none
IKEv2 Client Certificate Authentication with IP-Filters / NPS rules RRS feed

  • Frage

  • Hallo zusammen,

    bei der Authentifizierung über Client-Zertifikate beim Einsatz von IKEv2 würde ich gerne weitere Details des Clients (bzw. AD-Gruppe o.Ä.) dazu benutzen, um den Zugriff auf bestimmte Netzbereiche zu erlauben oder zu verbieten, wie es üblicherweise über die Nutzung von NPS möglich wäre. Aus den Technet-Ressourcen geht hervor, dass NPS mit IKEv2 möglich ist, wenn EAP oder MS-CHAPv2 verwendet wird.

    Hat jemand von euch hiermit bereits Erfahrungen / stand in der Vergangenheit vor einer ähnlichen Herausforderungen?

    Gruß

    Montag, 26. Oktober 2015 08:23

Antworten

Alle Antworten

  • Hallo Tom,

    vielleicht hilft Ihnen die folgenden Artikeln ein bisschen weiter:

     Remote Access Deployment – Part 2

    Remote Access Design Guidelines – Part 3: Tunnel selection, Authentication, Authorization and Accounting

    Gruß,

    Teodora


    Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.

    Dienstag, 27. Oktober 2015 07:30
    Moderator
  • Hallo Teodora,

    ...nein, leider nicht. Ich kenne den Artikel, dieser behandelt das von mir angesprochene Thema nicht. Bei meiner Frage geht es explizit um IKEv2 with Client Certificate Authentication and NPS.

    Gruß

    Dienstag, 27. Oktober 2015 07:39
  • Hallo Tom,

    sorry, mein Fehler. So unter dem Link finden Sie folgendes: authentication, authorization, and accounting for wireless connections using Microsoft RADIUS Server (IAS/NPS)

    Und unter diesem Link finden Sie einen Thread, wo eine Lösung mit der Hilfe von GPO erwähnt ist: NPS- Security Filtering by groups with GPOs

    Und zu letzt, wie man eine NPS Richtlinie erstellen kann: Create NPS Policies for 802.1X Wireless Using a Wizard

    Ich hoffe diesmal könnte ich Ihnen weiter helfen.

    Gruß,

    Teodora 


    Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.


    Dienstag, 27. Oktober 2015 11:08
    Moderator
  • hmm, leider hat keiner der genannten Links etwas mit dem Thema zu tun. Gerne erläutere ich dieses nochmal im Detail, da das scheinbar nicht verständlich formuliert war:

    Unter Verwendung verschiedener VPN-Protokolle kann man eine Authentifizierung über eine NPS-Richtline konfigurieren. Scheinbar geht dieses jedoch nicht unter Verwendung von IKEv2 bei der Authentifizierung über ein Client-Zertifikat, da hier der IKEv2-Process die Authentifizierung scheinbar direkt durchführt. Somit hat der eingewählte Client vollen Zugriff auf alle Ressourcen, welche vom RemoteAccess-Server aus erreichbar sind.

    Mein Problem ist also nicht, dass ich Rückfragen dazu habe, wie ich eine NPS-Richtlinie oder den RRAS-Dienst allgemein konfiguriere. Es geht hier tatsächlich ausschließlich um IKEv2 mit Client-Zertifikat.

    Gruß

    Dienstag, 27. Oktober 2015 11:49
  • Moin,

    imho ist der RRAS für so ein Szenario nicht geeignet.

    Ich würde für diese Anforderung einen echten VPN Gateway oder eine Firewall mit mehreren Tunnelprofilen verwenden. Die Zuweisung der Profile bzw. die Autorisierung für das gewünschte VPN Profil kann dann ein NPS im Backend übernehmen.


    This posting is provided AS IS with no warranties.

    Dienstag, 27. Oktober 2015 19:22