heise PlusAbo
Anzeige

Radius mit Windows Server

Seite 3: Zugang regulieren

Inhaltsverzeichnis

Regeln ĂĽber Regeln

Ein NPS beurteilt Anmeldeversuche auf Basis von Richtlinien. Es gibt Verbindungsanforderungsrichtlinien, Netzwerkrichtlinien und Integritätsrichtlinien. Im Normalfall genügt es, für jede Gruppe eine Verbindungsanforderungs- und eine Netzwerkrichtlinie zu erstellen. Über sie kann man die Zugriffsrechte gezielt einstellen. Integritätsrichtlinien braucht man nur für den zusätzlichen Netzwerkschutz NAP (Network Access Protection).
Das Verfahren hält unsichere Clients vom Netzwerk fern, was aber nur mit Windows funktioniert.

Mehr Infos

Zertifikate, warum eigentlich?

WPA2-Enterprise sieht verschiedene Verfahren zur Anmeldung vor, die auf dem Extensible Authentication Protocol (EAP) aufbauen. Die Variante PEAP stellt einen vernünftigen Kompromiss zwischen Sicherheit und Einfachheit dar. Es weist während des Anmeldevorgangs die Echtheit des Radius-Servers mithilfe eines Zertifikats aus. Das vermeidet, dass sich der Server eines Dritten als der eigene Radius-Server ausgibt und so die Login-Daten abgreift. Für höchste Sicherheit sorgt EAP-TLS. Dieses Authentifizierungsverfahren nutzt zusätzlich individuelle Zertifikate für Clients. Entsprechend muss man sowohl für den Server als auch für die Nutzer Zertifikate erstellen und verteilen.

Ein Assistent erstellt zusammengehörige Richtliniensätze. Um ihn zu starten, wählt man im NPS-Fenster im Dropdown-Menü unter der Überschrift "Standardkonfiguration" den Menüpunkt "RADIUS-Server für drahtlose oder verkabelte 802.1X Verbindungen" und klickt auf "802.1X konfigurieren". Im Einrichtungsfenster lässt sich zwischen drahtlosen und kabelgebundenen Verbindungen wählen und ein Name vergeben.

Nach einem Klick auf "Weiter", wählen Sie ihre im vorherigen Schritt konfigurierte WLAN-Basis aus und nutzen "PEAP" als Authentifizierungsmethode im nächsten Fenster. Öffnen sie danach mit einem Druck auf "Hinzufügen" das Fenster "Gruppe auswählen" und tippen Sie die gewünschten Gruppennamen ein. Ist ihnen das zu umständlich, klicken Sie auf "Erweitert". Dort listet ein Klick auf "Jetzt Suchen" alle auf dem Server befindlichen Nutzergruppen auf. Wählen Sie die gewünschte Gruppe und bestätigen Sie mit "OK".

Jetzt braucht es nur noch zwei Klicks auf "Weiter" und einen auf "Fertigstellen". Für das gewählte Beispiel Familienserver müssten Sie diese Routine zweimal durchlaufen, damit Eltern und Kinder jeweils einen Satz unabhängig editierbarer Zugangsregeln erhalten.

Mehr zum Thema

Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.

Forum bei heise online: WLAN

Beliebte Bestenlisten

Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten