Freeradius2



  • Hallo!

    Hätte mal eine Verständisfrage zu Freeradius.

    Wenn ich einen Client (zB ein iPhone) verbinde werde ich nach Benutzername und Kennwort gefragt. Danach wird das Zertifikat angezeigt - sobald ich diesem vertraue steht die Verbindung.

    So weit - so gut. Ich war allerdings der Meinung es muss bevor die Verbindung hergestellt werden kann bereits ein Zertifikat auf dem Client installiert sein. Jetzt bekommt ja jeder der Benutzername/Passwort kennt automatisch den Zugang. Wo ist da der Sinn des Zertifikates.

    Verstehe ich da was falsch oder habe ich nur nicht die richtigen Einstellungen.

    Danke voarb.

    Beste Grüße
    Thomas



  • @esquire1968:

    Hallo!

    Hätte mal eine Verständisfrage zu Freeradius.

    Wenn ich einen Client (zB ein iPhone) verbinde werde ich nach Benutzername und Kennwort gefragt. Danach wird das Zertifikat angezeigt - sobald ich diesem vertraue steht die Verbindung.

    So weit - so gut. Ich war allerdings der Meinung es muss bevor die Verbindung hergestellt werden kann bereits ein Zertifikat auf dem Client installiert sein. Jetzt bekommt ja jeder der Benutzername/Passwort kennt automatisch den Zugang. Wo ist da der Sinn des Zertifikates.

    Verstehe ich da was falsch oder habe ich nur nicht die richtigen Einstellungen.

    Danke voarb.

    Hallo Thomas,

    ich kann Dir da leider nicht weiterhelfen, aber ich versuche derzeit genau den Effekt den Du hier beschreibst zu erreichen.

    Ich möchte EAP-TLS mit Zertifikat verwenden, OHNE das zuvor auf dem Client ein Zertifikat installiert werden muß.

    Wie ich Deine Konfiguration, damit das so funktioniert?

    Beste Grüße
    Thomas


  • Rebel Alliance Moderator

    So weit - so gut. Ich war allerdings der Meinung es muss bevor die Verbindung hergestellt werden kann bereits ein Zertifikat auf dem Client installiert sein. Jetzt bekommt ja jeder der Benutzername/Passwort kennt automatisch den Zugang. Wo ist da der Sinn des Zertifikates.

    Der Sinn des Zertifikates besteht im zweiten Faktor. Ich denke mal es geht um OpenVPN? Da geht es darum, dass zusätzlich zu User und Passwort ein Angreifer auch das Client Zertifikat abgreifen müsste um Zugriff auf das VPN zu erlangen. Ohne das Zertifikatsfile ist also User/Pass als Kombination nicht ausreichend. Umgekehrt kann ein Client mittels CRL dann via seinem Zertifikat gesperrt werden, sollte er das File aus den Händen gegeben haben o.ä.

    Das Zertifikat ist ja mit der Kopie auf das iPhone darauf "installiert". Hättest du es nicht, würde das VPN nicht funktionieren. Wo soll es denn nun noch installiert werden? Und natürlich erhält man dann MIT Zertifikat und User/Pass Zugriff, so soll es ja sein :)

    Grüße



  • @twoxx:

    Bezüglich der Konfiguration habe ich mich im Wesentlichen an die verfügbaren Anleitungen gehalten.

    1. Ein Server Cert erstellen;
    2. Alle erforderlichen User angelegt;
    3. Den/Die Accesspoints unter Clients angelegt;
    4. Unter Interface die IP der pfSense mit Port 1812 aktiviert;
    5. Unter EAP das erstellte Cert auswählen.

    Das wars. Wenn Du Details brauchst, schicke mir eine PN.

    @JeGr

    Danke für Deine Erläuterungen. Es geht nicht um OpenVPN sondern um den Zugriff auf das Netzwerk via lokalem WLAN.

    Jeder der eine gültige User/Password Kombi kennt (und dem Zertifikat vertraut) erhält Zugriff.

    Ich war der Meinung, dass ich zusätzlich zur User/Password Kombi auch noch ein bereits installiertes Zertifikat haben muss. Dem ist jedoch nicht so.

    Ich denke, das wäre doch sinnvoll.

    LG
    Thomas



  • Hallo,

    ich weiß nicht ob es dazu passt, jedoch ist es beim iPhone so, dass du das Server-Zertifikat an sich nicht installieren kannst.
    Du kannst es nur installieren indem du beim ersten Connect dem Zertifikat vertraust, sonst nicht. (Außer du hast diese Firmen Suite von Apple)

    Wobei man beim Android Handy ohne dem Server-Zertifikat überhaupt nicht connecten kann, zumindest ging es bei mir erst als ich es als WLAN-Cert installiert und ausgewählt hatte.

    Gruß


Log in to reply