Berni1976 0 Geschrieben 25. August 2015 Melden Teilen Geschrieben 25. August 2015 Hallo Zusammen Arbeite gerade an einem Projekt wo für das Interne Wlan WPA2 Enterprise implementiert wird. Es funktioniert alles in der Windows Welt (Win 7 und 8) Installiert ist folgendes. WLC 2504 mit NPS 2012 mit Certificate und Domainauthentifizierung. Das problem was ich jetzt habe ist folgendes. Wenn ich mit dem Iphone oder Android mich auf das Netzwerk verbinden will funktioniert der Login auch ohne installiertes Zertifikat. Vom Kunden ist allerdings gewünscht dass nur authorisierte Geräte sich darauf verbinden dürfen. in Windows wurde alles über GPO verteilt. Gibt es hier eine Lösung oder muss ich hier zwingend Userzertifikate installieren? Meldung auf dem Iphone (Wollen Sie das nicht vertrauenswürdige Zertifikat installieren) Danke im Voraus Gruß Bernie Zitieren Link zu diesem Kommentar
Dunkelmann 96 Geschrieben 25. August 2015 Melden Teilen Geschrieben 25. August 2015 Moin, Du bringst hier scheinbar etwas durcheinander. MS-CHAPv2 ist Authentifizierung mit Benutzername und Kennwort. Das hat mit Zertifikaten gar nichts zu tun. PEAP ist das Authentifitzierungsprotokoll; dabei wird einTLS/SSL Tunnel zwischen NPS und Supplikant aufgebaut. Dafür wird dem Supplicant das Serverzertifikat präsentiert. Wie der Client mit einem nicht vertrauenswürdigen Zertifikat umgeht kann nur eingeschränkt oder gar nicht beeinflusst werden. Bei der Kombination PEAP mit MS-CHAPv2 werden Benutzername und Kennwort durch den gesicherten Tunnel übertragen. So weit die Grundlagen. Dass bei den Windows Geräten alles per GPO verteilt wurde, bedeutet nicht, das es auch 'wasserdicht' ist. Auch Fehlkonfigurationen können per GPO ausgerollt werden ;) Wenn der Kunde nur authentifizierte Geräte in seinem Netzwerk wünscht, muss eine gerätebasierte Authentifizierung erfolgen. Am NPS können dafür entsprechende Richtlinien erstellt werden. Zitieren Link zu diesem Kommentar
Berni1976 0 Geschrieben 25. August 2015 Autor Melden Teilen Geschrieben 25. August 2015 Hi Ich meinte nur dass beim Windows client ohne Zertifikat kein login möglich ist. ich habe in der Policy beim NPS auch das Zertifikat ausgewählt das abgefragt werden sollte. nur Iphones und Android ignorieren dass. Wo würde ich diese gerätebasierten Richtlinien finden? Gruß Bernie Zitieren Link zu diesem Kommentar
Dunkelmann 96 Geschrieben 25. August 2015 Melden Teilen Geschrieben 25. August 2015 Eine Clientseitige Zertifikatsprüfung ist keine Sicherheitsfunktion des Netzwerks, sondern soll verhindern, dass sich ein unbedarfter Anwender mit einem rogue AP o.ä. verbindet. Bei einem Windows Client kann die Zertifikatsprüfung recht einfach umgangen werden. In den Verbindungsanforderungs und Netzwerkrichtlininen werden die Bedingungen für 802.1x definiert. Da lassen sich für fast alle Anwendungsfälle passende Richtlinien basteln. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.