Jump to content
Sign in to follow this  
RBurghart

WLAN für nicht Domänen Mitglieder über Radius

Recommended Posts

Hallo zusammen,

 

ich hoffe jemand kann helfen bei dem folgenden Problem:

 

Innerhalb eines Domänennetzwerkes (Windows Server 2008 und 2008R2) besteht der Wunsch, dass auch Computer, die nicht Domänenmitglieder sind, den Internetzugang der Domäne über WLAN nutzen können.

Wir sind den Weg gegangen, das Ganze über den Radiusserver (installiert auf dem 2008R2) abzuwicklen. Benutzer mit einem Notebook (oder anderem Equipment, wie z.B. iPhone, iPad etc) bekommen nach Installation des Zertifikats und entsprechender Konfiguration auf dem jeweiligen Zielsystem eine Anmeldemaske, in der ein gültiger Username der Domäne, das dazugehörige Passwort und der Domänenname eingegeben werden muss.

 

Ein Zertifikat wurde erstellt und auf den Testclients installiert.

Der Radius-Server wurde eingerichtet.

Der Access-Point (Netgear WG302V2) wurde konfiguriert.

Die Test-Notebooks wurden konfiguriert.

WLAN-Eigenschaften für die drahtlose Netzwerkverbindung: Netzwerkauthentifizierung: WPA2, Datenverschlüsselung: AES,

Authentifizierung: EAP-Typ: Geschütztes EAP (PEAP), Authentifizierungsmethode: Sicheres Kennwort (EAP-MSCHAP v2)

 

Tests wurden erfolgreich durchgeführt (mit Windows Notebooks, XP, das ist die Majorität und W7).

Das Ganze wurde allerdings zu diesem Zeitpunkt noch nicht "scharfgeschaltet", weil vorab einige weitere und andere Arbeiten durchgeführt werden mussten. Darüber verging dann auch mehr Zeit, als vorgesehen (besser ca. 4 Monate).

 

Jetzt sollte die Installation schließlich durchgeführt werden. Auf Grund gemachter Erfahrungen haben wir dann die Testumgebung wieder aufgebaut um einen abschließenden Test durchzuführen. Erwähnen möchte ich noch, dass in der Zwischenzeit an der Konfiguration definitiv nichts verändert wurde.

Ergebnis: nicht funktioniert mehr. Zwar unterhält sich der AP noch immer mit dem Server über Verbindungswünsche von Clients, diese werden vom Server aber alle zurückgewiesen. Der AP protokolliert folgendes: authentication server rejected EAP authentiation.

Das Zertifikat hat eine Gültigkeit bis 2016!

 

Hat irgend jemand eine Idee, wo man ansetzen könnte/sollte, um das Ganze wieder ans Fliegen zu bringen? Kann sich an dem Zertifikat z.B. etwas geändert haben, so dass diese nicht mehr identisch sind?

 

Vielen Dank schon mal im Voraus!!!

Weitere Details werde ich bei Nachfrage gerne zur Verfügung stellen.

 

Ralf

Share this post


Link to post
Share on other sites

Was mich stutzig macht sind folgende Statements:

Ein Zertifikat wurde erstellt und auf den Testclients installiert.

 

und

 

Authentifizierung: EAP-Typ: Geschütztes EAP (PEAP), Authentifizierungsmethode: Sicheres Kennwort (EAP-MSCHAP v2)

 

Das passt irgendwie nicht zusammen. Für PEAP mit Inner Method MSCHAPv2 braucht man keine Clientzertifikate. Das Einzige was wichtig ist, dass der RADIUS Server ein Zertifikat hat.

Mit PEAP (MSChap) verwenden Windows Clients oft per Default das Maschinenkonto (falls Domäne) oder die Credentials des angemeldeten Users.

 

Vielleicht helfen diese kleinen Hinweise ja schon weiter!

Share this post


Link to post
Share on other sites

Vielen Dank für den Hinweis. Wir haben uns bei der Einrichtung an Beschreibungen gehalten, die auch im Internet vorhanden sind - und nach der Einrichtung ging ja ursprünglich auch alles.

 

Die Verwendung eines Clientkontos kann man bei der Konfiguration des Clients aber explizit ausschalten (wie auch die Verwendung des Gastkontos). Ein Clientkonto würde ja auch bei den "Fremdclients" keinen Sinn machen. Trotzdem ist diese Methode zu favorisieren, da eine weitere kleinere "Hürde" aufgebaut wird. Sonst könnte sich jemand, der zufällig die Kennung und das Passwort eines Domänenusers hat mit einem x-beliebigen Notebook in das Netz wählen und könnte es nutzen (rechtliche Probleme!!). Bei dem gewählten Verfahren m u s s er über das Zertifikat verfügen.

 

Die Protokolle geben an, dass explizit die Anmeldung (die aber korrekt durchgeführt wird) des Benutzers zurückgewiesen wird. Man soll die EAP-Protokolle checken, welche wir aber nicht finden können. Im Netz findet man auch keine konkreten Hinweise, wo die zu finden sind. Weiss jemand, wo die stehen???

 

Wir haben zwischenzeitlich auch den Radius deinstalliert und neu installiert. Dabei wurde dann auch ein neues Zertifikat erstellt, das wir dann auf den Clients neu installiert haben (altes raus, neues rein). Leider war das Ergebnis danach das Gleiche.

 

Die Frage ist wirklich, warum das nach der Basisinstallation funktionierte und einige Zeit später (ohne weitere Änderungen) plötzlich gar nicht mehr.

 

Vielleicht hat ja doch jemand eine Idee oder einen Hinweis, in welcher Richtung zu suchen wäre.

Share this post


Link to post
Share on other sites

Warum es damals funktionierte und jetzt nicht mehr ist doch Glaskugelleserei :-D

Trotzdem noch einmal:

Wenn man PEAP verwendet, braucht man nur ein Zertifikat auf dem RADIUS Server (Serverzertifikat). Die Clients melden sich mit Username/Password an.

 

Wenn die Clients aber die Option aktiviert haben, dass sie das Serverzertifikat überprüfen müssen, brauchen die Clients natürlich das CA Zertifikat.

Arbeitet ihr mit einer PKI oder erstellt ihr einfach Self-Signed Zertifikate am RADIUS Server?

 

Bitte einfach mal versuchen die Option "Serverzertifikat überprüfen" am Clients auszuknipsen und dann schauen ob es geht. In einer Produktivumgebung würde ich dieses Setting aber nicht empfehlen!

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...