cjmatsel

Hallo liebe Community, Ein HP-Spezialist hat wohl erfahren dass Microsoft das Produkt NPS aussterben lassen möchte... Weiß jemand etwas von euch darüber? cu cj

Hallo NilsK: Wo finde ich mehr zu dem Thema?

Hi, ich weiß ehrlich überhaupt nicht an wen ich mich mit dem Problem wenden kann: Ich habe in unserer Windows-Domäne einen iMac integriert. Das hat soweit geklappt, aber ich möchte jetzt nicht jedes Mal den lokalen Admin eingeben müssen um eine Software zu installieren. Meine Idee: Ich möchte gern unserer Admin-Gruppe das Recht geben den iMac zu verwalten. Kennt so etwas jemand und kann mir ggf. helfen?

Ja, aber auch 802.1X als bessere Authentifizierung impliziert dass das VPN steht: Ergo gleiches Problem...

Hi, ohne VPN sind meine Filialen "arbeitslos".

Ich möchte erreichen dass auch in den Filialen eine netzwerkbasierte Authentifizierung statt findet, da diese sonst möglicherweise eine Angriffsfläche darstellen. Zugegeben: es sind nur wenige und relativ kleine Filialen, aber wenn ich schon netzwerkbasierte Authentifizierung einführe warum nicht auch dort? Wie löst Du das Problem?

Hi, wie seht ihr das? Ist es sinnvoll MAC-Authentifizierung und DHCP mittels Relay durch VPNs hindurch zu gestalten? Ich habe immer die Befuerchtung dass das VPN mal nicht zur Verfuegung steht; der Vorteil waere die Zentralisierung... :-/ Wie macht ihr das?

So: mittels VBS-Script und ein paar Kommandozeilen und Excel alle Mac-Adressen ausgelesen, gesäubert, mit Computernamen versehen, ins AD gepumpt, VLAN-Gruppen angelegt und NPS konfiguriert. Läuft! So stelle ich mir Administration vor! edit: das User Identity Attribute musste ich gar nicht setzen, keine ahnung was die da meinten...

Hallo magheinz, ca. 600... Ich teste gerade MAC-Authentifizierung mit NPS und lese immer wieder etwas von einem User Identity Attribute, aber nirgendwo steht erklärt wie genau das zu setzen ist. Normalerweise ist das laut https://technet.microsoft.com/de-de/library/dd197523(v=ws.10).aspx ein Reg-eintrag, doch nix vom Datentyp; beim Eintragen als REG-SZ streikt auf jeden Fall mein NPS-Dienst... :-/ Hat das jemand von euch schonmal eingerichtet?

@magheinz: Das hatte ich mir schon gedacht; ich hatte gehofft diese Einstellung am Switch nicht nutzen zu müssen und stattdessen das global auf dem Radius lösen zu können...

@lefg: Jetzt verstehe ich Deine Frage nicht: was meinst du damit WO freeradius eingerichtet wurde? Auf einem normalen Server... außerdem ist das WO eigentlich unrelevant, das interessante ist die Frage WIE man ein AuthFail-Vlan (oder ähnliches) im konfigurieren und nutzen kann. Beim Switch kann man ja einfach bei AuthFail das vlan 1 vergeben; geht das auch bei einem Radius-Server?

Hallo allerseits, ich bin aktuell wieder ein kleines Stück weitergekommen: Ich habe Freeradius mit MAC-Authentifizierung eingerichtet und es funktioniert: Anhand der MAC-Adresse wird das richtige VLAN zugewiesen und das Gerät kann problemlos im entsprechenden Netz kommunizieren. Jetzt ein paar kleine Detailfragen: - Kann man auch MAC-Vendors in Freeradius nutzen? Quasi als Gruppe? Das würde mir die Verwaltung erheblich vereinfachen: Ein client würde in die passende Gruppe geschubst und bekommt automatisch eine passende VLAN mit... - Kann man ein Default-VLAN mitgeben für alle Geräte welche sich nicht authentifizieren können? Ein "Auth-Fail-VLAN" direkt auf dem HP-V1910-Switch scheint die Kommunikation vollständig zu blockieren, daher hatte ich hier an eine Einstellung im Freeradius gedacht... @lefg: Wäre das evtl. mit dem VLAN 1möglich, wenn man kein "Auth-Fail-VLAN" konfiguriert? - Kann man unbekannte MACs sofort melden lassen? Quasi vom Freeradius zum Admin? Lieben Dank für die ein oder andere Antwort...

Hi, ursprünglich dachte ich tatsächlich nur ein reines logisches IP-Netz aufzubauen. Doch nach den selbst getesteten und hier geschriebenen Problemen wird es tatsächlich ein VLAN UND ein IP-Netz werden; natürlich mit Firewall davor (Da die Drucker nur zu sehr wenigen Servern über wenige Protokolle kommunizieren müssen halte ich das als Sicherheit für vertretbar). Leider bleibt das Problem: Weder meine IGEL-Clients noch meine Kyocera-Drucker sprechen VLAN... Einzig die Switche könnten VLAN nach Mac-Vendor fahren; aber immer nur Eines und eig. als Voice-VLAN vermarktet... Bleibt tatsächlich: Entweder Geld in teure Switche investieren (und aktuell trotzdem raten wie das dort geht) oder jeden verdammten Switch-Port einzeln einstellen... :-/

Hmm, wenn die Geräte selbst kein VLAN können?

Also machst Du VLAN in dem Fall nicht pro Gerätetyp sondern pro Etage... Und feste IPs für Drucker sind interessant wenn ein Dienstleister das Gerät tauschen muss, gelle...