WLAN RADIUS Authentifizierung einrichten unter Windows Server 2012 | WPA2-Enterprise | Step by Step

01

  • der RADIUS Server unter Windows ab Version 2008 wird über die Serverrolle Network Policy and Access Services bereitgestellt.

02

03

04

05

06

  • die gewünschten WLAN Access Points die per RADIUS die User authentifizieren sollen, ergänzen und ein gemeinsames Passwort (Shared Secret) eintragen, mit dem der Server und der Access Point ihre Kommunikation sichern. Das Shared Secret muss auf dem RADIUS Server und dem Access Point identisch sein.

07

08

Protected Extensible Authentication Protocol, Protected EAP, or simply PEAP (pronounced peep), is a method to securely transmit authentication information, including passwords, over wireless LANs. It was jointly developed by Microsoft, RSA Security and Cisco. It is an IETF open standard.

PEAP is not an encryption protocol; as with other EAP types it only authenticates a client into a network.

PEAP uses only server-side public key certificates to authenticate clients by creating an encrypted SSL/TLS tunnel between the client and the authentication server, which protects the ensuing exchange of authentication information from casual inspection.

PEAP is similar in design to EAP-TTLS, requiring only a server-side PKI certificate to create a secure TLS tunnel to protect user authentication.

Quelle: https://wiki.freeradius.org/protocol/EAP-PEAP

09

  • die Windows Gruppen die Zugriff auf das Netzwerk per WLAN haben sollen hinzufügen

10

11

12

13

  • der Assistent erzeugt hier eine Connection Request Policy, hier muss nichts weiter eingestellt werden.

14

  • ebenfalls erzeugt der Assistent eine Network Policy, hier muss noch in den Eigenschaften im Register Constraints bei den Authentication Methods für das EAP (PEAP) Protokoll ein Zertifikat ausgewählt werden. Dieses müssen wir zuerst erstellen wie im Weiteren gezeigt wird.

15

  • Im Register Conditions können wir noch die User, die Zugriff auf das WLAN erhalten sollen berechtigenadd_groups_users01
  • PEAP uses only server-side public key certificates to authenticate clients by creating an encrypted SSL/TLS tunnel between the client and the authentication server, which protects the ensuing exchange of authentication information from casual inspection.
  • für den RADIUS Server muss noch ein Zertifikat erstellt werden, dieses kann über die Active Directory Certificate Services (AD CS) erstellt werden.

16

  • auf dem Server auf dem die Active Directory Certificate Services (AD CS) installiert sind eine neue Zertifikatsvorlage erstellen.

17

  • hier die vorhandene Zertifikatsvorlage Computer duplizieren und anpassen

18

19

  • Register Sicherheit / Security

21_register_sicherheit

  • Register Sicherheit / Security

22_register_sicherheit

  • Register Antragstellername / Subject Name

23_register_Antragstellername(Subject Name)

  • in der Konsole Zertifizierungsstelle (PKI) das neue Zertifikat welches in der MMC Konsole (Zertifikatsvorlage) erstellt wurde für die PKI aktivieren.

24

25

26

  • auf dem RADIUS Server das neue Zertifikat anfordern und hier die neu erstellte Zertifikatsvorlage auwählen. Das Zertifikat im lokalen Computerkonto anfordern!

27

28

29

  • unter DETAILS lediglich im Register Extensions bei Include Symmetric algorithm diese Erweiterung aktivieren.

30

31

32

  • hier das neu erstellte Zertifikat auswählen

33

 

Soweit ist die Installation und Konfiguration vom RADIUS Server abgeschlossen. Es muss nun nur noch bei den WLAN Access Points unter Sicherheit der Modus WPA2 oder WPA2 Enterprise je nach Modell ausgewählt werden, die IP Adresse des Radius Servers und ein Shared Secret ausgewählt werden. Der Radius Standard UDP Port 1812 sollte schon eingetragen sein.

34

Bei der Anmeldung der Clients wird nun unter Windows 7 standardmäßig das Windows Benutzerkonto zur Anmeldung herangezogen und bei Windows 8 erscheint eine Eingabemaske mit Benutzername/Passwort und eine Checkbox bei der nach Aktivierung ebenfalls das Windows Benutzerkonto zur Anmeldung verwendet wird.

Ist es bei Windows 7 gewünscht diese standardmäßige Verwendung des Windows Benutzerkontos zu deaktivieren und einen Login Dialog zu haben so kann dies in den Eigenschaften der WLAN Verbindung konfiguriert werden.

  • Register Sicherheit unter Eigenschaften der WLAN Verbindung
  • Einstellungen der Netzwerkauthentifizierung Microsoft: Geschütztes EAP(PEAP)
  • Konfigurieren bei Authentifizierungsmethode EAP-MSCHAP v2
  • hier den Haken entfernen damit nicht mehr die Windows Anmeldedaten für die RADIUS Authentifizierung verwendet werden.

35

 

 

 

 

13 Replies to “WLAN RADIUS Authentifizierung einrichten unter Windows Server 2012 | WPA2-Enterprise | Step by Step”

  1. Ich habe die Anleitung ziemlich genau Schritt für Schritt befolgt , die im übrigen sehr gut erklärt ist, doch leider taucht bei dem Schritt “in der Konsole Zertifizierungsstelle (PKI) das neue Zertifikat welches in der MMC Konsole (Zertifikatsvorlage) erstellt wurde für die PKI aktivieren.” der Unterpunkt Zertifizierungsstelle nicht auf. Als Server Nuzte ich Server 2012 R2. wäre nett wenn ich eine Antwort auf das Problem bekommen könnte da ich eine Facharbeit über dieses Thema schreibe und ich nicht mehr allzu viel Zeit habe.

    Mfg
    M.

    1. Hallo,

      wenn Du die mmc direkt auf dem Server mit den Active Directory Certification Services (ADCS) ausgeführt hast, sollte auch der Punkt Zertifizierungstelle bzw. Certification Authority zur Auswahl stehen.

      Schau mal direkt auf dem Server über die Kacheln (oder Suche) nach, ob die Zertifizierungsstelle hier zur Auswahl steht:

      rechte Maustaste auf Open File Location

      Hier siehst Du den eigentlichen Pfad wo die Zertifizierungsstelle zu finden ist

      C:\Windows\System32\certsrv.msc

      Wenn die auf dem Server mit den ADCS nicht zu finden ist, stimmt generell was nicht mit dem Server.

      Du kannst auch über die Zertifizierungsstelle (Konsole) direkt das Template erstellen, anstelle dieses erst im MMC zu vernüpfen.
      Dazu einfach rechte Maustaste auf den Punkt Certificat Templates und hier Manage auswählen.

      Hoffe Dir hilft das weiter!

      Grüße
      Marcus

  2. Hallo, ich habe deine Anleitung auch ziemlich genau befolgt, nur leider taucht bei mir RADIUS Authentifizierung WLAN nicht auf, wenn ich das Zertifikat anfordern will. Wenn ich mir alle Vorlagen anzeigen lasse, dann steht “STATUS: nicht verfügbar” und “Die Berechtigungen auf dieser Zertifikatvorlage lassen nicht zu, dass der aktuelle Benutzer sich für diesen Zertifikattyp einschreibt. Sie besitzen keine Berechtigung zum Anfordern dies Typs von Zertifikat”. Ansonsten eine absolut super Erklärung! Vielen Dank dafür.

    Mit freundlichen Grüßen
    Gregory

    1. Hallo Gregory,

      die Computer Zertifikatsvorlage hast Du dupliziert und angepasst und vor allem auch für Authentifizierte Benutzer und Domänencomputer die Berechtigungen Lesen, Registrieren & Automatisch registrieren festgelegt wie in den Screenshots zu sehen? (Abb. 21_register_sicherheit3.jpg & 22_register_sicherheit3.jpg) Anschließend auch nicht vergessen, die neu erstellte Zertifikatsvorlage in der Zertifizierungsstelle hinzuzufügen. (Abb. 24.jpg & 25.jpg)

      Das es bei der Anforderung nicht erscheint, liegt meist an den Berechtigungen für die Vorlage oder dass Du vergessen hast, dies Vorlage als Zertifikatsvorlage in der PKI hinzuzufügen.

      Grüße
      Marcus

      1. Hallo Marcus,

        ich habe mir diese beiden Bilder auf dein Anraten nochmal angeschaut und musste feststellen, dass ich in der eile nur den Administrator lesen, registrieren und automatisch registrieren gegeben habe. Dies ist wahrscheinlich passiert, da ich primär auf diesen fetten schwarzen Balken und nicht die leicht grau hinterlegten unterschiede geachtet habe. Werde es morgen auf der Arbeit umgehend ausprobieren und dir dann sagen ob es funktioniert hat. Vielen Dank für die schnelle Antwort!

        Liebe Grüße
        Gregory

      2. Hallo nochmal,

        es war tatsächlich der Fehler den du vermutet hattest. Jetzt passt nahezu alles bestens! Allerdings habe ich keine Möglichkeit gefunden im Netzwerkrichtlinienserver noch andere Gruppen nachträglich einzubinden. Bis jetzt kann ich mich nämlich nur mit dem Administratorenkonto anmelden. Wo finde ich denn die Möglichkeit normale AD Gruppen hinzuzufügen?

        Mit freundlichen Grüßen
        Gregory

  3. Hallo Gregory,

    die User oder Gruppen, die Zugriff auf das WLAN haben sollen, kannst Du ebenfalls über den Network Policy Server einstellen. Hier unter Policies – Network Policies – Secure Wireless Connections und dort in den Eigenschaften im zweiten Register Conditions, können Windows und AD Gruppen hinzugefügt werden.

    Hatte das im Blog nicht aufgeführt, danke dafür:), ist jetzt ergänzt!

    Hier siehst Du die Einstellungen zum Hinzufügen der gewünschten User oder Gruppen

    https://blog.matrixpost.net/wp-content/uploads/2013/04/add_groups_users01.png

    Bzgl. den Zertifikaten noch, die Clients müssen auf alle Fälle das Root Zertifikat Deiner Unternehmens CA in den Vertrauenswürdigen Stammzertifizierungsstellen aufgelistet haben, sonst vertrauen Sie dem RADIUS Server Zertifikat nicht und können ebenfalls keine Verbindung mit dem WLAN herstellen.

    Viele Grüße
    Marcus

  4. Hallo Marcus,

    ich habe das identische Problem wie Gregory, dass bei der Anforderung des Zertifikats die Vorlage für mein RADIUS-Server nicht verfügbar ist. Die Einstellungen des Sicherheits-Reiters habe ich bereits geprüft und die Zertifikatsvorlage wurde auch dem PKI hinzugefügt. Er gibt mir folgendes aus:

    “Eine Zertifikatkette wurde zwar verarbeitet, endete jedoch mit einem Stammzertifikat, das beim Vertrauensanbieter nicht als vertrauenswürdig gilt. Es wurde keine gültige Zertifizierungsstelle gefunden, die für das Ausstellen von Zertifikaten basierend auf dieser Vorlage konfiguriert wurde, oder dieser Vorgang wird von der Zertifizierungsstelle nicht unterstützt , oder die Zertifizierungsstelle ist nicht vertrauenswürdig.”

    Gibt es weitere Möglichkeiten den Fehler zu finden?

    Vielen Dank im Voraus
    Mit freundlichen Grüßen
    Jan

    1. Hallo Jan,

      sorry habe Dein Eintrag erst jetzt gesehen. Habe die Seite jetzt auf https://blog.matrixpost.net umgezogen. Bzgl. Deiner Fehlermeldung sieht es so aus, als ob Dein Rechner dem Aussteller der Zertifikatsvorlage nicht vertraut. Hast Du das Root Zertifikat der Unternehmens PKI auf dem Rechner in den Vertrauenswürdigen Stammzertifizierungsstellen abgelegt? Sofern der Rechner Mitglied in der Domäne ist, wird das Root Zertifikat automatisch dort installiert.

      Viele Grüße
      Marcus

Leave a Reply

Your email address will not be published. Required fields are marked *