Wireless -> 802.1X -> W2003 ?

[Darksun777 10]

Hallo alle,

 

wir möchten (müssen!) in unserer Firma folgendes Szenario realisieren:

 

Unsere Wireless-Clients sollen via 802.1X EAP-TLS am Win2003-Server authentifiziert werden.

 

Wir haben dazu 3Com-Accesspoints die 802.1X unterstützen.

 

Ich weiss jetzt mal soviel, das ich auf dem W2003-Server eine PKI sowie einen Radius-Server (IAS) benötige.

Allerdings bekomme ich das bisher auch mit diversen Büchern (Markt u Technik, Adison Wesley) nicht wirklich auf die Reihe :-(

 

Es soll naemlich nur EIN Server verwendet werden, also auch nur eine CA.

 

Hat jemand Links zu Tutorials/Tips oder ähnlichem die eine solche Installation möglichst Schrittweise beschreiben ?

 

Danke..

[gr@mlin 10]

hi,

 

hmmmm...pki...radius...? steht das nicht alles im moc zur 70-220 drin und dementsprechend auch im omt?

 

[edit]rest wegeditiert, da schwachfug... *heutekeingutertag* :rolleyes: [/edit]

 

gruss, gr@mlin

[edv-olaf 10]

Hallo,

 

habe mich zwar noch nicht praktisch mit dem Thema beschäftigt, aber aus der Theorie habe ich noch im Kopf, dass AFAIK ein Radius-Server aus Sicherheitsgründen *niemals* mit anderen Diensten (DNS, AD, usw) auf einer HW laufen soll (sagt sogar MS, und die sind da sonst nie besonders kleinlich).

 

Grüße

Olaf

[grizzly999 11]

Schon mal bei Microsoft selber nachgeschaut?

http://search.microsoft.com/search/results.aspx?st=b&na=88&View=en-us&qu=%22802.1x%22

 

grizzly999

[Darksun777 10]

Hallo,

 

also ich hab es jetzt mal soweit hinbekommen das ich mich mit einem WindowsXP-Wireless-Client am Server authentifizieren kann.

 

ABER: ein grosses Problem hab ich noch ! Ich beschreibe mal den Ablauf:

 

* XP-Client fährt hoch

* Logon-Screen erscheint

* ich melde mich an

* ich bin in windows "drin"

* erst JETZT wird die wireless-verbindung hergestellt

* 802.1X Authentifizierung wird durchgeführt

* verbunden

 

 

So .. es werden also keinerlei Login-Scripts etc. abgearbeitet :-( da die Wireless-Verbindung / Authentifizierung erst nach dem einloggen stattfindet !

 

Was kann ich da machen ? Im Prinzip melde ich mich ja am Anfang auch nicht am DC an (es besteht ja noch keine Netzverbindung), ich vermute das er dann die zwischengecachten Anmeldeinformationen benutzt oder ?

 

Hat jemand eine Idee ?

 

THX ..

[Darksun777 10]

also ich hab jetzt nochmal geschaut, es ist definitiv so, das die wireless-verbindung erst NACH dem einloggen aufgebaut wird :mad:

 

d.h., es kann sich auch kein benutzer anmelden, der noch nicht an dem client angemeldet war (da ja keine domäne erreichbar ist)

 

Wenn ich mich mit einem Benutzer anmelde der am Client schonmal angemeldet war werden die gecachten Anmeldeinformationen benutzt und nach dem einloggen wird die verbindung hergestellt.

 

Das ganze läuft über so ein 3Com-Tool das dann gestartet wird ..

 

Es muss doch aber möglich sein das der PC schon beim hochfahren die Verbindung herstellt oder ? In Verbindung mit einem Computerzertifikat anstatt eines Benutzerzertifikats ?

 

Ich bin für jeden Tip sehr dankbar ... die Sache eilt leider sehr :shock:

[berhard 10]

Also generell hat Windows ab XP die Wireless funktionen an board und es empfiehlt sich diese auch zu nutzen. Der dazugehörige Dienst ist der "konfigurationsfreie drahtlose verbindungen" dieser muss gestartet sein also automatisch! die 3com utility kannst du dann am besten komplett abschalten. Wenn das getan ist kann man dort, wenn man das WLAN mit der ssid anlegt und auf schlüssel automatisch beziehen stellt, im Tab Authentifizierung den haken "Als Computer authentifizieren" setzen. Natürlich müssen die entsprechenden Computerkonten dann im IAS als benutzer erlaubt sein.