Client Authentifizierung
-
Hallo zusammen!
Zur Zeit verbinden sich meine Clients über einen Access Point (WPA2-Personal) mit dem Netzwerk. Dafür verwende ich einen WPA Pre-Shared Key der als Klartext auf den Clients z. B. Win7 gespeichert wird. Das gefällt mir nicht so gut, zum einen ist dieser leicht auslesbar, zum anderen schwierig auf allen Clients zu wechseln.
Elegant wäre eine Möglichkeit die Verbindung an das Vorhandensein eine Zertifikates zu binden, ähnlich wie bei OpenVPN. Wie lässt sich das realisieren - ideal auf der pfSense ohne zusätzliche Hardware? Mein Access Point kann WPA2-Enterprise.
Eine Besonderheit muss ich allerdings beachten. Auf einigen Clients (Apple AirPlay) lässt sich kein Zertifikat installieren, hier müsste die Authentifikation auf einem anderen Weg erfolgen - MAC Adresse?
Ich danke Euch vorab für Euren Rat.
LG
esquire1968 -
Wenn dein AP WPA2-Enterprise kann, warum dann nicht Auth via User/Passwort? Dann kann pro User gesperrt werden, für den Fall, dass Zugangsdaten weitergegeben wurden bzw. man kann dadurch sehen, wessen User "schuld" ist. WPA2 kann sich via Radius & Auth-Backend (LDAP, etc.) verbinden, pfSense könnte sowohl Radius als auch Userverwaltung bieten.
Grüße
-
Danke für Deine Antwort!
Die Anmeldung mit User/Passwort stelle ich mir nicht so praktisch vor. Außerdem bleibt das Problem mit den AirPlay Clients u. dgl. Eine Identifikation mittels Zertifikat geht gar nicht?
-
Doch, das sollte mit diesem Weg auch funktionieren: https://doc.pfsense.org/index.php/Using_EAP_and_PEAP_with_FreeRADIUS
-
Grazie! Sieht vielversprechend aus …
