RAS-VPN-radius

[amathar 10]

Hallo, ich habe hier ein Problem, welches ich nicht so recht in den Griff bekomme. Es soll einen Windows Server 2003 geben, der in einer DMZ steht. Von dort sollen Benutzer einen Drucker als Netzwerkdrucker mounten. Die Benutzer sollen aber nicht lokal auf dem Server eingepflegt sein, sondern von einem Radius Server kommen. Es ist offenbar kein Problem eine VPN Vernindung zu besagtem Server aufzubauen. Der VPN Aufbau funktioniert und die Benutzer authentifizieren sich auch gegen den Radius Server. Sobald man nun jedoch versucht den Drucker zu mounten wird wieder nach einer Authentifizierung gefragt, die offenbar nicht an den Radius Server weitergegeben wird. Sie wird versucht lokal aufzulösen, was denn schief geht. Wie kann ich dieses Problem in den Griff bekommen ??

Danke

[Hirgelzwift 10]

hat der radiusserver seine eigene benutzerverwaltung oder greift dieser auf die windows datenbank zurück?

[IThome 10]

Der RADIUS authentifiziert doch nur die VPN-Verbindung, danach wendet sich der Client direkt an den Server und übermittelt ihm seine Credentials, um sich via Netzwerkanmeldung (Logon Type 3) anzumelden. Die kennt der Server nicht und fragt nach... (oder bin ich da jetzt falsch abgebogen?)

edit: der Client will auf Ressourcen des Servers zugreifen, daher wird in der lokalen Datenbank des Servers überprüft, ob die übermittelten Credentials vorhanden sind und wenn ja, ob die Ressource diesen Credentials den Zugriff gewährt und wie

[amathar 10]

Das Radius Server greift auf nen ADS zu. Das wird an anderer Stelle auch schon benötigt. Wir wollen keine Domänenmitgliedschaft außerhalb des LANs, daher der Versuch das mit Radius zu organisieren.

Das bedeutet, daß für lokale Ressourcen des Servers der Server keine Radius Auth. akzeptiert (bzw. es keine config-Möglichkeit gibt die Auth. Anfrage an den Radius weiterzugeben)? Ok, man könnte über die Credentials nur darf (hat einen Radius Account) oder darf nicht (hat keine gültigen Account) steuern, aber das würde uns reichen.

[IThome 10]

Ich wüsste nicht, dass man den lokalen Zugriff über RADIUS steuern könnte ...

[grizzly999 11]

Korrekt, mir auch nicht.

RADIUS (Remote Access Dial In User Service) hat überall nur die Funktion, die Benutzerauthentifizierung und Autorisierung für die Einwahl zu übernehmen. Er erfüllt nicht die Funktion den Bneutzer für den anschliessenden Zugriff auf Resource zu authentifizieren.

Die einzige Möglichkeit ist, bereits beim Anmelden das VPN aufzubauen, indem man das Häkchen "Anmeldung über DFÜ-Netzwerk" setzt, und die VPN-Verbindung auswählt. Voraussetzung dafür ist, dass der Benutzer bei der Einwahl einen internen DNS-Server mitbekommt, so dass er einen DC zur Anmeldeauthentifizeirung finden kann.

 

grizzly999

[amathar 10]

Danke erstmal, wenn auch etwas klar, warum das nicht unterstützt wird. Radius - Authorization habe ich mit Radius selber schon umgesetzt allerdings nicht im Windows-Server Umfeld (Shiva, Checkpoint etc.). Radius ist bekannter Maßen ein AAA Protokoll und beherrscht Acces Requests (http://www.ietf.org/rfc/rfc2865.txt) und nachdem ich http://www.microsoft.com/technet/prodtechnol/windows2000serv/deploy/confeat/ias2000a.mspx gelesen hatte, wo explizit steht: "IAS performs centralized connection authentication, authorization... " dachte ich, es wäre machbar. Aber egal, dann werden wir einen anderen Weg finden müssen.

Danke nochmal !!