Radius, RIS und die Zertifikate

[v-ltier]

Verkürzte Projektbeschreibung:

An 13 Standorten werden bald AirPort Extremes installiert. Meine Aufgabe ist, eine geeignete WLAN Lösung zu finden.

IST – Zustand

3 Standorte besitzen schon einen AirPort von Apple, der mit einem individuellen WPA-PSK Schlüssel versehen ist. Die Nachteile von WPA-PSK sind sicher in der Einfachheit der Schlüssel zu suchen – weiss jemand das Wirelesspasswort, kann er oder sie sich auch mit dem privaten Laptop ins Internet einwählen.

Der zweite negative Punkt ist, dass die AirPorts nicht zentral veraltet werden. So könnte man viele Konfigurationsfehler (und somit Sicherheitslücken) umgehen.

Die Hardware der restlichen BBCs ist unbekannt.

SOLL – Zustand

Eine einheitliche, überschaubare WLAN-Lösung, die zentral verwaltet werden kann. Aus Gründen der Sicherheit soll die Authentifizierung über einen Radiusserver erfolgen.

Ein Testnetz soll aufzeigen, dass die Lösung realisierbar ist und mit einem WLAN-Konzept sollen die festzulegenden Grössen definiert werden.

Ziel ist es, in Zukunft eine möglichst sichere und dennnoch Leistungsstarke Wireless-Umgebung zu erhalten, bei der der User nichts oder wenig zu konfigurieren braucht.

So, was ich bisher erreicht habe:

Ich habe ein Testnetz aufgebaut, anfangs mit Problemen bei der Zertifizierung, danach hat die Authentifizierung mit Radius wunderbar geklappt.

Jetzt mein Anliegen - Ich habe es bisher nicht geschafft, die Zertifikate automatisch in der Active Directory zu verteilen, obwohl ich sie so markiert habe. Auf den Clients habe ich nichts weiter definiert, vielleicht hätte ich in den Gruppenrichtlinien bei den Public Key Policies noch etwas zu verändern. Mein Problem dabei: Das wird immer komplizierter - da wir die Laptops, die sich später mit dem RADIUS verbinden sollten nach jedem User (Laptops bekommen ca jeden Monat einen neuen "Besitzer") neu via Radius Recovern/Aufsetzen, müsste man entweder jedes mal die WLAN Einstellungen wieder neu einrichten und dann auch noch in den Gruppenlinien den Zertifikatszugriff zulassen, oder - wie mein anderer Gedanke war - man spielt die Zertifikate einfach via RIS-Server ein. Das Problem mit dem RIS-Server ist halt die Kompliziertheit der SIF-Files.

Ich zwar einen Link gefunden, der mir vielleicht hier helfen könnten, verstehe ihn aber nicht ganz:

Microsoft Corporation

Vielleicht wäre das die beste Lösung, mein Ziel ist es einfach, dass nur die Domänen-Computer und nicht die -Benutzer das Zertifikat für den RADIUS erhalten können. Egal wie. Hauptsache automatisch.

Da die WLAN-Konfiguration über XP auch sehr kompliziert ist, weil man ja in die Properties muss und explizit das installierte Root + das installierte Clientzertifikat anwählen muss wird die Lösung schlussendlich wohl doch im RIS oder in einem RunOnce File liegen, sofern dies mit so einem bat-file möglich ist.

Puh, soviel auf einmal, ja ich hoffe es ist verständlich und jemand kann mir helfen.

v-ltier

Frage in einem Satz: Wie kann ich Zertifikate nur auf Clients in der ActiveDirectory verteilen und wie vereinfache ich die Konfiguration auf ihnen?

Übrigens habe ich nützliche Links zum Thema Radius gefunden, die anderen usern sicher auch noch helfen könnten:

deutsche beschreibung:

Radius Server Authentifizierung

englische anleitung:

Wireless Networking in Windows 2003

[aLeXL]

Ähmn, hast du dir mal Gedanken über deine benötigte Zeit gemacht ?

Es gibt andere Leute, die machen ein komplettes Projekt nur über RIS und du machst RIS + Radius incl. Doku und allem in 35 Std, Respekt

[v-ltier]

ich mache gar kein RIS, hätte aber die möglichkeit den bestehenden zu verändern, wenn ich das machen möchte - ausserdem habe ich nicht 35h sondern 10 tage a ca 8 h zeit

-> schweiz

meine aufgabe ist nichts funktionierendes, nur das konzept dazu..