Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

802.1X EAP-TLS auch ohne Domänenanmeldung möglich?

Mitglied: Testuser123

Testuser123 (Level 1) - Jetzt verbinden

24.07.2011, aktualisiert 18.10.2012, 3994 Aufrufe, 6 Kommentare

Hallo Forum,

ich habe es nach einiger Bastelei hinbekommen EAP-TLS unter Windows Server 2003 mit Computer- und Serverzertifikaten zum laufen zu kriegen.

Ich stehe nun vor folgendem Problem, bei dem mir vllt die 802.1X-Profis weiterhelfen können.

Ist es möglich unter Windows IAS und Active Directory eine EAP-TLS-Authentifizierung zu realisieren, ohne, dass die anzumeldenden Clientgeräte in der Domäne angemeldet werden müssen? Was mache ich z.B. bei Linuxgeräten o.ä.? 802.1X ist doch eigentlich ein Standard?

Konkret läuft es zur Zeit so ab, dass ich erst die Geräte mit einem Nutzer am Netzwerk (an der Windows-Domäne) anmelde und dann die Zertifikate (Nutzer bzw. Computer) per Autoenrollment verpasst bekomme. Mit diesen Zertifikaten kann ich mich dann über 802.1X (EAP-TLS) gegenüber dem Netzwerk authentifizieren und melde mich danach mit einem Nutzer bei der Domäne an.

Kann ich also auch gar keine Zertifikate erstellen und dann z.B. per USB-Stick auf ein Clientgerät kopieren?

Wäre eventuell FreeRADIUS in Kombination mit OpenSSL eine Alternative?

Vielen Dank im vorraus und angenehmen Sonntag
Mitglied: tikayevent
24.07.2011 um 19:00 Uhr
Wenn du mit OpenSSL oder was ähnlichem einen CSR erzeugst und diesen dann mittels CertSRV bei der CA einreichst, kannst du das Zertifikat auch herunterladen und somit auch transportieren.

Für Smartcard-Zertifikate gibts auch die Enrollstation, eventuell gibts das auch für Computerzertifikate.
Bitte warten ..
Mitglied: aqui
25.07.2011, aktualisiert 18.10.2012
Mit FreeRadius ist das kein Problem und funktioniert anstandslos:
https://www.administrator.de/wissen/netzwerk-zugangskontrolle-mit-802.1x ...
Bitte warten ..
Mitglied: Testuser123
03.08.2011 um 11:34 Uhr
Hi,

ich bins nochmal. Dass das mit FreeRADIUS usw gut funktioniert glaub ich euch gern, aber ich muss das Ganze mit Windows 2003 umsetzen.

Was ich nun erstmal wissen muss ist, ob es nun auch dort möglich ist, Geräte per EAP-TLS zu authentifizieren, die nicht in der Domäne angemeldet sind.

Was passiert bspw. mit Druckern oder Handys? Wie kann ich das Zertifikat auf diese Geräte bekommen, wenn ich mich nur Domänengebunden authentifizieren kann.

Bitte um Hilfe.
Bitte warten ..
Mitglied: aqui
05.08.2011 um 11:49 Uhr
Normalerwesie indem man das Zertifikat per Email an das Device sendet und dann installiert. Bei Mobiltelefonen kein Thema bei Druckern indes schon....
Bitte warten ..
Mitglied: Testuser123
05.08.2011 um 12:19 Uhr
Ja, so die Theorie, aber die Frage, die ich mir immernoch stelle ist, wie ich es umsetze.

Ich kann ja die Zertifikate, die für einen Computer erstellt wurden in der CA unter "ausgestellte Zertifikate" sehen, jedoch nicht exportieren, bzw. nur irgendwelche Teile des Zertifikats, was mir ja nichts bringt. Von woher soll ich also das Zertifikat nehmen, um es zu exportieren? Wenn ich das wüsste wäre ich schon einen gewaltigen Schritt weiter.

http://s7.directupload.net/file/d/2607/3htk44dy_png.htm

Momentan ist der Stand so, dass ich den Server nochmal komplett neu aufgesetzt habe, weil mir einfach zu viele Zertifikate etc. durch die Gegend geschwirrt sind. EAP-MD5 und PEAP funktioniert wieder perfekt, nur EAP-TLS immernoch nicht. Ich kann einfach kein Computerzertifikat per Webinterface oder mmc von Clients aus beziehen, egal was ich probiere.
Wenn ich mich z.B. mit einem Windows 7 Laptop in der Domäne anmelde und über MMC versuche ein Zertifikat zu beziehen, dann kann ich erstmal nur "Benutzerzertifikate" als Snap-In wählen und Computerzertifikate gar nicht erst. Der Grund ist wohl, dass ich als Benutzer und nicht als Computer angemeldet bin, aber wie soll ich mich bitte als Computer an einer Domäne anmelden?

http://s1.directupload.net/file/d/2607/idddnlpu_png.htm

Ich habe nun noch ein Computer V2 Zertifikat erstellt und diesem für fast alle Benutzer alle Berechtigungen erteilt, aber unter Windows 7 wird nur gesagt, dass man es nur für einen Computer und nicht für einen Benutzer herausgegeben wird.

http://s1.directupload.net/file/d/2607/rk7cr4ya_png.htm

Ich bin echt kurz vorm verzweifeln. Es kann doch nicht so schwer sein EAP-TLS umzusetzen. Was mach ich falsch...kann mir keiner helfen?

Mfg
Bitte warten ..
Mitglied: aqui
05.08.2011 um 19:54 Uhr
Mmmhhh...normalerweise kann man sie mit jeder CA exportieren ! Muss man ja auch sonst würden mobile Devices niemals in den Genuss von Zertifikaten kommen.
Wenn du sie nicht exportieren kannst ist irgentwas mit deiner CA oder deren Umsetzung schiefgelaufen.
Ein EAP TLS Umfeld ist simpler und banaler Standard und in der Tat mit 3 bis 5 Mausklicks erledigt wie du am oben zitierten Tutorial ja auch unschwer erkennen kannst ! Vermutlich sinds bei Winblows dann wieder 30 bis 50 Mausklicks ..wie leider so oft ?! ...und der entscheidende fehlt scheinbar bei dir.
Bitte warten ..
Ähnliche Inhalte
Firewall
PfSense: Freeradius, NUR EAP-TLS
Frage von mrserious73Firewall

Hallo zusammen, gibt's eine Möglichkeit, den Radiusserver in pfSense wirklich NUR EAP-TLS machen zu lassen? Man kann die restlichen ...

Windows Server

802.1x und NAP - Funktionsweise EAP-Quarantäneerzwingungsclient

gelöst Frage von cuilsterWindows Server4 Kommentare

Hallo, zum Bergfest wieder mal ne harte Nuss Ich versuche es mal zu Formulieren. Basis ist eine 802.1x-Infrastruktur mit ...

LAN, WAN, Wireless

WLan-Authentifizierung über NPS mit EAP-TLS

Frage von KopeckLAN, WAN, Wireless1 Kommentar

Hallo, ich habe folgendes Problem: Ich würde gerne mein WLan mit Hilfe von (Benutzer)Zertifikaten absichern. Habe nun in einer ...

Papierkorb

EAP-TLS Auth mit 2012R2 NPS

Frage von ben2506Papierkorb11 Kommentare

Hallo Zusammen Vielleicht kann mir jemand helfen. Ich habe Probleme mit der Authentifizierung von non-domain joined devices in einem ...

Neue Wissensbeiträge
Humor (lol)

Erstaunlich, Windows mit extremer Laufzeit (Server) lol

Tipp von mathu vor 54 MinutenHumor (lol)2 Kommentare

Was es so alles gibt. :-)

Windows Netzwerk

CGM Praxisarchiv funktioniert auf Clients nach Update auf 4.14 nicht mehr

Tipp von MOS6581 vor 18 StundenWindows Netzwerk

Moin, ein Kunde setzt das CGM-Praxisarchiv ein. Mehrplatzinstallation mit SQL-Server. Nachdem letzte Woche auf die 4.14 aktualisiert wurde, funktionierte ...

Windows 10

Win 10 - Storage Sense - neues herstellerseitiges Cleaning-Tool statt cleanmgr

Tipp von mathu vor 1 TagWindows 102 Kommentare

Vermutlich ab dem Oktoberrelease wird eine neue Speicherbereinigungssuftware ausgeliefert von Microsoft. Cleanmgr.exe soll angeblich aber noch weiter parallel verfügbar ...

E-Mail
Neueste Masche der Bad Guys: Offene Erpressung
Information von the-buccaneer vor 2 TagenE-Mail15 Kommentare

"Warum den komplizierten Weg über einen Kryptotrojaner nehmen, wenn man die Leute auch direkt erpressen kann?" haben sich wohl ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
Kombiniere mehrere 4G Router zu einem Netzwerk - Anwendung kleine LAN (10-20 Leute)
Frage von HulkTheHeroLAN, WAN, Wireless24 Kommentare

Guten Mittag liebes Administrator - Fourm, ich hoffe ich habe das richtige Thema ausgewählt - ansonsten bitte gerne verschieben ...

Windows Server
Fileserver von 2012 R2 auf 2012R2
gelöst Frage von ThabeusWindows Server23 Kommentare

Moin moin, leider war in der Vergangenheit der Fokus des Betriebs nicht auf Langfristigkeit ausgelegt. Daher stehe ich jetzt ...

Hyper-V
Windows Serer 2016 Standard virtualisieren
gelöst Frage von fritte87Hyper-V18 Kommentare

Hallo zusammen, ich muss für eine kleine Firma ein entsprechendes neues kleines Konzept bauen. Ich habe einen Server Standard ...

Router & Routing
Größere Zahl VPN-Verbindungen mit Fritz-Box einrichten
Frage von miscmikeRouter & Routing15 Kommentare

Hallo Zusammen, ich supporte verschiedene Kunden mit bestehenden LAN-LAN-Kopplungen via FritzBox (7490, FritzOS 7.01) . Anwendungen sind z.B. Kaspersky-KSC ...