Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWünsch Dir wasWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst 802.1x Implementierung und Fragen

Mitglied: Finchen961988

Finchen961988 (Level 2) - Jetzt verbinden

03.04.2020 um 13:46 Uhr, 447 Aufrufe, 8 Kommentare

Hallo liebes Forum,

ich beschäftige mich gerade mit 802.1x im wlan und lan.
Im Prinzip ist das alles ja kein hexenwerk, aber ich frage mich und irgendwie finde ich den richtigen Ansatz ("Ansatz der Google Frage") nicht wie ich folgendes Lösen:

Es gibt 5 VLANs
1 . VLAN: Verwaltung
2. VLAN: Buchhaltung
3. VLAN: Technik
4. VLAN: Service:
5. VLAN: Azubis

Ich habe ein AD auf Basis 2019, eine CA und eine NPS Server.
Im Ad gibt es Gruppen für die VLANS für die Gruppen.

Meine Frage hier ist, kann ich anhand des NPS Servers wenn zum Beispiel der User Müller (Gruppe Technik )sich am PC anmeldet, eine KOnfig erstellen, die dann auf dem Switch das VLAN TECHNIK zu weist?

Ich würde mich über Antworten oder passenden Links freuen oder Buch/Video tipps auch zu den Grundlagen 802.1x.

Zur Zeit habe ich HP ARUBA 1920G Switche und das ganze ist immoment im HomeLAB.


MFG

ICH
Mitglied: 143728
03.04.2020, aktualisiert um 13:48 Uhr
Meine Frage hier ist, kann ich anhand des NPS Servers wenn zum Beispiel der User Müller (Gruppe Technik )sich am PC anmeldet, eine KOnfig erstellen, die dann auf dem Switch das VLAN TECHNIK zu weist?
Kein Problem ...
IEEE 802.1X Authentication and Dynamic VLAN Assignment with NPS Radius Server
Bitte warten ..
Mitglied: aqui
03.04.2020, aktualisiert um 16:03 Uhr
Im Prinzip ist das alles ja kein hexenwerk
Richtig !
eine KOnfig erstellen, die dann auf dem Switch das VLAN TECHNIK zu weist?
Ja !
Auch das ist kein Hexenwerk. Nennt sich "dynamic VLANs". Die Suchfunktion ist dein Freund...
Guckst du hier:
https://administrator.de/wissen/netzwerk-zugangskontrolle-802-1x-freerad ...
https://administrator.de/content/detail.php?id=500006&token=166#comm ...
...und kombiniert für WLAN und VLAN z.B. hier:
https://administrator.de/wissen/dynamische-vlan-zuweisung-wlan-u-lan-cli ...
Sollten deine HP Gurken auch können. Besser aber nochmal im Handbuch nachsehen denn auch wenn Switches dort blumig mit 802.1x Port Security beworben werden heisst dann zwar das sie generell Port Security mit 802.1x können aber noch lange keine Dynamic VLANs dazu. Bei billigen Websmart Switches ist das manchmal der Fall also aufgepasst.
Bitte warten ..
Mitglied: Finchen961988
21.04.2020 um 19:33 Uhr
Hallo bin gerade fleißig am Implementieren,

bin mittlerweile an dem Punkt die Aruba 8 Port Serie 2530 Switch ist eingerichtet mit den Befehlen und hat den Radius Server eingetragen.

aaa authentication port-access eap-radius

Vorab, das VLAN ist bekannt und funktioniert auch und soll das dynamisch zugewiesen werden anhand von Windows AD Gruppen und die Authentifizierung dann über Zertifikat.

Im NPS habe ich eine Verbindunganforderungen habe ich eine Richtlinie erstellt mit dem dem NASPORTTYP Ethernet

Und in den Netzwerkrichtlinien dann eine Richtline mit den Einschränkungen Geschütztes EAP (PEAP) und dann als EAP-Typen Smartcard- oder anderes Zertifikat
Als Zertifikat habe ich dann das eigenen genommen welches in der PKI bekannt ist....nps01.test.local

Zwischenzeitlich habe ich zum Testen dann auf EAP- Typen Smartcard -oder anderes Zertifikat im ersten Dialog gestellt.

Leider bekomme ich bei beiden im NPS-LOG folgende Meldung

Der Netzwerkrichtlinienserver hat einem Benutzer den Zugriff verweigert.

Wenden Sie sich an den Administrator des Netzwerkrichtlinienservers, um weitere Informationen zu erhalten.

Benutzer:
Sicherheits-ID: TEST\NB-FT$
Kontoname: host/NB-FT.test.local
Kontodomäne: test
Vollqualifizierter Kontoname: test.local/Arbeitsstationen/Ausbildung/NB-FT

Clientcomputer:
Sicherheits-ID: NULL SID
Kontoname: -
Vollqualifizierter Kontoname: -
ID der Empfangsstation: f4-03-43-08-40-80
ID der Anrufstation: 8c-04-ba-3c-d6-16

NAS:
NAS-IPv4-Adresse: 192.168.5.144
NAS-IPv6-Adresse: -
NAS-ID: HP-2530-8G-PoEP
NAS-Porttyp: Ethernet
NAS-Port: 3

RADIUS-Client:
Clientanzeigename: 8PortTestSwitch
Client-IP-Adresse: 192.168.5.144

Authentifizierungsdetails:
Name der Verbindungsanforderungsrichtlinie: Sichere verkabelte (Ethernet-) Verbindungen
Netzwerkrichtlinienname: Azubi_LAN_VLAN85
Authentifizierungsanbieter: Windows
Authentifizierungsserver: NPS01.test.local
Authentifizierungstyp: PEAP
EAP-Typ: Microsoft: Smartcard- oder anderes Zertifikat
Kontositzungs-ID: -
Protokollierungsergebnisse: Die Kontoinformationen wurden in die lokale Protokolldatei geschrieben.
Ursachencode: 295
Ursache: Die Zertifizierungskette wurde richtig verarbeitet, doch wird eines der Zertifizierungsstellenzertifikate vom Richtlinienanbieter nicht für vertrauenswürdig gehalten.

Und hier bin ich am stocken, ich habe geschaut im NPS - Server sind die Zertifikiate der TEST ROOT CA und die Enterprise ROOT CA. Beide CAs sind im AD
Ich spiele gerade schon mit dem Gedanken das Client-Zert vom dem Testgerät einfach mal händisch zu installieren.

Zum Client WINDOWS 10 1909
dort ist der Dienst automatische Konfig bei verkabelten Netzwerk an und ich habe in Schnittstelle auch schon rum gespielt und es brachte keinen Erfolg.

Hat hier einer noch einen TIP?
Bitte warten ..
Mitglied: aqui
22.04.2020, aktualisiert um 09:58 Uhr
.nps01.test.local
.local ist keine gute und besonders intelligente Wahl für eine Root Domain. Die ist weltweit fest für den mDNS Dienst durch die IANA reserviert und damit absolut Tabu. Solche simplen Netzwerk Basics sollte man als Azubi eigentlich wissen. Über kurz oder lang führt sowas zu Problemen im Netzwerk.
https://de.wikipedia.org/wiki/Zeroconf#Multicast_DNS
https://en.wikipedia.org/wiki/.local
Welche Root Domain Namen sinnvoll sind zur Verwendung erklärt dieses Tutorial genau:
https://www.heise.de/select/ct/2017/26/1513540412603853
Das nur mal nebenbei und zurück zum Thema...
Das Problem hat dir der Server ja schon auf dem Silbertablett serviert:
"doch wird eines der Zertifizierungsstellenzertifikate vom Richtlinienanbieter nicht für vertrauenswürdig gehalten..."
Fazit:
Dein Zertifikat ist ungültig und deshalb sagt er "Du kommst hier nicht rein". Die Port Authentisierung funktioniert also fehlerlos !
Bitte warten ..
Mitglied: Finchen961988
22.04.2020 um 11:40 Uhr
naja,

ich habe schon eine neue zertifikatsvorlage (RAS und IAS Server genommen) nur den DNS Namen ausgewählt und die Gültigkeitsdauer genommen!
Vom Server aus neuangefordert.

Nichts
Bitte warten ..
Mitglied: aqui
LÖSUNG 22.04.2020 um 13:49 Uhr
Wenn das Zertifikat falsch ist dann ist es falsch. Bei solchen relevanten Sicherheits Dingen irren sich die Rechner meisten niemals...
Du solltest dem also glauben und suchen wo bei deinen Zertifikaten der Fehler ist !!
Vielleicht nimmst du der Einfachheit halber auch erstmal einen Testuser mit simplen Preshared Keys um generell mal zu checken das dein 802.1x Setup OK ist ?!
Bitte warten ..
Mitglied: Finchen961988
25.04.2020 um 10:28 Uhr
Fehler gefunden,
leider war im NTAUTH noch ein altes Enterprise Zertifikat, ausgetauscht und schon ging es
danke
Bitte warten ..
Mitglied: aqui
25.04.2020, aktualisiert um 12:02 Uhr
Kleine Ursache, große Wirkung, denn das Log lügt meistens nie...

Bitte dann auch
https://administrator.de/faq/32
nicht vergessen !
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless
802.1X-Authentifizierung
gelöst Frage von Alex29LAN, WAN, Wireless25 Kommentare

Hallo in die Runde, ich bin Hobby-Admin und würde in meinem Netzwerk gern eine 802.1X-Authentifizierung einrichten. Dazu habe ich ...

Windows Netzwerk
802.1x Konfiguration
gelöst Frage von michaelb123Windows Netzwerk2 Kommentare

Hallo, ich habe auf meinem Rechner (win7) als Authentifizierung 802.1x eingerichtet. Es funktioniert auch gut, solange der Switch dementsprechend ...

Server
EIgenschaften IEEE 802.1X
Frage von 133808Server11 Kommentare

Moinsen, welche Eigenschaften würdet ihr dem IEEE 802.1 X Standard zusprechen? Viele Grüße

Windows Netzwerk
802.1x mit Windows Servern
Frage von WinLiCLIWindows Netzwerk3 Kommentare

Hallo zusammen, ich habe eben mit einem Windows 12R2 ein Radius-Server eingerichtet und den mit meinen Switchen connectet. Nun ...

Neue Wissensbeiträge
Erkennung und -Abwehr
Ebay "portscannt" Kunden
Information von Lochkartenstanzer vor 49 MinutenErkennung und -Abwehr1 Kommentar

Moin, Nach neuesten Erkenntnissen führt ebay.com einen Portscan auf den Computer durch, von dem man aus die Seite besucht: ...

Windows Server
Windows DNS Server Denial of Service Vulnerability
Information von Dani vor 1 TagWindows Server

Moin, Microsoft is aware of a vulnerability involving packet amplification that affects Windows DNS servers. An attacker who successfully ...

Batch & Shell

Automatisches Mailing im Batch mit mit sTunnel und Blat.exe

Anleitung von JHB-Kaltduscher vor 2 TagenBatch & Shell4 Kommentare

Ich habe die Lösung für die Frage: Ich kann GoogleMail SMTP nicht einrichten? Folgende Teile nötig: sTunnel + blat.exe ...

Entwicklung
NVIDIA KI programmiert PacMan neu
Information von lcer00 vor 3 TagenEntwicklung

Hallo, Das dürfte ein wichtiger Meilenstein in der Evolution von KI sein. Die Matrix und Skynet lassen schon mal ...

Heiß diskutierte Inhalte
Hardware
Gaming-Laptop
Frage von MrLabelHardware42 Kommentare

Hallo, ich würde mir gerne meinen ersten Gaming Laptop kaufen. Meine Frage ist, komme ich mit maximal 1000,- hin ...

LAN, WAN, Wireless
WLAN-Reichweite verstärken
Frage von f3nrIsLAN, WAN, Wireless20 Kommentare

Hallo, ich habe von einem Bekannten den Auftrag bekommen, mich ein bisschen schlau zu machen, wie man auf seinem ...

Datenbanken
Oracle Standard Lizenzierung - Trennung von der VMWare Farm
Frage von inspiratioDatenbanken17 Kommentare

Hallo zusammen, die Thematik ist einwenig komplex. Wir haben einen Server worauf eine Oracle Datenbank läuft. Dieser Server ist ...

Microsoft
Automatischer Neustart trotz aktiver GPO mit Option "Keinen automatischen Neustart."
Frage von diekotteMicrosoft14 Kommentare

Guten Morgen, ich bin relativ neu hier im Unternehmen und die User klagen, dass Sie morgens kurz nach dem ...