Dezember 8, 2021 Von oktron 0

Dokumentation RADIUS (802.1x) Authentifizierung

1. Schritt: Installation der benötigten Features auf dem Domain-Controller

  • Folgende Features müssen installiert werden: Active Directory Zertifikatdienste, Remotezugriff, Netzwerkrichtlinien-und Zugriffdienste

2. Schritt: Konfigurieren der Firewall-Regel für RADIUS

  • Öffnen der Windows Firewall, navigieren zum Menüpunkt erweiterte Einstellungen
  • Erstellen einer eingehenden Regel: UDP Port 1812 soll zugelassen werden

3. Schritt: Erstellen einer Benutzer-bzw. Computergruppe im AD

  • Erstellen Sie unter Active Directory Benutzer und Computer eine globale Sicherheitsgruppe entsprechend ihren Wünschen und Anforderungen
  • Das müssen Sie wissen: Die RADIUS Authentifizierung kann über Benutzer, aber auch Computerkonten abgehandelt werden, deshalb müssen Sie zunächst festlegen, wie die Authentifizierung in ihrem System von statten gehen soll.

4. Schritt: Konfiguration Active Directory Zertifikatsdienste

5.Schritt: Konfiguration der WLAN-Hardware für RADIUS Authentifizierung am Beispiel Bintec

  • Bintec besitzt einen WLAN-Controller, über diesen können alle Access Points verwaltet werden, dadurch muss nur einmal zentral die SSID konfiguriert werden
  • Auswählen der SSID, welche die RADIUS (802.1x) Authentifizierung besitzen soll (in unserem Beispiel „smart-itblog„)
  • Konfigurieren der SSID: Einstellen des Sicherheitsmodus auf WPA-Enterprise und Angabe der IP-Adresse der RADIUS-Servers, sowie dem RADIUS-Sicherheitsschlüssel.
  • Damit wäre die Konfiguration der WLAN-Hardware (im Falle von Bintec) abgeschlossen

6. Schritt: Konfiguration Netzwerkrichtlinien- und Zugriffsdienste

7. Schritt: Erstellen der Gruppenrichtlinien

  • Öffnen Sie die Gruppenrichtlinienverwaltung
  • Erstellen Sie eine Gruppenrichtlinie und verknüpfen Sie diese mit der obersten Ebene ihrer Domäne
  • Nun folgt die Konfiguration der Gruppenrichtlinie
  1. Fügen Sie zunächst der Sicherheitsfilterung die entsprechend konfigurierten AD-Gruppe hinzu

2. Bearbeiten Sie nun ihre neu erstellten Gruppenrichtlinien (Rechtsklick auf die GPO – Bearbeiten). Navigieren Sie zu folgendem Pfand: Computerkonfiguration – Windows – Einstellungen – Sicherheitseinstellungen

3. Klicken Sie auf den Ordner „Richtlinien für öffentliche Schlüssel

4. Wählen Sie den Menüpunkt „Zertifikatsdienstclient – Automatische Registrierung“ aus und aktivieren Sie diese.

5. Als nächstes öffnen Sie den Ordner „Einstellungen der automatischen Zertifikatanforderung„. Erstellen Sie ein neues Zertifikat für Computer

Nachdem Sie den Vorgang abgeschlossen haben, sollten ein Zertifikat in diesem Ordner angelegt worden sein.

6. Nun folgt die Konfiguration der SSID, welche nachher über die Gruppenrichtlinien der berechtigten Clients zugeteilt wird. Öffnen Sie dazu den Menüpunkt „Drahtlosenetzwerkrichtlinien (IEEE 802.11)„.

Mit einem Rechtsklick öffnet sich ein Fenster. Wähen Sie hier den ersten Punkt „Erstellen Sie eine neue Drahtlosnetzwerkrichtlinie für Windows Vista und neuere Versionen“ aus.

Geben Sie nun der Richtlinie einen geeigneten Namen und eventuell eine kurze Beschreibung.

Im nächsten Schritt muss eine SSID hinzugefügt werden. Wählen Sie dabei als Eigenschaft Infrastruktur aus und nicht Ad-Hoc.

Sie legen nun den Profilnamen und den Namen de SSID fest (SSID bitte über den Button „Hinzufügen“ speichern). Zusätzlich entfernen Sie den Haken von der Option „Mit einem verfügbaren bevorzugtem Netzwerk verbinden„.

Öffnen Sie als nächstes die Registerkarte „Sicherheit„. Diese muss folgende Einstellungen aufweisen (WICHTIG: der Authentifizierung Modus ist davon abhängig, ob Sie sich über das Computerkonto oder doch den Benutzer registrieren):

Außerdem müssen noch die Eigenschaften der Netzwerkauthentifizierungsmethode angepasst werden. Öffnen sie den Button „Eigenschaften„.

Auf dieser Registerkarte müssen Sie den Namen ihres Netzwerkrichtlinienservers angeben und das richtige Zertifikat der Zertifizierungsstelle auswählen. Nach erfolgreichem Speichern sollte nun ihre konfigurierte SSID im Ordner „Drahtlosenetzwerkrichtlinien (802.11)“ erscheinen.

7. Konfiguration der Gruppenrichtlinie ist abgeschlossen

8. Schritt: Einrichtung der Clients

  • Bei der Ersteinrichtung muss der Client eine Verbindung zum Firmen WLAN/LAN besitzen, damit die benötigten Gruppenrichtlinien gezogen wird.
  • Sollten alle Einstellungen passen, müsste sich der Client anschließen automatisch mit der RADIUS SSID verbinden.
KategorieActive Directory Alle
SchlagwörterRadius (802.1x) Authentifizierung Radius Authentifizierung

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert