winfler01 10 Geschrieben 15. August 2005 Melden Teilen Geschrieben 15. August 2005 ------------------------ Sorry, fürs Cross-Posting. Habe erst jetzt gesehen, dass es ein passenderes Forum für meine Frage gibt. Ev. könnte ein Admin so nett sein und den Post vom anderen Forum löschen - Danke ------------------------ Hallo wieder einmal! Sind im Moment viele Fragen die ich stelle, ich weiß. Darum schon mal ein Danke vorraus für die Unterstützung! Architektur: WLAN-Clients, 3Com/Cisco AP mit 802.1X und RADIUS (IAS) EAP-TLS erfordert auf Seiten des Clients 2 Certs, ein Computer Cert und ein User Cert. Eigentlich eine feine Sache da sich der Computer selbst auch dem Server gegenüber authentifizieren muss. Nur um dieses Computer Cert zu bekommen, muss der Comp. Teil der Domäne sein, beim User Cert nicht. Das Problem das ich damit habe ist folgendes: Der RADIUS (IAS) Server der installiert werden soll wird in einer bereits bestehenden (unabhängigen!) Netzwerkarchitektur stehen. Damit habe ich das Problem, dass ich dann jeden Rechner einzeln an die Domäne hängen muss um ein Computer Cert zu bekommen. Da ich mir diese Arbeit eigentlich ersparen will, wollte ich fragen ob es eben auch eine Möglichkeit gibt nur mit User Certs beim Client zu arbeiten. Laut dem Buch "MS Deploying Secure 802.11 WLAN mit Windows" wird das ausgeschlossen weil sonst unter anderem der Rechner keine IP bekommen kann. Jedoch verstehe ich nicht warum ein Computer Cert zwingend notwendig ist da ich ohnedies erst nach der User Authentifizierung Zugang zum Netz und damit eine IP bekomme. Wo ist mein Denkfehler? Oder wie könnte man die 1 Certs Lösung erzwingen? Danke winfler01 Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 15. August 2005 Melden Teilen Geschrieben 15. August 2005 Wer behauptet, dass der Computer Mitglied der Domäne sein muss?! Ein Zertifikat hat mit Domänen nichts zu tun. Das Zertifikat, welches ich als Computer dem RADIUS-Server (oder jemand anderem) zeige, muss lediglich von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt sein 8und gültig natürlich). 802.1x hat nicht die Aufgabe, den Benutzer zu authentifizieren, sondern den Computer, um ihm Zugang zum Netzwerk, insebsondere erst mal zum DHCP zu gewähren. Und dazu braucht man ein ComputerZertifikat. Ein Benzutzerzertifikat ist nicht von Nöten, nur nice to have ;) grizzly999 Zitieren Link zu diesem Kommentar
BuzzeR 10 Geschrieben 15. August 2005 Melden Teilen Geschrieben 15. August 2005 @grizzly999 Das ist nicht ganz korrekt, denn man unterscheidet sehr wohl zwischen einer Unternehmens-CA und einer alleinstehenden CA, wobei erstere mal nur für Domänen-Mitglieder (Computer/User) gedacht ist. Davon war hier allerdings noch keine Rede und daher wäre es im höchsten Maße interessant zu erfahren, mit welcher Art von CA er arbeitet. RADIUS und die Implemtierung seitens Microsoft in Form des IAS hat primär nichts mit Zertifikaten zu tun. EDIT: Bezogen auf die hier angesprochene Problematik. Gruß Marco Zitieren Link zu diesem Kommentar
winfler01 10 Geschrieben 15. August 2005 Autor Melden Teilen Geschrieben 15. August 2005 @grizzly999Das ist nicht ganz korrekt, denn man unterscheidet sehr wohl zwischen einer Unternehmens-CA und einer alleinstehenden CA, wobei erstere mal nur für Domänen-Mitglieder (Computer/User) gedacht ist. Davon war hier allerdings noch keine Rede und daher wäre es im höchsten Maße interessant zu erfahren, mit welcher Art von CA er arbeitet. RADIUS und die Implemtierung seitens Microsoft in Form des IAS hat primär nichts mit Zertifikaten zu tun. EDIT: Bezogen auf die hier angesprochene Problematik. Gruß Marco Also, die CA ist in Form einer 1-tier Enterprise CA eingerichtet und ist immer Online. Ich weiß, dass das nicht gerade eine sehr saubere Lösung ist aber sie dient im Moment nur zu Testzwecken. Noch ein paar Infos zur Infrastruktur: Client ist per WLAN am AP, AP hängt am Router (welcher als DHCP Server arbeitet und an dem das Modem hängt) an dem auch der Server hängt. Das heißt, mit dem Computer Cert habe ich in meinem Fall einmal Zugriff zum Internet und erst mit dem User Cert Zugriff auf die Server Ressourcen (sofern erlaubt)? thx winfler01 Ps.: Sorry für die vielleicht sehr dummen Fragen, aber ich mache erst meine ersten Schritte auf diesem Gebiet :( Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 16. August 2005 Melden Teilen Geschrieben 16. August 2005 @grizzly999Das ist nicht ganz korrekt, denn man unterscheidet sehr wohl zwischen einer Unternehmens-CA und einer alleinstehenden CA, wobei erstere mal nur für Domänen-Mitglieder (Computer/User) gedacht ist. Davon war hier allerdings noch keine Rede und daher wäre es im höchsten Maße interessant zu erfahren, mit welcher Art von CA er arbeitet. RADIUS und die Implemtierung seitens Microsoft in Form des IAS hat primär nichts mit Zertifikaten zu tun. EDIT: Bezogen auf die hier angesprochene Problematik. Gruß Marco Ich weiss sehr wohl welche Artenvon CA es bei Microsoft gibt ;) , meine Aussage war auch sehr allegemein gemeint, nämlich, dass prinzipiell ein Zertifikat nichts mit einer Domäne zu tun hat, denn so absolut kam die Aussage rüber: Zitat: EAP-TLS erfordert auf Seiten des Clients 2 Certs, ein Computer Cert und ein User Cert. Eigentlich eine feine Sache da sich der Computer selbst auch dem Server gegenüber authentifizieren muss. Nur um dieses Computer Cert zu bekommen, muss der Comp. Teil der Domäne sein, beim User Cert nicht Eine enterprise-CA bei Microsoft, das ist korrekt, stellt nur Zertifikate für Prncipals im AD aus. Wenn es allerdings nur um einen "Test" oder 1 oder wenige Rechner geht, kann man hilfweise auch mit einem anderen Rechner in der Domäne ein Zertifikat pseudomäßig beantragen, das dann exportieren und auf den Testrechner importieren. RADIUS und die Implemtierung seitens Microsoft in Form des IAS hat primärnichts mit Zertifikaten zu tun. EDIT: Bezogen auf die hier angesprochene Problematik. RADIUS hat primär nichts mit Zertifikaten am Hut, das ist ebenfalls korrekt, aber genau die hier angesprochende Problematik schon, nämlich eine 802.1x Authentifizeirung am Netz. Die läuft eben nun mal nur mit zwei Zertifikaten, eines auf dem RADIUS, eines auf dem Client, so ist die aktuelle Implementierung bei Microsoft und auch bei den meisten anderen Herstellern. Schon mal 802.1x bei MS ohne Computerzertifikate zum Laufen bekommen? Wenn ja, bitte hier detailierte Anleitung zum Nachbauen. grizzly999 grizzly999 Zitieren Link zu diesem Kommentar
BuzzeR 10 Geschrieben 16. August 2005 Melden Teilen Geschrieben 16. August 2005 @grizzly Kam dann nicht so in voller Konsequenz bei mir an, lag wohl an der Uhrzeit. Sorry! ;) Mit meinem Einwand, dass RADIUS erst einmal primär nichts mit Zertifikaten am Hut hat zielte im Schwerpunkt darauf ab, dass es primär erst einmal von Interesse ist, welche Art von CA er nutzt und sekundär wollte ich dann RADIUS ansprechen. Ich wollte also in Teilprobleme zerlegen ... Die von Dir angesprochene Bauanleitung habe ich allerdings auch nicht parat. ;) :D LG Marco Zitieren Link zu diesem Kommentar
winfler01 10 Geschrieben 16. August 2005 Autor Melden Teilen Geschrieben 16. August 2005 Eine enterprise-CA bei Microsoft, das ist korrekt, stellt nur Zertifikate für Prncipals im AD aus. Wenn es allerdings nur um einen "Test" oder 1 oder wenige Rechner geht, kann man hilfweise auch mit einem anderen Rechner in der Domäne ein Zertifikat pseudomäßig beantragen, das dann exportieren und auf den Testrechner importieren. Wie funkt das genau? User Cert ist kein Problem über Web Enrolement zu bekommen auch wenn man kein Mitglied der Domäne ist. Wie genau kann ich aber das Computer Cert bekommen? Wenn ich mich als Admin am Server anmelde, bekomme ich bei dem Versuch ein Cert manuell für den Client-Computer (welcher im AD eingetragen ist) zu requesten die Fehlermeldung, dass ich das nicht darf. Der User ist allerdings auch nicht dem Computer zugeordnet. Wie kann ich also manuell für einen Client Computer ein Cert beantragen? RADIUS hat primär nichts mit Zertifikaten am Hut, das ist ebenfalls korrekt, aber genau die hier angesprochende Problematik schon, nämlich eine 802.1x Authentifizeirung am Netz. Die läuft eben nun mal nur mit zwei Zertifikaten, eines auf dem RADIUS, eines auf dem Client, so ist die aktuelle Implementierung bei Microsoft und auch bei den meisten anderen Herstellern. Schon mal 802.1x bei MS ohne Computerzertifikate zum Laufen bekommen? Wenn ja, bitte hier detailierte Anleitung zum Nachbauen. grizzly999 Das heißt, dass User Cert ist nur optional? Wenn nicht, dann wären es ja 3 Certs die man insgesamt brauchen würde. Welchen Zweck hat dann das User Certs? Einfach nur für den individuellen Zugang an den Server Resourcen? Bin ein bisschen verwirrt da in dem MS Book "deploying 802.11...." steht, dass man alle 3 braucht.... thx winfler01 Zitieren Link zu diesem Kommentar
winfler01 10 Geschrieben 16. August 2005 Autor Melden Teilen Geschrieben 16. August 2005 Wie funkt das genau? User Cert ist kein Problem über Web Enrolement zu bekommen auch wenn man kein Mitglied der Domäne ist. Wie genau kann ich aber das Computer Cert bekommen? Wenn ich mich als Admin am Server anmelde, bekomme ich bei dem Versuch ein Cert manuell für den Client-Computer (welcher im AD eingetragen ist) zu requesten die Fehlermeldung, dass ich das nicht darf. Der User ist allerdings auch nicht dem Computer zugeordnet. Wie kann ich also manuell für einen Client Computer ein Cert beantragen? Entweder die Frage war zu dumm oder keiner kann mir helfen ;-) Kennt jemand von euch andere Foren oder Newsgroups (auch English sprachig) die mir hier weiterhelfen könnten? Vielen Dank winfler01 Zitieren Link zu diesem Kommentar
fawel 10 Geschrieben 18. August 2005 Melden Teilen Geschrieben 18. August 2005 Computer Cert solltest du per Auto Enrollment automatisch bekommen. Ggf muss die GPO angepasst werden. Dann sollte es auch mit dem W-LAN klappen :D Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.