WLAN RADIUS Authentifizierung einrichten unter Windows Server 2012 | WPA2-Enterprise | Step by Step

01

  • der RADIUS Server unter Windows ab Version 2008 wird ├╝ber die Serverrolle Network Policy and Access Services bereitgestellt.

02

03

04

05

06

  • die gew├╝nschten WLAN Access Points die per RADIUS die User authentifizieren sollen, erg├Ąnzen und ein gemeinsames Passwort (Shared Secret) eintragen, mit dem der Server und der Access Point ihre Kommunikation sichern. Das Shared Secret muss auf dem RADIUS Server und dem Access Point identisch sein.

07

08

Protected Extensible Authentication Protocol, Protected EAP, or simply PEAP (pronounced peep), is a method to securely transmit authentication information, including passwords, over wireless LANs. It was jointly developed by Microsoft, RSA Security and Cisco. It is an IETF open standard.

PEAP is not an encryption protocol; as with other EAP types it only authenticates a client into a network.

PEAP uses only server-side public key certificates to authenticate clients by creating an encrypted SSL/TLS tunnel between the client and the authentication server, which protects the ensuing exchange of authentication information from casual inspection.

PEAP is similar in design to EAP-TTLS, requiring only a server-side PKI certificate to create a secure TLS tunnel to protect user authentication.

Quelle: https://wiki.freeradius.org/protocol/EAP-PEAP

09

  • die Windows Gruppen die Zugriff auf das Netzwerk per WLAN haben sollen hinzuf├╝gen

10

11

12

13

  • der Assistent erzeugt hier eine Connection Request Policy, hier muss nichts weiter eingestellt werden.

14

  • ebenfalls erzeugt der Assistent eine Network Policy, hier muss noch in den Eigenschaften im Register Constraints bei den Authentication Methods f├╝r das EAP (PEAP) Protokoll ein Zertifikat ausgew├Ąhlt werden. Dieses m├╝ssen wir zuerst erstellen wie im Weiteren gezeigt wird.

15

  • Im Register Conditions k├Ânnen wir noch die User, die Zugriff auf das WLAN erhalten sollen berechtigenadd_groups_users01
  • PEAP uses only server-side public key certificates to authenticate clients by creating an encrypted SSL/TLS tunnel between the client and the authentication server, which protects the ensuing exchange of authentication information from casual inspection.
  • f├╝r den RADIUS Server muss noch ein Zertifikat erstellt werden, dieses kann ├╝ber die Active Directory Certificate Services (AD CS) erstellt werden.

16

  • auf dem Server auf dem die Active Directory Certificate Services (AD CS) installiert sind eine neue Zertifikatsvorlage erstellen.

17

  • hier die vorhandene Zertifikatsvorlage Computer duplizieren und anpassen

18

19

  • Register Sicherheit / Security

21_register_sicherheit

  • Register Sicherheit / Security

22_register_sicherheit

  • Register Antragstellername / Subject Name

23_register_Antragstellername(Subject Name)

  • in der Konsole Zertifizierungsstelle (PKI) das neue Zertifikat welches in der MMC Konsole (Zertifikatsvorlage) erstellt wurde f├╝r die PKI aktivieren.

24

25

26

  • auf dem RADIUS Server das neue Zertifikat anfordern und hier die neu erstellte Zertifikatsvorlage auw├Ąhlen. Das Zertifikat im lokalen Computerkonto anfordern!

27

28

29

  • unter DETAILS lediglich im Register Extensions bei Include Symmetric algorithm diese Erweiterung aktivieren.

30

31

32

  • hier das neu erstellte Zertifikat ausw├Ąhlen

33

 

Soweit ist die Installation und Konfiguration vom RADIUS Server abgeschlossen. Es muss nun nur noch bei den WLAN Access Points unter Sicherheit der Modus WPA2 oder WPA2 Enterprise je nach Modell ausgew├Ąhlt werden, die IP Adresse des Radius Servers und ein Shared Secret ausgew├Ąhlt werden. Der Radius Standard UDP Port 1812 sollte schon eingetragen sein.

34

Bei der Anmeldung der Clients wird nun unter Windows 7 standardm├Ą├čig das Windows Benutzerkonto zur Anmeldung herangezogen und bei Windows 8 erscheint eine Eingabemaske mit Benutzername/Passwort und eine Checkbox bei der nach Aktivierung ebenfalls das Windows Benutzerkonto zur Anmeldung verwendet wird.

Ist es bei Windows 7 gew├╝nscht diese standardm├Ą├čige Verwendung des Windows Benutzerkontos zu deaktivieren und einen Login Dialog zu haben so kann dies in den Eigenschaften der WLAN Verbindung konfiguriert werden.

  • Register Sicherheit unter Eigenschaften der WLAN Verbindung
  • Einstellungen der Netzwerkauthentifizierung Microsoft: Gesch├╝tztes EAP(PEAP)
  • Konfigurieren bei Authentifizierungsmethode EAP-MSCHAP v2
  • hier den Haken entfernen damit nicht mehr die Windows Anmeldedaten f├╝r die RADIUS Authentifizierung verwendet werden.

35

 

 

 

 

13 Replies to “WLAN RADIUS Authentifizierung einrichten unter Windows Server 2012 | WPA2-Enterprise | Step by Step”

  1. Ich habe die Anleitung ziemlich genau Schritt f├╝r Schritt befolgt , die im ├╝brigen sehr gut erkl├Ąrt ist, doch leider taucht bei dem Schritt “in der Konsole Zertifizierungsstelle (PKI) das neue Zertifikat welches in der MMC Konsole (Zertifikatsvorlage) erstellt wurde f├╝r die PKI aktivieren.” der Unterpunkt Zertifizierungsstelle nicht auf. Als Server Nuzte ich Server 2012 R2. w├Ąre nett wenn ich eine Antwort auf das Problem bekommen k├Ânnte da ich eine Facharbeit ├╝ber dieses Thema schreibe und ich nicht mehr allzu viel Zeit habe.

    Mfg
    M.

    1. Hallo,

      wenn Du die mmc direkt auf dem Server mit den Active Directory Certification Services (ADCS) ausgef├╝hrt hast, sollte auch der Punkt Zertifizierungstelle bzw. Certification Authority zur Auswahl stehen.

      Schau mal direkt auf dem Server ├╝ber die Kacheln (oder Suche) nach, ob die Zertifizierungsstelle hier zur Auswahl steht:

      rechte Maustaste auf Open File Location

      Hier siehst Du den eigentlichen Pfad wo die Zertifizierungsstelle zu finden ist

      C:\Windows\System32\certsrv.msc

      Wenn die auf dem Server mit den ADCS nicht zu finden ist, stimmt generell was nicht mit dem Server.

      Du kannst auch ├╝ber die Zertifizierungsstelle (Konsole) direkt das Template erstellen, anstelle dieses erst im MMC zu vern├╝pfen.
      Dazu einfach rechte Maustaste auf den Punkt Certificat Templates und hier Manage ausw├Ąhlen.

      Hoffe Dir hilft das weiter!

      Gr├╝├če
      Marcus

  2. Hallo, ich habe deine Anleitung auch ziemlich genau befolgt, nur leider taucht bei mir RADIUS Authentifizierung WLAN nicht auf, wenn ich das Zertifikat anfordern will. Wenn ich mir alle Vorlagen anzeigen lasse, dann steht “STATUS: nicht verf├╝gbar” und “Die Berechtigungen auf dieser Zertifikatvorlage lassen nicht zu, dass der aktuelle Benutzer sich f├╝r diesen Zertifikattyp einschreibt. Sie besitzen keine Berechtigung zum Anfordern dies Typs von Zertifikat”. Ansonsten eine absolut super Erkl├Ąrung! Vielen Dank daf├╝r.

    Mit freundlichen Gr├╝├čen
    Gregory

    1. Hallo Gregory,

      die Computer Zertifikatsvorlage hast Du dupliziert und angepasst und vor allem auch f├╝r Authentifizierte Benutzer und Dom├Ąnencomputer die Berechtigungen Lesen, Registrieren & Automatisch registrieren festgelegt wie in den Screenshots zu sehen? (Abb. 21_register_sicherheit3.jpg & 22_register_sicherheit3.jpg) Anschlie├čend auch nicht vergessen, die neu erstellte Zertifikatsvorlage in der Zertifizierungsstelle hinzuzuf├╝gen. (Abb. 24.jpg & 25.jpg)

      Das es bei der Anforderung nicht erscheint, liegt meist an den Berechtigungen f├╝r die Vorlage oder dass Du vergessen hast, dies Vorlage als Zertifikatsvorlage in der PKI hinzuzuf├╝gen.

      Gr├╝├če
      Marcus

      1. Hallo Marcus,

        ich habe mir diese beiden Bilder auf dein Anraten nochmal angeschaut und musste feststellen, dass ich in der eile nur den Administrator lesen, registrieren und automatisch registrieren gegeben habe. Dies ist wahrscheinlich passiert, da ich prim├Ąr auf diesen fetten schwarzen Balken und nicht die leicht grau hinterlegten unterschiede geachtet habe. Werde es morgen auf der Arbeit umgehend ausprobieren und dir dann sagen ob es funktioniert hat. Vielen Dank f├╝r die schnelle Antwort!

        Liebe Gr├╝├če
        Gregory

      2. Hallo nochmal,

        es war tats├Ąchlich der Fehler den du vermutet hattest. Jetzt passt nahezu alles bestens! Allerdings habe ich keine M├Âglichkeit gefunden im Netzwerkrichtlinienserver noch andere Gruppen nachtr├Ąglich einzubinden. Bis jetzt kann ich mich n├Ąmlich nur mit dem Administratorenkonto anmelden. Wo finde ich denn die M├Âglichkeit normale AD Gruppen hinzuzuf├╝gen?

        Mit freundlichen Gr├╝├čen
        Gregory

  3. Hallo Gregory,

    die User oder Gruppen, die Zugriff auf das WLAN haben sollen, kannst Du ebenfalls ├╝ber den Network Policy Server einstellen. Hier unter Policies – Network Policies – Secure Wireless Connections und dort in den Eigenschaften im zweiten Register Conditions, k├Ânnen Windows und AD Gruppen hinzugef├╝gt werden.

    Hatte das im Blog nicht aufgef├╝hrt, danke daf├╝r:), ist jetzt erg├Ąnzt!

    Hier siehst Du die Einstellungen zum Hinzuf├╝gen der gew├╝nschten User oder Gruppen

    https://blog.matrixpost.net/wp-content/uploads/2013/04/add_groups_users01.png

    Bzgl. den Zertifikaten noch, die Clients m├╝ssen auf alle F├Ąlle das Root Zertifikat Deiner Unternehmens CA in den Vertrauensw├╝rdigen Stammzertifizierungsstellen aufgelistet haben, sonst vertrauen Sie dem RADIUS Server Zertifikat nicht und k├Ânnen ebenfalls keine Verbindung mit dem WLAN herstellen.

    Viele Gr├╝├če
    Marcus

  4. Hallo Marcus,

    ich habe das identische Problem wie Gregory, dass bei der Anforderung des Zertifikats die Vorlage f├╝r mein RADIUS-Server nicht verf├╝gbar ist. Die Einstellungen des Sicherheits-Reiters habe ich bereits gepr├╝ft und die Zertifikatsvorlage wurde auch dem PKI hinzugef├╝gt. Er gibt mir folgendes aus:

    “Eine Zertifikatkette wurde zwar verarbeitet, endete jedoch mit einem Stammzertifikat, das beim Vertrauensanbieter nicht als vertrauensw├╝rdig gilt. Es wurde keine g├╝ltige Zertifizierungsstelle gefunden, die f├╝r das Ausstellen von Zertifikaten basierend auf dieser Vorlage konfiguriert wurde, oder dieser Vorgang wird von der Zertifizierungsstelle nicht unterst├╝tzt , oder die Zertifizierungsstelle ist nicht vertrauensw├╝rdig.”

    Gibt es weitere M├Âglichkeiten den Fehler zu finden?

    Vielen Dank im Voraus
    Mit freundlichen Gr├╝├čen
    Jan

    1. Hallo Jan,

      sorry habe Dein Eintrag erst jetzt gesehen. Habe die Seite jetzt auf https://blog.matrixpost.net umgezogen. Bzgl. Deiner Fehlermeldung sieht es so aus, als ob Dein Rechner dem Aussteller der Zertifikatsvorlage nicht vertraut. Hast Du das Root Zertifikat der Unternehmens PKI auf dem Rechner in den Vertrauensw├╝rdigen Stammzertifizierungsstellen abgelegt? Sofern der Rechner Mitglied in der Dom├Ąne ist, wird das Root Zertifikat automatisch dort installiert.

      Viele Gr├╝├če
      Marcus

Leave a Reply to Gregory Cancel reply

Your email address will not be published. Required fields are marked *