Windows NAP/RADIUS

Eigenlijk heel makkelijk; geen self signed certificaat gebruiken maar eentje die onder een root valt die in de standaard CA store zit. Kost je een paar euro maar een stuk minder zorgen.

Wat is de manier van authenticatie welke je probeert te realiseren?

- EAP-TLS (certificaat authenticatie)
- PEAP EAP-MSCHAPv2 (username/password)
- PEAP EAP-TLS (certificaat authenticatie)

Doorgaans is PEAP EAP-MSCHAPv2 het meest straightforward qua provisioning aan de client-zijde. Voor EAP-TLS moet je je gebruikers laten "onboarden" zodat ze een certificaat op hun apparaat krijgen waarmee ze zich kunnen authenticeren.

Let in beide gevallen op het volgende:

- Voor integratie met eduroam dienen gebruikers zich aan te melden met gebruikersnaam@naamvanjeschool.nl (anders kunnen deze gebruikers zich niet aanmelden bij andere instellingen)

- Gebruik aan de kant van de RADIUS server een certificaat ondertekend door een bekende CA (zoals BarthezZ al zegt); dit zorgt vooral aan de Windows-kant voor minder issues.

- Instrueer je gebruikers om het certificaat te controleren ("validate server certificate" uitzetten zorgt voor een onveilige situatie!)

- Microsoft NPS is meest geweldige RADIUS server, vooral niet in combinatie met eduroam! Let hierop, kijk ook naar alternatieven (FreeRADIUS, Radiator, Aruba ClearPass)...

Je noemt overigens Microsoft NAP (Network Access Protection); dit is een Microsoft extensie waarmee je checks op de client kan doen over status van de firewall, virus scanner, etc; willen jullie dit gaan gebruiken?

BarthezZ schreef op donderdag 30 mei 2013 @ 21:33:
Eigenlijk heel makkelijk; geen self signed certificaat gebruiken maar eentje die onder een root valt die in de standaard CA store zit. Kost je een paar euro maar een stuk minder zorgen.

bij http://www.startssl.com kan je ze zelfs gratis krijgen...

Het certificaat welke je aan de RADIUS-zijde (Microsoft NPS dus) gebruikt heeft niets te maken met de DNS-naam of het domein welke je intern gebruikt.

De client wil checken of hij met de juiste RADIUS server praat alvorens hij zijn credentials afgeeft. Op de client configureer je:

- Certificate common naam: radius.school.nl
- Certificate signed by: <CA name> (bijv. StartCom)

Bovenstaand is wat de client checked tijdens het connecten. De client heeft nog geen netwerk connectiviteit en kan dus geen DNS checks of CRL/OCSP checks doen.

Om het certificaat aan te kunnen vragen moet je uiteraard wel eigenaar zijn van het externe domein.

Voor eduroam: Wanneer je een mismatch hebt in de UPN welke je intern en extern gebruikt dan kun je de username *niet* rewriten in Microsoft NPS (daarom zuigt NPS ook zo hard); daarvoor dien je wat truukjes uit te halen in AD wil je dat laten werken. Of simpelweg een betere RADIUS server gaan gebruiken.

Je hoeft je RADIUS server niet open te zetten richting het internet; ten zij je met Surfnet wil gaan koppelen voor eduroam (bij voorkeur zorg je voor de juiste firewalling zodat alleen de IP's van de Surfnet RADIUS servers toegestaan worden).

Voor de common-name waarop je het certificaat aanvraagt hoef je geen DNS entry te hebben. De client kijkt uitsluitend bij het connecten naar de common-name van het certificaat en naar welke certificate authority het certificaat ge-signed heeft.

Ik vermoed dat je een te hoog encryptie gebruikt die niet standaard ingebouwd is in windows XP. Echter geven ze onderaan dit topic een mogelijke oplossing.

http://social.technet.mic...-server-2008-r2-with-peap

Ik stel voor dat je zegt dat windows XP niet meer ondersteund wordt aangezien de updates binnen kort ook stoppen. We moeten echt van windows XP af het is tenslotten al 12 jaar oud.

Edit
Ik zie dat ze XP toch weer hebben verlengt tot 8 april 2014

[ Voor 20% gewijzigd door eddie4nl op 20-06-2013 23:24 ]