finchen961988
Goto Top

802.1x Implementierung und Fragen

Hallo liebes Forum,

ich beschäftige mich gerade mit 802.1x im wlan und lan.
Im Prinzip ist das alles ja kein hexenwerk, aber ich frage mich und irgendwie finde ich den richtigen Ansatz ("Ansatz der Google Frage") nicht wie ich folgendes Lösen:

Es gibt 5 VLANs
1 . VLAN: Verwaltung
2. VLAN: Buchhaltung
3. VLAN: Technik
4. VLAN: Service:
5. VLAN: Azubis

Ich habe ein AD auf Basis 2019, eine CA und eine NPS Server.
Im Ad gibt es Gruppen für die VLANS für die Gruppen.

Meine Frage hier ist, kann ich anhand des NPS Servers wenn zum Beispiel der User Müller (Gruppe Technik )sich am PC anmeldet, eine KOnfig erstellen, die dann auf dem Switch das VLAN TECHNIK zu weist?

Ich würde mich über Antworten oder passenden Links freuen oder Buch/Video tipps auch zu den Grundlagen 802.1x.

Zur Zeit habe ich HP ARUBA 1920G Switche und das ganze ist immoment im HomeLAB.


MFG

ICH

Content-ID: 562906

Url: https://administrator.de/contentid/562906

Ausgedruckt am: 14.11.2024 um 01:11 Uhr

143728
143728 03.04.2020 aktualisiert um 13:48:50 Uhr
Goto Top
Meine Frage hier ist, kann ich anhand des NPS Servers wenn zum Beispiel der User Müller (Gruppe Technik )sich am PC anmeldet, eine KOnfig erstellen, die dann auf dem Switch das VLAN TECHNIK zu weist?
Kein Problem ...
IEEE 802.1X Authentication and Dynamic VLAN Assignment with NPS Radius Server
aqui
aqui 03.04.2020 aktualisiert um 16:03:51 Uhr
Goto Top
Im Prinzip ist das alles ja kein hexenwerk
Richtig !
eine KOnfig erstellen, die dann auf dem Switch das VLAN TECHNIK zu weist?
Ja !
Auch das ist kein Hexenwerk. Nennt sich "dynamic VLANs". Die Suchfunktion ist dein Freund... face-wink
Guckst du hier:
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Cisco SG 350x Grundkonfiguration
...und kombiniert für WLAN und VLAN z.B. hier:
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik
Sollten deine HP Gurken auch können. Besser aber nochmal im Handbuch nachsehen denn auch wenn Switches dort blumig mit 802.1x Port Security beworben werden heisst dann zwar das sie generell Port Security mit 802.1x können aber noch lange keine Dynamic VLANs dazu. Bei billigen Websmart Switches ist das manchmal der Fall also aufgepasst.
Finchen961988
Finchen961988 21.04.2020 um 19:33:46 Uhr
Goto Top
Hallo bin gerade fleißig am Implementieren,

bin mittlerweile an dem Punkt die Aruba 8 Port Serie 2530 Switch ist eingerichtet mit den Befehlen und hat den Radius Server eingetragen.

aaa authentication port-access eap-radius

Vorab, das VLAN ist bekannt und funktioniert auch und soll das dynamisch zugewiesen werden anhand von Windows AD Gruppen und die Authentifizierung dann über Zertifikat.

Im NPS habe ich eine Verbindunganforderungen habe ich eine Richtlinie erstellt mit dem dem NASPORTTYP Ethernet

Und in den Netzwerkrichtlinien dann eine Richtline mit den Einschränkungen Geschütztes EAP (PEAP) und dann als EAP-Typen Smartcard- oder anderes Zertifikat
Als Zertifikat habe ich dann das eigenen genommen welches in der PKI bekannt ist....nps01.test.local

Zwischenzeitlich habe ich zum Testen dann auf EAP- Typen Smartcard -oder anderes Zertifikat im ersten Dialog gestellt.

Leider bekomme ich bei beiden im NPS-LOG folgende Meldung

Der Netzwerkrichtlinienserver hat einem Benutzer den Zugriff verweigert.

Wenden Sie sich an den Administrator des Netzwerkrichtlinienservers, um weitere Informationen zu erhalten.

Benutzer:
Sicherheits-ID: TEST\NB-FT$
Kontoname: host/NB-FT.test.local
Kontodomäne: test
Vollqualifizierter Kontoname: test.local/Arbeitsstationen/Ausbildung/NB-FT

Clientcomputer:
Sicherheits-ID: NULL SID
Kontoname: -
Vollqualifizierter Kontoname: -
ID der Empfangsstation: f4-03-43-08-40-80
ID der Anrufstation: 8c-04-ba-3c-d6-16

NAS:
NAS-IPv4-Adresse: 192.168.5.144
NAS-IPv6-Adresse: -
NAS-ID: HP-2530-8G-PoEP
NAS-Porttyp: Ethernet
NAS-Port: 3

RADIUS-Client:
Clientanzeigename: 8PortTestSwitch
Client-IP-Adresse: 192.168.5.144

Authentifizierungsdetails:
Name der Verbindungsanforderungsrichtlinie: Sichere verkabelte (Ethernet-) Verbindungen
Netzwerkrichtlinienname: Azubi_LAN_VLAN85
Authentifizierungsanbieter: Windows
Authentifizierungsserver: NPS01.test.local
Authentifizierungstyp: PEAP
EAP-Typ: Microsoft: Smartcard- oder anderes Zertifikat
Kontositzungs-ID: -
Protokollierungsergebnisse: Die Kontoinformationen wurden in die lokale Protokolldatei geschrieben.
Ursachencode: 295
Ursache: Die Zertifizierungskette wurde richtig verarbeitet, doch wird eines der Zertifizierungsstellenzertifikate vom Richtlinienanbieter nicht für vertrauenswürdig gehalten.

Und hier bin ich am stocken, ich habe geschaut im NPS - Server sind die Zertifikiate der TEST ROOT CA und die Enterprise ROOT CA. Beide CAs sind im AD
Ich spiele gerade schon mit dem Gedanken das Client-Zert vom dem Testgerät einfach mal händisch zu installieren.

Zum Client WINDOWS 10 1909
dort ist der Dienst automatische Konfig bei verkabelten Netzwerk an und ich habe in Schnittstelle auch schon rum gespielt und es brachte keinen Erfolg.

Hat hier einer noch einen TIP?
aqui
aqui 22.04.2020 aktualisiert um 09:58:07 Uhr
Goto Top
.nps01.test.local
.local ist keine gute und besonders intelligente Wahl für eine Root Domain. Die ist weltweit fest für den mDNS Dienst durch die IANA reserviert und damit absolut Tabu. Solche simplen Netzwerk Basics sollte man als Azubi eigentlich wissen. Über kurz oder lang führt sowas zu Problemen im Netzwerk.
https://de.wikipedia.org/wiki/Zeroconf#Multicast_DNS
https://en.wikipedia.org/wiki/.local
Welche Root Domain Namen sinnvoll sind zur Verwendung erklärt dieses Tutorial genau:
https://www.heise.de/select/ct/2017/26/1513540412603853
Das nur mal nebenbei und zurück zum Thema...
Das Problem hat dir der Server ja schon auf dem Silbertablett serviert:
"doch wird eines der Zertifizierungsstellenzertifikate vom Richtlinienanbieter nicht für vertrauenswürdig gehalten..."
Fazit:
Dein Zertifikat ist ungültig und deshalb sagt er "Du kommst hier nicht rein". Die Port Authentisierung funktioniert also fehlerlos ! face-wink
Finchen961988
Finchen961988 22.04.2020 um 11:40:17 Uhr
Goto Top
naja,

ich habe schon eine neue zertifikatsvorlage (RAS und IAS Server genommen) nur den DNS Namen ausgewählt und die Gültigkeitsdauer genommen!
Vom Server aus neuangefordert.

Nichts
aqui
Lösung aqui 22.04.2020 um 13:49:42 Uhr
Goto Top
Wenn das Zertifikat falsch ist dann ist es falsch. Bei solchen relevanten Sicherheits Dingen irren sich die Rechner meisten niemals... face-wink
Du solltest dem also glauben und suchen wo bei deinen Zertifikaten der Fehler ist !!
Vielleicht nimmst du der Einfachheit halber auch erstmal einen Testuser mit simplen Preshared Keys um generell mal zu checken das dein 802.1x Setup OK ist ?!
Finchen961988
Finchen961988 25.04.2020 um 10:28:22 Uhr
Goto Top
Fehler gefunden,
leider war im NTAUTH noch ein altes Enterprise Zertifikat, ausgetauscht und schon ging es
danke
aqui
aqui 25.04.2020 aktualisiert um 12:02:34 Uhr
Goto Top
Kleine Ursache, große Wirkung, denn das Log lügt meistens nie... face-wink

Bitte dann auch
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !