ruuudi 10 Geschrieben 14. September 2008 Melden Teilen Geschrieben 14. September 2008 Hallo Ich habe folgendes Problem. In meiner Domäne (Win2k3) wurde ein Radius-Server implementiert (IAS). Ich hatte vor, die bestehenden LAN-Clients per RADIUS zu authentifizieren. Authentifizierung klappt auch wunderbar nur besteht jetzt folgendes Problem: Hatte es eigentlich vor so zu machen, dass beim Domänenanmeldebildschirm der Benutzername und das Passwort eingegeben werden muss. Dann SOLL sich der Benutzer per RADIUS authentifizieren (PEAP-MS-CHAP v2) und DANN erst in der ActiveDirectory (AD). Ist das überhaupt möglich? Habe es schon so hinbekommen, dass sich der Computer im Hintergrund per RADIUS authentifiziert. Der Port ist ja dann offen und dann können die Benutzerdaten eingegeben werden, doch wird dieser Benutzer ja dann nicht mehr per RADIUS überprüft. Und ohne diese Authentifizierung des Computers ist z.B. auch kein servergespeichertes Profil möglich, da die 802.1x-Authentifizierung des Benutzers ja erst NACH der Registrierung in der AD erfolgt, und diese kann ja durch den NOCH geschlossenen Port gar nicht vollzogen werden. Ist es also irgendwie möglich ERST die RADIUS-Anmeldung durchzuführen um dann ANSCHLIEßEND die AD-Anmeldung durchlaufen zu lassen bzw. dass die beiden Anmeldungen gleichzeitig ablaufen? Gibt es außerdem die Möglichkein das Passwort NICHT in der Registrierung unter "HKEY_CURRENT_USER\Software\Microsoft\Eapol\UserEapInfo" zu speichern? ich weiß, dass ich es per batch-befehl löschen kann nur find ich das ziemlich aufwendig... Vielen Dank schonmal im voraus. Gruß Ruuudi Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 14. September 2008 Melden Teilen Geschrieben 14. September 2008 Hatte es eigentlich vor so zu machen, dass beim Domänenanmeldebildschirm der Benutzername und das Passwort eingegeben werden muss. Dann SOLL sich der Benutzer per RADIUS authentifizieren (PEAP-MS-CHAP v2) und DANN erst in der ActiveDirectory (AD). Ist das überhaupt möglich? Hallo und willkommen im Board :) Also erstens, wird das so nicht gehen, außer die Computerauthentifizierung fällt weg, aber dann .... wie du schon sagtest. ich frage mich aber viel mehr, warum das willst :confused::confused: Was soll es bringen, sich zuerst an einem Radius zu authentifzieren (der das ja dann über einen DC im AD macht) , um sich dann direkt an einem DC zu authentifizieren? Da spricht IMHO nicht nur wenig sondern eigentlich gar nichts dafür. grizzly999 Zitieren Link zu diesem Kommentar
ruuudi 10 Geschrieben 15. September 2008 Autor Melden Teilen Geschrieben 15. September 2008 hallo grizzly :) erst einmal danke für deinen antwort. also... das ganze ist im rahmen meines abschlussprojektes. wir haben dort ein server-client-netzwerk bestehend aus 1 Server (AD, DNS, DHCP, DMS, IAS) und 10 Clients (Win XP / Vista). Dazu noch einen WLAN-AP sowie 3 Notebooks. Es soll alles auf Radiusauthentifizierung umgestellt werden. Dazu sollen sich die Notebooks per PEAP-EAP-TLS anmelden können. Die Rechner an sich sollen sich per MS-CHAP v2 anmelden. Das Problem besteht darin, dass sie servergespeicherte Profile verwenden und die ja dann noch nicht geladen werden können, da er ja bei noch nicht freigeschalteten Port die Domänenanmeldung "lokal" mit seinem gecachten Passwort macht und dann ja das servegespeicherte Profil noch nicht laden kann weil die Radiusauthentifizierung erst später kommt :( gibt es da noch eine andere möglichkeit? evtl. sogar eine andere supllicant-software? ich danke schonmal im voraus für weitere antworten. gruß ruuudi Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.