Jump to content
Sign in to follow this  
amathar

RAS-VPN-radius

Recommended Posts

Hallo, ich habe hier ein Problem, welches ich nicht so recht in den Griff bekomme. Es soll einen Windows Server 2003 geben, der in einer DMZ steht. Von dort sollen Benutzer einen Drucker als Netzwerkdrucker mounten. Die Benutzer sollen aber nicht lokal auf dem Server eingepflegt sein, sondern von einem Radius Server kommen. Es ist offenbar kein Problem eine VPN Vernindung zu besagtem Server aufzubauen. Der VPN Aufbau funktioniert und die Benutzer authentifizieren sich auch gegen den Radius Server. Sobald man nun jedoch versucht den Drucker zu mounten wird wieder nach einer Authentifizierung gefragt, die offenbar nicht an den Radius Server weitergegeben wird. Sie wird versucht lokal aufzulösen, was denn schief geht. Wie kann ich dieses Problem in den Griff bekommen ??

Danke

Share this post


Link to post
Share on other sites

Der RADIUS authentifiziert doch nur die VPN-Verbindung, danach wendet sich der Client direkt an den Server und übermittelt ihm seine Credentials, um sich via Netzwerkanmeldung (Logon Type 3) anzumelden. Die kennt der Server nicht und fragt nach... (oder bin ich da jetzt falsch abgebogen?)

edit: der Client will auf Ressourcen des Servers zugreifen, daher wird in der lokalen Datenbank des Servers überprüft, ob die übermittelten Credentials vorhanden sind und wenn ja, ob die Ressource diesen Credentials den Zugriff gewährt und wie

Share this post


Link to post
Share on other sites

Das Radius Server greift auf nen ADS zu. Das wird an anderer Stelle auch schon benötigt. Wir wollen keine Domänenmitgliedschaft außerhalb des LANs, daher der Versuch das mit Radius zu organisieren.

Das bedeutet, daß für lokale Ressourcen des Servers der Server keine Radius Auth. akzeptiert (bzw. es keine config-Möglichkeit gibt die Auth. Anfrage an den Radius weiterzugeben)? Ok, man könnte über die Credentials nur darf (hat einen Radius Account) oder darf nicht (hat keine gültigen Account) steuern, aber das würde uns reichen.

Share this post


Link to post
Share on other sites

Korrekt, mir auch nicht.

RADIUS (Remote Access Dial In User Service) hat überall nur die Funktion, die Benutzerauthentifizierung und Autorisierung für die Einwahl zu übernehmen. Er erfüllt nicht die Funktion den Bneutzer für den anschliessenden Zugriff auf Resource zu authentifizieren.

Die einzige Möglichkeit ist, bereits beim Anmelden das VPN aufzubauen, indem man das Häkchen "Anmeldung über DFÜ-Netzwerk" setzt, und die VPN-Verbindung auswählt. Voraussetzung dafür ist, dass der Benutzer bei der Einwahl einen internen DNS-Server mitbekommt, so dass er einen DC zur Anmeldeauthentifizeirung finden kann.

 

grizzly999

Share this post


Link to post
Share on other sites

Danke erstmal, wenn auch etwas klar, warum das nicht unterstützt wird. Radius - Authorization habe ich mit Radius selber schon umgesetzt allerdings nicht im Windows-Server Umfeld (Shiva, Checkpoint etc.). Radius ist bekannter Maßen ein AAA Protokoll und beherrscht Acces Requests (http://www.ietf.org/rfc/rfc2865.txt) und nachdem ich http://www.microsoft.com/technet/prodtechnol/windows2000serv/deploy/confeat/ias2000a.mspx gelesen hatte, wo explizit steht: "IAS performs centralized connection authentication, authorization... " dachte ich, es wäre machbar. Aber egal, dann werden wir einen anderen Weg finden müssen.

Danke nochmal !!

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...