802.1x Implementierung und Fragen
Hallo liebes Forum,
ich beschäftige mich gerade mit 802.1x im wlan und lan.
Im Prinzip ist das alles ja kein hexenwerk, aber ich frage mich und irgendwie finde ich den richtigen Ansatz ("Ansatz der Google Frage") nicht wie ich folgendes Lösen:
Es gibt 5 VLANs
1 . VLAN: Verwaltung
2. VLAN: Buchhaltung
3. VLAN: Technik
4. VLAN: Service:
5. VLAN: Azubis
Ich habe ein AD auf Basis 2019, eine CA und eine NPS Server.
Im Ad gibt es Gruppen für die VLANS für die Gruppen.
Meine Frage hier ist, kann ich anhand des NPS Servers wenn zum Beispiel der User Müller (Gruppe Technik )sich am PC anmeldet, eine KOnfig erstellen, die dann auf dem Switch das VLAN TECHNIK zu weist?
Ich würde mich über Antworten oder passenden Links freuen oder Buch/Video tipps auch zu den Grundlagen 802.1x.
Zur Zeit habe ich HP ARUBA 1920G Switche und das ganze ist immoment im HomeLAB.
MFG
ICH
ich beschäftige mich gerade mit 802.1x im wlan und lan.
Im Prinzip ist das alles ja kein hexenwerk, aber ich frage mich und irgendwie finde ich den richtigen Ansatz ("Ansatz der Google Frage") nicht wie ich folgendes Lösen:
Es gibt 5 VLANs
1 . VLAN: Verwaltung
2. VLAN: Buchhaltung
3. VLAN: Technik
4. VLAN: Service:
5. VLAN: Azubis
Ich habe ein AD auf Basis 2019, eine CA und eine NPS Server.
Im Ad gibt es Gruppen für die VLANS für die Gruppen.
Meine Frage hier ist, kann ich anhand des NPS Servers wenn zum Beispiel der User Müller (Gruppe Technik )sich am PC anmeldet, eine KOnfig erstellen, die dann auf dem Switch das VLAN TECHNIK zu weist?
Ich würde mich über Antworten oder passenden Links freuen oder Buch/Video tipps auch zu den Grundlagen 802.1x.
Zur Zeit habe ich HP ARUBA 1920G Switche und das ganze ist immoment im HomeLAB.
MFG
ICH
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 562906
Url: https://administrator.de/contentid/562906
Ausgedruckt am: 22.11.2024 um 08:11 Uhr
8 Kommentare
Neuester Kommentar
Meine Frage hier ist, kann ich anhand des NPS Servers wenn zum Beispiel der User Müller (Gruppe Technik )sich am PC anmeldet, eine KOnfig erstellen, die dann auf dem Switch das VLAN TECHNIK zu weist?
Kein Problem ...IEEE 802.1X Authentication and Dynamic VLAN Assignment with NPS Radius Server
Im Prinzip ist das alles ja kein hexenwerk
Richtig !eine KOnfig erstellen, die dann auf dem Switch das VLAN TECHNIK zu weist?
Ja !Auch das ist kein Hexenwerk. Nennt sich "dynamic VLANs". Die Suchfunktion ist dein Freund...
Guckst du hier:
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Cisco SG 350x Grundkonfiguration
...und kombiniert für WLAN und VLAN z.B. hier:
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik
Sollten deine HP Gurken auch können. Besser aber nochmal im Handbuch nachsehen denn auch wenn Switches dort blumig mit 802.1x Port Security beworben werden heisst dann zwar das sie generell Port Security mit 802.1x können aber noch lange keine Dynamic VLANs dazu. Bei billigen Websmart Switches ist das manchmal der Fall also aufgepasst.
.nps01.test.local
.local ist keine gute und besonders intelligente Wahl für eine Root Domain. Die ist weltweit fest für den mDNS Dienst durch die IANA reserviert und damit absolut Tabu. Solche simplen Netzwerk Basics sollte man als Azubi eigentlich wissen. Über kurz oder lang führt sowas zu Problemen im Netzwerk.https://de.wikipedia.org/wiki/Zeroconf#Multicast_DNS
https://en.wikipedia.org/wiki/.local
Welche Root Domain Namen sinnvoll sind zur Verwendung erklärt dieses Tutorial genau:
https://www.heise.de/select/ct/2017/26/1513540412603853
Das nur mal nebenbei und zurück zum Thema...
Das Problem hat dir der Server ja schon auf dem Silbertablett serviert:
"doch wird eines der Zertifizierungsstellenzertifikate vom Richtlinienanbieter nicht für vertrauenswürdig gehalten..."
Fazit:
Dein Zertifikat ist ungültig und deshalb sagt er "Du kommst hier nicht rein". Die Port Authentisierung funktioniert also fehlerlos !
Wenn das Zertifikat falsch ist dann ist es falsch. Bei solchen relevanten Sicherheits Dingen irren sich die Rechner meisten niemals...
Du solltest dem also glauben und suchen wo bei deinen Zertifikaten der Fehler ist !!
Vielleicht nimmst du der Einfachheit halber auch erstmal einen Testuser mit simplen Preshared Keys um generell mal zu checken das dein 802.1x Setup OK ist ?!
Du solltest dem also glauben und suchen wo bei deinen Zertifikaten der Fehler ist !!
Vielleicht nimmst du der Einfachheit halber auch erstmal einen Testuser mit simplen Preshared Keys um generell mal zu checken das dein 802.1x Setup OK ist ?!
Kleine Ursache, große Wirkung, denn das Log lügt meistens nie...
Bitte dann auch
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !
Bitte dann auch
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !