Jump to content

NPS für 802.1x


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Hallo,

 

ich habe hier ein Problem mit folgende Konstellation...

 

Ich habe einen Radius Server auf einem Windows2008 Server installiert.

Dieser soll 802.1x für mein WLAN übernehmen. Die WLAN Umgebung

ist besteht aus einem HP msm710 Controller und dazugehörigen AP's.

Ich habe den Radius auf dem Controller eingetragen und das weiterleiten

der Anfragen an den 2008 Server scheint auch zu funktionieren

(ich sehe im Log auf dem Controller Proxying RADIUS Access Request und danach Received RADIUS Access Reject).

Das sieht für mich so aus, als würde die Anfrage an den 2008 Radius Server weitergeleitet werden, und

dieser die Anfrage an den Controller mit einer Authentifizuerungsaufforderung an den Controller zurücksenden.

Die dritte Meldung ist dann ein Sending RADIUS Access Reject.

Auf dem NPS habe ich den Wizzard für 802.1x für WLAN durchlaufen lassen.

Die Richtilinie ist aktiviert und als Bedingung habe ich eine Gruppe hinzugefügt, welche meinen AD-Benutzer enthält.

Das Testnotebook ist nicht mitglied der Domäne.

EAP Typen auf dem Radius sind PEAP und EAP-MSCHAP v2.

Was mir nicht ganz klar ist - ich benötige ein Zertifikat - woher, was für eins und wo muss ich dieses installieren?

 

Ich sitze schon einige Tage an dem Ding und bin für jeglichen Tip dankbar!

Link to post

ok danke erstmal - da mein Rechner nicht in der Domäne ist, wird das mit dem automatischen ausrollen wohl nicht funktionieren... bedeutet ich muss mein Zertifikat selbst anfordern. Ich benötige hier aber ein Computerzertifikat... das kann ich nur mit einer enterprise PKI erstellen, oder täusche ich mich da?

Link to post

Nein, du kannst auch Zertifikate für Computer mit einer eigenständigen CA ausstellen (Clientauthentifizierung).

Ich würde dir empfehlen (je nachdem wie groß deine Umgebung ist), eine Zweistufige Zertifizierungsstelle aufzubauen: eigenständige Stamm-CA und eine untergeordnete Unternehmens-CA.

 

Sind die anderen Clients in der Domäne, oder sind alle keiner Domäne beigetreten?

Link to post

Schau mal unter: Ein Zertifikat anfordern -> "erweiterte Zertifikatsanforderung ein" -> Eine Anforderung an diese Zertifizierungsstelle erstellen und einreichen -> Ab hier benötigst du ein SSL Zertifikat für die Anforderung -> Typ des erforderten Zertifikats: Clientauthentifizierungszertifikat...

Link to post

antwort für weiter oben - es ist (fast) keiner in der Domäne!

Sorry, ich kann Dir nicht folgen... ich will ein Clientzertifikat anfordern, bin nicht in der Domäne und habe nur eine Standard PKI... Wo muss ich klicken :-)

wo bekomme ich das SSL Zertifikat her?

Link to post

Als erstes benötigst du ein Zertifikat für die eigenständige CA. Hier reicht auch erstmal zu Testzwecken ein selbstsigniertes Zertifikat aus. Dies erstellst du über den IIS-Manager -> klickst auf den Servernamen -> Serverzertifikate -> Selbstsigniertes Zertifikat erstellen... -> Gibst einen Namen ein (Bspw. Root-CA CertSrv) -> OK.

 

Dann trägst du dieses auf deiner Webseite, wo CertSrv läuft, unter "Bindungen" ein (hinzufügen -> HTTPS -> Root-CA CertSrv auswählen -> OK -> Schließen)

 

Dann klickst du auf die Webanwendung CertSrv deiner Website -> SSL-Einstellungen -> Haken bei SSL erforderlich rein

(Dies muss man nicht unbedingt, aber da du später nur HTTPS machen kannst, um ein Zertifikat anzufordern, ist das ok)

 

Nun solltest du über http://HTTPS://Servername.domainname.irgendwas/CertSrv die Startseite erreichen. Hier gehst du nun wie oben beschrieben vor.

Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...