8
802.1x Implementierung und Fragen
Hallo liebes Forum,
ich beschäftige mich gerade mit 802.1x im wlan und lan.
Im Prinzip ist das alles ja kein hexenwerk, aber ich frage mich und irgendwie finde ich den richtigen Ansatz ("Ansatz der Google Frage") nicht wie ich folgendes Lösen:
Es gibt 5 VLANs
1 . VLAN: Verwaltung
2. VLAN: Buchhaltung
3. VLAN: Technik
4. VLAN: Service:
5. VLAN: Azubis
Ich habe ein AD auf Basis 2019, eine CA und eine NPS Server.
Im Ad gibt es Gruppen für die VLANS für die Gruppen.
Meine Frage hier ist, kann ich anhand des NPS Servers wenn zum Beispiel der User Müller (Gruppe Technik )sich am PC anmeldet, eine KOnfig erstellen, die dann auf dem Switch das VLAN TECHNIK zu weist?
Ich würde mich über Antworten oder passenden Links freuen oder Buch/Video tipps auch zu den Grundlagen 802.1x.
Zur Zeit habe ich HP ARUBA 1920G Switche und das ganze ist immoment im HomeLAB.
MFG
ICH
ich beschäftige mich gerade mit 802.1x im wlan und lan.
Im Prinzip ist das alles ja kein hexenwerk, aber ich frage mich und irgendwie finde ich den richtigen Ansatz ("Ansatz der Google Frage") nicht wie ich folgendes Lösen:
Es gibt 5 VLANs
1 . VLAN: Verwaltung
2. VLAN: Buchhaltung
3. VLAN: Technik
4. VLAN: Service:
5. VLAN: Azubis
Ich habe ein AD auf Basis 2019, eine CA und eine NPS Server.
Im Ad gibt es Gruppen für die VLANS für die Gruppen.
Meine Frage hier ist, kann ich anhand des NPS Servers wenn zum Beispiel der User Müller (Gruppe Technik )sich am PC anmeldet, eine KOnfig erstellen, die dann auf dem Switch das VLAN TECHNIK zu weist?
Ich würde mich über Antworten oder passenden Links freuen oder Buch/Video tipps auch zu den Grundlagen 802.1x.
Zur Zeit habe ich HP ARUBA 1920G Switche und das ganze ist immoment im HomeLAB.
MFG
ICH
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 562906
Url: https://administrator.de/contentid/562906
Ausgedruckt am: 22.11.2024 um 08:11 Uhr
8 Kommentare
Neuester Kommentar
Meine Frage hier ist, kann ich anhand des NPS Servers wenn zum Beispiel der User Müller (Gruppe Technik )sich am PC anmeldet, eine KOnfig erstellen, die dann auf dem Switch das VLAN TECHNIK zu weist?
Kein Problem ...IEEE 802.1X Authentication and Dynamic VLAN Assignment with NPS Radius Server
Im Prinzip ist das alles ja kein hexenwerk
Richtig !eine KOnfig erstellen, die dann auf dem Switch das VLAN TECHNIK zu weist?
Ja !Auch das ist kein Hexenwerk. Nennt sich "dynamic VLANs". Die Suchfunktion ist dein Freund...
Guckst du hier:
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Cisco SG 350x Grundkonfiguration
...und kombiniert für WLAN und VLAN z.B. hier:
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik
Sollten deine HP Gurken auch können. Besser aber nochmal im Handbuch nachsehen denn auch wenn Switches dort blumig mit 802.1x Port Security beworben werden heisst dann zwar das sie generell Port Security mit 802.1x können aber noch lange keine Dynamic VLANs dazu. Bei billigen Websmart Switches ist das manchmal der Fall also aufgepasst.
Hallo bin gerade fleißig am Implementieren,
bin mittlerweile an dem Punkt die Aruba 8 Port Serie 2530 Switch ist eingerichtet mit den Befehlen und hat den Radius Server eingetragen.
aaa authentication port-access eap-radius
Vorab, das VLAN ist bekannt und funktioniert auch und soll das dynamisch zugewiesen werden anhand von Windows AD Gruppen und die Authentifizierung dann über Zertifikat.
Im NPS habe ich eine Verbindunganforderungen habe ich eine Richtlinie erstellt mit dem dem NASPORTTYP Ethernet
Und in den Netzwerkrichtlinien dann eine Richtline mit den Einschränkungen Geschütztes EAP (PEAP) und dann als EAP-Typen Smartcard- oder anderes Zertifikat
Als Zertifikat habe ich dann das eigenen genommen welches in der PKI bekannt ist....nps01.test.local
Zwischenzeitlich habe ich zum Testen dann auf EAP- Typen Smartcard -oder anderes Zertifikat im ersten Dialog gestellt.
Leider bekomme ich bei beiden im NPS-LOG folgende Meldung
Der Netzwerkrichtlinienserver hat einem Benutzer den Zugriff verweigert.
Wenden Sie sich an den Administrator des Netzwerkrichtlinienservers, um weitere Informationen zu erhalten.
Benutzer:
Sicherheits-ID: TEST\NB-FT$
Kontoname: host/NB-FT.test.local
Kontodomäne: test
Vollqualifizierter Kontoname: test.local/Arbeitsstationen/Ausbildung/NB-FT
Clientcomputer:
Sicherheits-ID: NULL SID
Kontoname: -
Vollqualifizierter Kontoname: -
ID der Empfangsstation: f4-03-43-08-40-80
ID der Anrufstation: 8c-04-ba-3c-d6-16
NAS:
NAS-IPv4-Adresse: 192.168.5.144
NAS-IPv6-Adresse: -
NAS-ID: HP-2530-8G-PoEP
NAS-Porttyp: Ethernet
NAS-Port: 3
RADIUS-Client:
Clientanzeigename: 8PortTestSwitch
Client-IP-Adresse: 192.168.5.144
Authentifizierungsdetails:
Name der Verbindungsanforderungsrichtlinie: Sichere verkabelte (Ethernet-) Verbindungen
Netzwerkrichtlinienname: Azubi_LAN_VLAN85
Authentifizierungsanbieter: Windows
Authentifizierungsserver: NPS01.test.local
Authentifizierungstyp: PEAP
EAP-Typ: Microsoft: Smartcard- oder anderes Zertifikat
Kontositzungs-ID: -
Protokollierungsergebnisse: Die Kontoinformationen wurden in die lokale Protokolldatei geschrieben.
Ursachencode: 295
Ursache: Die Zertifizierungskette wurde richtig verarbeitet, doch wird eines der Zertifizierungsstellenzertifikate vom Richtlinienanbieter nicht für vertrauenswürdig gehalten.
Und hier bin ich am stocken, ich habe geschaut im NPS - Server sind die Zertifikiate der TEST ROOT CA und die Enterprise ROOT CA. Beide CAs sind im AD
Ich spiele gerade schon mit dem Gedanken das Client-Zert vom dem Testgerät einfach mal händisch zu installieren.
Zum Client WINDOWS 10 1909
dort ist der Dienst automatische Konfig bei verkabelten Netzwerk an und ich habe in Schnittstelle auch schon rum gespielt und es brachte keinen Erfolg.
Hat hier einer noch einen TIP?
bin mittlerweile an dem Punkt die Aruba 8 Port Serie 2530 Switch ist eingerichtet mit den Befehlen und hat den Radius Server eingetragen.
aaa authentication port-access eap-radius
Vorab, das VLAN ist bekannt und funktioniert auch und soll das dynamisch zugewiesen werden anhand von Windows AD Gruppen und die Authentifizierung dann über Zertifikat.
Im NPS habe ich eine Verbindunganforderungen habe ich eine Richtlinie erstellt mit dem dem NASPORTTYP Ethernet
Und in den Netzwerkrichtlinien dann eine Richtline mit den Einschränkungen Geschütztes EAP (PEAP) und dann als EAP-Typen Smartcard- oder anderes Zertifikat
Als Zertifikat habe ich dann das eigenen genommen welches in der PKI bekannt ist....nps01.test.local
Zwischenzeitlich habe ich zum Testen dann auf EAP- Typen Smartcard -oder anderes Zertifikat im ersten Dialog gestellt.
Leider bekomme ich bei beiden im NPS-LOG folgende Meldung
Der Netzwerkrichtlinienserver hat einem Benutzer den Zugriff verweigert.
Wenden Sie sich an den Administrator des Netzwerkrichtlinienservers, um weitere Informationen zu erhalten.
Benutzer:
Sicherheits-ID: TEST\NB-FT$
Kontoname: host/NB-FT.test.local
Kontodomäne: test
Vollqualifizierter Kontoname: test.local/Arbeitsstationen/Ausbildung/NB-FT
Clientcomputer:
Sicherheits-ID: NULL SID
Kontoname: -
Vollqualifizierter Kontoname: -
ID der Empfangsstation: f4-03-43-08-40-80
ID der Anrufstation: 8c-04-ba-3c-d6-16
NAS:
NAS-IPv4-Adresse: 192.168.5.144
NAS-IPv6-Adresse: -
NAS-ID: HP-2530-8G-PoEP
NAS-Porttyp: Ethernet
NAS-Port: 3
RADIUS-Client:
Clientanzeigename: 8PortTestSwitch
Client-IP-Adresse: 192.168.5.144
Authentifizierungsdetails:
Name der Verbindungsanforderungsrichtlinie: Sichere verkabelte (Ethernet-) Verbindungen
Netzwerkrichtlinienname: Azubi_LAN_VLAN85
Authentifizierungsanbieter: Windows
Authentifizierungsserver: NPS01.test.local
Authentifizierungstyp: PEAP
EAP-Typ: Microsoft: Smartcard- oder anderes Zertifikat
Kontositzungs-ID: -
Protokollierungsergebnisse: Die Kontoinformationen wurden in die lokale Protokolldatei geschrieben.
Ursachencode: 295
Ursache: Die Zertifizierungskette wurde richtig verarbeitet, doch wird eines der Zertifizierungsstellenzertifikate vom Richtlinienanbieter nicht für vertrauenswürdig gehalten.
Und hier bin ich am stocken, ich habe geschaut im NPS - Server sind die Zertifikiate der TEST ROOT CA und die Enterprise ROOT CA. Beide CAs sind im AD
Ich spiele gerade schon mit dem Gedanken das Client-Zert vom dem Testgerät einfach mal händisch zu installieren.
Zum Client WINDOWS 10 1909
dort ist der Dienst automatische Konfig bei verkabelten Netzwerk an und ich habe in Schnittstelle auch schon rum gespielt und es brachte keinen Erfolg.
Hat hier einer noch einen TIP?
.nps01.test.local
.local ist keine gute und besonders intelligente Wahl für eine Root Domain. Die ist weltweit fest für den mDNS Dienst durch die IANA reserviert und damit absolut Tabu. Solche simplen Netzwerk Basics sollte man als Azubi eigentlich wissen. Über kurz oder lang führt sowas zu Problemen im Netzwerk.https://de.wikipedia.org/wiki/Zeroconf#Multicast_DNS
https://en.wikipedia.org/wiki/.local
Welche Root Domain Namen sinnvoll sind zur Verwendung erklärt dieses Tutorial genau:
https://www.heise.de/select/ct/2017/26/1513540412603853
Das nur mal nebenbei und zurück zum Thema...
Das Problem hat dir der Server ja schon auf dem Silbertablett serviert:
"doch wird eines der Zertifizierungsstellenzertifikate vom Richtlinienanbieter nicht für vertrauenswürdig gehalten..."
Fazit:
Dein Zertifikat ist ungültig und deshalb sagt er "Du kommst hier nicht rein". Die Port Authentisierung funktioniert also fehlerlos !
naja,
ich habe schon eine neue zertifikatsvorlage (RAS und IAS Server genommen) nur den DNS Namen ausgewählt und die Gültigkeitsdauer genommen!
Vom Server aus neuangefordert.
Nichts
ich habe schon eine neue zertifikatsvorlage (RAS und IAS Server genommen) nur den DNS Namen ausgewählt und die Gültigkeitsdauer genommen!
Vom Server aus neuangefordert.
Nichts
Wenn das Zertifikat falsch ist dann ist es falsch. Bei solchen relevanten Sicherheits Dingen irren sich die Rechner meisten niemals...
Du solltest dem also glauben und suchen wo bei deinen Zertifikaten der Fehler ist !!
Vielleicht nimmst du der Einfachheit halber auch erstmal einen Testuser mit simplen Preshared Keys um generell mal zu checken das dein 802.1x Setup OK ist ?!
Du solltest dem also glauben und suchen wo bei deinen Zertifikaten der Fehler ist !!
Vielleicht nimmst du der Einfachheit halber auch erstmal einen Testuser mit simplen Preshared Keys um generell mal zu checken das dein 802.1x Setup OK ist ?!
Fehler gefunden,
leider war im NTAUTH noch ein altes Enterprise Zertifikat, ausgetauscht und schon ging es
danke
leider war im NTAUTH noch ein altes Enterprise Zertifikat, ausgetauscht und schon ging es
danke
Kleine Ursache, große Wirkung, denn das Log lügt meistens nie...
Bitte dann auch
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !
Bitte dann auch
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !
