Jump to content

WPA 802.x WLAN Anmeldung vor Windows Anmeldung


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo Leute,

 

folgende Situation:

 

D-Link DAP 2690 dient als AP für WLAN über 802.x - als Radius dient ein NPS (Windows Server 2012)

Der NPS hat ein eigenes Zertifikat erhalten, Die Clients trauen der RootCA des Unternehmens, welches das Zertifikat für den NPS ausgestellt hat.

Im NPS ist eine entsprechende Netzwerkrichtlinie eingerichtet, welche Clients den Zugangs gewährt die einer Gruppen angehören (Domänencomouter) oder einer Benutzergruppe (WLAN-User)

 

Wenn ich z.B. ein Smartphone über MS Chap v2 verbinde (Domain Anmeldedaten des Users) kommt der ins Netzwerk, soweit so gut.

 

Nun ist es so, das User WLAN benötigen bevor sie sich anmelden (nach der Anmeldung kein Problem, auch nicht bei lokalen Users (nicht Domain Usern) = Computerkonto authentifiziert sich ok))

 

Das klappt aber nicht.

 

Was habe ich da übersehen?

 

Die Clients sind Windows 8 und WIndows 8.1 Pro.

 

Wie gesagt es geht um die Anmeldung am WLAN über 802.x vor der Benutzeranmeldung für der Computerkonto.

 

LG

subby

Link zu diesem Kommentar

Wenn ich mich richtig erinnere muss man im NPS einmal eine Benutzergruppe und einmal eine Computergruppe als einwahlberechtigt zur Richtlinie hinzufügen. Die dabei angegebene Gruppe kann dabei aber durchaus identisch sein.Nur einmal werden nur die User, das andere mal nur die Computer ausgewertet.

 

An den Clients sollte ggf. die GPO Einstellung aktiviert werden: Bei Starten immer auf das Netzwerk warten.

 

Soviel in Kurzform. :) Für Detailfragen fragen.

 

Gruß

Andre

Link zu diesem Kommentar

Hallo zusammen,

 

ja die Richtlinie greift.

 

Wie gesagt es ist eine Richtlinie mit "OR" also "Wlan-User" OR "Domaincomputers"

 

Wenn ich einen lokalen Benutzer am PC anmelde, wenn der PC Mitglied in der Domain ist, geht die Verbindung.

Wenn ich einen Domain User, welcher Mitglied der Gruppe "Wlan-User" ist anmelde, geht die Verbindung.

 

Wenn ich vor der Anmeldung (Logon Screen) über das Symbol unten Links versuche eine WLAN Verbindung aufzubauen laufe ich ins leere.

Es kommt hier auch keine Frage nach Benutzernamen / Kennwort.

 

Any Hints?

 

LG

Lars

bearbeitet von substyle
Link zu diesem Kommentar

Was steht denn in der Ereignisanzeige des Clients und in NPS-Log, wenn Du den Rechner nur anmachst und sich keiner anmeldet? Du bräuchtest hier gar nicht die WLAN-Verbindung manuell herstellen, das macht der Computer automatisch. Wenn es keine Verbindung gibt, müsstest Du im Log sehen können, woran die Authentifizierung scheitert.

 

Ich habe das früher immer mit EAP-TLS gemacht. Dazu nimmt man dann Benutzer- und Maschinenzertifikate und eine Enterprise CA. Da konnte man im NPS-Log sehr schön die Anmeldung der Maschine beim Hochfahren und die Ummeldung auf den User bei der Anmeldung sehen.

Link zu diesem Kommentar

@ Dukelmann,

 

ja die Clients sind in der Domain.

 

@Daniel,

 

Danke für den Hinweis, das Verfahren kenne ich auch, es kommt bei dem Kunden leider nicht zur Anwendung. Bzgl. der Logs muss ich morgen schauen, habe ich gerade nicht da, ich glaube allerdings die waren sehr wenige aufschlussreich, sonst hätte ich es mit gespostet.

 

LG

Link zu diesem Kommentar

Moin,

 

wenn es Domänen Clients sind sollte der Client an dieser Stelle (Anmeldebildschirm) bereits am WLAN authentifiziert und autorisiert sein. Die Policy schließt ja Domänencomputer ein.

 

Ich kann nicht nachvollziehen, warum bereits vor der Anmeldung des Benutzers am Gerät, Aktionen im Sicherheitskontext des Benutzers ermöglicht werden sollen.

Vielleicht kannst Du uns etwas über die Motivation für dieses ungewönliche Verfahren verraten.

Link zu diesem Kommentar

Ich kann nicht nachvollziehen, warum bereits vor der Anmeldung des Benutzers am Gerät, Aktionen im Sicherheitskontext des Benutzers ermöglicht werden sollen.

Vielleicht kannst Du uns etwas über die Motivation für dieses ungewönliche Verfahren verraten.

 

Eine Möglichkeit ist Computerverwaltung. PCs nachts hochfahren und automatisch mit Software betanken lassen zum Beispiel. Das ist ja auch ien Vorteil von DirectAccess, dass der PC im Maschinenkontext verwaltbar ist, auch wenn kein User angemeldet ist.

Link zu diesem Kommentar

Vielleicht kannst Du uns etwas über die Motivation für dieses ungewönliche Verfahren verraten.

 

Die Situation war mir selber nicht bewusste bis folgendes passierte.

 

Notebook steht in Niederlassung und hat nur die Möglichkeit für WLAN (kein Eth Port physikalisch zu erreichen). Über das WLAN ist der Zugriff auf die interne Domain möglich.

Neuer Benutzer der Domäne (hatte sich noch nie am Lap angemeldet / daher keine cached Cred.) sollte sich anmelden.

 

Geht aber nicht, weil von Login Screen keine WLAN Verbindung herzustellen war.

 

Ich gehe heute nachmittag nochmal die Logs durch und melde mich dann wieder.

 

LG

Lars

bearbeitet von substyle
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...