802.1x mit EAP-TLS und W2K3 IAS

[Thommymail 10]

Hallo,

 

wir möchten unserer WLAN mit 802.1x mit EAP-TLS und einem Windows 2003 Standard Server IAS absichern.

 

Als Accesspoint dient ein Lancom L54ag. Die Authentifizierung soll für den Benutzer mit einem Aladdin Etoken erfolgen.

 

ALs Client dient ein IntelProset Wireless Client.

 

Die Authentifizierung funktioniert soweit auch schon. Mein Problem besteht darin das TLS doch eigentlich ein Computer Zertifikat benötigt. Nun habe ich zum Test das Zertifikat auf dem Computer gelöscht und in der Zertifizierungsstelle gesperrt, doch der Client kann sich nachwievor anmelden.

 

Wenn ich im IAS-Profil die Richtlinie hinzufüge das der Computer-Domain Mitglied sein soll, funktioniert die Anmeldung nicht auch wenn das Zertifikat installiert ist. Allerdings wird immer auf das EToken zugegriffen.

 

Erwartet der WLan - Client das Computer-Zertifikat auf dem eToken??

 

Eine erfolgreiche Anmeldung sieht so aus, aber es spielt keine Rolle ob das Zertifikat installiert ist oder nicht.

 

Benutzer "xxx@xxxx" wurde Zugriff gewährt.
Vollqualifizierter Benutzername = xxx\xxxx
NAS-IP-Adresse = 192.168.xx.xx
NAS-Kennung = WLAN_AP_1
Clientanzeigename = PLT_AP1
Client-IP-Adresse = 192.168.xx.xxx
Kennung der Anruferstation = 00-xx-xx-xx-xx-xx
NAS-Porttyp = Wireless - IEEE 802.11
NAS-Port = 2
Proxyrichtlinienname = Windows-Authentifizierung für alle Benutzer verwenden
Authentifizierungsanbieter = Windows 
Authentifizierungsserver = <unbestimmt> 
Richtlinienname = Richtlinie für den 802.1X - Zugang
Authentifizierungstyp = EAP
EAP-Typ = Smartcard oder anderes Zertifikat

 

Was mache ich falsch, bzw. was muß konfiguriert werden das im IAS Profil die Windows-Gruppe Domain-Computer mit berücksichtigt wird.

 

Am WLAN Access Point ist als WPA - 802.11i-(WPA)-802.1x und als Client EAP-Methode TLS konfigurtiert.

 

Gruß

 

Thomas