5
Einrichten von NAP unter Server 2008 R2 (802.1x verkabelt)
Hallo zusammen,
ich habe folgendes Problem. Ich möchte NAP einsetzen, um Clients aus dem Netzwerk zu werfen. Das Prüfen der Virendefinitionen oder der Firewall ist eigentlich nebensache. Ich möchte, dass der Client ein bestimmtes Zertifikat besitzen muss, um Zugriff auf das Netzwerk zu erhalten. Ist dieses Zertifikat nicht vorhanden, soll er einfach rausgekantet werden, er soll also nicht die Möglichkeit bekommen, dieses Zertifikat in einem Quarantänenetzwerk zu erhalten. Ich habe mich bisher an den Stepbystep Guide von Microsoft gehalten (jedenfalls zum Teil), der Client wird jedoch nicht aus dem Netzwerk entfernt.
Nun meine eigentliche Frage, kennt jemand ein Tutorial, das mir weiterhelfen kann? Oder bin ich auf der völlig falschen Fährte und das kann gar nicht so funktionieren wie ich mir das denke?
Danke im Voraus.
Gruß
Lash
ich habe folgendes Problem. Ich möchte NAP einsetzen, um Clients aus dem Netzwerk zu werfen. Das Prüfen der Virendefinitionen oder der Firewall ist eigentlich nebensache. Ich möchte, dass der Client ein bestimmtes Zertifikat besitzen muss, um Zugriff auf das Netzwerk zu erhalten. Ist dieses Zertifikat nicht vorhanden, soll er einfach rausgekantet werden, er soll also nicht die Möglichkeit bekommen, dieses Zertifikat in einem Quarantänenetzwerk zu erhalten. Ich habe mich bisher an den Stepbystep Guide von Microsoft gehalten (jedenfalls zum Teil), der Client wird jedoch nicht aus dem Netzwerk entfernt.
Nun meine eigentliche Frage, kennt jemand ein Tutorial, das mir weiterhelfen kann? Oder bin ich auf der völlig falschen Fährte und das kann gar nicht so funktionieren wie ich mir das denke?
Danke im Voraus.
Gruß
Lash
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 153500
Url: https://administrator.de/contentid/153500
Printed on: April 16, 2024 at 07:04 o'clock
5 Comments
Latest comment
Doch das kann so funktionieren wie du das denkst. Willst du das mit 802.1x machen über den LAN Switch ??
Wenn ja findest du hier einen groben Leitfaden für WLAN Clients:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Die 802.1x Authentifizierung im LAN ist analog erfordert aber einen 802.1x fähigen Netzwerk Switch, einen Radius Server und einen aktiven 802.1x Client auf dem Rechner, was aber alle Betriebssysteme mit an Bord haben.
Weitere Infos findest du hier:
http://de.wikipedia.org/wiki/IEEE_802.1X
http://tldp.org/HOWTO/html_single/8021X-HOWTO/
usw.
Wenn ja findest du hier einen groben Leitfaden für WLAN Clients:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Die 802.1x Authentifizierung im LAN ist analog erfordert aber einen 802.1x fähigen Netzwerk Switch, einen Radius Server und einen aktiven 802.1x Client auf dem Rechner, was aber alle Betriebssysteme mit an Bord haben.
Weitere Infos findest du hier:
http://de.wikipedia.org/wiki/IEEE_802.1X
http://tldp.org/HOWTO/html_single/8021X-HOWTO/
usw.
"Wie" ist eigentlich "egal". Hauptsache es rennt sauber. Und da sämtliche Clients eine feste IP haben viel die DHCP Lösung weg. Deswegen habe ich mich für 802.1x entschieden. Wenn es da eine schönere Methode gibt lasse ich mich sehr gerne überzeugen.
Sind denn VLANs zwingend notwendig? Habe für die Testumgebung nur ein altes Cisco Teil zur Verfügung und darauf kann man keine erstellen. Eigentlich benötige ich ja auch keine.... Ist nur die Frage, ob Windows die braucht, damit klar ist, wo die Clients hin sollen.
Sind denn VLANs zwingend notwendig? Habe für die Testumgebung nur ein altes Cisco Teil zur Verfügung und darauf kann man keine erstellen. Eigentlich benötige ich ja auch keine.... Ist nur die Frage, ob Windows die braucht, damit klar ist, wo die Clients hin sollen.
Ich möchte, dass der Client ein bestimmtes Zertifikat besitzen muss, um Zugriff auf das Netzwerk zu erhalten.
Wenn du schon mit PKI arbeiten willst dann lass doch 802.1x - dafür ist es zu unsicher.
Mit Zertifikaten kannst du gleich Domain Isolation nehmen. Wesentlich aufwendiger, aber dafür sicher.
Geht leider nicht. Habe diese Aufgabe als Abschlussprojekt bei der IHK. Wollte halt nicht nur einen DC aufsetzen, wie es 90% der Leute machen..... Dafür sitz ich jetzt vor meinen Problemen...
Ein simpler Freeradius in einer VM auf z.B. SuSE Linux und ein simpler .1x fähiger Switch. Damit hat man das in 20 Minuten am Laufen !