Windows RADIUS Server Konfigurieren

Für einen RADIUS (Remote Authentication Dial-In User Service) Server auf einem WINDOWS Server:

https://theitbros.com/radius-server-configuration-on-windows

  • Active Directory einrichten – DNS + AD domänendienste sind Notwendig

wenn der AD eingerichtet ist und Läuft:

NPS einrichten

info: bei Fehlern unter „ereignisanzeige – Serverrollen“ schauen

  • den Dienst „Netzwerkrichtlinienserver“ Installieren (Wenn der RADIUS euf einem anderen Server oder VM als der AD läuft, muss dieser in die Domäne gehoben werden)
  • Netzwerkrichtlinienserver Konfigurieren
    1. NPS in AD registrieren
      1. unter Tools im Server Manager > netzwerkrichtlinienserver
      2. Rechtsklick auf „NPS (lokal)“
        1. Server in Active Directory registrieren
        2. cmd: netsh ras add registeredserver
        3. cmd: netsh ras show registeredserver
    2. RADIUS-Clients anlegen (Access Points zum RADIUS hinzufügen)
      1. RADIUS-Clients und Server → RADIUS-Clients → Neu…
      2. Eintragen:
        • Name: z. B. WLAN-AP
        • IP-Adresse: des APs
        • Gemeinsames Geheimnis (Shared Secret): frei wählen (muss auf beiden Seiten identisch sein – auf RADIUS und AP)
          • WENN z.B. ein Omada Controller verwendet wird: Omada Controller und AP müssen als Radius client angelegt werden
    3. WLAN auf z.B. Omada Controller einrichten
      1. SSID erstellen, Sicherheit WPA-Enterprise
      2. Radius Profil anlegen
        1. Radius Server eingeben , Authentifizierungsport Standardmäßig: 1812
        2. Shared Secret / Authentifizierungskennwort eingeben

Jetzt muss noch Konfiguriert werden, damit sich AD nutzer Anmelden können:

Für PEAP-MS CHAP V2

  • Netzwerkrichtlinien definieren: Damit NPS weiß, welche Benutzer sich anmelden dürfen:
    1. Richtlinien → Netzwerkrichtlinien → Neu
    2. Regelname, z. B. „WLAN Auth“
    3. Bedingungen hinzufügen:
      • Benutzergruppe: z. B. Domänen-Benutzer oder WLAN-Gruppe
    4. Zugriff zulassen
      • Authentifizierungsmethoden:
        • Microsoft: Geschütztes EAP (Peap)
          • Bearbeiten und CA Zertifikat auswählen
  • Zertifikat für Radius ausstellen:
    • Saubere Einrichtung mit Active Directory-Zertifizierungsstelle (empfohlen) Für produktive Nutzung solltest du eine interne CA (Zertifizierungsstelle) einrichten:
      • Auf dem Domain Controller:
        • Rolle hinzufügen → Active Directory-Zertifikatdienste (AD CS) → Zertifizierungsstelle
        • Typ: Unternehmens-Stammzertifizierungsstelle
      • Danach auf dem NPS:
        • So öffnest du MMC:
        • Drücke Windows + R
        • Tippe mmc ein und drücke Enter
        • Im MMC: Gehe zu DateiSnap-In hinzufügen/entfernen
        • Wähle Zertifikate aus der linken Liste
        • Klicke Hinzufügen
        • Wähle „Computerkonto“ (wichtig!)
        • Lokaler ComputerFertig stellenOK
        • Jetzt navigierst du:
        • Links im Baum: Zertifikate (Lokaler Computer)PersönlichRechtsklick auf "Zertifikate"
        • Alle AufgabenNeues Zertifikat anfordern
        • Vorlage: RADIUS-Server oder Computer
        • Wenn nicht Vorhanden: Zertifizierungsstelle (MMC) öffnen Rechtsklick auf Zertifikatvorlagen → Neu → Auszustellende Zertifikatvorlage Suche und aktiviere: „RAS- und IAS-Server“
  • Anmelden auf Handy:
  • EAP-Methode: PEAP
  • Phase 2-Authzentifizierung: MSCHAPV2
  • CA-Zertifikat: nicht Validieren
  • Identität: User@Domäne z.B.
  • Anonyme Identität: „name-des-Users“
Wenn am Handy CA-Zertifikat auf „nicht Validieren“ gesetzt ist, gibt es Warnmeldungen. Wie müssen das Zertifikat der CA auf dem Handy Installieren und dieses zur Anmeldung Auswählen… so haben wir keine Warnmeldungen und erhöhte Sicherheit. Das Handy Prüft ohne ausgewähltes CA-Zertifikat nicht, ob es sich am Richtigen Server anmeldet (Angreifer könnten in der Theorie einen „Fake“ RADIUS Server aufsetzen:

Öffne die MMC auf dem Server (wie oben: Win + r).

Gehe zu Zertifikate (Lokaler Computer) -> Vertrauenswürdige Stammzertifizierungsstellen -> Zertifikate.

Suche dort nach dem Zertifikat, das den Namen deiner Domäne/CA trägt (z. B. „Test-CA“ oder „AD-CA“).

Rechtsklick auf dieses Zertifikat -> Alle Aufgaben -> Exportieren….

Im Assistenten: „Nein, den privaten Schlüssel nicht exportieren“ wählen (ganz wichtig! Der private Schlüssel darf niemals den Server verlassen).

Wähle das Format „Der-codiert-binär (.CER)“.

Speichere die Datei (z. B. Firmen-Root-CA.cer).

Das .cer auf Handy Übertragen und Installieren

Kontoführung Aktivieren

im NPS unter Kontoführung

  • Button: Kontoführung Konfigurieren
  • ich mache: Log to Text File
  • Rest nach Wunsch oder auf Standard lassen

Um von einem PC zu testen ob die Authentifizierung am Radius generell funktioniert:

https://community.opentext.com/portfolio/oes/w/tips/9928/ntradping-1-5-radius-test-utility

PC muss dann als RADIUS-Client hinzugefügt werden, unter NPS > Netzwerkrichtlinien müssen Temporär unsichere Authentifizierungsmethoden zugelassen werden (bei Einschränkungen)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert