MS IAS, MAC Authentication, Password Policy

[Fistandantilus 10]

Hallo zusammen,

 

stehe vor folgender Problematik:

Wir setzen im Unternehmen MS IAS ein um mac authentication für wired Computer zu haben.

Funktioniert ja so weit ganz nett ;) Da bis vor kurzem eine sehr harmlose Password Policy konfiguriert war gab es hier eigentlich keine Probleme.

 

Das Problem das wir jetzt haben ist, daß wir die PasswordPolicy verschärft haben, haben wir troubles mit dem Komplexitäts setting in diesem Fall hier.

 

MS IAS benötigt ja um eine NIC per mac auhentication zu authentifizieren ein UserObject im AD dessen Username die MAC von der NIC ist diese aber auch gleichzitig das Password.

 

Und dann zieht klarerweise die Password pol mit der obligatorischen Meldung:

 

"Windows cannot set the passsword for user xyz because: - password does'nt meet the pwd pol requirements.........."

 

Hat irgendjemand eine idee die uns weiterhelfen könnte?

Gibt es eine Möglichkeit dem IAS beizubringen ein anderes PWD zur MAC zu akzeptieren?

 

Die policy abzudrehen ist keine lösung ;)

 

Vielen Dank für die Hilfe

[weg5st0 10]

Hi Fistandilius,

 

dieses Problem hatten wir auch. Das Problem liegt imho am Switch. Wir konnten dann am Switch eine Option aktivieren, die nicht die MAC-Adresse als Passwort verwendet, sondern ein anderes komplexes Standardpasswort sendet. (Extreme Switche).

Wenn diese Option nicht verfügbar ist, kannst du dir vermutlich nur helfen, indem du kurzzeitig die komplexe Richtlinie abschaltest, wenn du einen neuen MAC-User anlegst. Hier dann die Option - Kennwort läuft nicht ab - setzen. Anschliessend wieder die Policy aktivieren.

[Fistandantilus 10]

wir verwenden ausschließlich Cisco NW Komponenten, die es verstehen würden das problem ist nur das der IAS es nicht anders kann per design ;). Nach etlichen Gesprächen mit Trainerkollegen und ehemaligen Kollegen (unter anderen kenne ich nun auch ein unternehmen mit genau der selben Problematik) hab ich mal nen supportcall bei MS aufgemacht. Haben wir ja im Vertrag dabei ;)

 

ich werde den post up2date halten was bei MS rauskommt

 

cheers

[weg5st0 10]

wir verwenden ausschließlich Cisco NW Komponenten, die es verstehen würden das problem ist nur das der IAS es nicht anders kann per design ;).

 

Ich lasse mich da korrigieren, aber ich halte es nicht für einen Designfehler, wenn Passwortrichtlinien durchgesetzt werden -oder?

 

Es ist doch eher problematisch, wenn User und Passwort den gleichen Wert haben.

Auch halte ich diese Art von Netlogin für zweifelhafte Sicherheit. Das ändern einer MacAdresse ist immerhin Hacking Grundkurs 2te Stunde und stellt kein Problem dar.

 

Diese Krücke gibts imho nur wegen Druckern und ähnlichem Gedöns, was kein 802.1x kann. Deren Ports sollten aber dann auch in separaten VLAns liegen und per Accesslisten abgeschottet werden.

 

Alles andere ist Augenwischerei.

[Fistandantilus 10]

das war zumindest die Aussage von MS.

Drucker und alle anderen Krücken liegen sowieso in einem anderen VLAN.

 

Zu den Extreme Switches weißt du noch welche Option das war ?? Ich hoffe das dies von Cisco auch unterstützt wird. Sollte schon so sein.

 

danke für die info

[weg5st0 10]

Ich kann nur mit Bestimmtheit sagen, daß es bei Cisco anders eingerichtet wird.

Bei extreme hiess das feature netlogin und die Kommandos waren dann

set netlogin ......