Zertifikate für IAS?

[screaaam 10]

Hallo erstmal, ich bin neu hier und habe mich so gut es ging durch die vorhandenen Foren durchgelesen.

 

Jetzt habe ich aber immernoch einige offene Fragen und ehrlichgesagt, je mehr ich über das Thema lese, deszu vewirrter werde ich :confused:

 

Zur Sache:

 

Ich habe eine kleine Testdomäne (azubi.intern) aufgesetzt. Auf selbigem Server läuft ein DHCP und ein DNS! IP - Bereich für genau 2 Adressen ( 192.168.0.2 / 3 )

Windows XP Version 2002 SP 3 als Testclient eingerichtet, bezieht IP über DHCP, funktioniert auch soweit!

Windows 2003 Standart Edition, IAS Dienst installiert und in der Domäne registriert (den Rechner wo der IAS drauf läuft habe ich in die "IAS - RAS Gruppe" oder so ähnlich gepackt) auch hier wieder IP über DHCP, funktioniert.

Beide Rechner kommen in die Domäne und bekommen auch die richtigen Rechte also AD - Geschichte läuft fehlerfrei (soweit ich erkennen kann)!

 

Jetzt zu meinem(n) Problem(en) ==>

 

Mein Ziel ist es, dass sich der XP - Client erst über PEAP (EAP-MSCHAPv2) am IAS authentifizieren muss. Das ganze soll sich an der IEEE 802.1X Norm orientieren!

 

Was genau macht PEAP? Dient dieses Protokoll als art Container, wo dann ein Zertifikat reingelegt wird oder wie kann ich mir das vorstellen?

 

Benötige ich auf dem XP - Client drittanbieter Software, damit ich das ganze überhaupt realisieren kann?

 

Wie kann ich dem IAS sagen, dass er jetzt Zertifikate herstellen soll... falls dass überhaupt notwenig ist!

 

Ich bitte um schnelle Hilfe, bin hier schier am durchdrehen!!!:cry:

 

Vielen Dank im Vorraus!:)

 

Gruß,

screaaam (neuling ^^)

[screaaam 10]

Hallo,

 

habe noch vergessen, auszuführen, dass der Client vor der Authentifizierung NICHT in die Domäne soll! Dies soll ihm erst der IAS erlauben.

[screaaam 10]

hat keiner eine Lösung??

 

ich werde heut mal ein bisschen mit dem Zertifikatdienst rumspielen, kenn mich da aber leider nicht so wirklich aus! Mal schaun ob ich da irgendwas finde.

 

Bei Fortschritten werde ich hier wieder posten!

[gelöscht 0]

Hallo,

 

schau doch mal hier: Windows Server How-To Guides: 802.1x Port Security mit IAS-Server und Windows CA - ServerHowTo.de

 

ASR

[screaaam 10]

Danke erstmal für die Antwort.

 

Ich würde gerne das EAP-TLS Protokoll verwenden! Also rein Zertifikats bassierend! Allerdings reicht ein Server und Computer Zertifikat aus, also nicht noch extra eins für den User!

 

Jetzt hab ich trotzdem noch die Frage wie ich diese Zertifikate erstellen kann?!

 

Hier ist die rede von einer online und einer offline CA ich zitiere ==>

 

"Die Certification Authority (Zertifizierungsstelle) stellt die benötigten Zertifikattypen zur Registrierung bereit. Die von einer CA ausgestellten Zertifikate sind nur so sicher wie die Infrastruktur der CA. Jede Zertifikatsinfrastruktur sollte auf einer Offline-CA basieren, die geschützt vor Angriffen aus dem Internet und auch dem internen Netzwerk ist. Die Offline-CA stellt die Zertifikate bereit und die weiteren untergeordneten CAs in der Zertifizierungshierarchie beziehen von dort ihre Zertifikate. Das heißt, nur Zertifikate die von der Offline CA ausgestellt wurden, werden als Vertrauenswürdig betrachtet. Registrieren kann man das Zertifikat aber an jeder beliebigen Zertifizierungsstelle. "

 

Was ist eine CA und wie kann ich mir so eine besorgen? Damit sollte ich ja Zertifikate erstellen können oder?

Die CA sollte in einer DMZ stehen, damit die zitierten Kriterien erfüllt sind wenn ich das richtig sehe.

 

Ich hoffe ihr könnt mir weiterhelfen, ich hab mich noch nie in etwas verbissen wie in diese **** Zertifikate .... !! Danke schonmal!

 

Gruß,

screaaam

[gelöscht 0]

Hallo,

 

eine CA kannst Du einfach im Windows Server über die Systemsteuerung hinzufügen und einrichten; und nein: die CA sollte/muss nicht in der DMZ installiert sein.

 

 

ASR

[DerBoris 10]

ASR liegt richtig. Du musst über den Dialog, über den man auch andere Serverdienste installiert - z.B. DHCP oder DNS die Zertifizierungsstelle installieren.

Das ganze ist aber recht kompliziert. Nicht mal eben nebenbei zu machen.

Jedenfalls brauchst Du wenigstens zwei CA. Eine Root CA, die den Gipfel der Autoiritäten darstellt, und eine oder mehrere untergeordnete (oder ausstellende Zertifizierungsstellen).

Auf der Root CA erstellt man ein Zertifikat, auf dessen Grundlage weitere Zertifikate für die "darunter" liegenden sog. ausstellenden Zwertifizierungsstellen ausgestellt werden. Du brauchst nur eine von diesen "austellenden" und natürlich eine Stammzertifizierungsstelle (root).

Wenn jetzt ein Client ein Zertifikat braucht, fragt er eine der "ausstellenden CA`s".

Die "ausstellende CA" hat bei Ihrer Installation bereits ein Zertifikat von der Root CA erhalten, und kann auf dessen Grundlage jetzt eine bestimmbare Menge an weiteren Zertifikaten für Clients ausstellen. Wenn dies Menge durch ist, muss wieder mit root gequatscht werden.

So entsteht eine Zertifikatshierachie von der root über eine oder mehrere untergeordnete bis zum Client. Die Clientzertifikate sind somit alle auf das gleiche Rootzertifikat rückvollziehbar und somit als echt zu erkennen.

Damit niemand das Rootzertifikat manipulieren kann, schaltet man den Server,auf dem die Root CA läuft, einfach aus. Das ist dann die sogenannte offline CA. Dazu nimmt man meistens virtuelle Server auf externen Platten im Safe statt kompletter Serversysteme.

Da gibts ganze Bücher drüber ;-)

Viel Spass!

[hegl 10]

Was ist eine CA und wie kann ich mir so eine besorgen?

 

Das hast Du Dir doch schon selbst beantwortet: CA= Certification Authority= Zertifizierungsstelle.

 

Damit sollte ich ja Zertifikate erstellen können oder?

 

Jenau

 

Die CA sollte in einer DMZ stehen, damit die zitierten Kriterien erfüllt sind wenn ich das richtig sehe.

 

Nein, i.d.R. ist eine DMZ "unsicherer" als das LAN.

Wie "DerBoris" schon erwähnt hat, ist die offline-CA, die Root-CA und das ist z.B. bei uns ein Notebook, was nach Erstellung der Sub-CA im Tresor verschwunden ist.

 

Ansonsten hat der Kollege alles gesagt. Vielleicht wäre noch anzumerken, dass Du fitt in ADS sein solltest, wenn Du dieses in eben dieser aufbaust.

[screaaam 10]

vielen Dank erstmal für die Hilfe, durch einen Todesfall im Freundeskreis bin ich leider erst heute früh dazugekommen weiter zu tüffteln...

 

Nun gut, hab heut mal ne CA aufgesetzt, hat prima funktioniert, danach des Zertifikat wo unter C:\\WINDOWS\system32\irgendwas liegt (Stammzertifikat wenn ich mich nicht irre mit 2KB) im ADS als vertrauenswürdig eingestuft, danach hat sich auf der CA auch gleich sehen lassen, dass mein Testclient und mein Testserver (AD) sich dieses geholt haben.

Da ich etwas unter Zeitdruck stehe, werde ich keine weiteren CAs aufsetzen, aber danke für die Hinweise, werde bei der Umsetzung in das Produktiv - System Rücksicht darauf nehmen!

Es war ne ziemliche Fummelei die ganze Sache hinzubekommen heute...

 

Jetzt habe ich wiedermal Fragen:

 

Die authorisierung soll ja über EAP - MSCHAPv2 laufen.

Wie bringe ich jetzt den Client dazu, dieses anzuwenden? Hab irgendwo gelesen, ich muss irgendwo 802.1X aktivieren, allerdings finde ich nirgends eine entsprechende Option!?

Wie sage ich dem IAS, dass er den Client nur dann ins Netz lässt, wenn das zertifikat passt, also wie bringe ich den IAS dazu, das Zertifikat zu fordern und sein eigenes zu zeigen (er muss sich ja gegenüber dem Client auch authorisieren)

Ich hab mal ein bisschen in den Richtlinien rumgewurschtelt und auch ein paar Einträge gefunden, so habe ich eine Richtlinie erstellt, welche den RAS Zugriff nur dann gewährt, wenn MSCHAPv2 verwendet wird und Benutzer - name und passwort stimmen.

Zum Test hab ich eingestellt, soll der Zugriff verweigert werden, wenn die Bedinungen zutreffen. Mein Client kommt trotzdem in die Domäne... Jetzt weiß ich nicht weiter, weil es ja so aussieht, als ob keine von meinen Einstellungen greifen....

 

Ich bitte wirklich um schnelle Hilfe!

Vielen Dank schonmal euch allen für eure Unterstützung, es ist echt klasse hier *grins* :)

[screaaam 10]

hallo,

 

also, insgesamt wurden 3 zertifikate vergeben ==> testclient, ad server und ias server (hier werden auch die zertifikate verteilt)

beim client musste ich ein paar Dienste aktivieren, jetzt konnte ich in den Netzwerkeinstellungen festlegen, dass er 802.1X mit MSCHAPv2 zur Authorisierung verwenden soll.

Mein (vorerst) einziges Problem wo ich sehe ist folgendes ==>

 

Ich habe auf dem IAS, eine RAS - Richtlinie erstellt, womit nur noch Clients deren Passwort, Benutzername stimmen und die das richtige zertifikat besitzen Authorisiert werden sollen.

Der IAS ist in der Domäne unter IAS und RAS Server registriert, also sollte der Zugriff auf RAS attribute wie name und passwort funktionieren.

Das Problem ist, dass die Richtlinie nicht zieht. Kann das daran liegen, dass der Client ja erst mit dem IAS kommuniziert, sobald er in der Domäne ist? Also meldet er sich über den AD an und unterzieht sich dann erst der Prüfung des IAS?

Ich musste die Domäne raufstufen, um in den Eigenschaften des Computers festzulegen, dass die Einwahl über RAS bedienungen läuft. Ich bekomme es aber nicht hin, dass der DC auf die IAS - RAS Richtlinien zugreift und diese als AAA attribute nimmt.

Kann mir jemand helfen? Wäre echt super, da ich morgen das ganze fertig bekommen möchte!

 

Vielen Dank schonmal!

[LukasB 10]

Bei deinem ganzen Setup fehlt ein 802.1x tauglicher Switch. Software alleine reicht dazu nicht.

[screaaam 10]

geht es nicht, erstmal zum Test alles einzurichten und das mit dem Switch nocheinmal extra zu machen?

Soweit ich weiß, setzt 802.1X keinen Switch vorraus, nur die Richtlinie ist mit Switch angegeben! RADIUS sollte auch ohne funktionieren... ?!

 

Mein Problem ist, dass ich bis Freitag die Doku zu meiner Abschlussprüfung abgeben muss (das hier ist mein Abschlussprojekt... ) deshalb will ich den Switch erstmal ausschließen, da es sonst den Rahmen meines Projektes sprengt... ich weiß... ich bin mal wieder "etwas" spät dran ... ich hab solange ein motivationsproblem, bis ich ein Zeitproblem habe ^^

 

wäre trotzdem echt super wenn ihr mir helfen könntet! Es geht hier schließlich um meine weitere Zukunft!

Die Doku werde ich nächsten Samstag hier posten, die Rechte dazu liegen leider nicht bei mir sondern bei meinem Arbeitgeber... aber als "How to" sollte es schon gehen, werde das mal klären...

[LukasB 10]

geht es nicht, erstmal zum Test alles einzurichten und das mit dem Switch nocheinmal extra zu machen?

Nein.

 

Mein Problem ist, dass ich bis Freitag die Doku zu meiner Abschlussprüfung abgeben muss (das hier ist mein Abschlussprojekt... ) deshalb will ich den Switch erstmal ausschließen, da es sonst den Rahmen meines Projektes sprengt...

 

Deine Hausaufgaben darfst du, wie jeder andere auch, selber machen. Vorallem machst du dich mit PMs nicht gerade beliebt.

[hegl 10]

Bei deinem ganzen Setup fehlt ein 802.1x tauglicher Switch. Software alleine reicht dazu nicht.

 

Wieso dass denn? :confused::confused::confused:

 

Die Authentifizierung soll ja nicht am Switch geschehen!

[LukasB 10]

Die Authentifizierung soll ja nicht am Switch geschehen!

 

802.1x Authentifizierung ist für Switches + WLAN gedacht. Wie stellst du dir denn das sonst vor?