pampersrocker 10 Geschrieben 19. August 2005 Melden Teilen Geschrieben 19. August 2005 Hallo, wieder einmal ein Problem der banalen Art *g*: Wir haben mehrere mobile Clients mehrere Accesspoints und eine Radiusserver. Natürlich ist der Radiosserver auch in die Domäne integriert. Jetzt haben wir speziell eine Gruppe eingerichtet deren User nur in das WLAN dürfen und sich so über den Radius- server anmelden können. Das Problem ist nun, dass die User sich an der Domäne anmelden müssen um an den Radiusserver ranzukommen. An die Domäne kommen sie aber nicht ran, wenn sie nicht ins WLAN kommen. Abhilfe hat bis jetzt immer die Tatsache geschafft, dass die Domänenprofile auf den Notebooks gespeichert wurden. Wenn jetzt der User aber sein Passwort ändert, dann klappt das ganze erstmal nicht, bis er sich wieder mit einem Kabel verbunden hat und somit sich erstmal an der Domäne anmelden kann. Achja - einige User haben eine Workstation und ein Notebook, daher kann es passieren, dass auf dem Notebook nicht die aktuellen PWs abgefragt werden. Weiß jemand abhilfe? :) Gruß Lars Zitieren Link zu diesem Kommentar
pampersrocker 10 Geschrieben 22. August 2005 Autor Melden Teilen Geschrieben 22. August 2005 Hat wirklich Niemand eine Idee oder einen Ansatz für mich? Zitieren Link zu diesem Kommentar
pampersrocker 10 Geschrieben 24. August 2005 Autor Melden Teilen Geschrieben 24. August 2005 ... Zitieren Link zu diesem Kommentar
Data1701 10 Geschrieben 24. August 2005 Melden Teilen Geschrieben 24. August 2005 Nun, da hast ein ganz prinzipielles Problem. Es wäre vielleicht besser, eine Authentifizierung an Hand des Maschienennamens, dessen Domänen- und OU-Zugehörigkeit vorzunehmen. Eine WLAN-Radiusauthentifikation ist ja schlecht auf Userbasis möglich, wenn der User noch gar nicht angemeldet ist. Da die WLAN-Konnektivität prinzipiell schon vor der Anmeldung vorhanden ist, stellst du den connect zum WLAN am besten über den Computernamen her und das Login an die Domäne wie gehabt. Sollte eigentlich so funktionieren. Ich hoffe es war verständlich. Gruß Data Zitieren Link zu diesem Kommentar
Hr_Rossi 10 Geschrieben 24. August 2005 Melden Teilen Geschrieben 24. August 2005 hi so weit ich weiss musst du dies mit computerzertifikaten an den clients lösen sprich 802.1x ? http://support.microsoft.com/default.aspx?scid=kb;de;842439 hier noch was zu 802.1x http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/8021x_client_configure.mspx'>http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/8021x_client_configure.mspx http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/8021x_client_configure.mspx lg rossi Zitieren Link zu diesem Kommentar
Data1701 10 Geschrieben 24. August 2005 Melden Teilen Geschrieben 24. August 2005 Und Herr Rossi hat auch noch die KBs rausgewühlt, Respekt. Gruß Data Zitieren Link zu diesem Kommentar
pampersrocker 10 Geschrieben 24. August 2005 Autor Melden Teilen Geschrieben 24. August 2005 das heißt ich habe die möglichkeit über den rechnernamen die notebooks am radius anzumelden und somit zugang zum wlan zu gewähren und anschließend kommt dann die benutzeranmeldung an der domäne? computerzertifikate sind übrigens vorhanden und installiert und ohne klappt die authentifizierung auch nicht. wie gesagt, dass problem tritt auch nur auf, wenn der user sein domänenpw an der workstation und nicht am notebook ändert.. Zitieren Link zu diesem Kommentar
Hr_Rossi 10 Geschrieben 24. August 2005 Melden Teilen Geschrieben 24. August 2005 hi jo das ist im prinzip korrekt ! in der praxis siehts so aus: du verfrachtest die wireless clients in eine eigene OU welche ein Computerzert. zugewiesen bekommen. Mit diesem Computerzertifikat können sie sich mithilfe 802.1x am Radius Server und man beachte noch immer auf Layer 2 Ebene authentifizieren ! Wenn auth. erfolgreich Client erhält eine IP und somit zugang zur Doamin bzw. Domain Subnet ! Die Domainanmeldung ist somit wie immer wie wenn er wired wäre ! lg rossi p.s.: hier noch etwas zur nachtlektüre: http://www.microsoft.com/germany/technet/datenbank/articles/900173.mspx http://www.microsoft.com/technet/prodtechnol/windowsserver2003/de/library/ServerHelp/908d13e8-c4aa-4d62-8401-86d7da0eab48.mspx http://www.microsoft.com/germany/technet/datenbank/articles/900163.mspx edit 1: noch etwas gefunden :-) http://www.microsoft.com/germany/technet/datenbank/articles/600846.mspx Zitieren Link zu diesem Kommentar
Data1701 10 Geschrieben 24. August 2005 Melden Teilen Geschrieben 24. August 2005 Dem ist Nichts hinzuzufügen. Gruß Data Zitieren Link zu diesem Kommentar
pampersrocker 10 Geschrieben 25. August 2005 Autor Melden Teilen Geschrieben 25. August 2005 OK danke erstmal! Werde mich durch diese Dokumente mal durchkämpfen!.. Achja macht es einen unterschied für die Vorgehensweise, ob wir AES einsetzen, anstatt TKIP einsetzen? :) <- hatte ich ganz vergessen zu erwähnen :D Zitieren Link zu diesem Kommentar
Data1701 10 Geschrieben 25. August 2005 Melden Teilen Geschrieben 25. August 2005 Nein. Warum auch, wenn die Verschlüsselung durch die HW unterstützt wird gibt es keine Probs. Gruß Data Zitieren Link zu diesem Kommentar
pampersrocker 10 Geschrieben 25. August 2005 Autor Melden Teilen Geschrieben 25. August 2005 ok noch eine frage.. ich kann an den clients einstellen wpa, wpa 2, etc.. ist wpa +aes +radius nicht wpa2? .. oder nur so ähnlich? :) Zitieren Link zu diesem Kommentar
Data1701 10 Geschrieben 25. August 2005 Melden Teilen Geschrieben 25. August 2005 Prinzipiell ja, WPA2 soll aber auch TKIP (Temporal Key Integrity Protocol) für die Athentifizierung ablösen, sattdessen soll CCMP (Counter-Mode/CBC-MAC-Protokoll ) kommen. Also WPA + AES + CCMP-Implementierung + 802.11i = WPA2 OK ? Gruß Data Zitieren Link zu diesem Kommentar
pampersrocker 10 Geschrieben 26. August 2005 Autor Melden Teilen Geschrieben 26. August 2005 jup - nun hab ich alle infos zusammen die ich brauche.. werd jetzt nach ccmp googlen *g* ;) Danke noch mal, data! Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.