Maikarl 10 Geschrieben 28. April 2014 Melden Teilen Geschrieben 28. April 2014 Hallo zusammen, benötige mal etwas Hilfe zu o. a. Thema. Das wurde wie folgt eingerichtet. 1. NPS unter Server 2008 R2 als Radiusserver 2. MAC-Adressen Authentifizierung mit dynamischer VLAN Zuweisung 3. Authentifizierung für Telnet,Web und SSH über Radius 4. Benutzer (Benutzername und Passwort = MAC-Adresse) und Gruppen wurden im Active Directory angelegt und zugeordnet 5. Switch HP Procurve 2910-48al Imageversion W.15.12.0011 Switchkonfig im Anhang Soweit funktioniert alles einwandfrei. Jetzt zu meinem kleinen Problemchen. Mein Chef möchte gerne den ganzen Umzügen einen Riegel vorschieben, da die ganzen Dokumentationen nicht mehr stimmen usw. Es soll aber dennoch Aufgrund von Laptops flexibel bleiben. Ist es über den NPS möglich den Switchport als Bedingung zu benutzen? Ich habe das wenn nicht finden können. Denn ich will damit festlegen, das zum Beispiel MAC-Adresse XYZ nur am Port 1 arbeiten darf. Port Security und MAC Authentifizierung können bei dem HP Switch nicht gleichzeitig eingerichtet werden. Vielen Dank Gruß Thomas test1.txt Zitieren Link zu diesem Kommentar
zahni 521 Geschrieben 28. April 2014 Melden Teilen Geschrieben 28. April 2014 Ich verstehe nicht, was "flexibel" ist, wenn ein NB nur einem Port arbeiten darf. Und nichts für ungut. Authentifizierung über MAC-Adresse bringt, außer jede Menge Arbeit, so gut wie nichts. Zumindest nichts was mit Sicherheit zu tun hat. Ich empfehle mit Zertifikaten zu arbeiten. Zitieren Link zu diesem Kommentar
Maikarl 10 Geschrieben 29. April 2014 Autor Melden Teilen Geschrieben 29. April 2014 Hallo, Erstmal danke für die Antwort. Ja vermutlich wird es daruf hinauslaufen und eigentlich macht diese Art von Authentifizierung keinen Sinn auf Port begrenzt, da es dann nicht mehr wirklich flexibel ist. Dann könnte man auch Port Security alleine einrichten. MAC Auth wird aber als Rückfallalternative für Geräte wie z. B. Drucker bleiben müssen, die das mit Zertifikaten nicht unterstützen. Gruß Thomas Zitieren Link zu diesem Kommentar
zahni 521 Geschrieben 29. April 2014 Melden Teilen Geschrieben 29. April 2014 Es gibt auch Drucker die das unterstützten. Z.B. halbwegs aktuelle Drucker von Lexmark. Zitieren Link zu diesem Kommentar
Maikarl 10 Geschrieben 29. April 2014 Autor Melden Teilen Geschrieben 29. April 2014 Ja einige haben es auch bei uns aber leider nicht alle. Gruß Thomas Zitieren Link zu diesem Kommentar
Daniel -MSFT- 129 Geschrieben 29. April 2014 Melden Teilen Geschrieben 29. April 2014 Die Drucker sollten eh in ein separates VLAN. Genauso andere Netzwerkgeräte wie IP-Telefone. Über diese Angriffsvektoren wurden schon einige erfolgreich gehacked. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.