6
Zertifikatsbasierte Zugriffskontrolle (802.1X) und Netzwerkrichtlinien (NPS)
Liebe Leute,
wieder mal das selbe Thema. Ich bin am verzweifeln. Es will einfach nicht funktionieren. Ich denke ich bin schon weit gekommen aber es gelingt mir einfach nicht die Aufgabe abzuschließen.
In der Hoffnung dass ich Eure Nerven nicht über Gebühr in Anspruch nehme, und mir jemand helfen kann, noch einmal die ganze Geschichte von vorn.
Ziel des Ganzen ist es, dass nur Geräte Zugang zum Netzwerk bekommen, die über ein gültiges Zertifikat verfügen. Nicht mehr und nicht weniger.
Die Situation
Windows Server 2019
Serverrollen:
- Active Directory
- NPS (NAP)
- CS
Im Vorfeld habe ich die Zertifizierungsstelle eingerichtet. Per Autoenrollment werden die Zertifikate zuverlässig ausgestellt, verteilt und aktualisiert.
Am Authenticator (WLAN AP) ist die Authentifizierung per WPA-Enterprise konfiguriert (es wurde die IP des NPS und das Shared Secret eingetragen, ansonsten ist alles auf Werkseinstellung. Die Zeit holt er sich per ntp).
Grundsätzlich habe ich es so verstanden, dass jeder WLAN Client (Endgerät) der selbiges nutzen möchte, sich beim Radius Client (Authenticator/WLAN AP) meldet und den Zugang zum Netzwerk anfordert. Dieser "erkundigt" sich beim Radius / NAP Server (Authentication Server) ob eine Berechtigung erteilt wird oder nicht.
Ist dem so, lässt der Authenticator den WLAN Client in das Netzwerk.
Ob der Radius Server die Berechtigung erteilt oder ablehnt, hängt von den Netzwerkzugangsrichtlinien ab (Verbindungsanforderungsrichtlinien / Netzwerkrichtlinien) die in der NPS Konfiguration eingetragen sind.
Ob ein Gerät generell überhaupt das LAN / WLAN nutzen darf, wird per GPO festgelegt (Drahtlosnetzwerkrichtlinien / WLAN Authentifizierung). Damit die GPO greift, muss ein Sicherheistfilter erstellt werden, der festlegt, für wenn die Richtlinie gilt (z.B. für alle Computer der Domäne).
Im WPA-Enterprise
Protected EAP (PEAP)
ARS-CCMP
Wo kann ich konkret festlegen dass Computer ohne gültiges Zertifikat NICHT ins Netzwerk kommen?
wieder mal das selbe Thema. Ich bin am verzweifeln. Es will einfach nicht funktionieren. Ich denke ich bin schon weit gekommen aber es gelingt mir einfach nicht die Aufgabe abzuschließen.
In der Hoffnung dass ich Eure Nerven nicht über Gebühr in Anspruch nehme, und mir jemand helfen kann, noch einmal die ganze Geschichte von vorn.
Ziel des Ganzen ist es, dass nur Geräte Zugang zum Netzwerk bekommen, die über ein gültiges Zertifikat verfügen. Nicht mehr und nicht weniger.
Die Situation
Windows Server 2019
Serverrollen:
- Active Directory
- NPS (NAP)
- CS
Im Vorfeld habe ich die Zertifizierungsstelle eingerichtet. Per Autoenrollment werden die Zertifikate zuverlässig ausgestellt, verteilt und aktualisiert.
Am Authenticator (WLAN AP) ist die Authentifizierung per WPA-Enterprise konfiguriert (es wurde die IP des NPS und das Shared Secret eingetragen, ansonsten ist alles auf Werkseinstellung. Die Zeit holt er sich per ntp).
Grundsätzlich habe ich es so verstanden, dass jeder WLAN Client (Endgerät) der selbiges nutzen möchte, sich beim Radius Client (Authenticator/WLAN AP) meldet und den Zugang zum Netzwerk anfordert. Dieser "erkundigt" sich beim Radius / NAP Server (Authentication Server) ob eine Berechtigung erteilt wird oder nicht.
Ist dem so, lässt der Authenticator den WLAN Client in das Netzwerk.
Ob der Radius Server die Berechtigung erteilt oder ablehnt, hängt von den Netzwerkzugangsrichtlinien ab (Verbindungsanforderungsrichtlinien / Netzwerkrichtlinien) die in der NPS Konfiguration eingetragen sind.
Ob ein Gerät generell überhaupt das LAN / WLAN nutzen darf, wird per GPO festgelegt (Drahtlosnetzwerkrichtlinien / WLAN Authentifizierung). Damit die GPO greift, muss ein Sicherheistfilter erstellt werden, der festlegt, für wenn die Richtlinie gilt (z.B. für alle Computer der Domäne).
Im WPA-Enterprise
Protected EAP (PEAP)
ARS-CCMP
Wo kann ich konkret festlegen dass Computer ohne gültiges Zertifikat NICHT ins Netzwerk kommen?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1417583828
Url: https://administrator.de/contentid/1417583828
Ausgedruckt am: 22.11.2024 um 18:11 Uhr
6 Kommentare
Neuester Kommentar
Ist das ein Followup dieses_Threads ? Wenn ja, solltest du das ggf. dort kennzeichnen oder den auf "gelöst" setzen...
Das "Szenario 4" beschreibt hier alle erforderlichen ToDos:
https://itsecblog.de/netzwerk-authentifizierung-802-1x-zertifikaten-wind ...
Wichtig ist natürlich das im Client die Authentisierungsmethode auf "Smartcard oder anderes Zertifikat" gesetzt wurde.
Wie immer wäre die Ereignisanzeige des NPS mehr als hilfreich hier und sollte logischerweise immer deine erste Anlaufstelle sein ! Ansonsten ist das doch immer Raten im Blindflug mit Kristallkugel.
Das "Szenario 4" beschreibt hier alle erforderlichen ToDos:
https://itsecblog.de/netzwerk-authentifizierung-802-1x-zertifikaten-wind ...
Wo kann ich konkret festlegen dass Computer ohne gültiges Zertifikat NICHT ins Netzwerk kommen?
Das macht der Radius Server. Wenn dort ein Request ohne User Zertifikat eingeht schickt der sofort ein "Access Denied". Was soll er auch sonst anderes machen, denn er hat ja keine anderen Credentials für den User zur Authentisierung ?!Wichtig ist natürlich das im Client die Authentisierungsmethode auf "Smartcard oder anderes Zertifikat" gesetzt wurde.
Wie immer wäre die Ereignisanzeige des NPS mehr als hilfreich hier und sollte logischerweise immer deine erste Anlaufstelle sein ! Ansonsten ist das doch immer Raten im Blindflug mit Kristallkugel.
2
Lieber Aqui,
eigentlich ist das noch der Entwurf. Ich bin noch am formulieren. Das mit dem Speichern ist etwas irreführend. Ich werde meine Formulierung noch weiter ausführen.
eigentlich ist das noch der Entwurf. Ich bin noch am formulieren. Das mit dem Speichern ist etwas irreführend. Ich werde meine Formulierung noch weiter ausführen.
Speichern ?, Bahnhof ?, Ägypten ? 🤔
Nachts ist's kälter als draußen...
Du sprichst in Rätseln... Die Antwort ist jetzt irgendwie unverständlich. Hat sie etwas mit dem Thread zu tun bzw. hast du gar kein Problem und fragst nur nach Textformulierungen deiner Arbeit oder was soll uns allen diese kryptische Antwort denn nun sagen ??
Nachts ist's kälter als draußen...
Du sprichst in Rätseln... Die Antwort ist jetzt irgendwie unverständlich. Hat sie etwas mit dem Thread zu tun bzw. hast du gar kein Problem und fragst nur nach Textformulierungen deiner Arbeit oder was soll uns allen diese kryptische Antwort denn nun sagen ??
2
Ein Missverständnis. Mit Speichern meinte ich die versehentliche Veröffentlichung meines eigentlichen Entwurfs. Ich war noch nicht fertig damit mein Problem nachvollziehbar zu beschreiben und habe eigentlich nur abspeichern wollen. Den Entwurf. Das ist mir misslungen. Ich werde die Formulierung noch fertigstellen damit es ein ordentlicher Beitrag ist. So meinte ich das. Bitte vielmals um Entschuldigung. Das Privatleben funkt mir hier gerade permanent dazwischen und lässt mich nicht vernünftig konzentrieren. Bitte etwas Geduld. Ich kuck mir später Deinen Hinweis mit Variante 4 an und schließe dann den unvollendeten Anfangsbeitrag adäquat ab. VG
Wo kann ich konkret festlegen dass Computer ohne gültiges Zertifikat NICHT ins Netzwerk kommen?
In der Netzwerkzugriffsrichtlinie im NPS, indem du dort nur die entsprechende Methode hinzufügst die nur eine Authentifizierung mittels Zertifikaten zulässt:
Das Privatleben funkt mir hier gerade permanent dazwischen und lässt mich nicht vernünftig konzentrieren.
Prioritäten setzen 
.1
Ok, inzwischen habe ich es endlich hinbekommen. Die Informationen aus den beiden als Lösung markierten Beiträge haben letztendlich zum Ziel geführt.
Vielen Dank nochmal an dieser Stelle, Ihr habt mir Beide sehr geholfen.
Vielen Dank nochmal an dieser Stelle, Ihr habt mir Beide sehr geholfen.
