Radius mit Windows Server
Wem ein Gemeinschaftspasswort für das WLAN nicht ausreicht, der kann sein Funknetz mit individuellen Benutzerkonten über Radius absichern. Das ist bei Netzen mit vielen Nutzern sinnvoll und funktioniert mit Windows Servern bereits ab Werk. Wir erklären die Einrichtung und Konfiguration.
- Florian Klan
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externes Video (Kaltura Inc.) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Kaltura Inc.) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
Überall, wo viele wechselnde Nutzer und Geräte Zugang zu einem Funknetzwerk benötigen, stößt WPA2 an seine Grenzen. Kommt der gemeinsame Zugangsschlüssel in die falschen Hände, steht ein Kennwortwechsel für alle an. Damit nicht Alles von einem einzigen Schlüssel abhängt, wird bei WPA2-Enterprise der Zugang für jeden Benutzer zum WLAN über individuelle Zugangsdaten (Credentials) gelöst. Bucht sich ein Benutzer mit einem Mobilgerät im WLAN ein, fragt der Access-Point einen Radius-Server (Remote Dial In User Service), ob der Nutzer überhaupt auf das Netz zugreifen darf. Der Server lässt dann entweder die Verbindung zu oder weist sie ab. Den Radius-Server liefert Microsoft in allen aktuellen Varianten des Windows Server in Form des Netzwerkrichtlinienservers (engl. Network Policy Server) mit.
Für die Inbetriebnahme benötigen Sie neben Server und Clients auch einen WPA2-Enterprise-fähigen Access Point (WLAN-Basis). Die nötigen Einrichtungsschritte haben wir für den veralteten Windows Home Server 2003 in dem Artikel "Windows-Home-Server-sicher-WLAN" gezeigt. Das Folgende zeigt die bei aktuellen Servern nötige Vorgehensweise und widmet sich der Konfiguration stationärer und mobiler Clients. Zur Veranschaulichung dient ein Heimnetzwerk mit jeweils einer Benutzergruppe für Eltern und Kinder.
Wer sich erst noch eine Version des Server-Betriebssystems von Mircosoft kaufen will, bezahlt im günstigsten Fall 40 Euro für den nur noch in Restposten verfügbaren Windows Home Server 2011. Die aktuellen Einsteiger-Server 2012 R2 Foundation und Essentials sind ab 200 Euro und 320 Euro erhältlich. Bei den großen Servern 2012 R2 Standard (574 Euro (ab 179,91 €)) und Datacenter (3900 Euro (ab 1142,95 €)) kommen zum Anschaffungspreis noch Kosten für Nutzer-Client-Access-Licenses (rund 110 Euro für 5 Lizenzen) oder Geräte-Client-Access-Licenses (ab 100 Euro für 5 Lizenzen) hinzu. Jede Lizenz eines großen Servers gilt für zwei physische CPUs (Kerne werden nicht gezählt).
Server und Basis aufmöbeln
Wie Sie den Radius-Server am einfachsten installieren, hängt von der verwendeten Server-Version ab: Nutzer des Home Server 2011 können direkt mit der Konfiguration starten, Nutzer anderer Server-Versionen müssen womöglich zunächst Domänen-Dienste (Active Directory) und die Zertifizierungsstelle vollständig einrichten (siehe Kasten "Zertifikatsquerelen"). Mindestens auf dem Server braucht man nämlich ein Zertifikat. Erst dann sollten Sie die Rolle "Netzwerkrichtlinienserver" (NPS) hinzufügen.
Der NPS greift auf dieselben Benutzerkonten zurück wie die übrigen Server-Dienste, um Benutzer zu identifizieren. Die Vergabe von Zugriffsrechten erledigt man am besten über dafür eigens eingerichtete Gruppen. Die sollten Sie spätestens jetzt für die weitere Konfiguration anlegen.
Ob Nutzer und Gruppen in einem Active Directory liegen oder in einer lokalen Nutzerdatenbank wie beim Home Server, ist dem NPS herzlich egal. Im Active Directory empfiehlt Microsoft Benutzerkonten in globalen Gruppen zusammenzufassen und diese wiederum über lokale Gruppen mit unterschiedlichen Rechten zu versorgen.
