steppe 10 Geschrieben 6. September 2011 Melden Teilen Geschrieben 6. September 2011 Hallo, ich habe leider nichts dazu finden können. Ich habe testweise bei mir das Autoenrollment aktiviert. Das Benutzerzertifikat ist so konfiguriert (doppelte Vorlage), dass das Zertifikat in der AD gespeichert wird (was es auch macht) und nicht mehr registriert wird wenn vorhanden. Nun habe ich das Problem, dass ich 2 Clients habe (Notebook und PC). Der PC war als erster dran und hat sich das Computercert und das Benutzerzert registriert und in den lokalen Speicher geschoben. Das Notebook kam als zweites, hat sich natürlich das Computercert registriert und das Benutzercert ausgelassen, da schon vorhanden. Allerdings zieht es sich das in der AD vorhandene Usercert nicht in den lokalen Speicher ?! Ist das by Design so oder hab ich einfach vergessen irgendwo einen Haken zu setzen? Grüße Stephan Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 6. September 2011 Melden Teilen Geschrieben 6. September 2011 Hi Stephan, das ist "by design" so. Als eine Möglichkeit könntest Du "Credential Roaming" einsetzen - aber ganz ehrlich: Schau Dir das ganz genau an, bevor Du es vielleicht einsetzt. Die potentiellen Probleme mit der Technik sind komplexer, als es auf den ersten Blick scheint. Alternativ Roaming Profiles oder SmartCards. Viele Grüße olc Zitieren Link zu diesem Kommentar
steppe 10 Geschrieben 7. September 2011 Autor Melden Teilen Geschrieben 7. September 2011 Hi olc, danke. Ich will auf lange Sicht die Authentifizierung mit Zertifikaten machen, daher würde ich natürlich die Benutzerzertifikate im lokalen Store benötigen. Dann muss ich mir das nochmal genauers anschaun. Danke. Grüße Stephan Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 7. September 2011 Melden Teilen Geschrieben 7. September 2011 Hi, was für eine Art der Authentifizierung? Da es sich um Benutzer handelt, wären SmartCards natürlich sehr gut, was insgesamt jedoch einigen Aufwand generiert und damit auch Kosten. Roaming Profiles und/oder Credential Roaming benötigt einiges an Planungs-, Test- Überwachungs- und Wartungsaufwand. Aber das gilt natürlich auch für SmartCards. Viele Grüße olc Zitieren Link zu diesem Kommentar
steppe 10 Geschrieben 7. September 2011 Autor Melden Teilen Geschrieben 7. September 2011 Hallo, Plan ist es sowohl die WLAN als auch die LAN Authentifizierung über den NPS laufen zu lassen. Wenn das natürlich schwieriger sein sollte, könnte ich natürlich auch nur mit dem Computer Zertifikat arbeiten und nicht mit dem Benutzerzertifikat. Das wird ja aufjedenfall im lokalen Speicher gespeichert. Bisher haben wir eine Authentifizierung fürs WLAN über PEAP. Problem ist nur, dass findige Angestellte mit ihren Iphones/Ipads in das UnternehmensWLAN kommen. Das wäre mit den Zertifikaten erstmal unterbunden. Hast du schonmal eine LAN/WLAN Auth nur mit NPS und Zertifikaten realisiert ? Grüße Stephan Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 7. September 2011 Melden Teilen Geschrieben 7. September 2011 Hi Stephan, was Du damit realisieren möchtest, ist ein anderes Thema als das Ursprüngliche. ;) Ggf. neuen Thread öffnen, zum Urspungsthema ist m.E. alles gesagt. :) Viele Grüße olc Zitieren Link zu diesem Kommentar
Dukel 436 Geschrieben 7. September 2011 Melden Teilen Geschrieben 7. September 2011 Hallo, Plan ist es sowohl die WLAN als auch die LAN Authentifizierung über den NPS laufen zu lassen. [...] Grüße Stephan Meines Wissens wird bei NPS auch ein Rechner und kein User authentifiziert. Das greift ja auch bevor sich ein User an dem Rechner einloggt. Zitieren Link zu diesem Kommentar
steppe 10 Geschrieben 7. September 2011 Autor Melden Teilen Geschrieben 7. September 2011 Hallo Dukel, aber kann man nicht einstellen: Wenn Clientcert authentifiziert dann Zugriff zum Netz Wenn Benutzercert dann folgendes VLAN Aber es geht ja noch weiter. Mal angenommen die Zertifikate werden auch irgendwann zur Mailverschlüsselung eingesetzt. Dann müsste ich es ja auch in solchen Fällen manuell importieren oder mit dem Credential Roaming arbeiten. Alles nicht so einfach wie es scheint :) Aber ich hab ja noch Zeit das alles auszuprobieren. Danke olc mal wieder für deine Hilfe. Grüße Stephan Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 7. September 2011 Melden Teilen Geschrieben 7. September 2011 Hi Stephan, Aber es geht ja noch weiter. Mal angenommen die Zertifikate werden auch irgendwann zur Mailverschlüsselung eingesetzt. Dann müsste ich es ja auch in solchen Fällen manuell importieren oder mit dem Credential Roaming arbeiten. Alles nicht so einfach wie es scheint :) Bevor Du in die fachlichen Themen einsteigst, definiere wo Du hin willst. Eine PKI ist nicht Selbstzweck, sondern erfüllt die Anforderung der erhöhten Sicherheit. Stell Dir die Frage, wie hoch Dein Sicherheitsniveau sein soll. Ohne SmartCards zum Beipsiel wirst Du etwa für E-Mail Signaturen kein wirklich "hohes" Sicherheitsniveau erreichen. 80% Zielanalyse, 20% Umsetzung. :) Viele Grüße olc Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.