5
Fehler bei RADIUS-Authentifizierung im WLAN
Hallo
Nachdem wir nun endlich dazu kommen unser WLAN etwas abzusichern stoße ich schon auf das erste Problem bei dem ich nicht weiterkomme.
Zur Situation:
- Unsere Clients sind alle ausschließlich via WLAN an das Firmennetz angeschlossen
- Alle Clients nutzen Windows10 (20H2, einige noch 1909)
- Alle Clients sind AzureAD-Joined (Kein HybridJoin!)
- Es findet ein sync der User zwischen AAD und AD via AAD-Connect statt
- Es wird Windows Hello for Buisness zur Anmeldung genutzt (Fingerprint)
Nun das Problem:
Ich habe ein neues (Test)-WLAN aufgespannt welches eine Radius-Authentifizierung durchführen soll.
Verbinde ich einen Client zum ersten mal mit diesem Netz fragt mich Windows nach den Zugangsdaten.
Ich klicke an das er sich automatisch mit dem Netz verbinden soll und sage dem Rechner das er die Windows-Anmeldedaten verwenden soll (so das ich kein Passwort eingeben muss sondern Windows selbst die gecacheten Anmeldedaten verwendet)
Die Verbindung wird problemlos aufgebaut.
Starte ich nun den Rechner neu und hänge in der Anmeldemaske wird mir angezeigt das der Client kein Netz hat (was auch richtig ist das der Rechner ja noch nicht auf meine Daten zugreifen kann)
Logge ich mich nun mit meinen Anmeldedaten ein meldet mir Windows das er versucht eine Verbindung zu dem WLAN-Netz herzustellen. Dies bricht jedoch ab.
Klicke ich auf die Verbindung wird mir angezeigt das die Zugangdaten nicht stimmen würden und ich mein Kennwort bitte eingeben soll. Mache ich dieses wird die Verbindung wieder aufgebaut.
Da wir den Usern nicht jeden Tag zumuten wollen ihr Passwort erneut eingeben zu müssen um ins WLAN zu kommen suche ich seit einer Woche nach einer Lösung, kann aber bisher noch nichtmal das Problem richtig eingrenzen. (Windows Hello? Radius-Konfig? Windows-Problem?)
In den Log-Dateien vom Radius sehe ich nur das mir eine Access-Challenge präsentiert wurde. Jedoch sehe ich keinen Grund warum er nicht das Windows-Passwort verwendet.
Nachdem wir nun endlich dazu kommen unser WLAN etwas abzusichern stoße ich schon auf das erste Problem bei dem ich nicht weiterkomme.
Zur Situation:
- Unsere Clients sind alle ausschließlich via WLAN an das Firmennetz angeschlossen
- Alle Clients nutzen Windows10 (20H2, einige noch 1909)
- Alle Clients sind AzureAD-Joined (Kein HybridJoin!)
- Es findet ein sync der User zwischen AAD und AD via AAD-Connect statt
- Es wird Windows Hello for Buisness zur Anmeldung genutzt (Fingerprint)
Nun das Problem:
Ich habe ein neues (Test)-WLAN aufgespannt welches eine Radius-Authentifizierung durchführen soll.
Verbinde ich einen Client zum ersten mal mit diesem Netz fragt mich Windows nach den Zugangsdaten.
Ich klicke an das er sich automatisch mit dem Netz verbinden soll und sage dem Rechner das er die Windows-Anmeldedaten verwenden soll (so das ich kein Passwort eingeben muss sondern Windows selbst die gecacheten Anmeldedaten verwendet)
Die Verbindung wird problemlos aufgebaut.
Starte ich nun den Rechner neu und hänge in der Anmeldemaske wird mir angezeigt das der Client kein Netz hat (was auch richtig ist das der Rechner ja noch nicht auf meine Daten zugreifen kann)
Logge ich mich nun mit meinen Anmeldedaten ein meldet mir Windows das er versucht eine Verbindung zu dem WLAN-Netz herzustellen. Dies bricht jedoch ab.
Klicke ich auf die Verbindung wird mir angezeigt das die Zugangdaten nicht stimmen würden und ich mein Kennwort bitte eingeben soll. Mache ich dieses wird die Verbindung wieder aufgebaut.
Da wir den Usern nicht jeden Tag zumuten wollen ihr Passwort erneut eingeben zu müssen um ins WLAN zu kommen suche ich seit einer Woche nach einer Lösung, kann aber bisher noch nichtmal das Problem richtig eingrenzen. (Windows Hello? Radius-Konfig? Windows-Problem?)
In den Log-Dateien vom Radius sehe ich nur das mir eine Access-Challenge präsentiert wurde. Jedoch sehe ich keinen Grund warum er nicht das Windows-Passwort verwendet.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 665229
Url: https://administrator.de/contentid/665229
Printed on: April 27, 2024 at 21:04 o'clock
5 Comments
Latest comment
Hallo,
leider fehlen ja erstmal ein paar Details.
Wer ist denn bei dir der Radius?
Auch kannst du die WLAN Settings für die Clients per GPO konfigurieren.
Alternativ bietet sich eine Authentifizierung der Clients per Zertifikat an.
Gruß
leider fehlen ja erstmal ein paar Details.
Wer ist denn bei dir der Radius?
Auch kannst du die WLAN Settings für die Clients per GPO konfigurieren.
Alternativ bietet sich eine Authentifizierung der Clients per Zertifikat an.
Gruß
Auch fehlt die Information WIE der Windows Dot1x Client eingestellt ist ob er individuell dot1x Username Passwort abfragt oder die Login Daten des Rechners nutzt ?? Oder ob er eine Zertifikats basierte Authentisierung nutzt. Raten im freien Fall... 
HI,
ich habe das so gelöst dass sich der Client per Zertifikat authentifiziert, das funktioniert dann auch vor der Anmeldung.
Benutzer / Kennwort verwende ich nur für Systeme, die nicht in der AD sind, aber ins Produktivnetz müssen.
Gruß
ich habe das so gelöst dass sich der Client per Zertifikat authentifiziert, das funktioniert dann auch vor der Anmeldung.
Benutzer / Kennwort verwende ich nur für Systeme, die nicht in der AD sind, aber ins Produktivnetz müssen.
Gruß
Der Radius ist ein Windows 2016 Server.
Per GPO konfigurieren wird schwer wenn die Geräte nur im Intune verwaltet werden. Zumindest habe ich noch keinen entsprechenden Weg gefunden. (Ja. Ein WLAN-Profil kann ich darüber verteilen, aber das bringt mir nichts wenn die Verbindung nach dem Reboot nicht automatisch aufgebaut wird)
Authentifizierung per Zertifikat wollte ich eigentlich verhindern da ich da noch weniger Ahnung von habe als von dem Rest.
Per GPO konfigurieren wird schwer wenn die Geräte nur im Intune verwaltet werden. Zumindest habe ich noch keinen entsprechenden Weg gefunden. (Ja. Ein WLAN-Profil kann ich darüber verteilen, aber das bringt mir nichts wenn die Verbindung nach dem Reboot nicht automatisch aufgebaut wird)
Authentifizierung per Zertifikat wollte ich eigentlich verhindern da ich da noch weniger Ahnung von habe als von dem Rest.
Username und Passwort. So zumindest ist der Plan.
Ich möchte das der User nur auf den Haken klickt und sich somit immer automatisch verbindet:
Stattdessen wird mir nach dem Reboot trotz des Hakens eine weitere Meldung angezeigt:
Ich möchte das der User nur auf den Haken klickt und sich somit immer automatisch verbindet:
Stattdessen wird mir nach dem Reboot trotz des Hakens eine weitere Meldung angezeigt:
