Windows Home Server sichert WLAN

Für individuelle WLAN-Anmeldung mit Nutzername und Passwort braucht es weder einen Linux-Server mit Freeradius noch spezielle Hardware. Schon der Windows Home Server 2003 kann mit etwas Nachinstallieren und Konfigurieren WLAN-Stationen per 802.1X/Radius authentifizieren.

In Pocket speichern vorlesen Druckansicht 16 Kommentare lesen
Lesezeit: 7 Min.
Inhaltsverzeichnis

Bei Firmennetzen gehört die nutzerindividuelle Authentifizierung mit Name/Passwort oder Zertifikat per Radius zum Standardrepertoire. Selbst in Heimnetzen lässt sie sich nutzen, denn seit Windows Server 2003 gehört der Internet Authentication Service (IAS) als optionaler Netzwerkdienst selbst bei den kleinen Versionen (Home und Small Business Server) zum Lieferumfang – er wird nur nicht standardmäßig installiert. Im Folgenden beschreiben wir die IAS-Einrichtung für den Windows Home Server 2003, nachstehend kurz WHS. Sie funktioniert beim Small Business Server genauso, abgesehen von Details etwa bei der Nutzer/Gruppenverwaltung und den Zertifikaten.

Das Nachinstallieren und Konfigurieren klappt beim WHS am bequemsten über eine Remote-Desktop-Verbindung. Dann holen Sie den IAS über Systemsteuerung/Software/Windowskomponenten hinzufügen ins System. Dort wählen Sie "Netzwerkdienste" aus und rufen mit einem Klick auf "Details" deren einzelne Komponenten auf. Hier genügt es, allein den "Internetauthentifizierungsdienst" mit einem Häkchen zum Installieren zu markieren. Nun legen Sie die Windows-Home-Server-CD ein, falls die Installationsdaten nicht sowieso auf der lokalen Platte liegen, und schon kann die Installation laufen.

Als ersten Schritt sollten Sie das Logging Ihren Vorlieben anpassen: Über das Startmenü/Verwaltung/Internetauthentifizierungsdienst erreichen Sie das Konfigurationstool. Im Kontextmenü der Baumwurzel steckt der Eintrag "Eigenschaften", über den Sie unter dem Reiter "Allgemein" den Servernamen ändern können und festlegen, welche Ereignisse außer Fehlern der IAS aufzeichnet. Wenn Ihnen das IAS-Log zu geschwätzig ist, können Sie hier das Aufzeichnen abgewiesener oder erfolgreicher Anmeldeversuche ausschalten.

Bei den meisten WLAN-Basisstationen passt der RadiusClient-Typ „RADIUS Standard“, lediglich bei Cisco-Geräten müssen Sie eventuell umstellen. Nehmen Sie bei allen Radius-Clients den gleichen gemeinsamen Schlüssel.

Als nächsten Schritt tragen Sie mit einem Rechtsklick und "Neuer RADIUS-Client" im Konfigurationszweig "RADIUS-Clients" alle WLAN-Basisstationen (Access Points, APs) beziehungsweise Switches ein, über die sich (W)LAN-Nutzer anmelden sollen. Anders als bei Freeradius kann man hier keine IP-Adressbereiche angeben, sondern muss jedes Gerät individuell mit Friendly Name und Adresse eintragen. Zwar können Sie bei jedem Client auch ein individuelles Passwort (Shared Secret) für die Radius-Kommunikation eintragen, aber dasselbe für alle vermeidet unnötige Probleme. Bei Radius-Clients von Cisco müssen Sie noch den Client-Hersteller auf "Cisco" umstellen, weil deren Geräte in Details anders arbeiten als "RADIUS Standard".

Nun folgt das Erstellen mindestens einer Zugangsregel im Zweig "RAS-Richtlinien" per Rechtsklick. Folgen Sie dabei den Vorschlägen des Einrichtungshelfers, der nacheinander einen Namen für die Zugangsregel, die Schnittstelle ("Drahtlos" für WLAN) und eine freizugebende Nutzergruppe abfragt. Dazu klicken Sie am besten auf "Hinzufügen", dann "Erweitert" und im so vergrößerten Dialog auf "Jetzt suchen". Dann erscheint im unteren Fensterteil eine Liste aller Gruppen, aus der Sie bequem wählen können.