3
Wie funktioniert EAP-TLS Authentication des PCs im 802.1x netz über RADIUS?
hi,also habe folgendes Problem.Bin Praktikant bei ner firma die sich für die umsetzung des 802.1x standards interessiert.
Es gibt eine test PKI, als verzeichnisdienst NDS.mir geht es jetzt speziell um den RADIUS.
Wer sich mit dem Thema beschäftigt hat, weis das jeder PC ein von einer CA signiertes Zertifikat braucht,dieses während des EAP-TLS Handshakes an den RADIUS sendet, dieser es überprüft und nach Erfolg des gesamten Hshakes ein Success paket zum switch sendet,dieser den Port für den PC öffnet,fertig.So weit so gut.Aber in keiner Literatur habe ich nähere angaben wie genau der RADIUS die Prüfung mit seinem dahinterliegendem Verzeichnisdienst (sei es nun Windows ADS oder Novells NDS) macht.
Ich nehme an die NDS oder ADS muß ein Schema zur Erstellung von Maschinenaccounts besitzen, in dem bestimmte Zertifikat attribute abgelegt werden .
Aber wie ist der Prüfvorgang für den RADIUS?
Kann man bei dem angeben wie intensiv das Zert. geprüft werden soll, also welche Zert.attribute oder läßt er in der NDS den PC suchen und prüft dort nach allen auffindbaren einträgen?
habe nie mit einem RADIUS gearbeitet.Bevor ich mir einen bestimmten SERVER für unser Problem aussuchen kann,muß ich erst mal die allg. Arbeitsweise verstehen.
ZIEL des Projektes soll sein, daß die Switchports nun geöffnet oder gesperrt sein sollen.
dafür soll nur das Zertifikat des PCs entscheident sein.Die entscheidung,ob sich ein nutzer nun in die NDS einloggen will oder nicht,soll unabhängig von der Maschine bleiben.Relevant ist nur Port offen oder nicht.
Ich hoffe mir kann jemand einen roten faden spannen,an dem ich mich entlanghangeln kann.danke im voraus.
Es gibt eine test PKI, als verzeichnisdienst NDS.mir geht es jetzt speziell um den RADIUS.
Wer sich mit dem Thema beschäftigt hat, weis das jeder PC ein von einer CA signiertes Zertifikat braucht,dieses während des EAP-TLS Handshakes an den RADIUS sendet, dieser es überprüft und nach Erfolg des gesamten Hshakes ein Success paket zum switch sendet,dieser den Port für den PC öffnet,fertig.So weit so gut.Aber in keiner Literatur habe ich nähere angaben wie genau der RADIUS die Prüfung mit seinem dahinterliegendem Verzeichnisdienst (sei es nun Windows ADS oder Novells NDS) macht.
Ich nehme an die NDS oder ADS muß ein Schema zur Erstellung von Maschinenaccounts besitzen, in dem bestimmte Zertifikat attribute abgelegt werden .
Aber wie ist der Prüfvorgang für den RADIUS?
Kann man bei dem angeben wie intensiv das Zert. geprüft werden soll, also welche Zert.attribute oder läßt er in der NDS den PC suchen und prüft dort nach allen auffindbaren einträgen?
habe nie mit einem RADIUS gearbeitet.Bevor ich mir einen bestimmten SERVER für unser Problem aussuchen kann,muß ich erst mal die allg. Arbeitsweise verstehen.
ZIEL des Projektes soll sein, daß die Switchports nun geöffnet oder gesperrt sein sollen.
dafür soll nur das Zertifikat des PCs entscheident sein.Die entscheidung,ob sich ein nutzer nun in die NDS einloggen will oder nicht,soll unabhängig von der Maschine bleiben.Relevant ist nur Port offen oder nicht.
Ich hoffe mir kann jemand einen roten faden spannen,an dem ich mich entlanghangeln kann.danke im voraus.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 30792
Url: https://administrator.de/contentid/30792
Printed on: April 19, 2024 at 20:04 o'clock
3 Comments
Latest comment
hi,
hab gerade eine 802.1x implementation hinter mir.
hab 2 issuing cas + nen redundanten radius + z.b. ciscos >2950.
zuerst muss jeder switch mit eap usw. erstmal klarkommen, z.b. ciscos >2950.
die pkis stellen für jedes computerkonto in der domäne ein zertifikat bereit.
die IAS config schaut bei mir wie folgt aus:
Remote Access Policies:
Name:802.1x Authentication RAP
Order: 1 - matched zuerst
Policy conditions:NAS-Port-Type matches "Ethernet"
Unter Authentication alles ausschalten.
EAP-Methods: Smart Card or other certificate wählen - hier steht dann die PKI drin.
If a connectionr equest matches the specified conditions:
Grant remote Access Permission
Connection Request Policies:
Name:802.1x Authentication RAP
Procession Order: 1
Policy conditions: NAS-Port-Type matches "Ethernet"
Zum nachschauen ob auf dem Radius was ankommt empfehl ich dir den IAS Log Viewer: http://www.deepsoftware.com/iasviewer/ ist trial und reicht völlig aus.
Wakeup on LAN funktioniert nach 802.1x weiterhin, nur wird dir ein pxeboot nicht mehr möglich sein... Hierzu gibt es jedoch noch die möglichkeit die switchports nicht zu downen, sondern die switche so zu konfigurieren dass diese clients ohne zertifikat in ein guestvlan fallen, welches z.b. nur auf einen server sprechen darf, der für die OS verteilung zuständig ist. z.b. ein ris oder so.
ich würde den radius auf jedenfall noch redundant auslegen und beide in die switchconfig eintragen. denn sobald dieser ausfällt wird wohl kein port mehr erwachen. man könnte zwar dann an nem ungeschützten port die config (nur ein paar zeilen auf dem siwtchport) wieder runternehmen, jedoch wenn man sich auch am switch per radius einloggen muss und dieser down ist hilft meist nur noch ein fallback-konzept.
eine schwachstelle ist bei 802.1x u.a. auch wenn dir ein user an seinem client das lankabel rauszieht und dann dort nen kleinen hub dranhängt, dann wird der switchport von seinem pc geöffnet und am hub ist auch alles frei fürs private notebook... hier hilft warscheinlich nur die portsecurity auf eine mac runterzustellen...
radius allgemeines...
http://www.microsoft.com/germany/technet/datenbank/articles/900172.mspx
http://www.tecchannel.de/sicherheit/grundlagen/402082/index18.html
http://www-wlan.uni-regensburg.de/8021x.html
http://de.wikipedia.org/wiki/RADIUS
schwierig wird das ganze noch bei den ports an denen die drucker hängen. hier kämpfe ich zur zeit. die drucker können wohl zertifikate, jedoch ich weiss noch nicht genau wie die die eap requests beantworten sollen... bin da zurzeit noch am testen. falls hier noch jemand eine idee hat.... ich bin für jeden tipp dankbar.
hier noch wie du deinen radius redundant bekommst:
1.
richte auf dem sourceradius einen timedtask ein, welcher alle 30minuten läuft und dies unter einem user, welcher sein passwort nie ändert. z.b. ein spezieller user hierfür, welcher sich nur auf diesem rechner und dem zielrechner einloggen darf.
auszuführender befehl:
netsh aaaa show config >\\ZIELSERVER\C$\radiusconfig.txt
2. richte auf dem zielserver einen timedtask ein, welcher alle 30minuten läuft und dies unter einem user, welcher sein passwort nie ändert. z.b. ein spezieller user hierfür, welcher sich nur auf diesem rechner und dem zielrechner einloggen darf.
auszuführender befehl:
netsh exec c:\radiusconfig.txt
somit wird spätestens nach 30minuten die radiusconfig automatisch in eine andere machine importiert. dies geschieht im livebetrieb und mann muss hierzu den radiusdienst nicht neustarten.
man beachte:
man darf in zukunft nur noch auf dem sourceserver die konfigurationd es radius ändern, da diese auf die anderen übertragen wird. ändert man auf einem anderen die config, so wird diese spätestens nach 30minuten überschrieben.
um das ganze überwachen zu können, kann man mom von microsoft benutzen oder ein tracking auf die radiusconfig.txt machen, ob diese auch alle 30minuten geändert wird (zeitstempel der datei).
ps: die lösung ist zwar nicht die schönste, jedoch sie funktioniert und ich habe bis jetzt noch keine andere möglichkeit gefunden die radiusconfig auf einem anderen weg in den anderen ias zu bekommen.
gruß
wolfgang
hab gerade eine 802.1x implementation hinter mir.
hab 2 issuing cas + nen redundanten radius + z.b. ciscos >2950.
zuerst muss jeder switch mit eap usw. erstmal klarkommen, z.b. ciscos >2950.
die pkis stellen für jedes computerkonto in der domäne ein zertifikat bereit.
die IAS config schaut bei mir wie folgt aus:
Remote Access Policies:
Name:802.1x Authentication RAP
Order: 1 - matched zuerst
Policy conditions:NAS-Port-Type matches "Ethernet"
Unter Authentication alles ausschalten.
EAP-Methods: Smart Card or other certificate wählen - hier steht dann die PKI drin.
If a connectionr equest matches the specified conditions:
Grant remote Access Permission
Connection Request Policies:
Name:802.1x Authentication RAP
Procession Order: 1
Policy conditions: NAS-Port-Type matches "Ethernet"
Zum nachschauen ob auf dem Radius was ankommt empfehl ich dir den IAS Log Viewer: http://www.deepsoftware.com/iasviewer/ ist trial und reicht völlig aus.
Wakeup on LAN funktioniert nach 802.1x weiterhin, nur wird dir ein pxeboot nicht mehr möglich sein... Hierzu gibt es jedoch noch die möglichkeit die switchports nicht zu downen, sondern die switche so zu konfigurieren dass diese clients ohne zertifikat in ein guestvlan fallen, welches z.b. nur auf einen server sprechen darf, der für die OS verteilung zuständig ist. z.b. ein ris oder so.
ich würde den radius auf jedenfall noch redundant auslegen und beide in die switchconfig eintragen. denn sobald dieser ausfällt wird wohl kein port mehr erwachen. man könnte zwar dann an nem ungeschützten port die config (nur ein paar zeilen auf dem siwtchport) wieder runternehmen, jedoch wenn man sich auch am switch per radius einloggen muss und dieser down ist hilft meist nur noch ein fallback-konzept.
eine schwachstelle ist bei 802.1x u.a. auch wenn dir ein user an seinem client das lankabel rauszieht und dann dort nen kleinen hub dranhängt, dann wird der switchport von seinem pc geöffnet und am hub ist auch alles frei fürs private notebook... hier hilft warscheinlich nur die portsecurity auf eine mac runterzustellen...
radius allgemeines...
http://www.microsoft.com/germany/technet/datenbank/articles/900172.mspx
http://www.tecchannel.de/sicherheit/grundlagen/402082/index18.html
http://www-wlan.uni-regensburg.de/8021x.html
http://de.wikipedia.org/wiki/RADIUS
schwierig wird das ganze noch bei den ports an denen die drucker hängen. hier kämpfe ich zur zeit. die drucker können wohl zertifikate, jedoch ich weiss noch nicht genau wie die die eap requests beantworten sollen... bin da zurzeit noch am testen. falls hier noch jemand eine idee hat.... ich bin für jeden tipp dankbar.
hier noch wie du deinen radius redundant bekommst:
1.
richte auf dem sourceradius einen timedtask ein, welcher alle 30minuten läuft und dies unter einem user, welcher sein passwort nie ändert. z.b. ein spezieller user hierfür, welcher sich nur auf diesem rechner und dem zielrechner einloggen darf.
auszuführender befehl:
netsh aaaa show config >\\ZIELSERVER\C$\radiusconfig.txt
2. richte auf dem zielserver einen timedtask ein, welcher alle 30minuten läuft und dies unter einem user, welcher sein passwort nie ändert. z.b. ein spezieller user hierfür, welcher sich nur auf diesem rechner und dem zielrechner einloggen darf.
auszuführender befehl:
netsh exec c:\radiusconfig.txt
somit wird spätestens nach 30minuten die radiusconfig automatisch in eine andere machine importiert. dies geschieht im livebetrieb und mann muss hierzu den radiusdienst nicht neustarten.
man beachte:
man darf in zukunft nur noch auf dem sourceserver die konfigurationd es radius ändern, da diese auf die anderen übertragen wird. ändert man auf einem anderen die config, so wird diese spätestens nach 30minuten überschrieben.
um das ganze überwachen zu können, kann man mom von microsoft benutzen oder ein tracking auf die radiusconfig.txt machen, ob diese auch alle 30minuten geändert wird (zeitstempel der datei).
ps: die lösung ist zwar nicht die schönste, jedoch sie funktioniert und ich habe bis jetzt noch keine andere möglichkeit gefunden die radiusconfig auf einem anderen weg in den anderen ias zu bekommen.
gruß
wolfgang
Danke, für die Infos.
Die werden mir noch an mancher Stelle hilfreich sein.
Die werden mir noch an mancher Stelle hilfreich sein.
Hallo Icegod,
ich bin auch gerade dabei ein Testumgebung für das Testen von 802.1x im LAN aufzubauen. Hab mir für die Installation bzw. Konfiguration erstmal folgendes Whitepaper von MS zu Gemüte geführt:
http://www.microsoft.com/downloads/details.aspx?familyid=05951071-6b20- ...
Wahrscheinlich hast du dieses auch schon gelesen; falls jedoch nicht ist es sicherlich an manchen Stellen Hilfreich.
MfG
Inqui
ich bin auch gerade dabei ein Testumgebung für das Testen von 802.1x im LAN aufzubauen. Hab mir für die Installation bzw. Konfiguration erstmal folgendes Whitepaper von MS zu Gemüte geführt:
http://www.microsoft.com/downloads/details.aspx?familyid=05951071-6b20- ...
Wahrscheinlich hast du dieses auch schon gelesen; falls jedoch nicht ist es sicherlich an manchen Stellen Hilfreich.
MfG
Inqui
