Seppe 10 Geschrieben 11. Juni 2012 Melden Geschrieben 11. Juni 2012 Hallo Zusammen :) Habe in einer Testumgebung eine gestufte Authentifizierung umgesetzt. Nun ist es so, dass sich der PC nicht authentifizieren kann (Zertifikat fehlt) und der Benutzer dadurch auch nicht. Da das Nutzerkonto lokal noch gepeichert ist kann sich der Nutzer anmelden. Ein VLAN wird ihm nicht zugewiesen. Bis hierher ist alles so gewollt. Nun das Problem/Frage: Zieht man das NW-Kabel, so wird er in sein Nutzer-VLAN gesteckt, obwohl der PC vorher nicht authetifiziert wurde. Kann man irgendwo einstellen, dass sich immer erst der PC erfolgreich authentifizieren muss, bevor der Nutzer das kann? Danke für Hilfe. Seppe
Hannes91 10 Geschrieben 11. Juni 2012 Melden Geschrieben 11. Juni 2012 Bis zum Anmeldebildschirm von Windows ist die Computerauthentifizierung aktiv. Nach Anmelden an der Workstation wird der Benutzer authentifiziert. Meines Wissens kann man keine Abhängigkeit schaffen. Die Computer- und Benutzerauthentifizierung ist unabhänig von einander.
Seppe 10 Geschrieben 11. Juni 2012 Autor Melden Geschrieben 11. Juni 2012 OK. Kann man da irgendwie mehr Sicherheit reinbeommen? Es soll ja so sein, dass in einem NW nur bekannte Geräte angeschlossen werden sollen. Man könnte zwar eine reine Computerauthentifikation machen, aber da ist die statik der Netze von Nachteil. Denn pro Gerät kann nur ein VLAN zurückgegeben werden per Policy.
Hannes91 10 Geschrieben 11. Juni 2012 Melden Geschrieben 11. Juni 2012 Ich gehe mal davon aus, dass du 802.1x Port Authentication mit Vlan Switching machen willst, richtig? Mehr Sicherheit bekommst du indem alle Clients die nicht authentifiziert werden können, in ein dediziertes Vlan Steckst.
Seppe 10 Geschrieben 11. Juni 2012 Autor Melden Geschrieben 11. Juni 2012 Das mit dem VLAN Switchin ist richtig. Und das mit dem speziellen VLAN ist auch umgesetzt. Mir geht es aber darum, dass (ist natürlich sehr weit ausgeholt) ich ein OS clonen könnte und auf ein anderes System spielen könnte (z.b fremdes ASUS Notebook). Da die Anmeldedaten noch lokal gespeichert sind kann ich mich anmelden (lokal). Wenn ich nun ein NW Kabel nehme und anstecke, dann werde ich ja in ein USER VLAN gepackt, obwohl der Laptop nicht authentifiziert wurde. Es soll ja so sein, dass erst die Computerauthemtication durchgeführt werden sollte.
Hannes91 10 Geschrieben 11. Juni 2012 Melden Geschrieben 11. Juni 2012 Was nutzt du denn für Authentifizierungsmethoden? Das Problem mit dem Klonen ist für mich unrealistisch.
Seppe 10 Geschrieben 11. Juni 2012 Autor Melden Geschrieben 11. Juni 2012 Die zwei Authentifizierungen laufen über EAP-TLS ab. Gibt es eine Möglichkeit für computerauthentication z.B. EAP-TLS und Nutzerauthentication PEAP-TLS zu nutzen. Also für die zwei Authentifizierungen unterschiedliche Methoden?
Hannes91 10 Geschrieben 11. Juni 2012 Melden Geschrieben 11. Juni 2012 Man kann bis zum Windows Anmeldebildschirm eine Computerauthentifitzierung und ab Anmeldung eine Benutzerauthentifizierung. Man kann nur eine Authentifizierungsmethode in der Netzwerkkarte auswählen ergo -> keine unterschiedlichen Authentifizierungsmethoden für Computer oder Benutzerauthentifizierung möglich
Seppe 10 Geschrieben 11. Juni 2012 Autor Melden Geschrieben 11. Juni 2012 OK. Das wollte ich nur wissen :) Danke
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden