screaaam

ja ne ist klar, dass ich meine Hausaufgaben selber mache... aber wenn man keine Ahnung hat einfach mal schnauze halten, schließlich weißt du nichts über mich oder meine Situation! 802.1X (das X wird in diesem Fall groß geschrieben, da es eine eigenständige Norm ist und keine ergänzende!!) funktioniert auch OHNE switches, habs gestern zum laufen gebracht! auf dem XP client müssen die 2 Dienste automatische konfiguration verkabelt sowie eap (ist bei den diensten ausgeschrieben) aktiviert sein. Dann lässt sich der Menuepunkt verschlüsselung oder so bei den Netzwerkeigenschaften einer LAN Verbindung öffnen. Hier einfach 802.1X konfigurieren, auf Zertifikate einstellen, das passende auswählen, den Hacken aktivieren, dass der Client sich mit folgendem Server verbinden soll, IP eingeben und fertig ist die Sache, dann die IAS - RAS richtlinie so konfigurieren, dass bei erfolgreicher Autorisierung und authentifizierung der RADIUS - Client in ein anderes Netz kommt usw. und fertig ist die sache! Im übrigen ist 802.1X NICHT zur Authentifizierung für Switches + WLAN gedacht! Die Norm wurde nur ins Leben gerufen um die gestiegenen Probleme im WLAN abzudecken! Dies wurde nötig, da ein Tag intensiver Datenverkehr in einem WLAN ausreichte um einen 128 Bit Schlüssel abzufangen und zu knacken! 802.1X funktioniert sowohl im WLAN als auch im LAN! Vielen Dank, an diejenigen die bereit waren mir gerne zu helfen, jetzt hab ich mein Wissen mal wieder erweitert.... und wie fast immer bleibt mein Motto ==> ich hab solange ein motivationsproblem bis ich ein Zeitproblem habe ;=) Jetzt mal an die Doku machen...

geht es nicht, erstmal zum Test alles einzurichten und das mit dem Switch nocheinmal extra zu machen? Soweit ich weiß, setzt 802.1X keinen Switch vorraus, nur die Richtlinie ist mit Switch angegeben! RADIUS sollte auch ohne funktionieren... ?! Mein Problem ist, dass ich bis Freitag die Doku zu meiner Abschlussprüfung abgeben muss (das hier ist mein Abschlussprojekt... ) deshalb will ich den Switch erstmal ausschließen, da es sonst den Rahmen meines Projektes sprengt... ich weiß... ich bin mal wieder "etwas" spät dran ... ich hab solange ein motivationsproblem, bis ich ein Zeitproblem habe ^^ wäre trotzdem echt super wenn ihr mir helfen könntet! Es geht hier schließlich um meine weitere Zukunft! Die Doku werde ich nächsten Samstag hier posten, die Rechte dazu liegen leider nicht bei mir sondern bei meinem Arbeitgeber... aber als "How to" sollte es schon gehen, werde das mal klären...

hallo, also, insgesamt wurden 3 zertifikate vergeben ==> testclient, ad server und ias server (hier werden auch die zertifikate verteilt) beim client musste ich ein paar Dienste aktivieren, jetzt konnte ich in den Netzwerkeinstellungen festlegen, dass er 802.1X mit MSCHAPv2 zur Authorisierung verwenden soll. Mein (vorerst) einziges Problem wo ich sehe ist folgendes ==> Ich habe auf dem IAS, eine RAS - Richtlinie erstellt, womit nur noch Clients deren Passwort, Benutzername stimmen und die das richtige zertifikat besitzen Authorisiert werden sollen. Der IAS ist in der Domäne unter IAS und RAS Server registriert, also sollte der Zugriff auf RAS attribute wie name und passwort funktionieren. Das Problem ist, dass die Richtlinie nicht zieht. Kann das daran liegen, dass der Client ja erst mit dem IAS kommuniziert, sobald er in der Domäne ist? Also meldet er sich über den AD an und unterzieht sich dann erst der Prüfung des IAS? Ich musste die Domäne raufstufen, um in den Eigenschaften des Computers festzulegen, dass die Einwahl über RAS bedienungen läuft. Ich bekomme es aber nicht hin, dass der DC auf die IAS - RAS Richtlinien zugreift und diese als AAA attribute nimmt. Kann mir jemand helfen? Wäre echt super, da ich morgen das ganze fertig bekommen möchte! Vielen Dank schonmal!

vielen Dank erstmal für die Hilfe, durch einen Todesfall im Freundeskreis bin ich leider erst heute früh dazugekommen weiter zu tüffteln... Nun gut, hab heut mal ne CA aufgesetzt, hat prima funktioniert, danach des Zertifikat wo unter C:\\WINDOWS\system32\irgendwas liegt (Stammzertifikat wenn ich mich nicht irre mit 2KB) im ADS als vertrauenswürdig eingestuft, danach hat sich auf der CA auch gleich sehen lassen, dass mein Testclient und mein Testserver (AD) sich dieses geholt haben. Da ich etwas unter Zeitdruck stehe, werde ich keine weiteren CAs aufsetzen, aber danke für die Hinweise, werde bei der Umsetzung in das Produktiv - System Rücksicht darauf nehmen! Es war ne ziemliche Fummelei die ganze Sache hinzubekommen heute... Jetzt habe ich wiedermal Fragen: Die authorisierung soll ja über EAP - MSCHAPv2 laufen. Wie bringe ich jetzt den Client dazu, dieses anzuwenden? Hab irgendwo gelesen, ich muss irgendwo 802.1X aktivieren, allerdings finde ich nirgends eine entsprechende Option!? Wie sage ich dem IAS, dass er den Client nur dann ins Netz lässt, wenn das zertifikat passt, also wie bringe ich den IAS dazu, das Zertifikat zu fordern und sein eigenes zu zeigen (er muss sich ja gegenüber dem Client auch authorisieren) Ich hab mal ein bisschen in den Richtlinien rumgewurschtelt und auch ein paar Einträge gefunden, so habe ich eine Richtlinie erstellt, welche den RAS Zugriff nur dann gewährt, wenn MSCHAPv2 verwendet wird und Benutzer - name und passwort stimmen. Zum Test hab ich eingestellt, soll der Zugriff verweigert werden, wenn die Bedinungen zutreffen. Mein Client kommt trotzdem in die Domäne... Jetzt weiß ich nicht weiter, weil es ja so aussieht, als ob keine von meinen Einstellungen greifen.... Ich bitte wirklich um schnelle Hilfe! Vielen Dank schonmal euch allen für eure Unterstützung, es ist echt klasse hier *grins* :)

Danke erstmal für die Antwort. Ich würde gerne das EAP-TLS Protokoll verwenden! Also rein Zertifikats bassierend! Allerdings reicht ein Server und Computer Zertifikat aus, also nicht noch extra eins für den User! Jetzt hab ich trotzdem noch die Frage wie ich diese Zertifikate erstellen kann?! Hier ist die rede von einer online und einer offline CA ich zitiere ==> "Die Certification Authority (Zertifizierungsstelle) stellt die benötigten Zertifikattypen zur Registrierung bereit. Die von einer CA ausgestellten Zertifikate sind nur so sicher wie die Infrastruktur der CA. Jede Zertifikatsinfrastruktur sollte auf einer Offline-CA basieren, die geschützt vor Angriffen aus dem Internet und auch dem internen Netzwerk ist. Die Offline-CA stellt die Zertifikate bereit und die weiteren untergeordneten CAs in der Zertifizierungshierarchie beziehen von dort ihre Zertifikate. Das heißt, nur Zertifikate die von der Offline CA ausgestellt wurden, werden als Vertrauenswürdig betrachtet. Registrieren kann man das Zertifikat aber an jeder beliebigen Zertifizierungsstelle. " Was ist eine CA und wie kann ich mir so eine besorgen? Damit sollte ich ja Zertifikate erstellen können oder? Die CA sollte in einer DMZ stehen, damit die zitierten Kriterien erfüllt sind wenn ich das richtig sehe. Ich hoffe ihr könnt mir weiterhelfen, ich hab mich noch nie in etwas verbissen wie in diese **** Zertifikate .... !! Danke schonmal! Gruß, screaaam

hat keiner eine Lösung?? ich werde heut mal ein bisschen mit dem Zertifikatdienst rumspielen, kenn mich da aber leider nicht so wirklich aus! Mal schaun ob ich da irgendwas finde. Bei Fortschritten werde ich hier wieder posten!

Hallo, habe noch vergessen, auszuführen, dass der Client vor der Authentifizierung NICHT in die Domäne soll! Dies soll ihm erst der IAS erlauben.

Hallo erstmal, ich bin neu hier und habe mich so gut es ging durch die vorhandenen Foren durchgelesen. Jetzt habe ich aber immernoch einige offene Fragen und ehrlichgesagt, je mehr ich über das Thema lese, deszu vewirrter werde ich :confused: Zur Sache: Ich habe eine kleine Testdomäne (azubi.intern) aufgesetzt. Auf selbigem Server läuft ein DHCP und ein DNS! IP - Bereich für genau 2 Adressen ( 192.168.0.2 / 3 ) Windows XP Version 2002 SP 3 als Testclient eingerichtet, bezieht IP über DHCP, funktioniert auch soweit! Windows 2003 Standart Edition, IAS Dienst installiert und in der Domäne registriert (den Rechner wo der IAS drauf läuft habe ich in die "IAS - RAS Gruppe" oder so ähnlich gepackt) auch hier wieder IP über DHCP, funktioniert. Beide Rechner kommen in die Domäne und bekommen auch die richtigen Rechte also AD - Geschichte läuft fehlerfrei (soweit ich erkennen kann)! Jetzt zu meinem(n) Problem(en) ==> Mein Ziel ist es, dass sich der XP - Client erst über PEAP (EAP-MSCHAPv2) am IAS authentifizieren muss. Das ganze soll sich an der IEEE 802.1X Norm orientieren! Was genau macht PEAP? Dient dieses Protokoll als art Container, wo dann ein Zertifikat reingelegt wird oder wie kann ich mir das vorstellen? Benötige ich auf dem XP - Client drittanbieter Software, damit ich das ganze überhaupt realisieren kann? Wie kann ich dem IAS sagen, dass er jetzt Zertifikate herstellen soll... falls dass überhaupt notwenig ist! Ich bitte um schnelle Hilfe, bin hier schier am durchdrehen!!!:cry: Vielen Dank im Vorraus!:) Gruß, screaaam (neuling ^^)