12
Radius Authentifizierung NPS
Hallo zusammen,
wir arbeiten mit einem Windows NPS Server 2012. Wir haben derzeit über 600 Computer, aufgeteilt in 3 Netze (also auch drei verschiedene VLANs), damit die Broadcastdomäne klein bleibt. Bei uns wird anhand der MAC-Adresse authentifiziert. D.h. derzeit ist das so, dass ein AD-Benutzer mit einer MAC-Adresse angelegt wird und sofern dieser in einer Gruppe ist, bekommt er ein bestimmtes VLAN. Das heißt wir müssen für jede Endgerät Gruppe jeweils drei Richtlinien anlegen (für z.B. Clients, Telefone, Drucker usw.) und das wird auf Dauer sehr schnell unübersichtlich. Wie handhabt ihr das bei euch?
Mit freundlichen Grüßen
Tekx
wir arbeiten mit einem Windows NPS Server 2012. Wir haben derzeit über 600 Computer, aufgeteilt in 3 Netze (also auch drei verschiedene VLANs), damit die Broadcastdomäne klein bleibt. Bei uns wird anhand der MAC-Adresse authentifiziert. D.h. derzeit ist das so, dass ein AD-Benutzer mit einer MAC-Adresse angelegt wird und sofern dieser in einer Gruppe ist, bekommt er ein bestimmtes VLAN. Das heißt wir müssen für jede Endgerät Gruppe jeweils drei Richtlinien anlegen (für z.B. Clients, Telefone, Drucker usw.) und das wird auf Dauer sehr schnell unübersichtlich. Wie handhabt ihr das bei euch?
Mit freundlichen Grüßen
Tekx
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 5031725625
Url: https://administrator.de/contentid/5031725625
Ausgedruckt am: 22.11.2024 um 05:11 Uhr
12 Kommentare
Neuester Kommentar
Ich finde den Ansatz gut, ich spiele seit einiger Zeit mit dem Gedanken Vlan's nach Standorten zu vergeben.
Dann hat hätte man bei der Fehlersuche einen Vorteil und könnte im Security Fall das Vlan direkt abschalten ohne rumzulaufen.
Dann hat hätte man bei der Fehlersuche einen Vorteil und könnte im Security Fall das Vlan direkt abschalten ohne rumzulaufen.
Verstehe ich das richtig, dass die Benutzer in verschiedene VLANs verfrachtet werden? Wozu das Ganze? Vielleicht beschreibst du den Zweck bzw. Absicht dahinter. Zugriffe auf Server und Dienste kann man auch anders steuern.
Moin,
600 Computer und drei Netze "damit die Broadcastdomäne klein bleibt". Das ist ja nen Widerspruch in sich oder?
Ich authentifiziere die Nutzer und weise dann über den NPS entsprechende VLANs zu.
D.h. ich lege einen neuen Benutzer an. Der kommt in die entsprechende Sicherheitsgruppe. An Hand der Sicherheitsgruppe wird über den NPS das VLAN zugewiesen und das wars.
Telefone kommen in das Telefon-VLAN (automatisch).
Drucker haben ein eigenes VLAN und werden über den Druckserver verwaltet und auch nur darüber von den Clients angesteuert.
Grüße
600 Computer und drei Netze "damit die Broadcastdomäne klein bleibt". Das ist ja nen Widerspruch in sich oder?
Ich authentifiziere die Nutzer und weise dann über den NPS entsprechende VLANs zu.
D.h. ich lege einen neuen Benutzer an. Der kommt in die entsprechende Sicherheitsgruppe. An Hand der Sicherheitsgruppe wird über den NPS das VLAN zugewiesen und das wars.
Telefone kommen in das Telefon-VLAN (automatisch).
Drucker haben ein eigenes VLAN und werden über den Druckserver verwaltet und auch nur darüber von den Clients angesteuert.
Grüße
Hallo
An einigen Standorten nutzen wir im LAN 802.1x Authentifizierung via Zertifikat, welches per GPO an die Clients verteilt wird.
An anderen Standorten authentifizieren wir "nur" per MAC Auth. Die MAC Adressen wir vom Switches via Radius autoamtisch an Packetfence gesendet und ins System aufgenommen. Die MAC Adress muss nur einmalig freigeschaltet und einem VLAN zugeordnet werden.
Von daher müssen wir keine MAC Adressen manuell anlegen.
Mobile Devices werden via Intune (MDM) mit einem Zertifikat automatisch im NAC registriert.
Wie handhabt ihr das bei euch?
Wir nutzen PAcketfence als NAC.An einigen Standorten nutzen wir im LAN 802.1x Authentifizierung via Zertifikat, welches per GPO an die Clients verteilt wird.
An anderen Standorten authentifizieren wir "nur" per MAC Auth. Die MAC Adressen wir vom Switches via Radius autoamtisch an Packetfence gesendet und ins System aufgenommen. Die MAC Adress muss nur einmalig freigeschaltet und einem VLAN zugeordnet werden.
Von daher müssen wir keine MAC Adressen manuell anlegen.
Mobile Devices werden via Intune (MDM) mit einem Zertifikat automatisch im NAC registriert.
Hallo,
Den Punkt verstehe ich nicht. Die NPS-Richtlinien muss man doch nur einmal anlegen? Das ist in der NPS-Konsole zugegebenermaßen etwas sperrig umgesetzt, aber der Aufwand hält sich doch in Grenzen. Einmal eingerichtet, muss man das doch eigentlich nie wieder anfassen?
Benutzer und Geräte würde ich allerdings immer über Zertifikate authentifizieren (soweit das Gerät das unterstützt). MAC-Authentifizierung setzt viel Vertrauen in die Beständigkeit der Verkabelung voraus. Auch perspektivisch gesehen würde ich das so machen. MAC-Adressen sind veränderlich und damit ein gewisser Unsicherheitsfaktor. Ich benötige quasi nur lokale Admin-Rechte, um die MAC auf einem System zu verändern. Oder ein eigenes System und die MAC von der Verpackung eines anderen Geräts. Ihr Authentifiziert mit der MAC ja nur die MAC, nicht einmal das Gerät, geschweige denn den Benutzer. Und bei Mobiltelefonen hat sich die Sache dann völlig erledigt, wegen rollender MACs.
Bei Zertifikaten muss ich an den privaten Schlüssel des "Zielbenutzers" kommen. Die Kenntnis des Namens würde nicht reichen.
Grüße
lcer
Zitat von @tekx11:
Das heißt wir müssen für jede Endgerät Gruppe jeweils drei Richtlinien anlegen (für z.B. Clients, Telefone, Drucker usw.) und das wird auf Dauer sehr schnell unübersichtlich. Wie handhabt ihr das bei euch?
Das heißt wir müssen für jede Endgerät Gruppe jeweils drei Richtlinien anlegen (für z.B. Clients, Telefone, Drucker usw.) und das wird auf Dauer sehr schnell unübersichtlich. Wie handhabt ihr das bei euch?
Den Punkt verstehe ich nicht. Die NPS-Richtlinien muss man doch nur einmal anlegen? Das ist in der NPS-Konsole zugegebenermaßen etwas sperrig umgesetzt, aber der Aufwand hält sich doch in Grenzen. Einmal eingerichtet, muss man das doch eigentlich nie wieder anfassen?
Benutzer und Geräte würde ich allerdings immer über Zertifikate authentifizieren (soweit das Gerät das unterstützt). MAC-Authentifizierung setzt viel Vertrauen in die Beständigkeit der Verkabelung voraus. Auch perspektivisch gesehen würde ich das so machen. MAC-Adressen sind veränderlich und damit ein gewisser Unsicherheitsfaktor. Ich benötige quasi nur lokale Admin-Rechte, um die MAC auf einem System zu verändern. Oder ein eigenes System und die MAC von der Verpackung eines anderen Geräts. Ihr Authentifiziert mit der MAC ja nur die MAC, nicht einmal das Gerät, geschweige denn den Benutzer. Und bei Mobiltelefonen hat sich die Sache dann völlig erledigt, wegen rollender MACs.
Bei Zertifikaten muss ich an den privaten Schlüssel des "Zielbenutzers" kommen. Die Kenntnis des Namens würde nicht reichen.
Grüße
lcer
Zitat von @Xaero1982:
Moin,
600 Computer und drei Netze "damit die Broadcastdomäne klein bleibt". Das ist ja nen Widerspruch in sich oder?
Ich authentifiziere die Nutzer und weise dann über den NPS entsprechende VLANs zu.
D.h. ich lege einen neuen Benutzer an. Der kommt in die entsprechende Sicherheitsgruppe. An Hand der Sicherheitsgruppe wird über den NPS das VLAN zugewiesen und das wars.
Telefone kommen in das Telefon-VLAN (automatisch).
Drucker haben ein eigenes VLAN und werden über den Druckserver verwaltet und auch nur darüber von den Clients angesteuert.
Grüße
Moin,
600 Computer und drei Netze "damit die Broadcastdomäne klein bleibt". Das ist ja nen Widerspruch in sich oder?
Ich authentifiziere die Nutzer und weise dann über den NPS entsprechende VLANs zu.
D.h. ich lege einen neuen Benutzer an. Der kommt in die entsprechende Sicherheitsgruppe. An Hand der Sicherheitsgruppe wird über den NPS das VLAN zugewiesen und das wars.
Telefone kommen in das Telefon-VLAN (automatisch).
Drucker haben ein eigenes VLAN und werden über den Druckserver verwaltet und auch nur darüber von den Clients angesteuert.
Grüße
Ja genau so machen wir das auch. Wie viele Geräte habt ihr denn bei euch im Einsatz? Aber wieso ist das ein Widerspruch?
Gruß
Zitat von @lcer00:
Hallo,
Den Punkt verstehe ich nicht. Die NPS-Richtlinien muss man doch nur einmal anlegen? Das ist in der NPS-Konsole zugegebenermaßen etwas sperrig umgesetzt, aber der Aufwand hält sich doch in Grenzen. Einmal eingerichtet, muss man das doch eigentlich nie wieder anfassen?
Benutzer und Geräte würde ich allerdings immer über Zertifikate authentifizieren (soweit das Gerät das unterstützt). MAC-Authentifizierung setzt viel Vertrauen in die Beständigkeit der Verkabelung voraus. Auch perspektivisch gesehen würde ich das so machen. MAC-Adressen sind veränderlich und damit ein gewisser Unsicherheitsfaktor. Ich benötige quasi nur lokale Admin-Rechte, um die MAC auf einem System zu verändern. Oder ein eigenes System und die MAC von der Verpackung eines anderen Geräts. Ihr Authentifiziert mit der MAC ja nur die MAC, nicht einmal das Gerät, geschweige denn den Benutzer. Und bei Mobiltelefonen hat sich die Sache dann völlig erledigt, wegen rollender MACs.
Bei Zertifikaten muss ich an den privaten Schlüssel des "Zielbenutzers" kommen. Die Kenntnis des Namens würde nicht reichen.
Grüße
lcer
Hallo,
Zitat von @tekx11:
Das heißt wir müssen für jede Endgerät Gruppe jeweils drei Richtlinien anlegen (für z.B. Clients, Telefone, Drucker usw.) und das wird auf Dauer sehr schnell unübersichtlich. Wie handhabt ihr das bei euch?
Das heißt wir müssen für jede Endgerät Gruppe jeweils drei Richtlinien anlegen (für z.B. Clients, Telefone, Drucker usw.) und das wird auf Dauer sehr schnell unübersichtlich. Wie handhabt ihr das bei euch?
Den Punkt verstehe ich nicht. Die NPS-Richtlinien muss man doch nur einmal anlegen? Das ist in der NPS-Konsole zugegebenermaßen etwas sperrig umgesetzt, aber der Aufwand hält sich doch in Grenzen. Einmal eingerichtet, muss man das doch eigentlich nie wieder anfassen?
Benutzer und Geräte würde ich allerdings immer über Zertifikate authentifizieren (soweit das Gerät das unterstützt). MAC-Authentifizierung setzt viel Vertrauen in die Beständigkeit der Verkabelung voraus. Auch perspektivisch gesehen würde ich das so machen. MAC-Adressen sind veränderlich und damit ein gewisser Unsicherheitsfaktor. Ich benötige quasi nur lokale Admin-Rechte, um die MAC auf einem System zu verändern. Oder ein eigenes System und die MAC von der Verpackung eines anderen Geräts. Ihr Authentifiziert mit der MAC ja nur die MAC, nicht einmal das Gerät, geschweige denn den Benutzer. Und bei Mobiltelefonen hat sich die Sache dann völlig erledigt, wegen rollender MACs.
Bei Zertifikaten muss ich an den privaten Schlüssel des "Zielbenutzers" kommen. Die Kenntnis des Namens würde nicht reichen.
Grüße
lcer
Moin,
also bei mir ist das Problem mit der Zuweisung, da ich z.B. mehrere DHCP Netze für Clients habe mit eigenen VLAN IDs, deswegen habe ich für jede VLAN ID eine eigene Sicherheitsgruppe und Netzwerkrichtlinie.
Grüße
Zitat von @user217:
Ich finde den Ansatz gut, ich spiele seit einiger Zeit mit dem Gedanken Vlan's nach Standorten zu vergeben.
Dann hat hätte man bei der Fehlersuche einen Vorteil und könnte im Security Fall das Vlan direkt abschalten ohne rumzulaufen.
Ich finde den Ansatz gut, ich spiele seit einiger Zeit mit dem Gedanken Vlan's nach Standorten zu vergeben.
Dann hat hätte man bei der Fehlersuche einen Vorteil und könnte im Security Fall das Vlan direkt abschalten ohne rumzulaufen.
Also wir haben in den verschiedenen Standorten eigene IP Netze, aber wir vergeben dafür die gleichen VLAN IDs. Da kann man aber pauschal nicht sagen, was jetzt besser oder schlechter ist. Das hängt von der Netzwerk Infrastruktur ab.
Grüße
Zitat von @tekx11:
Ja genau so machen wir das auch. Wie viele Geräte habt ihr denn bei euch im Einsatz? Aber wieso ist das ein Widerspruch?
Gruß
Zitat von @Xaero1982:
Moin,
600 Computer und drei Netze "damit die Broadcastdomäne klein bleibt". Das ist ja nen Widerspruch in sich oder?
Ich authentifiziere die Nutzer und weise dann über den NPS entsprechende VLANs zu.
D.h. ich lege einen neuen Benutzer an. Der kommt in die entsprechende Sicherheitsgruppe. An Hand der Sicherheitsgruppe wird über den NPS das VLAN zugewiesen und das wars.
Telefone kommen in das Telefon-VLAN (automatisch).
Drucker haben ein eigenes VLAN und werden über den Druckserver verwaltet und auch nur darüber von den Clients angesteuert.
Grüße
Moin,
600 Computer und drei Netze "damit die Broadcastdomäne klein bleibt". Das ist ja nen Widerspruch in sich oder?
Ich authentifiziere die Nutzer und weise dann über den NPS entsprechende VLANs zu.
D.h. ich lege einen neuen Benutzer an. Der kommt in die entsprechende Sicherheitsgruppe. An Hand der Sicherheitsgruppe wird über den NPS das VLAN zugewiesen und das wars.
Telefone kommen in das Telefon-VLAN (automatisch).
Drucker haben ein eigenes VLAN und werden über den Druckserver verwaltet und auch nur darüber von den Clients angesteuert.
Grüße
Ja genau so machen wir das auch. Wie viele Geräte habt ihr denn bei euch im Einsatz? Aber wieso ist das ein Widerspruch?
Gruß
Naja so macht ihr das ja eben nicht?! Du hast doch was ganz anderes geschrieben? Ich nutze kein Mac-Auth und ich lege nicht immer wieder irgendwelche neuen Gruppen an. Das hab ich einmal gemacht und das wars. Nun hab ich nen Script bei dem ich nur den Namen des neuen MA angebe und er wird automatisch erstellt mit allen notwendigen Gruppenzugehörigkeiten. Mehr muss ich nicht machen.
Bei mir sind es nur ca. 50 Nutzer, aber da es dort immer um kleine Gruppen handelt, die unabhängig voneinander sind und der Gedanke dahinter war eine evtl. Schadsoftware an der Verbreitung durchs gesamte Netz zu verhindern.
Deswegen kann es sein, dass auch nur 1 oder 2 Nutzer in einem VLAN sind. Dadurch hab ich zwar ca. 20 VLANs, aber das ist einmal eingerichtet und gut ist. Dazu einen DHCP und als GW für die jeweiligen VLANs hab ich eine Sophos UTM laufen.
Grüße
Hallo,
Grüße
lcer
Zitat von @tekx11:
also bei mir ist das Problem mit der Zuweisung, da ich z.B. mehrere DHCP Netze für Clients habe mit eigenen VLAN IDs, deswegen habe ich für jede VLAN ID eine eigene Sicherheitsgruppe und Netzwerkrichtlinie.
Genau so ist doch beim NPS gedacht! Alles Richtig. Etwas unübersichtlich ist im Grunde nur die Konsole. Ist aber ähnlich wie bei vielen Firewall-UIs, die Regeln werden der Reihe nach abgearbeitet.also bei mir ist das Problem mit der Zuweisung, da ich z.B. mehrere DHCP Netze für Clients habe mit eigenen VLAN IDs, deswegen habe ich für jede VLAN ID eine eigene Sicherheitsgruppe und Netzwerkrichtlinie.
also bei mir ist das Problem mit der Zuweisung
Welche Zuweisung meinst Du?Grüße
lcer
Mir ist nicht klar wie das funktionieren kann mit der Zuweisung des VLAN mit der User-Anmeldung.
In der Regel ist ein Client ja schon in einem VLAN. Sagen wir mal VLAN10. Dann kommt ein User und meldet sich an, der aber in der Gruppe für VLAN20 ist. Dann wird durch die Richtlinie (802.1x Switch mit RADIUS vorausgesetzt) dem entsprechenden Switch die VLAN-ID mitgeteilt und der Port erhält VLAN20. Wenn das so richtig ist, dann klingt das ziemlich umständlich.
Ist das so bei euch umgesetzt?
In der Regel ist ein Client ja schon in einem VLAN. Sagen wir mal VLAN10. Dann kommt ein User und meldet sich an, der aber in der Gruppe für VLAN20 ist. Dann wird durch die Richtlinie (802.1x Switch mit RADIUS vorausgesetzt) dem entsprechenden Switch die VLAN-ID mitgeteilt und der Port erhält VLAN20. Wenn das so richtig ist, dann klingt das ziemlich umständlich.
Ist das so bei euch umgesetzt?
Zitat von @DerMaddin:
Mir ist nicht klar wie das funktionieren kann mit der Zuweisung des VLAN mit der User-Anmeldung.
In der Regel ist ein Client ja schon in einem VLAN. Sagen wir mal VLAN10. Dann kommt ein User und meldet sich an, der aber in der Gruppe für VLAN20 ist. Dann wird durch die Richtlinie (802.1x Switch mit RADIUS vorausgesetzt) dem entsprechenden Switch die VLAN-ID mitgeteilt und der Port erhält VLAN20. Wenn das so richtig ist, dann klingt das ziemlich umständlich.
Ist das so bei euch umgesetzt?
Mir ist nicht klar wie das funktionieren kann mit der Zuweisung des VLAN mit der User-Anmeldung.
In der Regel ist ein Client ja schon in einem VLAN. Sagen wir mal VLAN10. Dann kommt ein User und meldet sich an, der aber in der Gruppe für VLAN20 ist. Dann wird durch die Richtlinie (802.1x Switch mit RADIUS vorausgesetzt) dem entsprechenden Switch die VLAN-ID mitgeteilt und der Port erhält VLAN20. Wenn das so richtig ist, dann klingt das ziemlich umständlich.
Ist das so bei euch umgesetzt?
Was genau ist daran umständlich?
Es gibt bei einem Kunden von mir für jede, nenn wir sie mal, "Mitarbeitergruppe" eine Sicherheitsgruppe. Da kommen die Benutzer rein. Dann gibt es am NPS eine Richtlinie für jede dieser Gruppen. In dieser stelle ich ein in welches VLAN die Nutzer sollen und gebe die entsprechende VLAN ID mit.
Der Switch muss natürlich entsprechend konfiguriert sein.
Also meldet sich ein Nutzer an. Der Switch gibt diese Info an den NPS weiter der auf dem Switch hinterlegt ist. Der schaut in den Richtlinien nach zu welcher der Nutzer passt und gibt die Infos an den Switch zurück. Der weist dem Port entsprechend das VLAN zu und dann kommt die DHCP Anfrage.
Klar ist erstmal bissel Aufwand beim Einrichten, aber ich muss am Switch nicht irgendwelche VLAN Ports konfigurieren.
Ausnahmen natürlich für z.B. Server etc. Die sollte man statisch einem VLAN zuweisen.
