Jump to content

MS IAS, MAC Authentication, Password Policy


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen,

 

stehe vor folgender Problematik:

Wir setzen im Unternehmen MS IAS ein um mac authentication für wired Computer zu haben.

Funktioniert ja so weit ganz nett ;) Da bis vor kurzem eine sehr harmlose Password Policy konfiguriert war gab es hier eigentlich keine Probleme.

 

Das Problem das wir jetzt haben ist, daß wir die PasswordPolicy verschärft haben, haben wir troubles mit dem Komplexitäts setting in diesem Fall hier.

 

MS IAS benötigt ja um eine NIC per mac auhentication zu authentifizieren ein UserObject im AD dessen Username die MAC von der NIC ist diese aber auch gleichzitig das Password.

 

Und dann zieht klarerweise die Password pol mit der obligatorischen Meldung:

 

"Windows cannot set the passsword for user xyz because: - password does'nt meet the pwd pol requirements.........."

 

Hat irgendjemand eine idee die uns weiterhelfen könnte?

Gibt es eine Möglichkeit dem IAS beizubringen ein anderes PWD zur MAC zu akzeptieren?

 

Die policy abzudrehen ist keine lösung ;)

 

Vielen Dank für die Hilfe

Link zu diesem Kommentar

Hi Fistandilius,

 

dieses Problem hatten wir auch. Das Problem liegt imho am Switch. Wir konnten dann am Switch eine Option aktivieren, die nicht die MAC-Adresse als Passwort verwendet, sondern ein anderes komplexes Standardpasswort sendet. (Extreme Switche).

Wenn diese Option nicht verfügbar ist, kannst du dir vermutlich nur helfen, indem du kurzzeitig die komplexe Richtlinie abschaltest, wenn du einen neuen MAC-User anlegst. Hier dann die Option - Kennwort läuft nicht ab - setzen. Anschliessend wieder die Policy aktivieren.

Link zu diesem Kommentar

wir verwenden ausschließlich Cisco NW Komponenten, die es verstehen würden das problem ist nur das der IAS es nicht anders kann per design ;). Nach etlichen Gesprächen mit Trainerkollegen und ehemaligen Kollegen (unter anderen kenne ich nun auch ein unternehmen mit genau der selben Problematik) hab ich mal nen supportcall bei MS aufgemacht. Haben wir ja im Vertrag dabei ;)

 

ich werde den post up2date halten was bei MS rauskommt

 

cheers

Link zu diesem Kommentar
wir verwenden ausschließlich Cisco NW Komponenten, die es verstehen würden das problem ist nur das der IAS es nicht anders kann per design ;).

 

Ich lasse mich da korrigieren, aber ich halte es nicht für einen Designfehler, wenn Passwortrichtlinien durchgesetzt werden -oder?

 

Es ist doch eher problematisch, wenn User und Passwort den gleichen Wert haben.

Auch halte ich diese Art von Netlogin für zweifelhafte Sicherheit. Das ändern einer MacAdresse ist immerhin Hacking Grundkurs 2te Stunde und stellt kein Problem dar.

 

Diese Krücke gibts imho nur wegen Druckern und ähnlichem Gedöns, was kein 802.1x kann. Deren Ports sollten aber dann auch in separaten VLAns liegen und per Accesslisten abgeschottet werden.

 

Alles andere ist Augenwischerei.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...