commk 10 Geschrieben 29. September 2010 Melden Geschrieben 29. September 2010 Hallo, wir wollen unser WLAN absichern, so dass nur bestimmte Geräte zugreifen dürfen (evtl mit Zertifikaten, wenn möglich). Die User sollen also nicht ihr Gerät mitnehmen und am Active Directory anmelden dürfen. Nun die Frage: wie machen wir das am besten? Verwendet wird derzeit ein Windows Server 2003 mit RADIUS-Authentifizierung mittels Benutzernamen/Kennwort. Geht da was mit Zertifikaten? Eine PKI ist vorhanden. Bei den GPOs für Wireless Networks gibt's ja die Authentication Mode "Computer only". Würde das etwas helfen, das zu verwenden? Im AD gibt's eine Gruppe mit den PCs, die zugreifen dürfen. MAC-Filterung sollte es nicht sein. Zitieren
zahni 566 Geschrieben 29. September 2010 Melden Geschrieben 29. September 2010 Hallo un willkommen: Du kannst mal hier anfangen zu lesen: Foundation Network Companion Guide: Deploying 802.1X Authenticated Wireless Access with PEAP-MS-CHAP v2 Allerdings geht wird davon nicht alles mit Windows 2003 und XP gehen. Erfahrung habe ich damit leider keine. Zitieren
Wordo 11 Geschrieben 30. September 2010 Melden Geschrieben 30. September 2010 OFFTOPIC: Du, ich haeng da auch grad dran, W2K3 Server, ist IAS und DC, aber keine PKI, sondern nur von einer Linux ein selfsigned Zertifikat drauf. Vom EAP Authenticator geht dann immer ein Radius Request hin, aber bekomm im Eventlog einen Fehler das der Zugriff geloescht wurde und entweder Client oder Server falsch konfiguriert sind. Wird die Windows PKI definitiv benoetigt? Zitieren
commk 10 Geschrieben 1. Oktober 2010 Autor Melden Geschrieben 1. Oktober 2010 MS-Chap ist dafür nicht geeignet. Das Serverzertifikat muss der Benutzer mittels Computerzertifikat nicht überprüfen (und daher folglich auch nicht auf seinem Laptop haben), das lässt sich clientseitig nämlich leider deaktivieren (Häkchen bei "Serverzertifikat überprüfen" entfernen). EAP-TLS scheint das selbe Problem zu haben. Es wird zwar hier zusätzlich ein Nutzerzertifikat verwendet, das kann der Benutzer aber exportieren. Ein Kollege meinte, dass man das Exportieren aber verhindern kann (lässt sich angeblich im Zertifikat festlegen). Hier wird aber zum automatischen Verteilen mind. Server 2003 Enterprise Edition benötigt. Hat da jemand Erfahrungen, geht das? (Bereitstellung von sicheren 802.11-Unternehmensnetzwerken mit Microsoft Windows) In der Netzwerk-policy wird derzeit zwar auch die Computergruppe überprüft, sobald sich der Benutzer aber mit seinen Credentials anmeldet, pfeift Windows auf diese Überprüfung (daher evtl. "Computer only"; hat jemand Erfahrungen damit?). PKI muss nicht sein, wäre aber vorhanden für den Fall, dass es NUR damit geht... Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.