RalphT 15 Geschrieben 17. Juni 2021 Melden Teilen Geschrieben 17. Juni 2021 Moin, ich habe mal eine Frage, wie ich das am besten lösen kann. Ich habe hier ein paar wenige Smartphones, die ich über das WLAN an das Netz anbinden möchte. Die Smartphones verbinden sich mit dem WLAN und authentifizieren sich am NPS-Server. Dort ist eine Richtlinie hinterlegt, die einmal die AD-Gruppe vom Nutzer, die SSID und die MAC-Adresse vom Smartphone überprüft. Die Smartphones benötigen das ROOT-Zertifkat und ein WLAN-User-Zertifikat. Auf dem NPS-Server ist EAP-TLS eingestellt. Den wenigen Smartphonenutzern würde ich die beiden Zertifikate per Mail zukommen lassen. Das WLAN-Zertifikat muss ich den Nutzern mit einem privaten Schlüssel zustellen lassen. Nun wollte ich ganz gerne, dass der WLAN-Zugriff nicht nicht an Dritte weitergegeben werden kann. Das Zertifikat kann man weitergeben. Um sich am WLAN anzumelden, benötigt man ja auch seinen Loginnamen aus der AD. Das ist ja auch kein großes Geheimnis. Derzeit habe ich nur eine Idee. Ich habe im NPS-Server unter Bedingungen die Anrufer-ID mit den erlaubten MAC-Adressen hinzugefügt. Das funktioniert auch. Der Aufwand hält sich hier auch in Grenzen, da es nur wenige Smartphones sind. Kann man das noch irgendwie anders lösen? Ich dachte auch mal daran, die MAC-Adressen als Nutzer in der AD zu hinterlegen und diese als zusätzliche Gruppe im NPS-Server zu hinterlegen. Aber ich wüsste jetzt nicht wie man im NPS zwei Gruppen hinterlegt, die als UND-Verknüpfung fungieren. Also es muss die AD-Gruppe-Nutzer UND die AD-Gruppe-MAC stimmen, dann würde der NPS den Zugang erlauben. Oder gibt es noch eine ganz andere Möglichkeit? Ich möchte halt nur verhindern, dass der WLAN-Zugang weitergegeben werden kann. Das Ganze soll natürlich auch einigermaßen praktisch durchführbar sein. Zitieren Link zu diesem Kommentar
PadawanDeluXe 75 Geschrieben 23. Juni 2021 Melden Teilen Geschrieben 23. Juni 2021 Hi Ralph, ich sehe hier die Notwendigkeit für ein schlankes MDM System. Zusätzlich würde ich bei dir einen SCEP Service installieren, der in der Lage ist die Zertifikate dynamisch automatisiert auf die Endgeräte zu bringen. Ich persönliche sehe das MDM da als den Schutz den du suchst, um dein WLAN gegenüber Dritten bzw. Identitätdiebstahl zu schützen. Wir verdienen bei uns in der Firma genau damit unsere Brötchen. Falls du also einen Ansprechpartner suchst kontaktiere mich gern. Zitieren Link zu diesem Kommentar
coshi 11 Geschrieben 30. November 2021 Melden Teilen Geschrieben 30. November 2021 Hallo RalphT, ich schließe mich PadawanDeluXe an. Mach dir die Arbeit nicht schwer und nutze ein MDM System (mobile Iron, Cisco Meraki, Sophos, MS Intune). Gängig wäre auch mit RADIUS CoA zu arbeiten. Du lässt die Nutzer erstmal ins Netz, authentifizierst sie dann und gibst ihnen Zugriff auf die Ressourcen die Sie brauchen, sonst nur zum Internet. Bzgl. der Zertifikate könntest du dir auch mal die Enterprise Enrollmentfunktionalitäten der Gerätehersteller anschauen. Apple und Samsung können soweit ich weiß direkt sog. "Betriebsprofile" mitgeben. Ansonsten sprich das doch mal mit einem MDM Experten durch. Jetzt noch ein Schräger weg zum Zertifikate verteilen: Auf einem Webserver ablegen, den Nutzer Zugangsdaten dazu schicken = Nutzer kann sich das ding per klick am Handy installieren = du hast in der Hand wann du das Teil vom Webserver löscht. Root Zertifikate sollten eigentlich nicht auf den Geräten sein?! Grüße Coshi Zitieren Link zu diesem Kommentar
cj_berlin 1.329 Geschrieben 30. November 2021 Melden Teilen Geschrieben 30. November 2021 vor 5 Stunden schrieb coshi: Root Zertifikate sollten eigentlich nicht auf den Geräten sein?! Doch, sollten sie, als *vertrauenswürdige Root-CAs*. Die Endgeräte sollen ja dem NPS auch explizit und nicht blind vertrauen. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.