WLAN mit Radius Server

[memphis1 12]

Hallo zusammen,

langsam verzweifel ich an der Geschichte hier,:(

 

Ich versuche seid ein paar Tagen eine Verbindung mit dem IAS einzurichen, was ja nach langen lesen und viel recherche gar nicht so schwer sein kann.

Allerdings komme ich irgendwie nicht weiter...

Habe ein AD, sowie ein Zertifizierungsstelle, habe auch ein neues RAS und IAS Zertifikat angelegt. Nun habe ich das Zertifikat auf dem IAS in dem Profil eingebunden, soweit so gut. In den erweiterten Eigenschaften der RAS Richtlinie habe ich als Authentifizierungsmethode Geschützetes EAP (PEAP), wo auch das Zertifikat hinterlegt ist, sowie die MIcrosft-verschlüsselte Authentifizierung, Version 2(MS-Chap v2) angehackt...

Wenn ich nun an einem Windows 7 Rechner bin, versucht er immer die loakle Benutzeranmeldung zu nehemn, ohne das eine Benutzer und Kennwordabfrage erscheint. Bei Windows XP kommt immer eine Meldung, das das Zeritifikat nicht überprüft werden kann.

 

Weiß jemand, was ich bei den Zertifikaten noch einstellen muss?

 

Falls irgendwelche Angaben fehlen, bitte einfach Bescheid geben...

 

Gruß

[ara 10]

hast du auch die entsprechenden (Root-)Zertifikate auf den Clients installiert? Und am Client selber musst du auch noch konfigurieren dass er sich mit Zertifikat anmelden soll.

[memphis1 12]

Hallo,

wenn ich die Einstellungen im Client ändere, habe es gerade getestet, funktioniert es auch, danke also dafür, daran habe ich nicht natürlich gedacht,:)

 

Wegen den Zertifikaten, kann ich die nicht übers AUtoenrollment verteilen, an die Gruppe, die das WLAN nutzen darf. Die Gruppe ist ja im IAS hinterlegt...

 

Aber warum holt der Client, egal ob es Windows 7 oder Windows Xp ist, keine Benutzernameldung? Das heisst, ich muss den User, der sich am PC anmeldet, in diese WLAN Gruppe rein setzen, dann funktioniert es, wenn aber der User nicht in der Gruppe ist, dann leider nicht. Es kommt die Benutzerauthentifierzung einfach nicht...

 

Ist das eine Einstellung vom AP, oder eine die was mit dem IAS zu tun hat, oder eine Gruppenrichtinie, die ich noch definieren muss?

[ara 10]

klar kannst du die auch per Autoenrollment verteilen, mir gings hauptsächlich darum dass überhaupt das Root + User/Computer Zertifikat auf dem Client vorhanden sind ;)

Btw, ich hab noch irgendwas im Hinterkopf dass Benutzerzertifikate + Autoenrollment nicht ging, nur mit Computerzertifikaten.

[memphis1 12]

Ich glaube, ich brauche mal kurz eine kleine Erklärung mit den Zertifikaten.

Ich habe nur ein Zertifikat (was ein RAS und IAS Zertifikat als Vorlage genommen, dieses auf 5 Jahre Laufzeit eingestellt, sowie die Sicherheit auf den IAS Server einegstellt). Welche Zertifikate brauche ich noch? Du sagtest was mit den Root Zertifikate, wo und welche sind das? Und wie bekomme ich die verteilt?

 

Gruß

und danke

[ara 10]

nun, du hast doch wahrscheinlich eine eigene CA (Zertifizierungsstelle), oder? Dann solltest du deren Root Zertifikat, sowie das auf den IAS Server ausgestellte per GPO unter Vertrauenswürdige Stammzertifizierungsstellen verteilen.

Wenn du EAP-TLS machen möchtest (also Auth. per Zertifikat und nicht per Passwort) brauchst du dann eben noch ein Zertifikat für den Client, entweder ein Computer- oder ein Benutzerzertifikat.

Hier noch 2 Links aus meiner Sammlung:

Windows Server How-To Guides: 802.1x Port Security mit IAS-Server und Windows CA - ServerHowTo.de

Catalyst 2960 Switch Software Configuration Guide, 12.2(25)SEE - Configuring IEEE 802.1x Port-Based Authentication  [Cisco Catalyst 2960 Series Switches] - Cisco Systems

[memphis1 12]

Hallo,

recht herzlichen Dank, der Link con Cisco war echt hilfreich.

Habe jetzt erst mal das ganze Prinzip der Zertifikate mit 802.x verstanden,:)

Wenn man versteht, was man da tut, kommt man acuh schneller zum Erfolg,:)

Danke nochmal

 

 

Gruß