The Cable GuyDrahtloses einmaliges Anmelden

Joseph Davies

Drahtlose Verbindungen, die bereits eingerichtet sind und sich dann mit einem privaten Netzwerk authentifizieren müssen, können eine zusätzliche Herausforderung für Benutzer und Administratoren darstellen. Ein Windows-basierter drahtloser Client, der Mitglied einer Active Directory-Domäne ist, muss eine IEEE 802.1X-basierte Authentifizierung durchführen, um eine geschützte

drahtlose Verbindung und eine Domänenanmeldung zu erreichen. Da die Authentifizierung entweder Benutzer- oder Computeranmeldeinformationen umfassen kann und da Domänenanmeldungen von der Netzwerkkonnektivität abhängig sind, kommt es zu Problemen beim Konfigurieren der Reihenfolge, in der die Authentifizierungen durchgeführt werden, sowie bei der Angabe der zu verwendenden Anmeldeinformationen. All dies kann sich auf Domänenanmeldungen auswirken und dazu führen, dass ein Benutzer mehrmals zur Eingabe der Anmeldeinformationen aufgefordert wird.

Erfreulicherweise können Sie mit drahtlosem SSO in Windows Vista® festlegen, dass die IEEE 802.1X-Authentifizierung für WPA2-Enterprise (Wi-Fi Protected Access 2), WPA-Enterprise und die 802.1X-Authentifizierung mit WEP (Wireless Equivalency Privacy) vor dem Benutzeranmeldevorgang erfolgen. Dadurch können Sie Domänenanmeldeprobleme in bestimmten Konfigurationen lösen. Drahtloses einmaliges Anmelden integriert außerdem nahtlos die Drahtlosauthentifizierung in die Windows®-Anmeldung, was zu einer insgesamt besseren Benutzerfreundlichkeit führt. Aus diesen Gründen werden im Artikel für diesen Monat die Features des drahtlosen SSO behandelt, sowie die Fragen, wie es konfiguriert wird und wie es beim Benutzeranmeldeprozess funktioniert.

Grundlagen des einmaligen Anmeldens

Ein drahtloser Windows-Client kann die Authentifizierung mit dem Drahtlosnetzwerk durchführen, indem er nur Computer- oder Benutzeranmeldeinformationen oder eine Kombination von beiden verwendet. Wenn nur Computeranmeldeinformationen verwendet werden, führt Windows vor der Anzeige des Windows-Anmeldebildschirms eine 802.1X-Authentifizierung durch. Dies gibt dem Drahtlosclientcomputer einen frühen Zugriff auf Netzwerkressourcen wie die Active Directory®-Domänencontroller.

Wenn nur Benutzeranmeldeinformationen verwendet werden, führt Windows ohne SSO die 802.1X-Authentifizierung durch, nachdem der Benutzeranmeldeprozess abgeschlossen ist. In Abbildung 1 wird die Start- und die Anmeldeabfolge für dieses Szenario dargestellt.

Abbildung 1 Abfolge, wenn nur Benutzeranmeldeinformationen für die Drahtlosauthentifizierung verwendet werden

Abbildung 1** Abfolge, wenn nur Benutzeranmeldeinformationen für die Drahtlosauthentifizierung verwendet werden **(Klicken Sie zum Vergrößern auf das Bild)

Das Verwenden der Benutzeranmeldeinformationen für die Drahtlosauthentifizierung hat zur Folge, dass Benutzer keine anfängliche Domänenanmeldung vornehmen können, weil keine lokal zwischengespeicherten Anmeldeinformationen für ihre Benutzerkonten vorhanden sind und weil keine Konnektivität zum Domänencontroller besteht, um die neuen Anmeldeinformationen zu authentifizieren. Außerdem schlagen einige Domänenanmeldevorgänge fehl, weil gerade keine Konnektivität zu den Domänencontrollern der Active Directory Domäne besteht. Anmeldeskripts sowie Aktualisierungen der Gruppenrichtlinie und der Benutzerprofile schlagen fehl, was zu Windows-Ereignisprotokollfehlern führt.

Beim Verwenden einer Kombination von Benutzer- und Computeranmeldeinformationen führt Windows eine 802.1X-Authentifizierung mit Computeranmeldeinformationen vor der Anzeige des Windows-Anmeldebildschirms durch. Nachdem sich der Benutzer angemeldet hat, führt Windows eine weitere 802.1X-Authentifizierung mit Benutzeranmeldeinformationen durch. Einige Netzwerkinfrastrukturen verwenden jeweils unterschiedliche virtuelle LANs (VLANs) für Computer, die sich mit Computeranmeldeinformationen authentifiziert haben, und für Computer, die Benutzeranmeldeinformationen verwendet haben. Falls die Authentifizierung zum Drahtlosnetzwerk mithilfe der Benutzeranmeldeinformationen und des Schalters zum benutzerauthentifizierten VLAN nach dem Benutzeranmeldeprozess stattfindet, erhält der drahtlose Windows-Client während des Benutzeranmeldeprozesses keinen Zugriff auf die Netzwerkressourcen auf dem benutzerauthentifizierten VLAN, wie zum Beispiel die Active Directory-Domänencontroller. Auch dies führt zum Fehlschlagen von Domänenanmeldevorgängen.

Ein anderes Problem tritt auf, wenn die Drahtlosauthentifizierung mit Benutzeranmeldeinformationen einen anderen Satz von Sicherheitsanmeldeinformationen verwendet als Benutzeranmeldeinformationen. Für solche Konfigurationen fordert Windows bei Beginn der Drahtlosauthentifizierung zusätzliche Benutzeranmeldeinformationen an, was verwirrend sein kann.

Das Feature des einmaligen Anmeldens in Windows Vista wurde entwickelt, um die Probleme der Domänenanmeldungen zu behandeln, computer- und benutzerauthentifizierte VLANs zu trennen und die Benutzer zu verschiedenen Zeiten zu verschiedenen Anmeldeinformationen aufzufordern. Mit SSO können Netzwerkadministratoren festlegen, dass die Drahtlosauthentifizierung mit Benutzeranmeldeinformationen vor dem Benutzeranmeldeprozess stattfindet. Wenn sich die für die Benutzeranmeldung und die Drahtlosauthentifizierung erforderlichen Benutzeranmeldeinformationen unterscheiden, werden alle erforderlichen Anmeldeinformationen angefordert und im Windows-Anmeldebildschirm erfasst.

Mit einmaligem Anmelden kann ein drahtloser Windows Vista-Client konfiguriert werden, um eine Drahtlosnetzwerkauthentifizierung mit Benutzeranmeldeinformationen vor dem Benutzeranmeldeprozess durchzuführen. In Abbildung 2 wird der neue Start- und die Anmeldeabfolge angezeigt.

Abbildung 2 Abfolge, wenn die Drahtlosnetzwerkauthentifizierung mit Benutzeranmeldeinformationen vor der Benutzeranmeldung stattfindet

Abbildung 2** Abfolge, wenn die Drahtlosnetzwerkauthentifizierung mit Benutzeranmeldeinformationen vor der Benutzeranmeldung stattfindet **(Klicken Sie zum Vergrößern auf das Bild)

Dies ermöglicht Konfigurationen, bei denen nur Benutzeranmeldeinformationen oder eine Kombination von Benutzer- und Computeranmeldeinformationen mit separaten VLANs ohne Funktionalitätsverlust verwendet wird. Weil der drahtlose Client über eine Netzwerkkonnektivität oder eine Konnektivität zum benutzerauthentifizierten VLAN verfügt, bevor der Benutzeranmeldeprozess beginnt, können Domänenanmeldevorgänge erfolgreich durchgeführt werden. Siehe zum Beispiel „Anschließen eines drahtlosen Windows Vista-Clients an eine Domäne“ unter microsoft.com/technet/network/wifi/vista_bootstrap_wireless.mspx.

Auf Grundlage der Konfiguration des Drahtlosprofils konsolidiert einmaliges Anmelden die Eingabefelder für die Benutzeranmeldeinformationen für die Drahtlosauthentifizierung und fügt sie dem Windows-Anmeldebildschirm hinzu. Deshalb werden alle Benutzeranmeldeinformationen für die Benutzeranmeldung und die Drahtlosauthentifizierung mithilfe der Benutzeranmeldeinformationen vom Benutzer gleichzeitig bereitstellt.

EAP-Methoden (Extensible Authentication-Protokoll), die für die neue EAPHost-Architektur in Windows Vista erstellt werden, können die EAP-Pre-Logon Authentication Provider (PLAP)-Unterstützungs-API verwenden, um die für die Authentifizierung auf dem Windows-Anmeldebildschirm erforderlichen Eingabefelder zu einzuschließen. Weitere Informationen finden Sie unter „SSO und PLAP“ unter msdn2.microsoft.com/bb530584.

Denken Sie als Beispiel für eine SSO-Sitzung an einen drahtlosen Windows Vista-Client, der so konfiguriert ist, dass er die Authentifizierung nur mit Benutzeranmeldeinformationen sowie Benutzernamen und Kennwort sowohl für die Domänenanmeldung als auch für die 802.1X-Authentifizierung durchführt. Wenn der Benutzer im anfänglichen Windows Vista-Bildschirm die Tastenkombination STRG+ALT+ENTF drückt, bestimmt SSO, dass die 802.1X-Authentifizierung vor der Benutzeranmeldung stattfinden muss. Wenn der Benutzer seinen Benutzernamen und sein Kennwort eingibt, führt SSO zuerst eine benutzerbasierte Drahtlosnetzwerkauthentifizierung durch und zeigt eine Nachricht an, die angibt, dass es eine Verbindung zum Drahtlosnetzwerk anhand seines Namens herstellt. Nach der Drahtlosauthentifizierung führt Windows Vista die Benutzeranmeldung durch und zeigt den Desktop des Benutzers an.

Konfigurieren des einmaligen Anmeldens

Vorgänge im Hintergrund

Zum besseren Verständnis des Drahtlosauthentifizierungsprozesses wird im Folgenden etwas ausführlicher behandelt, was beim aktiven Anmeldeversuch des Benutzers geschieht. Wenn ein Benutzer die Tastenkombination STRG+ALT+ENTF für die Benutzeranmeldung auf einem drahtlosen Windows Vista ausführenden Client drückt, werden die folgenden Schritte ausgeführt:

  1. Die drahtlose automatische Konfiguration legt das zu verwendende Drahtlosnetzwerkprofil fest. Wenn der drahtlose Client die Authentifizierung mit Computeranmeldeinformationen bereits erfolgreich durchgeführt hat, wird das gerade verbundene Drahtlosnetzwerkprofil verwendet. Wenn das festgelegte Drahtlosprofil so konfiguriert wird, dass es die Authentifizierung nur mit Computeranmeldeinformationen durchführt, ist keine zusätzliche Drahtlosauthentifizierung mit Benutzeranmeldeinformationen notwendig. Bei den Schritten 2 bis 6 wird angenommen, dass das ausgewählte Drahtlosprofil für die Authentifizierung mit Benutzeranmeldeinformationen und für einmaliges Anmelden konfiguriert ist und dass die Einstellung „Unmittelbar vor der Benutzeranmeldung ausführen“ ausgewählt ist.
  2. Der Benutzer gibt (falls nötig) seine Anmeldeinformationen für die Benutzeranmeldung und die Drahtlosauthentifizierung ein und initiiert die Benutzeranmeldung.
  3. Windows benachrichtigt den Benutzer, dass es versucht, eine Verbindung zum Namen des Drahtlosnetzwerks herzustellen.
  4. Windows versucht, eine Drahtlosnetzwerkauthentifizierung mit den Benutzeranmeldeinformationen durchzuführen. Wenn die Einstellung „Anzeige zusätzlicher Dialoge während der Einzelanmeldung zulassen“ aktiviert ist und der EAP-Typ für den Benutzer zusätzliche Dialogfelder anzeigen muss, zeigt Windows die Dialogfelder an. Wenn die Drahtlosauthentifizierung innerhalb der maximalen Verzögerung für die Konnektivität (in Sekunden) nicht erfolgreich stattfindet, wird die Drahtlosauthentifizierung abgebrochen. Wenn die Einstellung „Netzwerk verwendet ein anderes VLAN zur Authentifizierung mit Computer- und Benutzeranmeldeinformationen“ verwendet wird, führt Windows eine DHCP-Erneuerung der IP-Adressenkonfiguration des Drahtlosnetzwerks durch, wenn die Drahtlosauthentifizierung erfolgreich ist.
  5. Windows führt den Benutzeranmeldeprozess durch.
  6. Windows zeigt den Desktop an.

Wenn die Einstellung „Unmittelbar nach der Benutzeranmeldung ausführen“ ausgewählt wurde, führt Windows die Schritte in der folgenden Reihenfolge durch: 1, 2, 5, 3, 4, 6.

Zum Aktivieren und Konfigurieren des SSO können Sie die Gruppenrichtlinienerweiterung für Drahtlosnetzwerk-Richtlinien (IEEE 802.11) verwenden und die erweiterten Sicherheitseinstellungen für ein Drahtlosprofil einer Windows Vista-Richtlinie konfigurieren. Weitere Informationen finden Sie im Artikel „Einstellungen der Drahtlosnetzwerk-Gruppenrichtlinie für Windows Vista“ unter technetmagazine.com/issues/2007/04/CableGuy.

Wählen Sie im Dialogfeld „Erweiterte Sicherheitseinstellungen“ die Option „Einmaliges Anmelden für dieses Netzwerk aktivieren“, und konfigurieren Sie die SSO-Optionen nach Bedarf. In Abbildung 3 sehen Sie ein Beispiel für einmaliges Anmelden, das mit den Standardeinstellungen aktiviert wird.

Abbildung 3 Standardeinstellungen für einmaliges Anmelden

Abbildung 3** Standardeinstellungen für einmaliges Anmelden **

Es gibt SSO-Einstellungen zur Durchführung der 802.1X-Drahtlosauthentifizierung unmittelbar vor oder nach dem Benutzeranmeldeprozess sowie zur Angabe des Zeitintervalls, innerhalb dessen die 802.1X-Authentifizierung abgeschlossen sein muss, bevor der Benutzeranmeldeprozesses beginnt. Sie können außerdem angeben, ob die Dialogfelder über die Konsolidierung der Eingabefelder im Windows-Anmeldebildschirm hinaus angezeigt werden sollen. Wenn zum Beispiel ein EAP-Typ erfordert, dass ein Benutzer das Zertifikat, das vom RADIUS-Server (Remote Authentication Dial-in User Service) während der Authentifizierung gesendet wird, bestätigt, kann der EAP-Typ das Dialogfeld anzeigen.

Sie können außerdem angeben, dass der drahtlose Client eine Erneuerung des Dynamic Host Configuration-Protokolls (DHCP) der TCP/IP-Konfiguration des Drahtlosadapters nach Durchführen der benutzerbasierten Authentifizierung initiieren soll. Wählen Sie diese Option aus, falls separate VLANs für computer- und benutzerbasierte authentifizierte drahtlose Clients vorhanden sind und diese VLANs sich von IPv4- oder IPv6-Subnetzen unterscheiden.

Nachdem Sie das Drahtlosprofil erstellt haben, das die SSO-Einstellungen innerhalb der Richtlinie enthält, können Sie drahtlose Windows Vista-Clients außerdem durch Exportieren des Profils als XML-Datei und durch anschließendes Importieren des XML-Profils in drahtlose Windows Vista-Clients konfigurieren.

Erstellen Sie zum Erstellen eines SSO-XML-Drahtlosprofils ein Drahtlosprofil mit den entsprechenden SSO-Einstellungen. Klicken Sie auf der Registerkarte „Allgemein“ der Windows Vista-Drahtlosrichtlinie auf das Drahtlosprofil mit den SSO-Einstellungen, und klicken Sie anschließend auf „Exportieren“. Geben Sie bei Aufforderung den Profil-XML-Dateinamen und seinen Speicherort an.

Importieren Sie zum Verwenden des SSO-XML-Profils für die Konfiguration eines anderen Windows Vista-Drahtlosclients das XML-Profil mit dem Befehl:

netsh wlan add profile filename=
    "[FileName].xml"

Um zu bestimmen, ob bei einem Drahtlosprofil einmaliges Anmelden aktiviert ist, verwenden Sie den Befehl:

netsh wlan show profile=[ProfileName] 

Die SSO-Einstellungen sind im Abschnitt „Sicherheitseinstellungen“ der Befehlsanzeige „netsh wlan show profile“ und im Text der Ereignisse der drahtlosen Verbindung im Windows-Ereignisprotokoll aufgelistet. Sie können außerdem das Ereignisanzeige-Snap-In verwenden, um die Ereignisse im Verzeichnis „Microsoft\Windows\WLAN-AutoConfig“ der Anwendungs- und Dienstprotokolle mit der Quelle „WLAN-AutoConfig“ und den Ereignis-IDs 13001, 13002, 13003 und 13004 anzuzeigen.

Weitere Informationen erhalten Sie auf der Drahtlosnetzwerk-Webseite unter microsoft.com/wifi. Weitere Informationen zum SSO-Prozess finden Sie in der Randleiste „Vorgänge im Hintergrund“.

Joseph Daviesist technischer Redakteur bei Microsoft und lehrt und schreibt seit 1992 über Windows-Netzwerkthemen. Er hat fünf Bücher für Microsoft Press verfasst und ist der Autor der monatlich im TechNet-Magazin erscheinenden Rubrik „The Cable Guy“.

© 2008 Microsoft Corporation und CMP Media, LLC. Alle Rechte vorbehalten. Die nicht genehmigte teilweise oder vollständige Vervielfältigung ist nicht zulässig.