
Wie wird beim Einsatz eines Radiusserver und Zertifikaten verhindert, dass die User das Zertifikat vom Firmenlaptop auf ihr Privatgerät (Laptop/Telefon/Tablet) kopieren um mit dem Privatgerät im Firmen-WLAN zu surfen?
mfg
Cthluhu
Hi,
nun so weit ich das bisher gesehen habe wird für die Installation des Zertifikats ein Passwort benötigt.
Das heißt z.b. dass der Admin das Passwort nicht weiter gibt und das Zertifikat selbst auf dem Firmennotebook einrichten oder aber man wohl Geräte sperren kann.
Wirklich interessant ist die Frage für mich allerdings nicht Zertifikate bekommen nur eine bestimmte Nutzergruppe und diese wird das Zertifikat nicht weiter geben. Die anderen werden von mir eingerichtet - sprich das Passwort bekommt keiner.
Gruß
nun so weit ich das bisher gesehen habe wird für die Installation des Zertifikats ein Passwort benötigt.
Das heißt z.b. dass der Admin das Passwort nicht weiter gibt und das Zertifikat selbst auf dem Firmennotebook einrichten oder aber man wohl Geräte sperren kann.
Wirklich interessant ist die Frage für mich allerdings nicht
Zertifikate bekommen nur eine bestimmte Nutzergruppe und diese wird das Zertifikat nicht weiter geben. Die anderen werden von mir eingerichtet - sprich das Passwort bekommt keiner.Gruß
Ich klinge mich da mit einer Verständnisfrage ein, die auch den TO interessieren dürfte:
Wie wird beim Einsatz eines Radiusserver und Zertifikaten verhindert, dass die User das Zertifikat vom Firmenlaptop auf ihr
Privatgerät (Laptop/Telefon/Tablet) kopieren um mit dem Privatgerät im Firmen-WLAN zu surfen?
Wie wird beim Einsatz eines Radiusserver und Zertifikaten verhindert, dass die User das Zertifikat vom Firmenlaptop auf ihr
Privatgerät (Laptop/Telefon/Tablet) kopieren um mit dem Privatgerät im Firmen-WLAN zu surfen?
indem Du das Zertifikat bei Windows importierst und dabei dem pc sagst das der private Schlüssel nicht exportierbar ist.
ich würde gar keine Zertifikate verteilen sondern alles über Passwort und username machen.
Gruß
So...
Hat jemand mal ne gescheite Anleitung für die Einrichtung eines RADIUS Servers unter Windows Server 2008 mit Anbindung an einen AP?
Ich habe heute die Anbindung an den Radiusserver auf dem AP erfolgreich umgesetzt. So weit so schön.
Aber ich würde das gerne über den Radius vom Server laufen lassen wegen der Nutzer etc.
Im AP hab ich den 2008er angegeben auf dem der Radius läuft, aber ich bekomme immer einen AUTH Fehler.
Gruß
Hat jemand mal ne gescheite Anleitung für die Einrichtung eines RADIUS Servers unter Windows Server 2008 mit Anbindung an einen AP?
Ich habe heute die Anbindung an den Radiusserver auf dem AP erfolgreich umgesetzt. So weit so schön.
Aber ich würde das gerne über den Radius vom Server laufen lassen wegen der Nutzer etc.
Im AP hab ich den 2008er angegeben auf dem der Radius läuft, aber ich bekomme immer einen AUTH Fehler.
Gruß
Neuste Erkenntnis:
Im Eventlog des Radiusservers steht:
Das kommt egal welchen Nutzer ich bei der Anmeldung verwende. Auch beim Domänenadmin kommt immer nur "Gast".
Jemand eine Idee?
Gruß
Im Eventlog des Radiusservers steht:
Der Netzwerkrichtlinienserver verweigerte einem Benutzer den Zugriff.
Kontaktieren Sie den Administrator des Netzwerkrichtlinienservers, um weitere Informationen zu erhalten.
Benutzer:
Sicherheits-ID: xxx\Gast
Kontoname: -
Kontodomäne: xxx
Vollqualifizierter Kontoname: xxx\Gast
Clientcomputer:
Sicherheits-ID: NULL SID
Kontoname: -
Vollqualifizierter Kontoname: -
Betriebssystemversion: -
Empfangs-ID: 02-0B-6B-34-D3-6E:eap-PEAP-test
Anrufer-ID: 00-26-82-97-E1-48
NAS:
NAS-IPv4-Adresse: 192.168.178.23
NAS-IPv6-Adresse: -
NAS-ID: WLANAP-xxx
NAS-Porttyp: Drahtlos - IEEE 802.11
NAS-Port: 13
RADIUS-Client:
Clientname: WLANAP-xxx
Client-IP-Adresse: 192.168.178.23
Authentifizierungsdetails:
Proxyrichtlinienname: Sichere Drahtlosverbindungen
Netzwerkrichtlinienname: -
Authentifizierungsanbieter: Windows
Authentifizierungsserver: xxxx
Authentifizierungstyp: EAP
EAP-Typ: -
Kontositzungs-ID: -
Begründungscode: 34
Grund: Die Authentifizierung ist fehlgeschlagen, weil das Benutzerkonto nicht aktiviert ist. Bevor das Konto authentifiziert werden kann, muss eine Person mit Administratorrechten für den Computer bzw. die Domäne dieses Benutzerkonto aktivieren. Das kommt egal welchen Nutzer ich bei der Anmeldung verwende. Auch beim Domänenadmin kommt immer nur "Gast".
Jemand eine Idee?
Gruß
So ... nun zeigt er mir den Namen an, aber:
Hab das ganze nun über die GPOs eingerichtet. Client ist W7. Nutzername und PW stimmen natürlich - hab ich mich ja mit angemeldet.
Ideen?
Gruß
Der Netzwerkrichtlinienserver verweigerte einem Benutzer den Zugriff.
Kontaktieren Sie den Administrator des Netzwerkrichtlinienservers, um weitere Informationen zu erhalten.
Benutzer:
Sicherheits-ID: xxx\t.test
Kontoname: xxx\t.test
Kontodomäne: xxx
Vollqualifizierter Kontoname: xxx\t.test
Clientcomputer:
Sicherheits-ID: NULL SID
Kontoname: -
Vollqualifizierter Kontoname: -
Betriebssystemversion: -
Empfangs-ID: 02-0B-6B-34-D3-6E:eap-PEAP-test
Anrufer-ID: 00-26-82-97-E1-48
NAS:
NAS-IPv4-Adresse: 192.168.178.23
NAS-IPv6-Adresse: -
NAS-ID: WLANAP-xxx
NAS-Porttyp: Drahtlos - IEEE 802.11
NAS-Port: 13
RADIUS-Client:
Clientname: WLANAP-xxx
Client-IP-Adresse: 192.168.178.23
Authentifizierungsdetails:
Proxyrichtlinienname: Sichere Drahtlosverbindungen
Netzwerkrichtlinienname: Sichere Drahtlosverbindungen
Authentifizierungsanbieter: Windows
Authentifizierungsserver: xxx
Authentifizierungstyp: PEAP
EAP-Typ: -
Kontositzungs-ID: -
Begründungscode: 16
Grund: Die Authentifizierung war nicht erfolgreich, da ein unbekannter Benutzername oder ein ungültiges Kennwort verwendet wurde. Hab das ganze nun über die GPOs eingerichtet. Client ist W7. Nutzername und PW stimmen natürlich - hab ich mich ja mit angemeldet.
Ideen?
Gruß
Das ist interessant:
Smartphone genommen (android)
Mit dem Testnetz verbunden - mit den gleichen Benutzerdaten wie auf den Clients.
Läuft!
Was läuft hier schief?
edit: Eventlog sagt:
Android: EAP-Typ: Microsoft: Gesichertes Kennwort (EAP-MSCHAP v2)
W7: EAP-Typ: -
Gruß
Smartphone genommen (android)
Mit dem Testnetz verbunden - mit den gleichen Benutzerdaten wie auf den Clients.
Läuft!
Was läuft hier schief?
edit: Eventlog sagt:
Android: EAP-Typ: Microsoft: Gesichertes Kennwort (EAP-MSCHAP v2)
W7: EAP-Typ: -
Gruß
So, nun noch den ganzen Spaß auf einem Windows XP Notebook.
Netzwerk gefunden. Kurz eingerichtet, dass eine Nutzerabfrage erfolgen soll.
Nutzerdaten eingegeben.
Läuft!
EAP-Typ: Microsoft: Gesichertes Kennwort (EAP-MSCHAP v2)
Daran wirds beim w7 wohl scheitern.
Was mich wundert: Brauche ich bei EAPMSCHAP v2 keinerlei Zertifikate auf den Clients?
Edit: Sobald ich die Option: Serverzertifikat überprüfen deaktiviere funktioniert die Verbindung auch auf einem W7 Client.
Gruß
Netzwerk gefunden. Kurz eingerichtet, dass eine Nutzerabfrage erfolgen soll.
Nutzerdaten eingegeben.
Läuft!
EAP-Typ: Microsoft: Gesichertes Kennwort (EAP-MSCHAP v2)
Daran wirds beim w7 wohl scheitern.
Was mich wundert: Brauche ich bei EAPMSCHAP v2 keinerlei Zertifikate auf den Clients?
Edit: Sobald ich die Option: Serverzertifikat überprüfen deaktiviere funktioniert die Verbindung auch auf einem W7 Client.
Gruß
Wie finde ich heraus, ob eine Zertifikatsprüfung stattfindet? Edit: Löschen... ohne gehts nicht.
Was mich nur wundert: Auf den Windowsclients wird das Zertifikat wie folgt hinterlegt:
Windows XP: Vertrauenswürdige Stammzertifikate - Zertifikate
Windows 7: Zwischenzertifizierungsstellen - Zertifikate
Da muss ich das erst exportieren und in den Vertrauenswürdigen installieren.
Gruß
Was mich nur wundert: Auf den Windowsclients wird das Zertifikat wie folgt hinterlegt:
Windows XP: Vertrauenswürdige Stammzertifikate - Zertifikate
Windows 7: Zwischenzertifizierungsstellen - Zertifikate
Da muss ich das erst exportieren und in den Vertrauenswürdigen installieren.
Gruß
Für eine Zertifikatsprüfung muss irgendwo zwingend ein Radius Request an den Radius Server gesendet werden. Normalweise macht das der Supplicant an dem der zu authentisierende Client hängt, sprich der AP.
Du müsstest also irgendwo diesen Radius Request sehen (Log, Wireshark etc.) Ohne Radius kein Zertifikat ! So einfach ist das.
Du müsstest also irgendwo diesen Radius Request sehen (Log, Wireshark etc.) Ohne Radius kein Zertifikat ! So einfach ist das.
1
Jep, ich sehs im Log.
Inzwischen läuft auch alles wie ich es mir vorgestellt habe und nur die Leute die Zugangsdaten haben oder die Geräte die im AD registriert sind bekommen Zugriff.
Gruß und Dank
Inzwischen läuft auch alles wie ich es mir vorgestellt habe und nur die Leute die Zugangsdaten haben oder die Geräte die im AD registriert sind bekommen Zugriff.
Gruß und Dank
