NPS, Radius nur mit AD? Wo finde ich zum Thema gute HowTos?

[sits 10]

Hallo Windows Spezialisten,

 

ich habe eine Frage. Brauche ich für NPS (Radius 802.1x über Ethernet mit PAP Auth zur vergabe von IP-Adressen per DHCP) zwingend AD?

 

 

Vielen Dank.

 

sits

[Windowsbetatest 10]

Wenn du Windows als Rasiusserver nutzt ja.

 

mfg

Windowsbetatest

[sits 10]

Hallo Windowsbetatest,

 

danke für die schnelle Antwort. Ok, es hatte mich nur gewundert das ich NPS als Rolle installieren und konfigurieren konnte obwohl ich AD noch garnicht installiert hatte. Also brauch ich das so nicht weiter zu versuchen.

 

sits

[Windowsbetatest 10]

Hallo,

 

ein gutes Howto steht in der "Techischen Referenz für Windows Server 2008".

 

Der AD muß (sollte nicht) auf dem selben Server wie das AD sein, deshalb kannst du es installieren.

 

Es muß nur später im AD Registriert werden damit du eine Datenbank für die Auth. hast.

 

mfg

Windowsbetatest

[sits 10]

Hallo,

 

ich besitze die komplette Technische Referenz für den Windows Server 2008, schade finde ich das Microsoft mittem im Buch Networking und Netzwerkzugriffsschutz dann mehrfach auf die anderen Bücher verweist, d.h., ich muss eigentlich die kompletten Bände durcharbeiten "nur" um den Radius ans laufen zu bekommen. Schade das es da keinen "stand alone" Dienst gibt sondern immer gleich alles an AD etc. gebunden ist.

 

sits

[Windowsbetatest 10]

Hallo,

 

die Integration ist hier sicherlich problematisch aber auch nötig.

 

Mal kurze Frage was für eine Umgebung hast du?

 

Wenn du Netzwerkhardware hast die Radius (NPS) im LAN kann brauch man doch auch eine Domäne zur zentrallen Netzwerkanmeldung.

 

Standardswitche kommen mit NAP nicht klar, schonmal weil die allen Traffic durchlassen und nicht erst blocken und auf Freigabe von NPS warten.

 

Also verschiedene VLANs und dynamsiche Neuzuweisung nötig.

 

mfg

[sits 10]

Hallo,

 

es soll folgendes Szenario geben, eine "Box" wählt sich als Client über GPRS bei einem Provider ein. Sobald die Anfrage kommt baut der Provider einen VPN Tunnel (IPSec) zum Kunden auf. Als Radius Client dient praktisch der Provider, d.h. vom Provider kommt dann durch den VPN Tunnel eine Anfrage an den Radius und bei erfolgreicher Auth gibts für die "Box" eine IP. Wenn die Box dann eine IP aus dem entsprechenden Netz hat, kann sie sich zu einem Server verbinden mit dem sie kommunizieren muss. Effektiv habe ich also bis auf den Radius und dem Server für die "Boxen" keine Windows Systeme. Der Kunde hatte den Wunsch das ganze mit Windows zu realisieren weil noch unklar ist wo das Projekt mal hinläuft, mein Gedanke an einen Linux Radius (freeradius.org) wird immer intensiver.

 

 

sits

[Windowsbetatest 10]

Hallo,

 

also freeradius hab ich auch beim Kunden im Einsatz, ist aber eher ne Notlösung. Ansosnten kann der Router nicht direkt authentifizieren (interner Radius)?

 

mfg

[sits 10]

Hallo,

 

hast du den Freeradius auf Linux oder Windows Basis? Der auf Windows Basis ist der letzte Sch... , läuft völlig instabil. Der Router bzw. die Firewall Appliance hat leider keinen internen Radius sondern nur die Möglichkeit an einen externen Radius zu übergeben.

 

 

sits

[Windowsbetatest 10]

Hallo,

 

hab freeradius unter Linux, nie wieder.