| Zeile 1: | Zeile 1: | ||
= Einleitung = | |||
Die EAP-Authentifizierung ermöglcht es sich mit dem Domänen-Konto anzumelden. Dabie wird sowohl das WLAN entsprechen verschlüsselt als auch der Benutzer am Portal registriert. Eine weitere Anmeldung an der NAC ist dann nicht nötig und es werden alle Aktionen des Benutzers mitgeloggt. | |||
Ziel dieses Howtos ist es, ein Netzwerk so einzurichten, dass sich Benutzer über das Domänenkonto an der NAC anmelden können. | |||
= Radius-Konfiguration mit EAP Reauthentifizierung = | = Radius-Konfiguration mit EAP Reauthentifizierung = | ||
== erneute Authentifizierung via NAS == | == erneute Authentifizierung via NAS == | ||
Version vom 29. Oktober 2012, 16:45 Uhr
Einleitung
Die EAP-Authentifizierung ermöglcht es sich mit dem Domänen-Konto anzumelden. Dabie wird sowohl das WLAN entsprechen verschlüsselt als auch der Benutzer am Portal registriert. Eine weitere Anmeldung an der NAC ist dann nicht nötig und es werden alle Aktionen des Benutzers mitgeloggt. Ziel dieses Howtos ist es, ein Netzwerk so einzurichten, dass sich Benutzer über das Domänenkonto an der NAC anmelden können.
Radius-Konfiguration mit EAP Reauthentifizierung
erneute Authentifizierung via NAS
Die erneute, vom NAS unterstützte, Authentifizierung wird vom NAS veranlasst, d.h. der NAS gibt den Befehl zum erneuten Anmelden. Sie können hier den Authentifizierungsintervall angeben, nach dem eine erneute Authentifizierung gefordert wird.
Erneute Authentifizierung via Controller
Die erneute, vom Controller unterstützte, Authentifizierung wird direkt vom Controller veranlasst, d.h. es muss sich kein NAS im Netzwerk befinden, um die erneute Authentifizierung zu fordern. Auch hier können Sie den Authentifizierungsintervall einstellen.
Einstellungen am Windows-Server
Um die EAP-Authentifizierung zu verwenden, muss der NAC in die lokale Domäne integriert werden. Daher sollte der Server extern stehen, da sonst die Domäne geändert werden muss, wodurch das Zertifikat ungültig wird.
Navigieren Sie im Server-Manager nach Rollen -> Netzwerkrichtlinien- und Zugriffsdienste -> NPS (lokal) und richten Sie die folgenden Bereiche wie folgt ein.
RADIUS-Clients und -Server
Hier werden die Clients aufgeführt, welche an der NAC registriert sind.. Hier muss die NAC aufgeführt sein, damit eine Authentifizierung erfolgen kann. Wir sehen in der Liste die "nac" mit der IP-Adresse 192.168.176.254 aufgeführt. In den Eigenschaften der Clients wird z.B. auch der gemeinsame geheime Schlüssel aufgeführt.
Richtlinien
Über die Richtlinien können Sie festlegen, unter welchen Bedingungen eine Verbindung hergestellt werden darf.
Benutzereinstellungen
In den Benutzereinstellungen des Active Directory muss in den Eigenschaften des Benutzers, unter dem Reiter "Einwählen", der Punkt "Zugriff über NPS-netzwerkrichtlienien steuern" gesetzt sein.
Achtung: Ist dies nicht der Fall, ist eine Authentifizierung unmöglich.
Einstellungen am WLAN-Access-Point
Damit die Authentifizierung funktioniert, müssen Sie im WLAN-Access-Point die NAC als Radius-Server eintragen. Will sich nun ein Benutzer anmelden, gleicht die NAC die Benutzerdaten mit dem Radius-Server ab, prüft die Richtlinien und der Benutzer kann sich einloggen.
