Jump to content

NPS-Server - Anbindung Smartphones über WLAN


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Moin,

 

ich habe mal eine Frage, wie ich das am besten lösen kann.

Ich habe hier ein paar wenige Smartphones, die ich über das WLAN an das Netz anbinden möchte. Die Smartphones verbinden sich mit dem WLAN und authentifizieren sich am NPS-Server. Dort ist eine Richtlinie hinterlegt, die einmal die AD-Gruppe vom Nutzer, die SSID und die MAC-Adresse vom Smartphone überprüft.

Die Smartphones benötigen das ROOT-Zertifkat und ein WLAN-User-Zertifikat. Auf dem NPS-Server ist EAP-TLS eingestellt.

Den wenigen Smartphonenutzern würde ich die beiden Zertifikate per Mail zukommen lassen. Das WLAN-Zertifikat muss ich den Nutzern mit einem privaten Schlüssel zustellen lassen.

 

Nun wollte ich ganz gerne, dass der WLAN-Zugriff nicht nicht an Dritte weitergegeben werden kann. Das Zertifikat kann man weitergeben. Um sich am WLAN anzumelden, benötigt man ja auch seinen Loginnamen aus der AD. Das ist ja auch kein großes Geheimnis.

 

Derzeit habe ich nur eine Idee. Ich habe im NPS-Server unter Bedingungen die Anrufer-ID mit den erlaubten MAC-Adressen hinzugefügt. Das funktioniert auch. Der Aufwand hält sich hier auch in Grenzen, da es nur wenige Smartphones sind.

 

Kann man das noch irgendwie anders lösen? Ich dachte auch mal daran, die MAC-Adressen als Nutzer in der AD zu hinterlegen und diese als zusätzliche Gruppe im NPS-Server zu hinterlegen. Aber ich wüsste jetzt nicht wie man im NPS zwei Gruppen hinterlegt, die als UND-Verknüpfung fungieren. Also es muss die AD-Gruppe-Nutzer UND die AD-Gruppe-MAC stimmen, dann würde der NPS den Zugang erlauben.

Oder gibt es noch eine ganz andere Möglichkeit? Ich möchte halt nur verhindern, dass der WLAN-Zugang weitergegeben werden kann. Das Ganze soll natürlich auch einigermaßen praktisch durchführbar sein.

Link zu diesem Kommentar

Hi Ralph,

ich sehe hier die Notwendigkeit für ein schlankes MDM System. Zusätzlich würde ich bei dir einen SCEP Service installieren, der in der Lage ist die Zertifikate dynamisch automatisiert auf die Endgeräte zu bringen. Ich persönliche sehe das MDM da als den Schutz den du suchst, um dein WLAN gegenüber Dritten bzw. Identitätdiebstahl zu schützen. Wir verdienen bei uns in der Firma genau damit unsere Brötchen. Falls du also einen Ansprechpartner suchst kontaktiere mich gern.

Link zu diesem Kommentar
  • 5 Monate später...

Hallo RalphT,

 

ich schließe mich PadawanDeluXe an. Mach dir die Arbeit nicht schwer und nutze ein MDM System (mobile Iron, Cisco Meraki, Sophos, MS Intune). Gängig wäre auch mit RADIUS CoA zu arbeiten. Du lässt die Nutzer erstmal ins Netz, authentifizierst sie dann und gibst ihnen Zugriff auf die Ressourcen die Sie brauchen, sonst nur zum Internet. Bzgl. der Zertifikate könntest du dir auch mal die Enterprise Enrollmentfunktionalitäten der Gerätehersteller anschauen. Apple und Samsung können soweit ich weiß direkt sog. "Betriebsprofile" mitgeben. Ansonsten sprich das doch mal mit einem MDM Experten durch.

 

Jetzt noch ein Schräger weg zum Zertifikate verteilen: Auf einem Webserver ablegen, den Nutzer Zugangsdaten dazu schicken = Nutzer kann sich das ding per klick am Handy installieren = du hast in der Hand wann du das Teil vom Webserver löscht.

 

Root Zertifikate sollten eigentlich nicht auf den Geräten sein?!

 

Grüße Coshi

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...