 |
|
|
|
| Autor |
Nachricht |
HeinoN
Anmeldungsdatum: 06.12.2008
Beiträge: 9
|
 Verfasst am:
Do 04 Feb, 2010 11:45 |
  |
|
Hallo zusammen,
unsere User Authentifizieren sich gegen einen Radius Server, das funktioniert auch alles soweit. Jetzt möchte ich zusätzlich sicherstellen, dass sich die User nur mit bestimmten Geräten einloggen können.
Dazu würde ich gerne die MAC-Adressen über RADIUS Authentifizieren. Geht das und was muss ich dazu auf dem Access Points einstellen. Wie trage ich die Mac-Adressen auf dem Radius Server (IAS von Microsoft) ein?
Viele Grüße,
Heino |
|
|
   |
|
Guest
|
| Verfasst am:
|
|
|
|
|
|
alf29
Moderator
Anmeldungsdatum: 07.11.2004
Beiträge: 4409
Wohnort: Aachen
|
| Verfasst am:
Do 04 Feb, 2010 12:30 |
|
|
Moin,
| Zitat:
|
|
Jetzt möchte ich zusätzlich sicherstellen, dass sich die User nur mit bestimmten Geräten einloggen können.
|
Dir ist schonklar, daß MAC-Adressen sich recht leicht ändern
lassen, das also keine besonders hohe zusätzliche Hürde
ist?
| Zitat:
|
Dazu würde ich gerne die MAC-Adressen über RADIUS Authentifizieren. Geht das und was muss ich dazu auf dem Access Points einstellen. Wie trage ich die Mac-Adressen auf dem Radius Server (IAS von Microsoft) ein?
|
Du kannst unter Setup->WLAN den 'Access-Mode' auf
'positiv' stellen und unter 'Setup->WLAN->RADIUS-Access-
Check' die Daten des RADUIS-Servers (IP-Adresse, Port,
Secret) hinterlegen. Vor der 1x-Authentisierung fragt das
LANCOM dann nach einem "Benutzer" der Form
"aabbcc-ddeeff", wobei aa:bb:cc:dd:ee:ff die MAC-Adresse
des Clients ist. Als "Paßwort" wird je nach Einstellung von
Setup->WLAN->RADIUS-Access-Check->Password-Source
entweder das gleiche oder das shared secret übermittelt.
Beachte aber bitte, daß sich damit keine 1:1-Zuordnung
von MAC-Adressen und 1x-Benutzerkennungen ergibt -
die beiden Sachen laufen unabhängig voneinander, ein
Benutzer mit einer zugelassenen MAC-Adresse könnte
die 1x-Benutzerkennung eines anderen zugelassenen
Benutzers verwenden. Wenn man das miteinander
verknüpfen möchte, ist die separate MAC-Prüfung der
falsche Weg, der RADIUS-Server, der die
1x-Authentisierung macht, müßte dazu zusätzlich das
RADIUS-Attribut 'Calling-Station-Id' mit auswerten, in dem
er vom AP die Client-MAC-Adresse übermittelt bekommt.
Wie man das mit einem IAS machen könnte, weiß ich
aber nicht.
Gruß Alfred |
|
|
 |
|
HeinoN
Anmeldungsdatum: 06.12.2008
Beiträge: 9
|
| Verfasst am:
Do 04 Feb, 2010 13:06 |
|
|
Das man die MAC-Adressen leicht fälschen kann ist mir klar, aber ganz ohne kann jeder User seine Private Hardware einfach so ins Netz hängen wenn er einen Firmenlaptop hat.
Im LANconfig finde ich weder den Punkt Access-Mode noch den punkt RADIUS-Access-Check...
WIr haben hier L-305agn mit V7.70.
Viele Grüße,
Heino |
|
|
|
|
alf29
Moderator
Anmeldungsdatum: 07.11.2004
Beiträge: 4409
Wohnort: Aachen
|
| Verfasst am:
Do 04 Feb, 2010 18:02 |
|
|
Moin,
scusi, wenn ich Pfade angebe, bezieht sich das immer auf
die CLI bzw den LCOS-Menübaum in der WEBconfig (mit
Windows hab' ich's nicht so...)
Wireless LAN -> Stationen: Vn den Radio-Buttons die
zweite Variante wählen (Daten von den aufgeführten
Stationen übertragen...), und dann direkt darunter den
RADIUS-Server eintragen.
Gruß Alfred |
|
|
|
|
|
|
|
|
| |
|
|
