WLAN RADIUS Authentifizierung einrichten unter Windows Server 2012 | WPA2-Enterprise | Step by Step

01

  • der RADIUS Server unter Windows ab Version 2008 wird ├╝ber die Serverrolle Network Policy and Access Services bereitgestellt.

02

03

04

05

06

  • die gew├╝nschten WLAN Access Points die per RADIUS die User authentifizieren sollen, erg├Ąnzen und ein gemeinsames Passwort (Shared Secret) eintragen, mit dem der Server und der Access Point ihre Kommunikation sichern. Das Shared Secret muss auf dem RADIUS Server und dem Access Point identisch sein.

07

08

Protected Extensible Authentication Protocol, Protected EAP, or simply PEAP (pronounced peep), is a method to securely transmit authentication information, including passwords, over wireless LANs. It was jointly developed by Microsoft, RSA Security and Cisco. It is an IETF open standard.

PEAP is not an encryption protocol; as with other EAP types it only authenticates a client into a network.

PEAP uses only server-side public key certificates to authenticate clients by creating an encrypted SSL/TLS tunnel between the client and the authentication server, which protects the ensuing exchange of authentication information from casual inspection.

PEAP is similar in design to EAP-TTLS, requiring only a server-side PKI certificate to create a secure TLS tunnel to protect user authentication.

Quelle: https://wiki.freeradius.org/protocol/EAP-PEAP

09

  • die Windows Gruppen die Zugriff auf das Netzwerk per WLAN haben sollen hinzuf├╝gen

10

11

12

13

  • der Assistent erzeugt hier eine Connection Request Policy, hier muss nichts weiter eingestellt werden.

14

  • ebenfalls erzeugt der Assistent eine Network Policy, hier muss noch in den Eigenschaften im Register Constraints bei den Authentication Methods f├╝r das EAP (PEAP) Protokoll ein Zertifikat ausgew├Ąhlt werden. Dieses m├╝ssen wir zuerst erstellen wie im Weiteren gezeigt wird.

15

  • Im Register Conditions k├Ânnen wir noch die User, die Zugriff auf das WLAN erhalten sollen berechtigenadd_groups_users01
  • PEAP uses only server-side public key certificates to authenticate clients by creating an encrypted SSL/TLS tunnel between the client and the authentication server, which protects the ensuing exchange of authentication information from casual inspection.
  • f├╝r den RADIUS Server muss noch ein Zertifikat erstellt werden, dieses kann ├╝ber die Active Directory Certificate Services (AD CS) erstellt werden.

16

  • auf dem Server auf dem die Active Directory Certificate Services (AD CS) installiert sind eine neue Zertifikatsvorlage erstellen.

17

  • hier die vorhandene Zertifikatsvorlage Computer duplizieren und anpassen

18

19

  • Register Sicherheit / Security

21_register_sicherheit

  • Register Sicherheit / Security

22_register_sicherheit

  • Register Antragstellername / Subject Name

23_register_Antragstellername(Subject Name)

  • in der Konsole Zertifizierungsstelle (PKI) das neue Zertifikat welches in der MMC Konsole (Zertifikatsvorlage) erstellt wurde f├╝r die PKI aktivieren.

24

25

26

  • auf dem RADIUS Server das neue Zertifikat anfordern und hier die neu erstellte Zertifikatsvorlage auw├Ąhlen. Das Zertifikat im lokalen Computerkonto anfordern!

27

28

29

  • unter DETAILS lediglich im Register Extensions bei Include Symmetric algorithm diese Erweiterung aktivieren.

30

31

32

  • hier das neu erstellte Zertifikat ausw├Ąhlen

33

 

Soweit ist die Installation und Konfiguration vom RADIUS Server abgeschlossen. Es muss nun nur noch bei den WLAN Access Points unter Sicherheit der Modus WPA2 oder WPA2 Enterprise je nach Modell ausgew├Ąhlt werden, die IP Adresse des Radius Servers und ein Shared Secret ausgew├Ąhlt werden. Der Radius Standard UDP Port 1812 sollte schon eingetragen sein.

34

Bei der Anmeldung der Clients wird nun unter Windows 7 standardm├Ą├čig das Windows Benutzerkonto zur Anmeldung herangezogen und bei Windows 8 erscheint eine Eingabemaske mit Benutzername/Passwort und eine Checkbox bei der nach Aktivierung ebenfalls das Windows Benutzerkonto zur Anmeldung verwendet wird.

Ist es bei Windows 7 gew├╝nscht diese standardm├Ą├čige Verwendung des Windows Benutzerkontos zu deaktivieren und einen Login Dialog zu haben so kann dies in den Eigenschaften der WLAN Verbindung konfiguriert werden.

  • Register Sicherheit unter Eigenschaften der WLAN Verbindung
  • Einstellungen der Netzwerkauthentifizierung Microsoft: Gesch├╝tztes EAP(PEAP)
  • Konfigurieren bei Authentifizierungsmethode EAP-MSCHAP v2
  • hier den Haken entfernen damit nicht mehr die Windows Anmeldedaten f├╝r die RADIUS Authentifizierung verwendet werden.

35