Jump to content

Fragen zu Netzwerkzugang per 802.1x

Symbadisch

Von Symbadisch
in Windows Forum — LAN & WAN

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Symbadisch Proficient

Symbadisch   10

Geschrieben
Geschrieben

Hallo zusammen,

 

um nicht jedem Device das sich an einem unserer Netzwerkports ansteckt Zugriff zu unserem Netzwerk zu geben, haben wir den NAP-Server und unsere Switche entsprechend konfiguriert.

 

Es funktioniert auch soweit, dass unsere Windowsclients nach der Authentifizierung ins passende VLAN kommen und somit Zugriff erhalten.

Nun haben wir aber drei Fälle, bei welchen das leider nicht so einfach geht und wollte mal nachfragen wie hier eure Erfahrungen sind bzw wie wir das am besten realisieren.

 

1.) Geräte wie Drucker, Wie werden die am sinnvollsten hier eingebunden?

2.) Linux und auch Macrechner bei den Clients, wie werden diese eingebunden?

3.) Gästerechner, wir haben diverse Dienstleister oder freie Mitarbeiter die Zugriff auf unser LAN benötigen, aber die Clients natürlich auch nicht in unserer Domäne hängen.

 

Wäre prima wenn ihr mir hier weiterhelfen könntet wie das am besten zu realisieren wäre und was hier Best/Practise ist.

 

Zu 2 und 3 haben wir uns schon überlegt wir könnten die Clients per User/Passwort authentifizieren, aber das wäre teilbar und erscheint uns somit nicht wirklich sicher.

 

Gruß Lars

Symbadisch Proficient

Symbadisch   10

Geschrieben
  • Autor
Geschrieben

Für Gäste: Gäste VLAN

Für normale Gäste klar, es gibt aber Gäste bzw. IT-Dienstleister die Zugriff in unser Netz benötigen. Wie wird sowas realisiert? Fürs WLAN haben wir hier ein Ticketsystem wo die Gäste einen Tagespass bekommen.

 

Für Drucker: unsere können 802.1x wir haben aber einfach feste Druckerports auf den Switchen. Wenn sich da einer einstöpselt kann er die anderen Drucker erreichen, sonst nix.

Ok, das ist einfach, unsere hängen auch in einem eigenen VLAN, somit wäre das auch unkritisch.

 

Für Linux: kann 802.1x. Hier sehe ich das Problem nicht.

Linux und auch Mac können 802.1x, das ist klar. Aber wie realisieren wir das am besten? User und Passwort allein ist nicht wirklich ein Schutz, sonst könnte ein Mitarbeiter seinen privaten Rechner einstecken und authentifiziert sich auch da mit User und Passwort.
magheinz Veteran

magheinz   111

Geschrieben
Geschrieben

Du könntest du linuxrechner zu domänenMitglieder machen.

 

Bei Apple hab ich keine Ahnung.

 

Das mit den dienstleistern ist schwierig. Denen könnte man ein Zertifikat zukommen lassen.

 

Man könnte die dienstleister auch verpflichten einen radiusserver zu betreiben und das ganze so wie das DFN-roaming aufziehen. Je nach dem wer ihr seid und wer die dienstleister sind kann das gehen oder halt auch nicht.

magheinz Veteran

magheinz   111

Geschrieben
Geschrieben (bearbeitet)

Das ist so langweilig pragmatisch...

Eine verteilte hierarchische radius-Infrastruktur durchzudrücken ist doch viel cooler.

 

Ne im ernst: Wenn es Angst vor privaten Geräten gibt wüsste ich nicht wieso man Dienstleistergeraten mehr vertrauen sollte.

 

Was ist denn der Grund warum nur eigene Geräte ins Netz sollen und keine privaten? Hat es was mit Sicherheit zu tun? Was unterscheidet private Geräte, von Dienstleistern und eigene?

bearbeitet von magheinz
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde dich hier an.

Jetzt anmelden
Zurück zur Übersicht


×
×
  • Neu erstellen...