2Infusion 10 Geschrieben 30. Dezember 2007 Melden Teilen Geschrieben 30. Dezember 2007 hallo, ich bin neu hier im forum und habe gleich mal ein problem: im zusammenhang mit meiner diplomarbeit (802.1x) bin ich auf ein problem gestossen: ich such jetzt schon seit geraumer zeit definitionen zu benutzerkonten und maschinenkonten. vor allem interessiert mich woraus sie bestehen und welchen inhalt sie haben. was genau wird übertragen wenn ich als authentifizierungstyp bei win xp mit maschineninformationen authentifizieren? was wird da übermittelt? ich hoffe ihr könnt mir helfen... Infusion Zitieren Link zu diesem Kommentar
2Infusion 10 Geschrieben 4. Januar 2008 Autor Melden Teilen Geschrieben 4. Januar 2008 keiner ne ahnung? *seufz* Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 4. Januar 2008 Melden Teilen Geschrieben 4. Januar 2008 Hallo, worum geht es Dir denn genau? Einen schnellen Überblick über die Eigenschaften bzw. Attribute von Benutzerobjekten oder Computerobjekten kannst Du Dir verschaffen, wenn Du mittels ADSIEdit, LDP o.ä. ein entsprechendes Objekt anschaust. Einen Export kannst Du beispielsweise mittels ldifde erreichen: ldifde -d CN=<objekt>,OU=<organisationseinheit>,DC=<domain>,DC=<tld> -f C:\TEMP\objekt.ldf und dann vergleichen. Die Definition der verschiedenen Attribute für diese Objekte erfolgt über das Schema. Letztendlich gibt es eine Menge Gemeinsamkeiten zwischen Benutzer- und Computerobjekten, aber natürlich auch einige essentielle Unterschiede - daher meine Frage, worum es Dir genau geht. Bei der Authentifizierung eines Computers mittels 802.1x wird beispielsweise der SPN (HOST/machine.domain.tld) des Kontos gesendet und sein Zertifikat. Somit läßt sich eine Zuordnung vornehmen, die für die Authentifizierung notwendig ist. Gruß olc Zitieren Link zu diesem Kommentar
2Infusion 10 Geschrieben 4. Januar 2008 Autor Melden Teilen Geschrieben 4. Januar 2008 in meiner diplomarbeit geht es um eine 802.1x authentifizierung mit der auth-methode PEAP über maschinenkonten. peap benötigt keine zertifikate. ich habe die ganze authentifizierung mal gesniffert. anscheinend sendet der radius server an die ad einen ldap request. darin befindet sich der fqdn. ist das so richtig? ich hatte mal irgendwo im netz gelesen, dass bei der maschinenauthentifizierung die sid (secure identifier) benutzt wird. meine betreuer denken das auch. momentan kann ich das aber nicht bestätigen. ich wollte mir jetzt einfach mal ne paar informationen aus dem netzsuchen. aber leider gibt es da nichts zu.... mfg Infusion Zitieren Link zu diesem Kommentar
2Infusion 10 Geschrieben 7. Januar 2008 Autor Melden Teilen Geschrieben 7. Januar 2008 habe mal nen sceenshot von meinen traces gemacht: http://www.pkds.de/datenserver/homepage/pictures/ldap.jpg so wie es aussieht geschiet die authentifizierung gegenüber der ad nur mit dem spn. oder liege ich da falsch? mfg Infusion Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 7. Januar 2008 Melden Teilen Geschrieben 7. Januar 2008 Hallo, ich bin leider kein "Profi" in diesem Gebiet - aber vielleicht ein, zwei Punkte dazu: Ich denke nicht, daß die SIDs der Maschinen oder Benutzer "wild durch die Gegend" gesendet werden. Vielmehr sollten diese erst ausgetauscht werden, wenn die Authentifizierung schon stattgefunden hat bzw. der Paketaustausch ggf. schon verschlüsselt stattfindet. Dies ist z.B. auch bei Kerberos etc. der Fall, wenn ich mich nicht irre. Du filterst in dem Capture nur nach LDAP-Traffic - höchstwahrscheinlich sind jedoch auch andere Protokolle an dem Authentifizierungsvorgang bzw. Austausch der für Dich relevanten Daten beteiligt. Ich würde das also nicht beschränken... Im Capture ist nicht der SPN zu sehen, sondern der DN ("CN=TESTRECHNER,CN=Computers,DC=<domain>,DC=<tld>") und zusätzlich der sAMAccountName ("TESTRECHNER$"). Ein SPN sieht in Deinem Fall (wie oben schon geschrieben) so aus: HOST/machine.domain.tld Wenn ich mir den folgenden Text anschaue, sehe ich mich bestätigt: Although EAP provides authentication flexibility, the entire EAP conversation might be sent as clear text (unencrypted). A malicious user with access to the media can inject packets into the conversation or capture the EAP messages from a successful authentication for analysis. This is especially problematic for wireless connections, where the malicious user can be located outside of your business. EAP occurs during the IEEE 802.1X authentication process, before wireless frames are encrypted with Wired Equivalent Privacy (WEP). PEAP is an EAP type that addresses this security issue by first creating a secure channel that is both encrypted and integrity-protected with Transport Level Security (TLS). Then, a new EAP negotiation with another EAP type occurs, authenticating the network access attempt of the client. Because the TLS channel protects EAP negotiation and authentication for the network access attempt, password-based authentication protocols that are normally susceptible to an offline dictionary attack can be used for authentication in wireless environments. Weiter unten steht dann auch, daß beispielsweise der Computername ausgetauscht wird. Wahrscheinlich würde ich mich nun in Ruichtung "EAP Type" erkundigen - in die Richtung scheint es zu gehen, wenn es um den Datenaustausch geht... Aber wie gesagt, ich weiß fast nichts darüber. Vielleicht kennt sich hier ja jemand anderes damit besser aus und gibt Dir bessere / weitere Infos...? Gruß olc Zitieren Link zu diesem Kommentar
2Infusion 10 Geschrieben 8. Januar 2008 Autor Melden Teilen Geschrieben 8. Januar 2008 aber hier im request sieht man den spn: http://www.pkds.de/datenserver/homepage/pictures/request.jpg ich dachte das das ldap-protokoll für die ad-abfrage benutzt wird. ansonsten könnte ich mir nur noch kerberos vorstellen. mfg Infusion Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 8. Januar 2008 Melden Teilen Geschrieben 8. Januar 2008 Hallo, ja, aber diesen Request hattest Du beim ersten Mal nicht verlinkt. ;) In beiden Requests wird SASL verwendet. Daher auch die LDAP-Abfragen. Vielleicht kannst Du darüber noch etwas herausbekommen. Meiner Meinung nach steht Kerberos zu diesem Zeitpunkt noch nicht zur Debatte - Kerberos Authentifizierung wird erst nach dem erfolgreichen PEAP Login möglich sein - wenn überhaupt. Aber wie gesagt, meine Meinung ist kein Maßstab. Gruß olc Zitieren Link zu diesem Kommentar
2Infusion 10 Geschrieben 16. Januar 2008 Autor Melden Teilen Geschrieben 16. Januar 2008 ich nochmal ;-) wisst ihr vielleicht auch in wie weit kerberos mit der 802.1x authentifizierung zu tun hat? mfg Infusion Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.