Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Wie funktioniert EAP-TLS Authentication des PCs im 802.1x netz über RADIUS?

Mitglied: icegod

icegod (Level 1) - Jetzt verbinden

20.04.2006, aktualisiert 08.01.2009, 9136 Aufrufe, 3 Kommentare

hi,also habe folgendes Problem.Bin Praktikant bei ner firma die sich für die umsetzung des 802.1x standards interessiert.
Es gibt eine test PKI, als verzeichnisdienst NDS.mir geht es jetzt speziell um den RADIUS.

Wer sich mit dem Thema beschäftigt hat, weis das jeder PC ein von einer CA signiertes Zertifikat braucht,dieses während des EAP-TLS Handshakes an den RADIUS sendet, dieser es überprüft und nach Erfolg des gesamten Hshakes ein Success paket zum switch sendet,dieser den Port für den PC öffnet,fertig.So weit so gut.Aber in keiner Literatur habe ich nähere angaben wie genau der RADIUS die Prüfung mit seinem dahinterliegendem Verzeichnisdienst (sei es nun Windows ADS oder Novells NDS) macht.

Ich nehme an die NDS oder ADS muß ein Schema zur Erstellung von Maschinenaccounts besitzen, in dem bestimmte Zertifikat attribute abgelegt werden .
Aber wie ist der Prüfvorgang für den RADIUS?
Kann man bei dem angeben wie intensiv das Zert. geprüft werden soll, also welche Zert.attribute oder läßt er in der NDS den PC suchen und prüft dort nach allen auffindbaren einträgen?

habe nie mit einem RADIUS gearbeitet.Bevor ich mir einen bestimmten SERVER für unser Problem aussuchen kann,muß ich erst mal die allg. Arbeitsweise verstehen.

ZIEL des Projektes soll sein, daß die Switchports nun geöffnet oder gesperrt sein sollen.
dafür soll nur das Zertifikat des PCs entscheident sein.Die entscheidung,ob sich ein nutzer nun in die NDS einloggen will oder nicht,soll unabhängig von der Maschine bleiben.Relevant ist nur Port offen oder nicht.

Ich hoffe mir kann jemand einen roten faden spannen,an dem ich mich entlanghangeln kann.danke im voraus.
Mitglied: 25059
28.04.2006 um 07:32 Uhr
hi,

hab gerade eine 802.1x implementation hinter mir.
hab 2 issuing cas + nen redundanten radius + z.b. ciscos >2950.
zuerst muss jeder switch mit eap usw. erstmal klarkommen, z.b. ciscos >2950.
die pkis stellen für jedes computerkonto in der domäne ein zertifikat bereit.

die IAS config schaut bei mir wie folgt aus:

Remote Access Policies:
Name:802.1x Authentication RAP
Order: 1 - matched zuerst

Policy conditions:NAS-Port-Type matches "Ethernet"

Unter Authentication alles ausschalten.

EAP-Methods: Smart Card or other certificate wählen - hier steht dann die PKI drin.

If a connectionr equest matches the specified conditions:
Grant remote Access Permission


Connection Request Policies:
Name:802.1x Authentication RAP
Procession Order: 1
Policy conditions: NAS-Port-Type matches "Ethernet"


Zum nachschauen ob auf dem Radius was ankommt empfehl ich dir den IAS Log Viewer: http://www.deepsoftware.com/iasviewer/ ist trial und reicht völlig aus.

Wakeup on LAN funktioniert nach 802.1x weiterhin, nur wird dir ein pxeboot nicht mehr möglich sein... Hierzu gibt es jedoch noch die möglichkeit die switchports nicht zu downen, sondern die switche so zu konfigurieren dass diese clients ohne zertifikat in ein guestvlan fallen, welches z.b. nur auf einen server sprechen darf, der für die OS verteilung zuständig ist. z.b. ein ris oder so.

ich würde den radius auf jedenfall noch redundant auslegen und beide in die switchconfig eintragen. denn sobald dieser ausfällt wird wohl kein port mehr erwachen. man könnte zwar dann an nem ungeschützten port die config (nur ein paar zeilen auf dem siwtchport) wieder runternehmen, jedoch wenn man sich auch am switch per radius einloggen muss und dieser down ist hilft meist nur noch ein fallback-konzept.

eine schwachstelle ist bei 802.1x u.a. auch wenn dir ein user an seinem client das lankabel rauszieht und dann dort nen kleinen hub dranhängt, dann wird der switchport von seinem pc geöffnet und am hub ist auch alles frei fürs private notebook... hier hilft warscheinlich nur die portsecurity auf eine mac runterzustellen...

radius allgemeines...
http://www.microsoft.com/germany/technet/datenbank/articles/900172.mspx
http://www.tecchannel.de/sicherheit/grundlagen/402082/index18.html
http://www-wlan.uni-regensburg.de/8021x.html
http://de.wikipedia.org/wiki/RADIUS

schwierig wird das ganze noch bei den ports an denen die drucker hängen. hier kämpfe ich zur zeit. die drucker können wohl zertifikate, jedoch ich weiss noch nicht genau wie die die eap requests beantworten sollen... bin da zurzeit noch am testen. falls hier noch jemand eine idee hat.... ich bin für jeden tipp dankbar.

hier noch wie du deinen radius redundant bekommst:

1.
richte auf dem sourceradius einen timedtask ein, welcher alle 30minuten läuft und dies unter einem user, welcher sein passwort nie ändert. z.b. ein spezieller user hierfür, welcher sich nur auf diesem rechner und dem zielrechner einloggen darf.
auszuführender befehl:
netsh aaaa show config >\\ZIELSERVER\C$\radiusconfig.txt

2. richte auf dem zielserver einen timedtask ein, welcher alle 30minuten läuft und dies unter einem user, welcher sein passwort nie ändert. z.b. ein spezieller user hierfür, welcher sich nur auf diesem rechner und dem zielrechner einloggen darf.
auszuführender befehl:
netsh exec c:\radiusconfig.txt

somit wird spätestens nach 30minuten die radiusconfig automatisch in eine andere machine importiert. dies geschieht im livebetrieb und mann muss hierzu den radiusdienst nicht neustarten.

man beachte:
man darf in zukunft nur noch auf dem sourceserver die konfigurationd es radius ändern, da diese auf die anderen übertragen wird. ändert man auf einem anderen die config, so wird diese spätestens nach 30minuten überschrieben.

um das ganze überwachen zu können, kann man mom von microsoft benutzen oder ein tracking auf die radiusconfig.txt machen, ob diese auch alle 30minuten geändert wird (zeitstempel der datei).

ps: die lösung ist zwar nicht die schönste, jedoch sie funktioniert und ich habe bis jetzt noch keine andere möglichkeit gefunden die radiusconfig auf einem anderen weg in den anderen ias zu bekommen.

gruß
wolfgang
Bitte warten ..
Mitglied: icegod
08.05.2006 um 11:46 Uhr
Danke, für die Infos.
Die werden mir noch an mancher Stelle hilfreich sein.
Bitte warten ..
Mitglied: Inqui
11.05.2006 um 09:41 Uhr
Hallo Icegod,

ich bin auch gerade dabei ein Testumgebung für das Testen von 802.1x im LAN aufzubauen. Hab mir für die Installation bzw. Konfiguration erstmal folgendes Whitepaper von MS zu Gemüte geführt:
http://www.microsoft.com/downloads/details.aspx?familyid=05951071-6b20- ...
Wahrscheinlich hast du dieses auch schon gelesen; falls jedoch nicht ist es sicherlich an manchen Stellen Hilfreich.

MfG
Inqui
Bitte warten ..
Ähnliche Inhalte
Windows Server

802.1x - Radius - kann Client ins Netz wenn es hakt?

Frage von 1410640014Windows Server

Hallo, wir wollen in einer kleineren Firma 802.1x - Radius Authentifizierung mit 2012R2-Servern implementieren (auf Computer-Zertifikatsbasis) Problem: Die Zweigstellen ...

Firewall

PfSense: Freeradius, NUR EAP-TLS

Frage von mrserious73Firewall

Hallo zusammen, gibt's eine Möglichkeit, den Radiusserver in pfSense wirklich NUR EAP-TLS machen zu lassen? Man kann die restlichen ...

Windows Server

802.1x und NAP - Funktionsweise EAP-Quarantäneerzwingungsclient

gelöst Frage von cuilsterWindows Server4 Kommentare

Hallo, zum Bergfest wieder mal ne harte Nuss Ich versuche es mal zu Formulieren. Basis ist eine 802.1x-Infrastruktur mit ...

LAN, WAN, Wireless

WLan-Authentifizierung über NPS mit EAP-TLS

Frage von KopeckLAN, WAN, Wireless1 Kommentar

Hallo, ich habe folgendes Problem: Ich würde gerne mein WLan mit Hilfe von (Benutzer)Zertifikaten absichern. Habe nun in einer ...

Neue Wissensbeiträge
E-Mail
Email-Apps und Verhalten bei Pop3
Erfahrungsbericht von kfranzk vor 1 TagE-Mail3 Kommentare

Hallo Freunde, da mir mein diesbezüglicher Faden als gelöst markiert wurde, muss ich hier neu aufsetzen. Ich arbeite bewusst ...

Hyper-V

Optimiertes Ubuntu per Microsoft Hyper-V-Schnellerstellung verfügbar

Anleitung von Frank vor 1 TagHyper-V

Für Microsofts Virtualisierungssoftware Hyper-V ist ab sofort auch ein optimiertes Ubuntu 18.04.1 LTS verfügbar. In der "Hyper-V-Schnellerstellung" App, die ...

Sicherheits-Tools

Trend Micro WorryFree Business Security (WFBS) 10 - neuer Patch 1470 verfügbar

Tipp von VGem-e vor 1 TagSicherheits-Tools1 Kommentar

Servus, mal sehen, ob mit Patch 1470, zu finden unter dann die angeblich fehlerhafte Funktion, die unter W10 im ...

Server-Hardware

Lösung für Ersatz eines defekter Raid-Controllers

Anleitung von wellknown vor 1 TagServer-Hardware4 Kommentare

Hallo, da ich nichts gefunden habe und selbst eine Lösung brauchte, hier eine kleine Anleitung für alle die vor ...

Heiß diskutierte Inhalte
Windows Server
Mit der alten Domäneprofil anmelden ohne Server
gelöst Frage von SyosseWindows Server37 Kommentare

Hallo Jungs Folgendes Szenario: Ich habe bei einem sehr kleinen Unternehmen (2Personen) den Server migriert, soweit hat alles geklappt. ...

Sicherheits-Tools
Virenprogramm lässt Programme nicht starten
Frage von SurferGirlSicherheits-Tools23 Kommentare

Hallo, ich bin neu hier, ich hoffe ich habe die richtige Rubrik gewählt. Falls nicht, tut es mir leid. ...

Windows Server
SQL Server Instanz (Eplan) auf WIN 2008 RC2 Server frisst RAM ohne Limit
Frage von derinderinderinWindows Server17 Kommentare

Hallo Zusammen, Wir haben hier einen Windows 2008 RC2 Server. Darauf läuft ein SQL Server Express 2014 Version 12.0.4232.0. ...

Windows 10
Best Practice für Schulungsräume
Frage von Sn0wFoxWindows 1016 Kommentare

Hallo, leider bin ich auch nach langer Suche nicht auf eine zufriedenstellende Nicht-Cloud-Lösung gestoßen und wollte mal Fragen ob ...