Radius + AD autentikacio kerdes
Molnár Géza
molnar at valyip.hu
2011. Május. 2., H, 08:40:22 CEST
Kedves Kovács Marietta!
Mielőtt nekilátnál RADIUS authentikációt készíteni érdemes kissé megnézni hogyan is működik a Windows 2008 R2 környezetben. A sok közül itt egy link a telepítéshez http://www.fatofthelan.com/technical/using-windows-2008-for-radius-authentication/
Először is szükséges egy AD tanúsítvány szolgáltatás megfelelően konfigurálva. Majd hálózati házirend-szolgáltató alatt üzemeltetett RADIUS ügyfelek és kiszolgálók szolgáltatás. A WiFi-n keresztül csatlakozó notebookoknak AD tartományi tagoknak kell lenni. A "Hálózati házirendben" tudtára kell adni a rendszernek azokat a számítógépeket és felhasználókat akik a WiFi-n keresztül fognak authentikálni. A belépéskor egy előhitelesítés fog lefutni, (ezért van szükség a gép nevének a megadására a hálózati házirendbe) ekkor megkapja az IP paramétereket és a tanúsítványt a notebook a WiFin keresztül. Utána történik a felhasználó azonosítása, ha ez sikeres akkor lesznek a felhasználó számára elérhetőek a hálózati erőforrások. Ha a felhasználónak korábban már létrejött a profilja a helyi számítógépen akkor a helyi gépről lehitelesíthet, ha nem érhető el a WiFi. Ha sikertelen az authentikáció lesz IP címe a gépnek (ha a gép neve engedélyezve van a hálózati házirendbe), de nem tud kommunikálni a WiFi eszközön keresztül a hálózattal. A Win7 esetén, ha a "vezeték nélküli hálózat tulajdonságai" speciális beállításainál az "Azonnali végrehajtás a felhasználó bejelentkezése előtt" kapcsolót bekacsolod akkor lehet belépni a hálózatba, ha elérhető a vezeték nélküli eszköz és rendben lefutott az authentikáció. Ellenkező esetben visszadobja a felhasználót. Ezt csak akkor célszerű bekapcsolni, ha nem viszik haza a gépet, vagy nem használják olyan helyen ahol nem érhető el a vezeték nélküli hálózat.
Ha nem tagja a tartománynak akkor nem tud csatlakozni a WiFi hálózathoz, mert a tanúsítványt sem fogadja el ugyanis a tanúsítvány kötött az FQDN-hez.
Remélem tudtam némi információt adni a kérdésedre.
--------------------------------------------------
Molnár Géza
Rendszergazda & CCNA
TMÖ Szent László TISZK Vályi Péter Szakképző Iskolai Tagintézménye
7090 Tamási, Deák Ferenc u. 6-8.
e-mail: molnar at valyi.szltiszk.hu
-----Original Message-----
From: techinfo-bounces+molnar=valyip.hu at lista.sulinet.hu [mailto:techinfo-bounces+molnar=valyip.hu at lista.sulinet.hu] On Behalf Of Kovács Marietta
Sent: Sunday, May 01, 2011 12:34 PM
To: techinfo
Subject: Radius + AD autentikacio kerdes
Remélhetően nemsokára hozzánk is elér a TIOP. Mire felszerelik a WIFI-ket szeretném leváltani a mostani "kissé elavult" architektúrát. Amit szeretnék: adott x db, nem tartományi tag laptop, amelyről el kellene érni a vezetéknélküli eszközökön keresztül a hálózatot + y db tartományi user, saját fh névvel + jelszóval (Windows 2008 domain). Szeretném, hogy laptopokon a userek a saját fh nevükkel + jelszavukkal kapcsolódnának a vezetéknélküli hálózathoz (és persze szabályoznám, hogy ezt ki teheti meg). A leírások alapján ez az "Enterprise mode of Wi-Fi Protected Access (WPA or WPA2)" c. játék, de arra nézve nem találtam választ, hogy ez úgy is működik-e amikor a laptop maga nincs beléptetve a tartományba. Valakinek van ezzel kapcsolatban tapasztalata? Esetleg valami jó kis weblap leírással?
További információk a(z) Techinfo levelezőlistáról