Jump to content

NPS peap mschap v2 Iphone


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo Zusammen

 

Arbeite gerade an einem Projekt wo für das Interne Wlan WPA2 Enterprise implementiert wird. Es funktioniert alles in der Windows Welt (Win 7 und 8)

Installiert ist folgendes. WLC 2504 mit NPS 2012 mit Certificate und Domainauthentifizierung.

 

Das problem was ich jetzt habe ist folgendes. Wenn ich mit dem Iphone oder Android mich auf das Netzwerk verbinden will funktioniert der Login auch ohne installiertes Zertifikat. Vom Kunden ist allerdings gewünscht dass nur authorisierte Geräte sich darauf verbinden dürfen. in Windows wurde alles über GPO verteilt.

 

Gibt es hier eine Lösung oder muss ich hier zwingend Userzertifikate installieren?

 

Meldung auf dem Iphone (Wollen Sie das nicht vertrauenswürdige Zertifikat installieren)

 

Danke im Voraus

 

Gruß Bernie

Link zu diesem Kommentar

Moin,

 

Du bringst hier scheinbar etwas durcheinander.

MS-CHAPv2 ist Authentifizierung mit Benutzername und Kennwort. Das hat mit Zertifikaten gar nichts zu tun.

PEAP ist das Authentifitzierungsprotokoll; dabei wird einTLS/SSL Tunnel zwischen NPS und Supplikant aufgebaut. Dafür wird dem Supplicant das Serverzertifikat präsentiert. Wie der Client mit einem nicht vertrauenswürdigen Zertifikat umgeht kann nur eingeschränkt oder gar nicht beeinflusst werden.

Bei der Kombination PEAP mit MS-CHAPv2 werden Benutzername und Kennwort durch den gesicherten Tunnel übertragen. So weit die Grundlagen.

 

Dass bei den Windows Geräten alles per GPO verteilt wurde, bedeutet nicht, das es auch 'wasserdicht' ist. Auch Fehlkonfigurationen können per GPO ausgerollt werden ;)

 

Wenn der Kunde nur authentifizierte Geräte in seinem Netzwerk wünscht, muss eine gerätebasierte Authentifizierung erfolgen. Am NPS können dafür entsprechende Richtlinien erstellt werden.

Link zu diesem Kommentar

Eine Clientseitige Zertifikatsprüfung ist keine Sicherheitsfunktion des Netzwerks, sondern soll verhindern, dass sich ein unbedarfter Anwender mit einem rogue AP o.ä. verbindet.

Bei einem Windows Client kann die Zertifikatsprüfung recht einfach umgangen werden.

 

In den Verbindungsanforderungs und Netzwerkrichtlininen werden die Bedingungen für 802.1x definiert. Da lassen sich für fast alle Anwendungsfälle passende Richtlinien basteln.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...