Windows Home Server sichert WLAN

Inhaltsverzeichnis

Bei Firmennetzen gehört die nutzerindividuelle Authentifizierung mit Name/Passwort oder Zertifikat per Radius zum Standardrepertoire. Selbst in Heimnetzen lässt sie sich nutzen, denn seit Windows Server 2003 gehört der Internet Authentication Service (IAS) als optionaler Netzwerkdienst selbst bei den kleinen Versionen (Home und Small Business Server) zum Lieferumfang – er wird nur nicht standardmäßig installiert. Im Folgenden beschreiben wir die IAS-Einrichtung für den Windows Home Server 2003, nachstehend kurz WHS. Sie funktioniert beim Small Business Server genauso, abgesehen von Details etwa bei der Nutzer/Gruppenverwaltung und den Zertifikaten.

Das Nachinstallieren und Konfigurieren klappt beim WHS am bequemsten über eine Remote-Desktop-Verbindung. Dann holen Sie den IAS über Systemsteuerung/Software/Windowskomponenten hinzufügen ins System. Dort wählen Sie "Netzwerkdienste" aus und rufen mit einem Klick auf "Details" deren einzelne Komponenten auf. Hier genügt es, allein den "Internetauthentifizierungsdienst" mit einem Häkchen zum Installieren zu markieren. Nun legen Sie die Windows-Home-Server-CD ein, falls die Installationsdaten nicht sowieso auf der lokalen Platte liegen, und schon kann die Installation laufen.

IAS-Konfiguration

Als ersten Schritt sollten Sie das Logging Ihren Vorlieben anpassen: Über das Startmenü/Verwaltung/Internetauthentifizierungsdienst erreichen Sie das Konfigurationstool. Im Kontextmenü der Baumwurzel steckt der Eintrag "Eigenschaften", über den Sie unter dem Reiter "Allgemein" den Servernamen ändern können und festlegen, welche Ereignisse außer Fehlern der IAS aufzeichnet. Wenn Ihnen das IAS-Log zu geschwätzig ist, können Sie hier das Aufzeichnen abgewiesener oder erfolgreicher Anmeldeversuche ausschalten.

Als nächsten Schritt tragen Sie mit einem Rechtsklick und "Neuer RADIUS-Client" im Konfigurationszweig "RADIUS-Clients" alle WLAN-Basisstationen (Access Points, APs) beziehungsweise Switches ein, über die sich (W)LAN-Nutzer anmelden sollen. Anders als bei Freeradius kann man hier keine IP-Adressbereiche angeben, sondern muss jedes Gerät individuell mit Friendly Name und Adresse eintragen. Zwar können Sie bei jedem Client auch ein individuelles Passwort (Shared Secret) für die Radius-Kommunikation eintragen, aber dasselbe für alle vermeidet unnötige Probleme. Bei Radius-Clients von Cisco müssen Sie noch den Client-Hersteller auf "Cisco" umstellen, weil deren Geräte in Details anders arbeiten als "RADIUS Standard".

Nun folgt das Erstellen mindestens einer Zugangsregel im Zweig "RAS-Richtlinien" per Rechtsklick. Folgen Sie dabei den Vorschlägen des Einrichtungshelfers, der nacheinander einen Namen für die Zugangsregel, die Schnittstelle ("Drahtlos" für WLAN) und eine freizugebende Nutzergruppe abfragt. Dazu klicken Sie am besten auf "Hinzufügen", dann "Erweitert" und im so vergrößerten Dialog auf "Jetzt suchen". Dann erscheint im unteren Fensterteil eine Liste aller Gruppen, aus der Sie bequem wählen können.

Nutzerliste

Wenn Sie "Windows Home Server Users" angeben, bekommen automatisch alle eingerichteten Nutzer WLAN-Zugang mit ihren bereits eingetragenen Namen und Passwörtern. Die letzte Einstellung ist die Authentifizierungsmethode: Der IAS schlägt "Geschütztes EAP" vor, was Sie ohne Änderungen bestätigen.

Um das Anmelden etwa für den Nachwuchs zeitlich einzuschränken, richten Sie zunächst weitere Nutzergruppen für Eltern und Kinder über die Computerverwaltung (Start/Verwaltung/Computerverwaltung) ein und fügen den Gruppen die passenden Nutzer hinzu. Dann erstellen Sie zugehörige Zugangsregeln wie oben beschrieben und ändern anschließend die Kinder-Regel: Über Eigenschaften/Profil bearbeiten/Einwahleinschränkungen können Sie erlaubte Zeiten für die Anmeldung vorgeben.

Beim WHS gibt es eine Merkwürdigkeit: Die grafische Darstellung der erlaubten Login-Zeiten läuft Montag bis Sonntag, die Textliste indes Sonntag bis Samstag. Als wir in der Grafik den Freitag bearbeiteten, wirkte die Änderung deshalb auf den Donnerstag.

Die Zugangsregeln wertet IAS der Reihe nach aus: Greift schon die erste, werden die weiteren nicht mehr überprüft. Hat also beispielsweise die Nutzergruppe in der ersten Regel jederzeit Zugang, dann wirken zeitliche Einschränkungen für die gleiche Gruppe in einer Folgeregel nicht. Deshalb kann der Administrator sie über das Kontextmenü umsortieren.

Zertifikat-Transfer

Zwar ist der IAS jetzt schon einsatzbereit, doch fehlt auf den PCs, die sich anmelden sollen, noch ein wesentlicher Bestandteil: Ohne das vom WHS bei der Installation selbst generierte Stammzertifikat verweigert Windows die IAS-Anmeldung.

Rufen Sie auf dem WHS über Start/Ausführen/certmgr.msc den Zertifikatmanager auf. Unter Vertrauenswürdige Stammzertifikate finden Sie einen Eintrag ähnlich wie "M7BD5B…" Typischerweise gilt dieses Zertifikat rund fünfzig Jahre ab Installationszeitpunkt. Sie finden es also leicht, indem Sie per Klick auf die Tabellenspalte "Gültig bis" umsortieren. Per Rechtsklick auf den Eintrag können Sie das Zertifikat unter "Alle Aufgaben" exportieren. Folgen Sie dabei wiederum den Vorschlägen des Wizard und kopieren Sie die entstandene Datei auf einen USB-Stick, um sie später auf allen PCs zu importieren, die sich per Radius ans WLAN anmelden sollen.

Im letzten Schritt öffnen Sie die Ports 1812/UDP (Authentifizierung) und optional 1813/UDP (Accounting) in der Windows-Firewall, damit diese Radius-Pakete zum IAS durchlässt. Ältere Radius-Clients nutzen alternativ 1645/UDP und 1646/UDP, die Sie bei Bedarf zusätzlich öffnen.

WLAN-Verbindungen einrichten

Das Importieren des Stammzertifikats klappt bei Windows XP mit einem schlichten Doppelklick auf die Datei. Nach "Zertifikat installieren" und Bestätigen der Sicherheitswarnung legt XP das Zertifikat automatisch im richtigen Speicher ab. Bei Windows 7 müssen Sie dagegen manuell "Stammzertifizierungsstellen" als gewünschten Ablageort wählen.

Das Einrichten des Radius-gesicherten WLAN auf den PCs klappt am schnellsten manuell, hier kurz zusammengefasst: Unter Windows XP erstellen Sie eine neue WLAN-Verbindung, tragen Funknetznamen und passende Verschlüsselung (typisch WPA2/AES) ein. Dann stellen Sie unter Authentifizierung auf "Geschütztes EAP (PEAP)" um, wählen bei "Eigenschaften" das eben importierte Stammzertifikat und deaktivieren die Aufforderung zur Autorisierung neuer Server sowie bei der Authentizierungsmethode EAP-MSCHAPv2 das automatische Verwenden der Windows-Anmeldedaten.

Unter Windows 7 erstellen Sie im Netzwerkcenter eine neue Verbindung mit Sicherheitstyp WPA2-Enterprise und ändern die "Sicherheit" der Verbindung: Aktivieren Sie das eigene Stammzertifikat, deaktivieren in den Einstellungen der Authentifizierungsmethode das automatische Übergeben der Windows-Anmeldedaten und stellen noch unter "Erweiterte Einstellungen" als Authentifizierungsmodus "Benutzerauthentifizierung" ein.

Mit Linux nutzen Sie am besten den NetworkManager als Netzwerkverwalter. Kopieren Sie das Stammzertifikat auf den lokalen Massenspeicher und richten dann die WLAN-Verbindung mit PEAP und MSCHAPv2 ein. Bei Mac OS X müssen Sie das Zertifikat in den "System"-Bereich importieren und dabei seine Vertrauensstellung auf "Immer vertrauen" setzen.

Fehlersuche

Wenn die WLAN-Anmeldung per Radius partout nicht klappen will, obwohl Sie hundertprozentig sicher sind, dass Name und Passwort stimmen, dann prüfen Sie, ob der IAS überhaupt läuft. Bei uns stoppte der Dienst manchmal nach Änderungen an Zugangsregeln und musste manuell wieder gestartet werden.

Werfen Sie auch einen Blick in die Windows-Ereignisanzeige; die IAS-Meldungen erscheinen unter "System". Ein Doppelklick auf den jüngsten Eintrag offenbart meist die Ursache fehlgeschlagener Anmeldeversuche. Wenn dort ein unbekannter Nutzer oder ein falsches Passwort moniert und als EAP-Typ nicht MS-CHAPv2 angezeigt wird, haben Sie sehr wahrscheinlich vergessen, das Stammzertifikat auf dem anmeldenden PC zu importieren. (ea)