RADIUS Server zur WLAN-Absicherung unter Windows Server 2003 einrichten

Motiviert durch die Lektüre des Artikels WLAN sichern mit RADIUS bei heise Netze wollte ich das ganze mal unter Windows Server 2003 nachbauen.

Ich möchte das Thema hier bewusst nicht erschöpfend behandeln. Wer gewisse Grundkenntnisse zum Thema RADIUS hat oder es einfach mal so probieren möchte sollte mit meiner Beschreibung aber einigermaßen dazu in der Lage sein ein einfaches Setup aufzubauen.
Jedem der sich für das Thema ernsthaft interessiert möchte ich die Lektüre des verlinkten Artikels bei heise Netze übrigens dringend empfehlen. Dieser schadet übrigens auch als Grundlage für meinen Kurztrip nichts.

Prinzip

Kurz umrissen verwendet man bei der RADIUS Authentifizierung an einem WLAN kein WLAN Passwort das für alle gültig ist sondern individuelle Zugänge. Bei meiner Umsetzung in Verbindung mit Active Directory ist idr. das eine Userkennung oder ein Computerkonto im AD.

Dabei nimmt der AP die Loginanfrage entgegen und authentifiziert diese gegen den RADIUS Server der dann die Freigabe gibt sodass der RADIUS-fähige WLAN AP die Freigabe gibt und den Client ins Netz lässt – oder eben nicht. Wer sich genauer für die Funktionsweise und gebräuchlichen Begrifflichkeiten interessiert kann sich darüber ebenfalls im oben verlinkten Artikel bestens informieren.

Voraussetzung

Voraussetzung für die Umsetzung ist ein WLAN AP der RADIUS kann. Mein Linksys WAP610N kann RADIUS in Verbindung mit WPA2 Enterprise.

Installation & Konfiguration

Auf dem Server der RADIUS-Server werden soll installiert man zuerst (unter Systemsteuerung -> Software -> Windows-Komponenten hinzufügen/entfernen) den „Internetauthentifizierungsdienst“ (unter „Netzwerkdienste“).

Diesen findet man anschließend unter „Systemsteuerung -> Verwaltung“ wieder.

In der MCC-basierten Verwaltung legt man nun im Knoten „RADIUS-Clients“ den AccessPoint an.
Vorsicht: die Bezeichnung „RADIUS-Client“ mag etwas irreführend klingen. Gemeint sind hier nicht die Clients die sich später per RADIUS ins WLAN einklinken sondern die „Authenticators“, also der WLAN AP selbst der Verbindungsanfragen beim RADIUS Server prüft.

Wichtig sind hier die Angaben „Adresse“ (ich verwende in solchen Fällen gern die IP-Adresse weil DNS-Störungen dann keinen Einfluss auf die Funktion haben) und „Gemeinsamer geheimer Schlüssel“. Der gemeinsame geheime Schlüssel ist ein Passwort das im Zusammenhang mit RADIUS auf dem AP ebenfalls eingetragen werden muss damit sich der AP gegenüber dem RADIUS Server Authentifizieren kann.

Der nächste ausschlaggebende Punkt sind die RAS-Richtlinien.
An dieser Stelle werden Regelsätze festgelegt nach denen Verbindungsanforderungen geprüft und erlaubt oder verweigert werden.

Ich habe die Standardrichtlinie gelöscht und mir eine eigene gebaut. Am einfachsten geht das mit der Verwendung des Assistenten die ich im folgenden mit Screenshots dokumentiert habe.

Die Verbindungsanforderungsrichtlinien unter dem Knoten Verbindungsanforderungsverarbeitung sind vor allem dann interessant wenn Verbindungsanfragen unter bestimmten Umständen (oder immer) an andere RADIUS Server weitergegeben werden sollen.

Für Setups im einfacheren Umfang sind diese Regeln nicht wichtig und es ist auch nicht notwendig hier Änderungen vorzunehmen da die Standardrichtlinie für das einfache Szenario dass der eben installierte RADIUS Server alle Verbindungsanfragen bearbeitet bereits korrekt konfiguriert ist.

Fehlerbehandlung

Sämtliche Fehler- und Erfolgsmeldungen auf dem RADIUS-Server tauchen in der Ereignisanzeige auf dem RADIUS-Server im Protokoll System unter der Quelle IAS auf.