148 Kapitel 3: Konfiguration des Netzwerkzugriffs
■ PEAP-MS-CHAPv2 Dies ist ein Authentifizierungsprotokoll auf Kennwortbasis,
bei dem die Authentifizierung durch eine verschlüsselte TLS-Sitzung (Transport Layer
Security) geschützt wird. Wenn Sie dieses Protokoll zur Authentifizierung verwenden,
müssen Sie auf dem authentifizierenden RADIUS-Server ein Computerzertifikat
installieren, dem alle Clients vertrauen.
■ PEAP-TLS Dies ist ein Authentifizierungsprotokoll auf Zertifikatbasis. Daher kön-
nen
Sie zur Authentifizierung Smartcards, Computerzertifikate oder Benutzerzertifikate
verwenden. Dieses Protokoll ist nur zu Clientcomputern kompatibel, auf denen Win-
dows Vista oder Windows Server 2008 ausgeführt wird. Wie EAP-TLS verlangt dieses
Protokoll für jeden RADIUS-Server ein Computerzertifikat und für alle verkabelten
Clients ein Computerzertifikat, Benutzerzertifikat oder eine Smartcard. Die Clients
und die RADIUS-Server müssen der Zertifizierungsstelle vertrauen, die das Zertifikat
des Kommunikationspartners ausgestellt hat.
Da EAP-TLS und PEAP-TLS voraussetzen, dass sowohl Clients als auch Authentifizie-
rungsserver über Zertifikate verfügen, erfordern beide Protokolle die Bereitstellung einer
geeigneten PKI, die gewöhnlich mit den Active Directory-Zertifikatdiensten (AD CS, Active
Directory Certificate Services) aufgebaut wird. Die Verwendung von AD CS erleichtert die
Lösung der Probleme, die sich bei der Einrichtung der erforderlichen Vertrauensbeziehungen
ergeben.
Hinweis 802.1X-Authentifizierungsprotokolle
Lesen Sie außerdem durch, was in Lektion 1 über die Authentifizierungsprotokolle gesagt
wird, die Sie zur 802.1x-LAN-Authentifizierung verwenden können.
Konfigurieren von 802.1x-Clients
Auf 802.1x-Clients können Sie folgende Authentifizierungsmodi einstellen:
■ Nur Benutzer Die 802.1x-Authentifizierung erfolgt mit den Anmeldeinformationen
des Benutzers nach der Anmeldung des Benutzers, sofern in der Gruppenrichtlinie
keine einmalige Anmeldung aktiviert wurde.
■ Nur Computer Die 802.1x-Authentifizierung erfolgt mit den Anmeldeinforma-
tionen des Computers, bevor der Windows-Anmeldebildschirm angezeigt wird.
■ Computer oder Benutzer Die 802.1x-Authentifizierung erfolgt zweimal, das erste
Mal vor der Anmeldung mit den Anmeldeinformationen des Computers und dann noch
einmal nach der Anmeldung mit den Anmeldeinformationen des Benutzers. Das ist die
Standardauthentifizierungsmethode.
Der Standardauthentifizierungsmodus ist Computer oder Benutzer. Das ermöglicht Compu-
tern, die wie Datei- oder Druckserver im Netzwerk Ressourcen bereitstellen, die Kommuni-
kation mit dem Netzwerk, ohne dass ein Benutzer angemeldet sein müsste. Der Authentifi-
zierungsmodus Nur Computer ermöglicht ebenfalls Computern, die sich authentifizieren
können, ohne direkte Benutzerintervention den Zugriff auf das Netzwerk.
Das einmalige Anmelden (single sign-on) ermöglicht eine Durchführung der Netzwerk-
authentifizierung mit zwischengespeicherten Anmeldeinformationen des Benutzers, noch
bevor die Benutzeranmeldung erfolgt. Damit lässt sich das Problem lösen, dass keine