WLAN Zugriff über Active Directory?
Hallo zusammen,
ich habe mir das so vorgestellt:
Ein Domänen User kommt in die Reichweite von einem unserer Access Points, klickt dann auf
die Windows WLAN Netzwerkumgebung und wählt dort dann DAS Netzwerk aus.
(Ich wollte dann zwei WLAN haben, eins für Domänenuser und eins für Gäste)
In diesem moment wird über die Windows bzw. Domänen Authentifizierung der User in das
WLAN Netzwerk gelassen und bekommt dann eine IP von unserem DHCP Server...
Ich habe da mal nach gegoogelt, und etwas mit einem RADUIS Server gelesen, nun habe ich
jedoch keine Ahnung, wie und wo ich was Einstellen bzw. Konfigurieren muss...
Würde mich freuen, wenn jemand Anregungen bzw. Hilfe geben könnte!
Gruß
Norbi
ich habe mir das so vorgestellt:
Ein Domänen User kommt in die Reichweite von einem unserer Access Points, klickt dann auf
die Windows WLAN Netzwerkumgebung und wählt dort dann DAS Netzwerk aus.
(Ich wollte dann zwei WLAN haben, eins für Domänenuser und eins für Gäste)
In diesem moment wird über die Windows bzw. Domänen Authentifizierung der User in das
WLAN Netzwerk gelassen und bekommt dann eine IP von unserem DHCP Server...
Ich habe da mal nach gegoogelt, und etwas mit einem RADUIS Server gelesen, nun habe ich
jedoch keine Ahnung, wie und wo ich was Einstellen bzw. Konfigurieren muss...
Würde mich freuen, wenn jemand Anregungen bzw. Hilfe geben könnte!
Gruß
Norbi
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 26728
Url: https://administrator.de/forum/wlan-zugriff-ueber-active-directory-26728.html
Ausgedruckt am: 23.12.2024 um 05:12 Uhr
4 Kommentare
Neuester Kommentar
Also ich gebe dir mal einen Link, keine Lust es nun zu erklären.. aber vielleicht ist dir mal aufgefallen dass RADIUS auch bei WLan Routern zB angegeben ist.
http://de.wikipedia.org/wiki/RADIUS
http://de.wikipedia.org/wiki/RADIUS
Tip ist etwas mehr zu investieren in einen "richtigen" Access Point und kein Consumer AP ala D-L* oder Netg*. Professionelle APs unterstützen fast alle ausnahmslos sog. virtuelle Access Points. D.H. du kannst mit einer Hardware mehrere AP emulieren die ein völlig unterschiedliches Security Profil haben. Benutzer sehen dann im WLAN Browser z.B. 3 unterschiedliche APs mit unterschiedlicher SSID die aber in Wahrheit nur einer sind. Ausserdem unterstützen diese APs mit dem richtigen Switch auch ein sog. webbased Login. Das heisst Gastbenutzer haben dann so ein Verhalten wie auf Bahnhöfen oder Flughafen Lounges wo du an Hot Spots erstmal eine Zwangswebpage auf den Schirm bekommst mit einem Loginfenster. Nach erfolgtem Login wird dann der Zugang voll oder zeitbegrenzt freigeschaltet. Vorteil ist das wenigstens eine kleine Zugangshürde für Gäste eingebaut ist.
Damit könntest du dir z.B. folgendes Szenario einrichten:
Virtueller abgesicherter AP fürs Firmennetzwerk mit WPA und ggf. Radius Authentifizierung und MAC Filter.
Virtueller AP für den Gästezugang mit web based Login und Radius Authentifizierung.
Die Radius Authentifizierung ist aber kein Muss es kann auch mit preshared Keys gemacht werden. Radius ist aber erheblich sicherer und du hast zudem einen zentralen Punkt wo du deine Benutzer pflegst und musst das nicht einzeln x-mal auf dem AP machen.
Ein nettes Abfallprodukt solcher APs ist nebenbei noch das Feature das du die virtuellen APs mit einem 802.1q Tag belegen kannst und dann auf dem Switch diesen Nutzern entsprechende VLANs zuordnen kannst.
Mit Linux ist so eine Lösung auch per SW möglich allerdings erfordert das einen erheblichen Aufwand an Konfiguration und WLAN Know How. Alle Premium Hersteller für Netzwerk Technik vertreiben solche APs. Etwas teurer aber als Firmenlösung erheblich sicherer....
Damit könntest du dir z.B. folgendes Szenario einrichten:
Virtueller abgesicherter AP fürs Firmennetzwerk mit WPA und ggf. Radius Authentifizierung und MAC Filter.
Virtueller AP für den Gästezugang mit web based Login und Radius Authentifizierung.
Die Radius Authentifizierung ist aber kein Muss es kann auch mit preshared Keys gemacht werden. Radius ist aber erheblich sicherer und du hast zudem einen zentralen Punkt wo du deine Benutzer pflegst und musst das nicht einzeln x-mal auf dem AP machen.
Ein nettes Abfallprodukt solcher APs ist nebenbei noch das Feature das du die virtuellen APs mit einem 802.1q Tag belegen kannst und dann auf dem Switch diesen Nutzern entsprechende VLANs zuordnen kannst.
Mit Linux ist so eine Lösung auch per SW möglich allerdings erfordert das einen erheblichen Aufwand an Konfiguration und WLAN Know How. Alle Premium Hersteller für Netzwerk Technik vertreiben solche APs. Etwas teurer aber als Firmenlösung erheblich sicherer....
Im Großen und Ganzen kann ich mich aqui anschliessen. Also nur ein paar Bemerkungen zur Ergänzung.
Was deine Autenhtifizierung angeht, da ist das Schlagwort 802.1x. Das geht dann über eienen Radius Server ans AD. Bei MS nennt sich der Radius übrigen IAS Internet Authenifikation Server. 802.1x wird mittlerweile auch von billigeren AP unterstützt.
Wenn du Gäste und Benutzer trennen willst, sollen die im Netz wohl auch unterschiedlich zugreifen können?! Da würden sich VLANs auf jeden Fall anbieten.
Was deine Autenhtifizierung angeht, da ist das Schlagwort 802.1x. Das geht dann über eienen Radius Server ans AD. Bei MS nennt sich der Radius übrigen IAS Internet Authenifikation Server. 802.1x wird mittlerweile auch von billigeren AP unterstützt.
Wenn du Gäste und Benutzer trennen willst, sollen die im Netz wohl auch unterschiedlich zugreifen können?! Da würden sich VLANs auf jeden Fall anbieten.
Moin,
ich habe den Beitrag in den Bereich "WLAN" verschoben ? hier gehört er besser hin
Gruß, Rene
ich habe den Beitrag in den Bereich "WLAN" verschoben ? hier gehört er besser hin
Gruß, Rene