3
802.1x mit Windows Servern
Hallo zusammen,
ich habe eben mit einem Windows 12R2 ein Radius-Server eingerichtet und den mit meinen Switchen connectet.
Nun können sich nur mit der Domäne authentifizierte Benutzer mit dem Netz anmelden.
Neue Domänenuser können sich allerdings nicht mehr anmelden, da der Port dies nicht zu lässt.
Wie macht ihr das? Habt ihr einen bestimmten Port nicht mit 802.1x konfiguriert, damit der User sich dann über diesen Port erstmalig anmelden und er dann sein
Gerät zu seinem Arbeitsplatz nehmen kann (wo dann 802.1x konfiguriert ist) oder gibt es da bessere Methoden?
Danke und Lg
ich habe eben mit einem Windows 12R2 ein Radius-Server eingerichtet und den mit meinen Switchen connectet.
Nun können sich nur mit der Domäne authentifizierte Benutzer mit dem Netz anmelden.
Neue Domänenuser können sich allerdings nicht mehr anmelden, da der Port dies nicht zu lässt.
Wie macht ihr das? Habt ihr einen bestimmten Port nicht mit 802.1x konfiguriert, damit der User sich dann über diesen Port erstmalig anmelden und er dann sein
Gerät zu seinem Arbeitsplatz nehmen kann (wo dann 802.1x konfiguriert ist) oder gibt es da bessere Methoden?
Danke und Lg
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 571457
Url: https://administrator.de/contentid/571457
Ausgedruckt am: 25.11.2024 um 11:11 Uhr
3 Kommentare
Neuester Kommentar
Das ist eine Fehl- oder Falschkonfiguration des Radius Servers deinerseits (NPS). 802.1x kann per se niemals unterscheiden ob die User am Port Mitglieder einer Microsoft Domain sind oder nicht. Auch Microsoft fremde Geräte wie Android Smartphones, Apple Macs, Linux usw. kann ja problemlos 802.1x nutzen in einer gemischten Umgebung OHNE Domänen Mitglieder zu sein.
Würde das also stimmen was du sagst wäre .1x Port Security ein denkbar schlechtes Konzept, was es natürlich nicht ist.
Bringe also dein AD auf Vordermann bzw. die Einbindung in den NPS dann klappt das auch fehlerfrei. Das AD ist ja das Backend auf das der Radius zurückgreift.
Alternativ kannst du über die Mac Passthrough Funktion Clients auch immer anhand ihrer Mac Adresse im Radius authentifizieren sollte das über die .1x Credentials fehlschlagen.
Es gibt zig Lösungen das umzusetzen. Bei dir ist es rein nur die falsche Gruppen Zugehörigkeit.
http://www.heise.de/netze/artikel/Radius-mit-Windows-Server-2087800.htm ...
http://www.andysblog.de/windows-drahtgebundenes-lan-802-1x-und-nps
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Cisco SG 350x Grundkonfiguration
https://www.youtube.com/watch?v=KAGEA7OnPvY
Würde das also stimmen was du sagst wäre .1x Port Security ein denkbar schlechtes Konzept, was es natürlich nicht ist.
Bringe also dein AD auf Vordermann bzw. die Einbindung in den NPS dann klappt das auch fehlerfrei. Das AD ist ja das Backend auf das der Radius zurückgreift.
Alternativ kannst du über die Mac Passthrough Funktion Clients auch immer anhand ihrer Mac Adresse im Radius authentifizieren sollte das über die .1x Credentials fehlschlagen.
Es gibt zig Lösungen das umzusetzen. Bei dir ist es rein nur die falsche Gruppen Zugehörigkeit.
http://www.heise.de/netze/artikel/Radius-mit-Windows-Server-2087800.htm ...
http://www.andysblog.de/windows-drahtgebundenes-lan-802-1x-und-nps
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Cisco SG 350x Grundkonfiguration
https://www.youtube.com/watch?v=KAGEA7OnPvY
Ich habe mir Quellen angeschaut. Also die Konfiguration ist identisch verlaufen.
In meiner Testumgebung können sich nur berechtigte User anmelden, die der Radius aus den AD Informationen ermittelt.
User die nicht in der AD angelegt sind, kriegen keinen Netzwerkzugriff.
Geräte wie Linux und co. müssten in deren Netzwerkeinstellungen gültige Netzwerkeinstellungen eintragen, damit diese dann im Netz berechtigt sind.
Mein aktuelles Problem ist ja, dass User die sich bisher noch nie an einem Client angemeldet haben, sich nicht anmelden können, da diese sich nicht authentifizieren können.
In meiner Testumgebung können sich nur berechtigte User anmelden, die der Radius aus den AD Informationen ermittelt.
User die nicht in der AD angelegt sind, kriegen keinen Netzwerkzugriff.
Geräte wie Linux und co. müssten in deren Netzwerkeinstellungen gültige Netzwerkeinstellungen eintragen, damit diese dann im Netz berechtigt sind.
Mein aktuelles Problem ist ja, dass User die sich bisher noch nie an einem Client angemeldet haben, sich nicht anmelden können, da diese sich nicht authentifizieren können.
Hi,
dann hast du einen Fehler in deiner Konfiguration. Wie ist denn die authentifizierung auf deinem Client konfiguriert?
Wenn du sagst, ein Anwender kann sich über.1x erst anmelden, wenn er vorher schonmal angemeldet war, würde das ja bedeuten, dass er sich nach jedem Passwortwechel nicht mehr mit seinem Netzwerk verbinden kann.
Lg
dann hast du einen Fehler in deiner Konfiguration. Wie ist denn die authentifizierung auf deinem Client konfiguriert?
Wenn du sagst, ein Anwender kann sich über.1x erst anmelden, wenn er vorher schonmal angemeldet war, würde das ja bedeuten, dass er sich nach jedem Passwortwechel nicht mehr mit seinem Netzwerk verbinden kann.
Lg
