Jump to content

MS IAS, MAC Authentication, Password Policy


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Hallo zusammen,

 

stehe vor folgender Problematik:

Wir setzen im Unternehmen MS IAS ein um mac authentication für wired Computer zu haben.

Funktioniert ja so weit ganz nett ;) Da bis vor kurzem eine sehr harmlose Password Policy konfiguriert war gab es hier eigentlich keine Probleme.

 

Das Problem das wir jetzt haben ist, daß wir die PasswordPolicy verschärft haben, haben wir troubles mit dem Komplexitäts setting in diesem Fall hier.

 

MS IAS benötigt ja um eine NIC per mac auhentication zu authentifizieren ein UserObject im AD dessen Username die MAC von der NIC ist diese aber auch gleichzitig das Password.

 

Und dann zieht klarerweise die Password pol mit der obligatorischen Meldung:

 

"Windows cannot set the passsword for user xyz because: - password does'nt meet the pwd pol requirements.........."

 

Hat irgendjemand eine idee die uns weiterhelfen könnte?

Gibt es eine Möglichkeit dem IAS beizubringen ein anderes PWD zur MAC zu akzeptieren?

 

Die policy abzudrehen ist keine lösung ;)

 

Vielen Dank für die Hilfe

Link to post

Hi Fistandilius,

 

dieses Problem hatten wir auch. Das Problem liegt imho am Switch. Wir konnten dann am Switch eine Option aktivieren, die nicht die MAC-Adresse als Passwort verwendet, sondern ein anderes komplexes Standardpasswort sendet. (Extreme Switche).

Wenn diese Option nicht verfügbar ist, kannst du dir vermutlich nur helfen, indem du kurzzeitig die komplexe Richtlinie abschaltest, wenn du einen neuen MAC-User anlegst. Hier dann die Option - Kennwort läuft nicht ab - setzen. Anschliessend wieder die Policy aktivieren.

Link to post

wir verwenden ausschließlich Cisco NW Komponenten, die es verstehen würden das problem ist nur das der IAS es nicht anders kann per design ;). Nach etlichen Gesprächen mit Trainerkollegen und ehemaligen Kollegen (unter anderen kenne ich nun auch ein unternehmen mit genau der selben Problematik) hab ich mal nen supportcall bei MS aufgemacht. Haben wir ja im Vertrag dabei ;)

 

ich werde den post up2date halten was bei MS rauskommt

 

cheers

Link to post
wir verwenden ausschließlich Cisco NW Komponenten, die es verstehen würden das problem ist nur das der IAS es nicht anders kann per design ;).

 

Ich lasse mich da korrigieren, aber ich halte es nicht für einen Designfehler, wenn Passwortrichtlinien durchgesetzt werden -oder?

 

Es ist doch eher problematisch, wenn User und Passwort den gleichen Wert haben.

Auch halte ich diese Art von Netlogin für zweifelhafte Sicherheit. Das ändern einer MacAdresse ist immerhin Hacking Grundkurs 2te Stunde und stellt kein Problem dar.

 

Diese Krücke gibts imho nur wegen Druckern und ähnlichem Gedöns, was kein 802.1x kann. Deren Ports sollten aber dann auch in separaten VLAns liegen und per Accesslisten abgeschottet werden.

 

Alles andere ist Augenwischerei.

Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...