Difference between revisions of "Einrichtung des WLAN-Zugriffs über RADIUS für Windows 7"

From Univention Wiki

Jump to: navigation, search
 
(4 intermediate revisions by 2 users not shown)
Line 1: Line 1:
 
{{Version|school=4.2}}
 
{{Version|school=4.2}}
  
Dieser Artikel beschreibt die exemplarische Einrichtung der WLAN-Authentifizierung für Windows 7 Clients in UCS@school. Diese Anleitung bezieht sich auf Windows 7 mit Service Pack 1, kann aber je nach Installationsstand und installierten Komponenten in Details abweichen.
+
Dieser Artikel beschreibt die exemplarische Einrichtung der WLAN-Authentifizierung für Windows 7 Clients in UCS@school. Diese Anleitung bezieht sich auf Windows 7, kann aber je nach Installationsstand und installierten Komponenten in Details abweichen.
  
 
Dieser Artikel setzt voraus, dass UCS@school korrekt eingerichtet und RADIUS entsprechend dem [https://docs.software-univention.de/ucsschool-handbuch-4.2.html#radius Handbuch] konfiguriert wurde.
 
Dieser Artikel setzt voraus, dass UCS@school korrekt eingerichtet und RADIUS entsprechend dem [https://docs.software-univention.de/ucsschool-handbuch-4.2.html#radius Handbuch] konfiguriert wurde.
  
= Import des UCS-Wurzelzertifikats =
+
== Import des UCS-Wurzelzertifikats ==
  
# Zuerst muss das UCS-Wurzelzertifikat auf den jeweiligen Rechner kopiert werden. Es kann z.B. von der Startseite des Domänencontroller-Master unter dem Link "Wurzelzertifikat" herunter geladen werden. Empfehlung ist den Import mit dem Browser Chrome durchzuführen, da beispielsweise der Browser Firefox sofort versucht das Zertifikat in den eigenen Speicher zu importieren. Wollen Sie auf mehreren Clients das WLAN konfigurieren, so sollten Sie am besten das Zertifikat auf einem USB-Stick sichern.  
+
# Zuerst muss das UCS-Wurzelzertifikat mit administrativen Rechten in den entsprechenden Zertifikatsspeicher importiert werden. Es kann z.B. von der Startseite des Domänencontroller-Master unter dem Link "Wurzelzertifikat" herunter geladen werden. Einige Browser wie bspw. Firefox bieten nur an, das Zertifikat in den Browser-eigenen Speicher zu importieren - nicht jedoch den Download. In diesem Fall sollte ein anderer Browser verwendet werden (bspw. Internet Explorer). Wollen Sie auf mehreren Clients das WLAN konfigurieren, so sollten Sie am besten das Zertifikat auf einem USB-Stick sichern.  
## [[Image:cert1.png|none|500px|Installation des Zertifikats]]
+
## [[Image:cert1.png|border|none|500px|Installation des Zertifikats]]
## [[Image:cert2.png|none|200px|Installation des Zertifikats]]
+
## [[Image:cert2.png|border|none|200px|Installation des Zertifikats]]
## [[Image:cert3.png|none|200px|Installation des Zertifikats]]
+
## [[Image:cert3.png|border|none|200px|Installation des Zertifikats]]
# Zu der Zertifikatsdatei muss nun im Explorer navigiert werden und nach einem Rechtsklick "Zertifikat installieren" der Import gestartet werden. Der folgende Dialog muss mit '''Öffnen''' bestätigt werden.[[Image:byod3.png|none|800px|Installation des Zertifikats]]
+
# Zu der Zertifikatsdatei muss nun im Explorer navigiert werden und nach einem Rechtsklick "Zertifikat installieren" der Import gestartet werden. Der folgende Dialog muss mit '''Öffnen''' bestätigt werden.[[Image:byod3.png|border|none|800px|Installation des Zertifikats]]
# Nun erscheint ein Willkommens-Bildschirm.
+
# Nun erscheint ein Willkommens-Bildschirm. Diesen bitte mit '''Weiter''' bestätigen. [[Image:byod4.png|border|none|400px|Installation des Zertifikats]]
 +
# Im Folgeschritt ist '''Alle Zertifikate in folgendem Speicher speichern''' auszuwählen und auf '''Durchsuchen''' zu klicken.[[Image:byod5.png|border|none|400px|Installation des Zertifikats]]
 +
# Die Option '''Physikalischer Speicher anzeigen''' muss aktiviert und als Zertifikatsspeicher unter '''Vertrauenswürdige Stammzertifizierungsstellen → Lokaler Computer''' ausgewählt werden.
 +
## [[Image:byod6.png|border|none|200px|Installation des Zertifikats]]
 +
## [[Image:byod23.png|border|none|200px|Installation des Zertifikats]]
 +
# Nach Bestätigung mit '''OK''' kann der nächste Schritt im Assistenten mit '''Weiter''' angesteuert werden. [[Image:byod24.png|border|none|400px|Installation des Zertifikats]]
 +
# Ein Klick auf '''Fertig stellen''' startet den Import.[[Image:byod8.png|border|none|400px|Installation des Zertifikats]]
 +
# Möglicherweise müssen Sie noch die Herkunft des Zertifikats bestätigen.[[Image:byod9.png|border|none|400px|Installation des Zertifikats]]
 +
# Anschließend sollte folgende Erfolgsmeldung erscheinen.[[Image:byod10.png|border|none|200px|Import des Zertifikats abgeschlossen]]
  
 +
== Konfiguration einer authentifizierten Verbindung auf Benutzerbasis ==
  
Im Folgeschritt ist '''Alle Zertifikate in folgendem Speicher speichern'''
+
Nun wird die RADIUS-authentifizierte WLAN-Verbindung auf Basis der Benutzeranmeldung eingerichtet.
auszuwählen und auf '''Durchsuchen''' zu klicken:
 
  
[[Image:Win7_radius_03.png||Auswahl des Zertifikatsspeichers]]
+
# Dazu loggen Sie sich bitte als Domänen-Benutzer ein und wählen mit einen Rechtsklick das WLAN-Symbol in der Taskleiste aus. Es öffnen sich die Drahtlosnetzwerkverbindungen.[[Image:byod11.png|border|none|300px|Netzwerk- und Freigabecenter]]
 +
# Wählen Sie nun die Drahtlosnetzwerkverbindung aus. Damit ist die Verbindung hergestellt. [[Image:byod25.png|border|none|300px|Netzwerk- und Freigabecenter]]
  
Die Option '''Physikalischer Speicher anzeigen''' muss aktiviert und als Zertifikatsspeicher unter '''Vertrauenswürdige Stammzertifizierungsstellen → Lokaler Computer''' ausgewählt werden. Nach Bestätigung mit '''OK''' kann der nächste Schritt im Assistenten mit '''Weiter''' angesteuert werden.
+
== Automatische WLAN-Verbindung über das Rechnerkonto ==
  
[[Image:Win7_radius_04.png||Auswahl des Zertifikatsspeichers]]
+
Es ist außerdem möglich, die WLAN-Verbindung nicht nur benutzerbasiert einzurichten, sondern auch benutzerunabängig über das Rechnerkonto. D.h. auch , dass die Benutzer sich nicht individuell nach ihrer Anmeldung mit dem WLAN verbinden müssen, sondern dass das Gerät bereits WLAN-Zugriff vor einer Benutzeranmeldung hat. Damit das funktioniert, '''muss''' das Gerät allerdings Mitglied der Domäne sein.
  
Ein Klick auf '''Fertig stellen''' beginnt den Import:
+
Dazu gehen Sie wie folgt vor:
  
[[Image:Win7_radius_05.png||Auswahl des Zertifikatsspeichers]]
 
  
[[Image:Win7_radius_06.png||Import des Zertifikats abgeschlossen]]
+
# [[Image:byod26.png|border|300px|Netzwerk- und Freigabecenter]]
 +
# [[Image:byod27.png|border|300px|Netzwerk- und Freigabecenter]]  
  
= Konfiguration einer authentifizierten Verbindung =
+
# [[Image:byod28.png|border|300px|Netzwerk- und Freigabecenter]]
 +
# [[Image:byod29.png|border|300px|Netzwerk- und Freigabecenter]]
  
Nun wird eine RADIUS-authentifizierte WLAN-Verbindung eingerichtet. Dazu muss zunächst das '''Netzwerk- und Freigabecenter''' geöffent werden (z.B. über die Systemsteuerung oder über einen Rechtsklick auf das Netzwerksymbol in der Taskleiste). Dort nun auf der linken Seite'''Drahtlosnetzwerke verwalten''' auswählen:
+
Diese Einstellungen können selbstverständlich auch als Computerrichtlinie per Gruppenrichtlinie an alle Windows-Clients verteilt werden.
 
 
[[Image:Win7_radius_09.png||Netzwerk- und Freigabecenter]]
 
 
 
Klicken Sie nun auf '''Hinzufügen''' und anschließend auf '''Ein Netzwerkprofil manuell erstellen''':
 
 
 
[[Image:Win7_radius_10.png||Drahtlosnetzwerk hinzufügen]]
 
 
 
[[Image:Win7_radius_11.png||Netzwerkprofil manuell erstellen]]
 
 
 
Im nächsten Dialog tragen Sie den Namen des Drahtlosnetzwerkes (SSID) ein und wählen als Verschlüsselungstyp '''WPA2-Enterprise''' sowie '''TKIP'''.
 
 
 
[[Image:Win7_radius_91.png||Informationen für das Drahtlosnetzwerk]]
 
 
 
Anschließend müssen Sie noch die Verbindungseinstellungen ändern
 
 
 
[[Image:Win7_radius_12.png||Verbindungseinstelungen ändern]]
 
 
 
Im Reiter '''Sicherheit''' muss '''Sicherheitstyp''' auf ''WPA2-Enterprise'' und '''Verschlüsselungstyp''' auf ''TKIP'' eingestellt werden. Als Methode für die Netzwerkauthentifizierung wählen Sie '''Microsoft: Geschütztes EAP (PEAP)''' aus.
 
 
 
[[Image:Win7_radius_13.png||Eigenschaften für Drahtlosnetzwerk]]
 
 
 
Klicken Sie anschließend neben '''Microsoft: Geschütztes EAP (PEAP)''' auf '''Einstellungen''' und wählen dort '''Serverzertifikat überprüfen''' sowie  '''Univention Corporate Server Root CA''' aus:
 
 
 
[[Image:Win7_radius_14.png||Eigenschaften für geschütztes EAP]]
 
 
 
Im gleichen Fenster wählen Sie im Bereich '''Authentifizierungsmethode auswählen:''' die Option ''Gesichertes Kennwort (EAP-MSCHAP v2)'' aus. Unter '''Konfigurieren...''' muss dann die Option '''Automatisch eigenen Windows-Anmeldenamen und Kennwort (und Domäne, falls vorhanden) verwenden''' deaktiviert werden:
 
 
 
[[Image:Win7_radius_15.png||EAP-MSCHAPv2-Eigenschaften]]
 
 
Die '''EAP-MSCHAPv2-Eigenschaften''' werden mit '''OK''' bestätigt. Die '''Eigenschaften für geschütztes EAP''' werden ebenfalls mit '''OK''' bestätigt.
 
 
 
Im Dialog '''Eigenschaften für Drahtlosnetzwerk''' wählen Sie nun im unteren Bereich '''Erweiterte Einstellungen''' aus:
 
 
 
[[Image:Win7_radius_13.png||Eigenschaften für Drahtlosnetzwerk]]
 
 
 
Dort aktivieren Sie '''Authentifizierungsmethode angeben''' und wählen '''Benutzerauthentifizierung''' aus:
 
 
 
[[Image:Win7_radius_16.png||Erweiterte Einstellungen]]
 
 
 
Wollen Sie sich nun mit dem Drahtlosnetzwerk verbinden, erscheint eine Abfrage von Benutzername und Kennwort:
 
 
 
[[Image:Win7_radius_07.png||WLAN auswählen]]
 
 
 
[[Image:Win7_radius_90.png||Netzwerkauthentifizierung]]
 
 
 
Hier müssen '''Benutzername''' und '''Kennwort''' eingegeben werden.
 
 
 
Damit ist die Verbindung hergestellt.
 
 
 
Die Zugangsdaten werden gespeichert und müssen bei erneuter Verbindung nicht angegeben werden.
 
  
 
= Archiv =
 
= Archiv =
  
 
Für diesen Artikel gibt es auch eine ältere Version für [http://wiki.univention.de/index.php?title=Einrichtung_des_WLAN-Zugriffs_%C3%BCber_RADIUS_f%C3%BCr_Windows_7&oldid=9934 UCS@school 3.1]
 
Für diesen Artikel gibt es auch eine ältere Version für [http://wiki.univention.de/index.php?title=Einrichtung_des_WLAN-Zugriffs_%C3%BCber_RADIUS_f%C3%BCr_Windows_7&oldid=9934 UCS@school 3.1]

Latest revision as of 08:48, 15 November 2018

Produktlogo UCS@School Version 4.2

Dieser Artikel beschreibt die exemplarische Einrichtung der WLAN-Authentifizierung für Windows 7 Clients in UCS@school. Diese Anleitung bezieht sich auf Windows 7, kann aber je nach Installationsstand und installierten Komponenten in Details abweichen.

Dieser Artikel setzt voraus, dass UCS@school korrekt eingerichtet und RADIUS entsprechend dem Handbuch konfiguriert wurde.

Import des UCS-Wurzelzertifikats

  1. Zuerst muss das UCS-Wurzelzertifikat mit administrativen Rechten in den entsprechenden Zertifikatsspeicher importiert werden. Es kann z.B. von der Startseite des Domänencontroller-Master unter dem Link "Wurzelzertifikat" herunter geladen werden. Einige Browser wie bspw. Firefox bieten nur an, das Zertifikat in den Browser-eigenen Speicher zu importieren - nicht jedoch den Download. In diesem Fall sollte ein anderer Browser verwendet werden (bspw. Internet Explorer). Wollen Sie auf mehreren Clients das WLAN konfigurieren, so sollten Sie am besten das Zertifikat auf einem USB-Stick sichern.
    1. Installation des Zertifikats
    2. Installation des Zertifikats
    3. Installation des Zertifikats
  2. Zu der Zertifikatsdatei muss nun im Explorer navigiert werden und nach einem Rechtsklick "Zertifikat installieren" der Import gestartet werden. Der folgende Dialog muss mit Öffnen bestätigt werden.
    Installation des Zertifikats
  3. Nun erscheint ein Willkommens-Bildschirm. Diesen bitte mit Weiter bestätigen.
    Installation des Zertifikats
  4. Im Folgeschritt ist Alle Zertifikate in folgendem Speicher speichern auszuwählen und auf Durchsuchen zu klicken.
    Installation des Zertifikats
  5. Die Option Physikalischer Speicher anzeigen muss aktiviert und als Zertifikatsspeicher unter Vertrauenswürdige Stammzertifizierungsstellen → Lokaler Computer ausgewählt werden.
    1. Installation des Zertifikats
    2. Installation des Zertifikats
  6. Nach Bestätigung mit OK kann der nächste Schritt im Assistenten mit Weiter angesteuert werden.
    Installation des Zertifikats
  7. Ein Klick auf Fertig stellen startet den Import.
    Installation des Zertifikats
  8. Möglicherweise müssen Sie noch die Herkunft des Zertifikats bestätigen.
    Installation des Zertifikats
  9. Anschließend sollte folgende Erfolgsmeldung erscheinen.
    Import des Zertifikats abgeschlossen

Konfiguration einer authentifizierten Verbindung auf Benutzerbasis

Nun wird die RADIUS-authentifizierte WLAN-Verbindung auf Basis der Benutzeranmeldung eingerichtet.

  1. Dazu loggen Sie sich bitte als Domänen-Benutzer ein und wählen mit einen Rechtsklick das WLAN-Symbol in der Taskleiste aus. Es öffnen sich die Drahtlosnetzwerkverbindungen.
    Netzwerk- und Freigabecenter
  2. Wählen Sie nun die Drahtlosnetzwerkverbindung aus. Damit ist die Verbindung hergestellt.
    Netzwerk- und Freigabecenter

Automatische WLAN-Verbindung über das Rechnerkonto

Es ist außerdem möglich, die WLAN-Verbindung nicht nur benutzerbasiert einzurichten, sondern auch benutzerunabängig über das Rechnerkonto. D.h. auch , dass die Benutzer sich nicht individuell nach ihrer Anmeldung mit dem WLAN verbinden müssen, sondern dass das Gerät bereits WLAN-Zugriff vor einer Benutzeranmeldung hat. Damit das funktioniert, muss das Gerät allerdings Mitglied der Domäne sein.

Dazu gehen Sie wie folgt vor:


  1. Netzwerk- und Freigabecenter
  2. Netzwerk- und Freigabecenter
  1. Netzwerk- und Freigabecenter
  2. Netzwerk- und Freigabecenter

Diese Einstellungen können selbstverständlich auch als Computerrichtlinie per Gruppenrichtlinie an alle Windows-Clients verteilt werden.

Archiv

Für diesen Artikel gibt es auch eine ältere Version für UCS@school 3.1

Personal tools