• der RADIUS Server unter Windows ab Version 2008 wird über die Serverrolle Network Policy and Access Services bereitgestellt.

  • die gewünschten WLAN Access Points die per RADIUS die User authentifizieren sollen, ergänzen und ein gemeinsames Passwort (Shared Secret) eintragen, mit dem der Server und der Access Point ihre Kommunikation sichern. Das Shared Secret muss auf dem RADIUS Server und dem Access Point identisch sein.

Protected Extensible Authentication Protocol, Protected EAP, or simply PEAP (pronounced peep), is a method to securely transmit authentication information, including passwords, over wireless LANs. It was jointly developed by Microsoft, RSA Security and Cisco. It is an IETF open standard.

PEAP is not an encryption protocol; as with other EAP types it only authenticates a client into a network.

PEAP uses only server-side public key certificates to authenticate clients by creating an encrypted SSL/TLS tunnel between the client and the authentication server, which protects the ensuing exchange of authentication information from casual inspection.

PEAP is similar in design to EAP-TTLS, requiring only a server-side PKI certificate to create a secure TLS tunnel to protect user authentication.

Quelle: https://wiki.freeradius.org/protocol/EAP-PEAP

  • die Windows Gruppen die Zugriff auf das Netzwerk per WLAN haben sollen hinzufügen

  • der Assistent erzeugt hier eine Connection Request Policy, hier muss nichts weiter eingestellt werden.

  • ebenfalls erzeugt der Assistent eine Network Policy, hier muss noch in den Eigenschaften im Register Constraints bei den Authentication Methods für das EAP (PEAP) Protokoll ein Zertifikat ausgewählt werden. Dieses müssen wir zuerst erstellen wie im Weiteren gezeigt wird.

  • Im Register Conditions können wir noch die User, die Zugriff auf das WLAN erhalten sollen berechtigenadd_groups_users01
  • PEAP uses only server-side public key certificates to authenticate clients by creating an encrypted SSL/TLS tunnel between the client and the authentication server, which protects the ensuing exchange of authentication information from casual inspection.
  • für den RADIUS Server muss noch ein Zertifikat erstellt werden, dieses kann über die Active Directory Certificate Services (AD CS) erstellt werden.

  • auf dem Server auf dem die Active Directory Certificate Services (AD CS) installiert sind eine neue Zertifikatsvorlage erstellen.

  • hier die vorhandene Zertifikatsvorlage Computer duplizieren und anpassen

  • Register Sicherheit / Security

  • Register Sicherheit / Security

  • Register Antragstellername / Subject Name

  • in der Konsole Zertifizierungsstelle (PKI) das neue Zertifikat welches in der MMC Konsole (Zertifikatsvorlage) erstellt wurde für die PKI aktivieren.

  • auf dem RADIUS Server das neue Zertifikat anfordern und hier die neu erstellte Zertifikatsvorlage auwählen. Das Zertifikat im lokalen Computerkonto anfordern!

  • unter DETAILS lediglich im Register Extensions bei Include Symmetric algorithm diese Erweiterung aktivieren.

  • hier das neu erstellte Zertifikat auswählen

Soweit ist die Installation und Konfiguration vom RADIUS Server abgeschlossen. Es muss nun nur noch bei den WLAN Access Points unter Sicherheit der Modus WPA2 oder WPA2 Enterprise je nach Modell ausgewählt werden, die IP Adresse des Radius Servers und ein Shared Secret ausgewählt werden. Der Radius Standard UDP Port 1812 sollte schon eingetragen sein.

Bei der Anmeldung der Clients wird nun unter Windows 7 standardmäßig das Windows Benutzerkonto zur Anmeldung herangezogen und bei Windows 8 erscheint eine Eingabemaske mit Benutzername/Passwort und eine Checkbox bei der nach Aktivierung ebenfalls das Windows Benutzerkonto zur Anmeldung verwendet wird.

Ist es bei Windows 7 gewünscht diese standardmäßige Verwendung des Windows Benutzerkontos zu deaktivieren und einen Login Dialog zu haben so kann dies in den Eigenschaften der WLAN Verbindung konfiguriert werden.

  • Register Sicherheit unter Eigenschaften der WLAN Verbindung
  • Einstellungen der Netzwerkauthentifizierung Microsoft: Geschütztes EAP(PEAP)
  • Konfigurieren bei Authentifizierungsmethode EAP-MSCHAP v2
  • hier den Haken entfernen damit nicht mehr die Windows Anmeldedaten für die RADIUS Authentifizierung verwendet werden.