Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Allgemeine Frage zu 802.1x mit Zertifikaten

Mitglied: RalphT

RalphT (Level 1) - Jetzt verbinden

06.02.2019 um 14:47 Uhr, 230 Aufrufe, 7 Kommentare

Hallo,

ich habe mir hier in einer Testumgebung mit einem DC, NPS-Server und einer 2-stufigen CA aufgebaut. Dazu ein ProCurve-Switch. Zur Konfig:

Auf dem NPS-Server ist eine Netzwerkrichtlinie erstellt worden. Unter Authentifizierungsmetode wurde Smartcard oder Zertifikat ausgewählt. Der NPS-Server besitzt ein gültiges Zertifikat.
Der Client besitzt auch ein gültiges Computerzertifkat. Sobald ich den Netzwerkstecker einstecke, dauert es immer ziemlich genau 20s bis der Client den Status "Authentifiziert" hat.

Ich wollte eigentlich nur wissen, ob diese Zeit normal ist oder ob der Vorgang doch zu lange dauert. Ich persönlich meine, dass das schneller gehen müsste. Beim Neustart sieht man das nicht sofort, da bei beim Anmelden das Netzwerk schon vorhanden ist.

Gibt zu diesem Zeitraum Erfahrungswerte?
Mitglied: aqui
06.02.2019, aktualisiert um 15:55 Uhr
Nein, diese Zeit ist nicht normal. Das sollte eigentlich nach max. 5 Sek erledigt sein.
Man kann hier leider nur raten da deine Beschreibung sehr mager ist.
Vermutlich hast du Spanning Tree aktiv im RSTP Mode und die Client Ports nicht in den Edge Mode konfiguriert.
Da müssen die dann durch den gesamten RSTP Learning und Forwarding Prozess und das dauert bekanntlich so zw. 20 und 30 Sekunden.
Vermutlich also eine Fehlkonfiguration der HP Gruselgurke im RSTP bzw. Spanning Tree. Denn sogar HP kann damit umgehen...
Guckst du auch hier:
https://administrator.de/wissen/netzwerk-zugangskontrolle-802-1x-freerad ...
Bitte warten ..
Mitglied: RalphT
06.02.2019 um 17:27 Uhr
Nein, diese Zeit ist nicht normal. Das sollte eigentlich nach max. 5 Sek erledigt sein.

Ok, das ist ja schon mal ne Aussage.

Man kann hier leider nur raten da deine Beschreibung sehr mager ist.
Richtig, aber da kann ich ja noch "nachliefern". Ich wollte erstmal nur wissen, ob diese Zeit normal ist.

Ich werde morgen auf der Gruselgurke nachsehen, ob dort STP und sich der Port für Edge einstellen lässt.
Ich habe noch dunkel in Erinnerung, dass bei den ProCurve STP immer defaultmäßig an ist. Mit Edge bin ich jetzt überfragt. Aber das habe ich morgen schnell raus. Also bei den HP-Geräten mit Comware ist ist defenitiv möglich. Aber in diesem Fall ist das ein ProCurve 2610.
Bitte warten ..
Mitglied: RalphT
07.02.2019 um 09:11 Uhr
Ich habe jetzt auf dem Switch nachgesehen, ob STP aktiviert war. Nein, ist es nicht.

Was ich jetzt nochmal ausprobiert habe:

Am Client habe ich die 802.1x Authentifizierung wieder deaktiviert und anschließend das Gerät mit einem Port verbunden, der keine Authentifizierung benötigt.
Nach ca. 8s war der Rechner mit dem LAN verbunden.

Anschließend habe ich dem Computer eine feste IP-Adresse zugewiesen. Danach Stecker raus und wieder rein. Hier war der Computer nach ca. 3s am Netz.

Hier scheint es mit der langen Verzögerung wohl doch mit dem Zertifkat zusammenzuhängen. Nur ich komme ich nicht drauf, was das sein könnte.
Beim Überprüfen in der MMC Unternehmens-PKI ist mir aufgefallen, dass es bei der Bereitstellung der Sperrlisten unter http Probleme gab. Die habe ich beseitigt und noch einmal probiert. Hier brachte es aber keine Verbesserung.
Bitte warten ..
Mitglied: RalphT
07.02.2019 um 14:50 Uhr
So, jetzt habe ich eine Lösung gefunden:

Ein Connect dauert jetzt statt der 18s ungefähr 2s.

Mit dem Wireshark hatte ich auf dem Client gesehen, dass ein Request Identity vom Swich sofort ankam. Der Client hat auch sofort mit einem Response Identity geantwortet. Zur gleichen Zeit am Radius-Server kam nichts an.
Dann war nach 18s das Frage-Antwortspiel am Client erneut zu sehen. Jetzt ging aber die Anfrage vom Switch zum Radius raus. Danach war der Rechner auch authentifiziert.
Abhilfe schaffte die Verkürzung der Zeit vom Parameter tx-period. Hier die Zeile für den ProCurve:

aaa port-access authenticator 1-24 tx-period 2

Ob das jetzt so klug war und diesen Wert so zu verkürzen, weiß ich jetzt nicht.
Bitte warten ..
Mitglied: aqui
10.02.2019 um 12:28 Uhr
Normal ist es jedenfalls nicht, denn man muss solche Parameter in der Regel nicht ändern ! Aber was ist schon normal an solchen HP Gruselgurken...??

Wenns jetzt rennt bitte dann
https://administrator.de/faq/32
nicht vergessen.
Bitte warten ..
Mitglied: Pjordorf
10.02.2019 um 18:43 Uhr
Hallo,

Zitat von RalphT:
Ob das jetzt so klug war und diesen Wert so zu verkürzen, weiß ich jetzt nicht.
Von hier: http://h22208.www2.hpe.com/eginfolib/networking/docs/switches/WB/15-18/ ...
[tx-period <0-65535>]

    Sets the period the port waits to retransmit the next EAPOL PDU during an authentication session. (Default: 30 seconds)
Also war da schon einer dran wenn dort 18 drin stand.

Gruß,
Peter
Bitte warten ..
Mitglied: RalphT
11.02.2019 um 10:34 Uhr
Also war da schon einer dran wenn dort 18 drin stand.

Nee, glaube ich nicht. Ich habe den Switch vorher resetet. Ich gehe jetzt einfach mal davon aus, dass dieser alle Werkseinstelllungen übernommen hatte.

Beim Stöbern sind mir diese beiden Seiten ins Auge gefallen:

https://kb.juniper.net/InfoCenter/index?page=content&id=KB15062& ...

Hier wird auch der Wert "2" verwendet.

Und hier geht man etwas mehr auf diese Problematik ein: Das ist zwar für Cisco, sollte aber für HP genauso gelten.

https://www.cisco.com/c/en/us/td/docs/solutions/Enterprise/Security/Trus ...
Bitte warten ..
Ähnliche Inhalte
Sicherheitsgrundlagen

OpenVPN Zertifikat pro User oder Allgemein

gelöst Frage von geocastSicherheitsgrundlagen10 Kommentare

Hallo zusammen Da einige unserer Mitarbeiter zugang zum Netzlaufwerk haben wollen, wenn sie Mobil unterwegs sind, richte ich ihnen ...

Netzwerkgrundlagen

Subnetting allgemein

Frage von G4ruDANetzwerkgrundlagen5 Kommentare

Hallo zusammen ich verfolge das Forum bereits seit einiger Zeit und konnte mir hier so manche Lösungen für meine ...

Cloud-Dienste

Frag zu sftp und rsync

gelöst Frage von qwertz1Cloud-Dienste2 Kommentare

Hallo, ich habe eine Frage zu rsync im Zusammenspiel mit sftp. Ein Kunde hat sich bei Strato einen Online-Speicher ...

Sicherheit

Allgemein VPN Fragen

gelöst Frage von Michel94Sicherheit3 Kommentare

Hallo, ich habe mich schon bei Google und auch hier in der Suche umgeschaut konnte aber nicht so richtig ...

Neue Wissensbeiträge
Windows Server

Zähe Update-Installation auf Windows Server 2016

Information von kgborn vor 1 TagWindows Server4 Kommentare

Mir sind in der Vergangenheit immer wieder Beschwerden von Admins unter die Augen gekommen, die sich über die doch ...

Humor (lol)
Turnschuhe per Firmware lahmlegen
Information von Henere vor 1 TagHumor (lol)8 Kommentare

Und was kommt demnächst ? Bekomme ich kein Klopapier mehr, weil der Spender einem DDOS unterliegt ? :-) Ich ...

Sicherheit

Sicherheitsrisiko in WinRAR und Co. durch Schwachstelle in UNACEV2.DLL

Information von kgborn vor 1 TagSicherheit

In der seit 2005 nicht mehr aktualisierten Bibliothek UNACEV2.DLL gibt es eine Path-Traversal-Schwachstelle. Diese ermöglicht es, bei ACE-Archiven Dateien ...

Internet

CDU Propaganda: Urheberschutz im Internet - Ende des digitalen Wild-West

Information von Frank vor 2 TagenInternet6 Kommentare

Hallo Administratoren, aus einem Kommentar heraus habe ich folgenden Beiträge von Herr Sven Schulze und Axel Voss (beide CDU ...

Heiß diskutierte Inhalte
Windows Tools
Dateiname Automatisch auf PDF Klartext oder als Barcode abdrucken
Frage von spongebob24Windows Tools29 Kommentare

Hallo Zusammen, habe eine tolle Anforderung bekommen. Ich sollte auf mehrere PDF Dateien Automatisch einen Stempel anbringen lassen. Toll ...

Internet
SDSL oder ADSL - Preis-Leistungs-Verhältnis
Frage von ZeppelinInternet22 Kommentare

Wehrte Community, der Unterschied dieser beiden Techniken ist recht einfach erklärt. Das S, steht für Synchron (Gleich) und das ...

Microsoft Office
MicroSoft und seine Lizenzen
Frage von ZeppelinMicrosoft Office19 Kommentare

Wehrte Community, ich wende mich an die Community weil MicroSoft dazu keine Stellung nehmen möchte. Ich öffne mein Web-Browser ...

Batch & Shell
Batchdatei für das Erstellen eines Unterordner bei Vorhandensein eines bestimmten Ordnernamens
Frage von KarstenPaBatch & Shell14 Kommentare

Hallo zusammen , ich suche nach einer Möglichkeit, ein freigegebenes Laufwerk nach einem bestimmten Ordnernamen ("Schriftverkehr") zu durchsuchen, und ...