none
NPS, doppio metodo di autenticazione wireless? RRS feed

  • Domanda

  • Buongiorno,

    ho un windows 2008 server r2 su cui risiede un domain controller, un server nps e una root CA. A questo è collegato (wired) un access point configurato per contattare come RADIUS esterno l'nps appena citato. Ho già effettuato una prova con PEAP EAP-MSCHAPv2 e il tutto funziona.

    Ora dovrei però configurare un'accesso EAP-TLS.

    Il caso d'uso ideale sarebbe il seguente, per quanto riguarda un nuovo client:

     1) l'amministratore crea un'utenza sul dominio per il nuovo utente;

     2) l'amministratore inserisce il nuovo computer client nel dominio;

     3) l'amministratore genera il certificato per l'utente e lo importa, importando anche quello della CA.

     

    Il problema è: come possono avvenire i punti 1) e 2) se il computer client non ha ancora il certificato, e quindi non può connettersi alla rete wireless? E' possibile impostare una doppia autenticazione sia EAP-TLS che PEAP-EAP-MSCHAPv2 in modo che il primo accesso dal computer client lo fa l'amministratore tramite il suo account di dominio con username e password, così puo' mettere il computer in dominio e generare/importare il certificato?

     

    Grazie in anticipo per le risposte,

    Lorenzo

    mercoledì 21 luglio 2010 09:20

Risposte

Tutte le risposte

  • Potresti utilizzare le connection request policies per fare in modo che le macchine wireless a cui tu assegnerai (ad esempio) un certo IP in maniera manuale accedano con MS-CHAP-v2.

    Dopo aver effettuato la procedura di inserimento in dominio e certificazione, puoi rimettere l'indirizzamento in dinamico e applicare EAP.

    La policy di cui sopra puoi attivarla solo quando devi effettuare le operazioni iniziali, così da evitare che qualcuno sfrutti l'ip "speciale" per accedere in modo meno sicuro.


    -- Fabrizio Volpe MCSE (NT4) (2000) (2003) , MCSA (2003) , MCTS (SQL 2005) (Exchange 2007) (Windows 2008) Fortinet Certified Network Security Administrator (FCNSA)
    mercoledì 21 luglio 2010 10:07
  • Se ho capito bene quindi mi suggerisci questa soluzione:

    All'interfaccia wireless del client assegno un determinato indirizzo IP e configuro inizialmente questa interfaccia per utilizzare PEAP EAP MS-CHAP-v2.

    Avendo l'NPS configurato per EAP-TLS, aggiungo una connection request policy che mi intercetta le richieste da un Access Client con quel determinato IP assegnato e utilizzo "Override network policy authentication settings" nella scheda Settings?

    Sto facendo delle prove ma ancora non riesco a risolvere.

     

    Grazie,

    Lorenzo

    mercoledì 21 luglio 2010 12:52
  • Puoi avere più connection request policies e la prima della lista che "matcha" i parametri viene applicata.

    Se dai l'ip statico alla wireless e la prima policy della lista è la PEAP EAP MS-CHAP-v2 legata a tale ip, non viene utilizzata quella ?


    -- Fabrizio Volpe MCSE (NT4) (2000) (2003) , MCSA (2003) , MCTS (SQL 2005) (Exchange 2007) (Windows 2008) Fortinet Certified Network Security Administrator (FCNSA)
    mercoledì 21 luglio 2010 12:55
  • ho creato una connection request policy che ha come condition "Access Client IPv4 Address" con l'IP che ho assegnato all'interfaccia wireless di un client, ma nell'event viewer vedo l'errore "The RADIUS request did not match any configured connection request policy (CRP)". In effetti analizzando il log dell'evento l'IP in questione non viene riportato da nessuna parte...forse il problema è da riscontrare sull'access point che non invia tale informazione all'NPS?

     

    EDIT: aggiungo che ho messo questa regola come prima della lista.

    ciao,

    Lorenzo

    mercoledì 21 luglio 2010 13:02
  • Si, probabilmente l'access point non passa questo parametro in radius.

    Crea la connection request policy MS-CHAP-v2 per un utente e mettila in cima alla lista :-)


    -- Fabrizio Volpe MCSE (NT4) (2000) (2003) , MCSA (2003) , MCTS (SQL 2005) (Exchange 2007) (Windows 2008) Fortinet Certified Network Security Administrator (FCNSA)
    mercoledì 21 luglio 2010 13:12
  • Ancora non riesco, continuo con i test. Per il momento ti ringrazio, eventualmente conto ancora sulla tua gentilezza in caso di ulteriori domande ;)

     

    Ciao,

    Lorenzo

    mercoledì 21 luglio 2010 14:13
  • Io che uso esattamente il tuo metodo di autenticazione alla rete wireless non consento alcun tipo di connessione per il rilascio del certificato. Il certificato viene rilasciato mediante connessione wired o esportato su usbpen o su scheda secure digital.

    Ciao.


    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    giovedì 22 luglio 2010 17:29
    Moderatore
  • continuando a percorrere questa soluzione, secondo me, infici una buona parte del livello di sicurezza che vuoi ottenere.

    ciao.


    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    giovedì 22 luglio 2010 17:31
    Moderatore
  • Grazie della risposta Edoardo,

    si in effetti il livello di sicurezza si abbassa in questo modo, sono consapevole e sono d'accordo. Purtroppo non sono io a prendere decisioni su come e cosa fare , per cui dovrò continuare su questa strada (ho quasi del tutto risolto i problemi riportati).

     

    Ciao

    venerdì 30 luglio 2010 09:15
  • Comunque, se l'utente utilizzato per questa policy di "rilascio" dei certificati viene lasciato in disable e abilitato SOLO per il tempo necessario all'operazione, l'esposizione a livello di sicurezza è molto minore.
    -- Fabrizio Volpe MCSE (NT4) (2000) (2003) , MCSA (2003) , MCTS (SQL 2005) (Exchange 2007) (Windows 2008) Fortinet Certified Network Security Administrator (FCNSA)
    venerdì 30 luglio 2010 09:24