1
802.1X in Windows-Domänenumgebung
Hallo,
habe ein Problem bei der Implementierung des 802.1x Standards (portbasierte Netzwerk-Zugangskontrolle) in unserem drahtgebundenen Netzwerk (NICHT WIRELESS!!!) und hoffe, dass jemand einen Tip oder eine Lösung für mich hat.
IT-Infrastruktur
Wichtig: KEIN WLAN-NETZ, SONDERN NORMALES DRAHTGEBUNDENES ETHERNET-NETZWERK!
-- Windows 2003 Server mit Diensten: Active Directory, DNS, IAS
-- Foundry FastIron Edge 4802 Ethernet Switch: 802.1x aktiviert
-- Windows Clients
Problembeschreibung
Sobald ich alle Komponenten (Switch, Server, Clients) für 802.1x konfiguriert habe funktioniert die Anmeldung an der Domäne nicht mehr. (Meiner Meinung nach auch logisch, da der Switch bis zu einer erfolgreichen Authentifizierung, jeglichen Traffic blockt (außer EAP))
Ich habe mit einem Sniffer den Datenverkehr ausgelesen und gesehen, dass die Logindaten scheinbar über das Kerberos-Protokoll an den Domänencontroller geschickt werden. (Dieses Protokoll wird aber auch geblockt.)
Erst nach einer längeren Zeit kann sich der Benutzer anmelden, da die Login-Daten zwischengespeichert werden. Kurz darauf erscheint eine Authentifizierungsdialog für das Netzwerk. Wenn nun hier die Authentifizierungsdaten (gleich wie Login-Daten) eingegeben werden, funktioniert die Authentifizierung am Netzwerk.
Scheinbar versucht Windows die Authentifizierung erst nach der Benutzeranmeldung, welches dann natürlich genau zu meinem Problem führt.
Die frage ist, hat jemand eine Lösung für dieses Problem bzw. ist es möglich Windows mitzuteilen, dass die Login-Daten zuerst für die Authentifizierung und dann für die Domänenanmeldung verwendet werden?
Im Web habe ich zu diesem Problem noch nichts gefunden. Ich habe ein Tool der Firma Meetinghouse getestet. Dieses löst genau mein Problem, aber es tritt ein anderes auf: Das Tool ist eine 15 Tage Trial-Version. Meetinghouse ist von Cisco aufgekauft worden und es gibt keinen Support oder Lizenzen mehr für das Tool. Vielleicht kennt jemand eine anderes Tool!?
Ich hoffe, dass mir jemand helfen kann.
Vielen Dank im Voraus.
Grüße
flipflip
habe ein Problem bei der Implementierung des 802.1x Standards (portbasierte Netzwerk-Zugangskontrolle) in unserem drahtgebundenen Netzwerk (NICHT WIRELESS!!!) und hoffe, dass jemand einen Tip oder eine Lösung für mich hat.
IT-Infrastruktur
Wichtig: KEIN WLAN-NETZ, SONDERN NORMALES DRAHTGEBUNDENES ETHERNET-NETZWERK!
-- Windows 2003 Server mit Diensten: Active Directory, DNS, IAS
-- Foundry FastIron Edge 4802 Ethernet Switch: 802.1x aktiviert
-- Windows Clients
Problembeschreibung
Sobald ich alle Komponenten (Switch, Server, Clients) für 802.1x konfiguriert habe funktioniert die Anmeldung an der Domäne nicht mehr. (Meiner Meinung nach auch logisch, da der Switch bis zu einer erfolgreichen Authentifizierung, jeglichen Traffic blockt (außer EAP))
Ich habe mit einem Sniffer den Datenverkehr ausgelesen und gesehen, dass die Logindaten scheinbar über das Kerberos-Protokoll an den Domänencontroller geschickt werden. (Dieses Protokoll wird aber auch geblockt.)
Erst nach einer längeren Zeit kann sich der Benutzer anmelden, da die Login-Daten zwischengespeichert werden. Kurz darauf erscheint eine Authentifizierungsdialog für das Netzwerk. Wenn nun hier die Authentifizierungsdaten (gleich wie Login-Daten) eingegeben werden, funktioniert die Authentifizierung am Netzwerk.
Scheinbar versucht Windows die Authentifizierung erst nach der Benutzeranmeldung, welches dann natürlich genau zu meinem Problem führt.
Die frage ist, hat jemand eine Lösung für dieses Problem bzw. ist es möglich Windows mitzuteilen, dass die Login-Daten zuerst für die Authentifizierung und dann für die Domänenanmeldung verwendet werden?
Im Web habe ich zu diesem Problem noch nichts gefunden. Ich habe ein Tool der Firma Meetinghouse getestet. Dieses löst genau mein Problem, aber es tritt ein anderes auf: Das Tool ist eine 15 Tage Trial-Version. Meetinghouse ist von Cisco aufgekauft worden und es gibt keinen Support oder Lizenzen mehr für das Tool. Vielleicht kennt jemand eine anderes Tool!?
Ich hoffe, dass mir jemand helfen kann.
Vielen Dank im Voraus.
Grüße
flipflip
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 54044
Url: https://administrator.de/contentid/54044
Printed on: April 18, 2024 at 22:04 o'clock
1 Comment
Gerade Zertifikate würden dein Problem elegant lösen und sind keineswegs ein hoher Aufwand.
Vorteil ist das du dann Gerätebezogenen Zertifikate verwenden kannst und nicht Userbezogen. D.h. mit MD komme ich auch immer bei dir ins Netz mit meinem PC von zuhause sofern ich nur User + Passw habe.
Es kann sein das deine Switches kein TLS oder TTLS Paththrough supporten, das ist meist auch ein Problem. Leider schreibst du nichts zu deine Infrastruktur.... Ist es das hilft nur ein Update auf eine neue Firmware. HP Switches haben z.B. so ein Problem mit alter Firmware.
Das MD5 Challenge dauert meist zu lange so das der Client oft keine IP Adresse mehr per DHCP bekommt. Check mal ob dein Problem auch noch existiert wenn du eine statische IP Adresse hast...
Ein weiterer Test ist auch den Client einmal normal in der Domain sich anmelden zu lassen und dann mal mit .1x zu versuchen. das wird dann meist auch funktionieren wenn dieser User gecacht ist.
Vorteil ist das du dann Gerätebezogenen Zertifikate verwenden kannst und nicht Userbezogen. D.h. mit MD komme ich auch immer bei dir ins Netz mit meinem PC von zuhause sofern ich nur User + Passw habe.
Es kann sein das deine Switches kein TLS oder TTLS Paththrough supporten, das ist meist auch ein Problem. Leider schreibst du nichts zu deine Infrastruktur.... Ist es das hilft nur ein Update auf eine neue Firmware. HP Switches haben z.B. so ein Problem mit alter Firmware.
Das MD5 Challenge dauert meist zu lange so das der Client oft keine IP Adresse mehr per DHCP bekommt. Check mal ob dein Problem auch noch existiert wenn du eine statische IP Adresse hast...
Ein weiterer Test ist auch den Client einmal normal in der Domain sich anmelden zu lassen und dann mal mit .1x zu versuchen. das wird dann meist auch funktionieren wenn dieser User gecacht ist.
