Jump to content

Domänenanmeldung über MD5-Challenge


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen,

 

ich nutze 802.1x Authentifizierung an einenm Switch. Das läuft auch soweit über MD5, allerdings ist es nicht möglich, dass sich der Client bei der Domänenanmeldung direkt auch am Netzwerk anmeldet und somit ist auch die Domäne in dem Moment nicht verfügbar, da der Client ja noch nicht mit dem Netzwerk verbunden ist. Ich habe gesehen, dass es bei Windows XP unter den Authentifizierungseinstellungen auch die Möglichkeit gibt, "geschütztes EAP" zu wählen und dort in der Konfiguration kann man ihm dann sagen, dass er die Domänenanmeldedaten direkt zur Authentifizierung verwenden soll.

 

Warum geht das bei EAP-MD5 nicht????

 

Braucht man für MS-CHAPv2 auch ein Zertifikat oder Zertifikatsserver? Und wenn, kennt jemand ein gutes Howto, wie man es unter Windows für den IAS einrichten kann?

 

 

Vielen Dank schonmal

 

Gruß, Pittkill

Link zu diesem Kommentar

EAP-MD5 meine ich, die Benutzerauthentifizierung funktioniert ja mit EAP-MD5, aber eben nur, wenn ich mich schon lokal angemeldet habe. Er soll aber direkt die Domänenanmeldedaten für die Authentifizierung verwenden, damit sich der User nicht immer erst lokal anmelden muss, um Netzzugriff zu erhalten.

 

MD5 alleine ist natürlich nicht zu empfehlen, aber für eine interne Authentifizierung innerhalb eines Firmennetzwerkes reicht es laut Auftraggeber aus. Es ist ja nichts anderes als CHAP. SO hab ich es verstanden.

 

EAP-MD5 und CHAP scheinen laut Google das gleiche zu sein.

Link zu diesem Kommentar

Genau, das reversible Abspeichern der Kennwörter auf dem Server ist ein Sicherheitsrisiko, aber es haben ja normalerweise auch nur autorisierte Personen Zugriff zum Rechenzentrum, wo sich der Server befindet, somit man der Sache schon wieder mehr vertrauen könnte, aber gut....

 

Kann es sein, dass das nicht geht mit der Domänenanmeldung bei MD5, weil dort keine Zertifikate übertragen werden und er MD5 nicht übertragen kann. Irgendwie so...???:suspect:

Link zu diesem Kommentar

Es ist bei MD5 nicht nur der Server das Problem, wenn ich an den physisch rankomme, dann spielt es auch keine Rolle, ob das Kennnwort in einem OWF abgelegt ist.

 

Die Anmeldung scheitert wahrscheinlich da dran, dass das Netzwerk noch nicht da ist, wenn die Useranmeldung stattfindet. bei XP sollte die Richtlinie "Beim Neustarten und vor der Anmeldung immer auf das Netzwerk warten" helfen.

 

grizzly999

Link zu diesem Kommentar

Wer sagt, dass das Windows nicht unterstützt? :rolleyes:

 

Das wird unterstützt, und zwar vom Server 2003 bis XP als Client (VISTA als Client hat es nicht mehr drin, aber nachinstallierbar).

 

Noch nicht mal im Internet findet man etwas dazu

Natürlich nicht, denn es geht ja. :mad:

Hat der User das Häkchen am Konto?

Ist das Kennwort geändert worden?

Ist MD5 beim Client eingestellt?

Ist beim RADIUS Server MD5 als Authentifizierungsmethode eingestellt?

 

grizzly999

Link zu diesem Kommentar

MD5 ist beim Client eingestellt (Netzwerkverbindunge-->Eigenschaften-->Authentifizierung-->EAP-Typ:MD5Challenge)

Beim IAS habe ich alle Authentifizierungsmethode ausgewählt, es sind also erstmal alle erlaubt

Welches Häkchen am Konto meinst Du?

Warum Kennwort ändern?

 

 

MSCHAPv2 beinhaltet die einseitige Zertifikatsauthentifizierung, dass heißt, dass das Zertifikat des Servers als vertrauenswürdig bei den Clients installiert werden muss. Oder nicht????

 

Grundlagen bringe ich mir gerade selber bei bezüglich IAS usw. nd bin auch schon einen riesen Schritt weitergekommen, sonst würde die Authentifizierung über IAS per MD5-Challenge ja auch nicht funktionieren. Unter Windows "Netzwerkverbindung --> Eigenschaften" kann man nur bei MSCHAPv2 "Automatisch eigenen Windows-Anmeldenamen und Kennwort (und Domäne, falls vorhanden)" anklicken.

Link zu diesem Kommentar

Aber nochmal kurz vorweg, die MD5-Challenge Authentifizierung funktioniert!!!! Eben nur, wenn ich schon angemeldet bin, wenn ich den Rechner neustarte und mich dann an der Domäne anmelden will, ist diese NATÜRLICH nicht erreichbar, da ich mich ja noch nicht in dem Moment am Netzwerk angemeldet habe. Das soll er aber automatisch machen mit den Anmeldedaten der AD. Also erst Anmeldung am Netzwerk, dann DHCP und dann AD

Link zu diesem Kommentar
Welches Häkchen am Konto meinst Du?
Warum Kennwort ändern?

Du liest meine beiträge auch aufmerksam? Das Häkchen habe ich ziemlich weit oben angesprochen und nachgefragt. Daraufhin hast du dann weitergeredet, als wüsstest du genau worum es geht.

 

 

MSCHAPv2 beinhaltet die einseitige Zertifikatsauthentifizierung, dass heißt, dass das Zertifikat des Servers als vertrauenswürdig bei den Clients installiert werden muss. Oder nicht????

MSCHAPV2 beinhaltet keine Zertifikatsauthentifizierung. Es findet eine gegenseitige Authentifizierung statt, aber Zertifikate ... NEIN, nicht nötig.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...