Jump to content

Radius auf Mitgliedsserver?


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Moin!

 

Ich beschäftige mich gerade damit unser Wlan auf Radius (PEAP-MS-CHAPv2 authentication) umzustellen. Mit einem QNAP-NAS als Radius hat auch alles schon geklappt. Man kann dort aber nicht auf Domänenuser zugreifen, sondern muss diese händisch pflegen. Daher möchte ich die Microsoft Boardmittel nutzen. Folgende Frage: Kann der Radius-Server (Zertifikate, Netzwerkrichtlinien) ein Mitgliedsserver sein, oder muss es zwingend der Domänencontroller sein. (Win 2008 R2)

 

Danke

 

Frank

Link zu diesem Kommentar

Danke für die Antworten.

 

Bei uns ist es jetzt seit kurzem so, dass unser Domänencontroller in Italien steht. Wir haben einen globalen Katalogserver bei uns stehen. So wie ich das verstehe, sollte der Zertifikatserver auf dem DC, sprich in Italien für die gesamte Domäne installiert werden. Wer schon einmal mit Italienern diskutiert hat, weiss dass man Stunden mit denen reden kann ohne etwas zu bewirken. Gibt es für mich vielleicht eine "Insellösung".  Ich würde schon gerne, dass sich die User mit der Windowsanmeldung am Radius authentifizieren.

Link zu diesem Kommentar

Moin,

 

Politik und Technik unter einen Hut zu bringen, ist nicht immer einfach.

Ohne genaue Kenntnisse des Unternehmens und der genauen Anforderungen wird es bei politisch motivierten Entscheidungen in einem Forum problematisch.

Vielleicht solltest Du für das Thema externe Unterstützung hinzuziehen. Manchmal kann ein Externer mit gleichen Argumenten mehr bewirken, als jemand aus der internen IT.

 

PS: Falls Du mit 'Zertifikatserver' eine Windows CA meinst, dann hat die nichts auf einem DC verloren.

Link zu diesem Kommentar

Danke für die Antworten.

 

Bei uns ist es jetzt seit kurzem so, dass unser Domänencontroller in Italien steht. Wir haben einen globalen Katalogserver bei uns stehen. So wie ich das verstehe, sollte der Zertifikatserver auf dem DC, sprich in Italien für die gesamte Domäne installiert werden. Wer schon einmal mit Italienern diskutiert hat, weiss dass man Stunden mit denen reden kann ohne etwas zu bewirken. Gibt es für mich vielleicht eine "Insellösung".  Ich würde schon gerne, dass sich die User mit der Windowsanmeldung am Radius authentifizieren.

 

Hallo

 

Wenn der Domänecontroller im Ausland (in der Zentrale) steht, sollte auch der Zertifikatserver dort stehen. Das heißt nicht, dass die Zertifikatsdienste auf dem Domänecontroller eingerichtet werden sollen, aber dass sie über ein IT-Team in der Zentrale verwaltet werden. Also das Installierung sie in deiner lokalen Umgebung klappt eher nicht. Aber du kannst einen Radius-Server bei dir einrichten (jetzt heißt es "Network Policy Server"), um die Authentifizierung des Zugriffes zum WiFi-Netzwerk mit der Windowsanmeldung zu benutzen.

 

Grüße

Marcin

Link zu diesem Kommentar

Danke für die Antworten.

 

Ich habe mir nun über einen IIS ein Zertifikat erstellt, importiert, PEAP, MS-CHAPV2 am NPS, AP und Client eingerichtet und es funktioniert.

 

Spricht etwas gegen selbstsignierte Zertifikate in einer kleinen Produktivumgebung (15 Clients)? Eventl. würde ich sonst eins kaufen. Windows CA-Diskussionen würde ich mir dann ersparen.

 

Danke

Link zu diesem Kommentar

Gekaufte Zertifikate kosten Geld :D . Sie haben aber den Vorteil, dass externe Stellen diesen Zertifikaten vertrauen. Für rein interne Zwecke ist es i.d.R. unnötig, ein kommerzielles Zertifikat zu nutzen.

 

Eine 'echte' CA bietet eine ganze Reihe von Möglichkeiten. Die ausgestellten Zertifikate sind nicht diselben. Bei einem IIS Zertfikat gibt es nur den Verwendungszweck 'Serverauthentifizierung'. Eine vollwertige CA bietet deutlich mehr, bis hin zu eigenen Verwenungszwecken und Richtlinien.

 

PS: Das Zertifikat jeder Root CA ist selbstsigniert

 

http://de.wikipedia.org/wiki/Public-Key-Infrastruktur

https://technet.microsoft.com/de-de/library/cc753828.aspx

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...