Jump to content
Sign in to follow this  
dataKEKS

WLAN per Radius absichern mit WPA2

Recommended Posts

Hallo Kollegen!

 

Wir sitzen gerade bei uns im Testfeld an einer WLAN Lösung mit Radius unter Verwendung des IAS vom Server 2003. Leider können wir aber in den Gruppenrichtlinien nur maximal WPA auswählen, WPA2 gibt es da nicht. Der Server ist ein normaler 2003 R2 mit SP2 und allen aktuellen Updates. Bei XP gab es ja ein spezielles WPA2 Update um vor SP3 überhaupt die WPA2 Unterstützung zu bekommen, muss man beim Server vielleicht auch noch ein Update einspielen? Habe leider in der Richtung noch gar nichts passendes gefunden :-(

 

 

Suchende Grüße aus BaWü

dataKEKS

Share this post


Link to post

Hallo,

 

W2K3 kann WPA2 per GPO nicht aus eigener Kraft. Google mal im I-Net, von MS gibt es eine (IMHO unsupportet) Lösung das AD Schema zu so zu patchen/erweitern, damit WPA2 in GPOs möglich ist.

 

mfg

Share this post


Link to post

Hallo Windowsbetatest!

 

Das mit der AD Erweiterung hat wunderbar funktioniert und ich kann guten Gewissens behaupten es unter Windows Server 2003 erfolgreich am Laufen zu haben, und zwar sowohl mit 3COM, Bintec, D-Link und HP Access Points, egal ob 802.11a, 11b, 11g, 11n und das mit 2,4 und 5 GHz, also einmal quer durch die Botanik. Gerade die 3COM Access Points waren knifflig weil sich hier Radius auch noch mal über mehrere Menüs verteilt, aber es läuft.

 

Damit ist nur leider der nächste Schritt vermutlich mehr als klar: Das ganze auch auf Windows 2008 umzusetzten, wo der IAS ja vom NPS ersetzt wurde. Da scheint es zwar auch schon zu laufen, aber ich bin mir da mit der Sicherheit noch nicht so ganz sicher. Es kann sich war kein nicht Domänenmitglied am WLAN anmelden (Fehlermeldung das kein Zertifikat zur Verfügung steht) nur bin ich mir noch nicht sicher ob das reicht / ich noch mehr einrichten könnte und sollte.

 

Momentan ist es eine Richtlinie, genannt Sichere Drahtlosverbindungen, Status aktiviert mit Typ unspecified. Was mir nur fehlt: Ich hätte vermutet das ich unter dem Reiter Bedingungen noch zusätzlich zum NAS-Porttyp (Wireless - IEEE802.11 OR Wireless - Other) auch noch eintragen könnte, welche Rechner dürfen und welche nicht. Wenn ich aber als Clientanzeigename Domäne\NB03 eintrage, können sich immer noch NB01 und NB02 verbinden, also passen die Regeln noch nicht so richtig. Laut Erklärung steht der Clientanzeigename für den Namen des Radius Clients, also wohl eher den Access Point als den Client Namen mit dem der Rechner im AD angemeldet ist.

 

Als Authentifizierungsmethode haben wir unter den Einstellungen den Haken bei Netzwerkrichtlinien-Authentifizierungseinstellungen außer Kraft setzen eingetragen und Microsoft, Geschütztes EAP (PEAP) und MS-CHAP-v2 drin, mehr nicht.

 

Eigentlich sollte sich doch hier auch noch steuern lassen wer aufs WLAN darf und wer nicht. Kann mir jemand sagen woran es vielleicht klemmt? Gibt es eine Möglichkeit zu erkennen welche Verbindungsanforderungsrichtlinie den Client effektiv authentifiziert hat?

 

Gruß

dataKEKS

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...