commk 10 Geschrieben 29. September 2010 Melden Teilen Geschrieben 29. September 2010 Hallo, wir wollen unser WLAN absichern, so dass nur bestimmte Geräte zugreifen dürfen (evtl mit Zertifikaten, wenn möglich). Die User sollen also nicht ihr Gerät mitnehmen und am Active Directory anmelden dürfen. Nun die Frage: wie machen wir das am besten? Verwendet wird derzeit ein Windows Server 2003 mit RADIUS-Authentifizierung mittels Benutzernamen/Kennwort. Geht da was mit Zertifikaten? Eine PKI ist vorhanden. Bei den GPOs für Wireless Networks gibt's ja die Authentication Mode "Computer only". Würde das etwas helfen, das zu verwenden? Im AD gibt's eine Gruppe mit den PCs, die zugreifen dürfen. MAC-Filterung sollte es nicht sein. Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 29. September 2010 Melden Teilen Geschrieben 29. September 2010 Hallo un willkommen: Du kannst mal hier anfangen zu lesen: Foundation Network Companion Guide: Deploying 802.1X Authenticated Wireless Access with PEAP-MS-CHAP v2 Allerdings geht wird davon nicht alles mit Windows 2003 und XP gehen. Erfahrung habe ich damit leider keine. Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 30. September 2010 Melden Teilen Geschrieben 30. September 2010 OFFTOPIC: Du, ich haeng da auch grad dran, W2K3 Server, ist IAS und DC, aber keine PKI, sondern nur von einer Linux ein selfsigned Zertifikat drauf. Vom EAP Authenticator geht dann immer ein Radius Request hin, aber bekomm im Eventlog einen Fehler das der Zugriff geloescht wurde und entweder Client oder Server falsch konfiguriert sind. Wird die Windows PKI definitiv benoetigt? Zitieren Link zu diesem Kommentar
commk 10 Geschrieben 1. Oktober 2010 Autor Melden Teilen Geschrieben 1. Oktober 2010 MS-Chap ist dafür nicht geeignet. Das Serverzertifikat muss der Benutzer mittels Computerzertifikat nicht überprüfen (und daher folglich auch nicht auf seinem Laptop haben), das lässt sich clientseitig nämlich leider deaktivieren (Häkchen bei "Serverzertifikat überprüfen" entfernen). EAP-TLS scheint das selbe Problem zu haben. Es wird zwar hier zusätzlich ein Nutzerzertifikat verwendet, das kann der Benutzer aber exportieren. Ein Kollege meinte, dass man das Exportieren aber verhindern kann (lässt sich angeblich im Zertifikat festlegen). Hier wird aber zum automatischen Verteilen mind. Server 2003 Enterprise Edition benötigt. Hat da jemand Erfahrungen, geht das? (Bereitstellung von sicheren 802.11-Unternehmensnetzwerken mit Microsoft Windows) In der Netzwerk-policy wird derzeit zwar auch die Computergruppe überprüft, sobald sich der Benutzer aber mit seinen Credentials anmeldet, pfeift Windows auf diese Überprüfung (daher evtl. "Computer only"; hat jemand Erfahrungen damit?). PKI muss nicht sein, wäre aber vorhanden für den Fall, dass es NUR damit geht... Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.