802.1X Config Probleme

[tinsel 10]

mm kann ich leider nicht nachvollziehen.

In deinem Anderen Threat hast du glaube ich geschrieben, das du Probleme mit dem XP Client hast. Könnte es daran liegen das du vll.den Zertifikaten "nicht Vertraust", da du das Zertifikat der RootCA nicht zu den vertrauenswürdigen Zertifizierungsstellen hinzugefügt hast?

 

 

Eine Frage von mir noch

Das Radius Protokoll fordert zwingend einen Benutzername+PW, oder? Die CallerID reicht nicht um bestimmte Aktionen auszulösen?

[AndreasWeller 10]

jepp, nach meinem Wissen, braucht´s zwingend einen Benutzername+PW...

Das andere Problem, haben wir wie gesagt mit dem AEGIS Client gelöst, beim XP Client ist der RootCA zu den vertrauenswürdigen Zertifizierungsstellen hinzugefügt worden. Auch ein Abstellen der Server-Zertifikatsüberprüfung hat da nicht weitergeholfen...

[tinsel 10]

was habt ihr für die Zertifikatserstellung benutzt? Zufällig Win2k Server? Ich hab Zertifikate eigentlich immer in einer Linux Umgebung erstellt soll aber für Test Zwecke das ganze mal mit Win2k probieren.

 

Der Zertifikatsdienst läuft auch schon und ich komme auch auf hostname/certsrv aber was, muss ich wo, klicken das ich ein Zertifikat bekomme *verwirrtist*

[AndreasWeller 10]

So hier mal nen kleiner Link zu deinem Problem, danach haben wir unsere Zertifikate auch erstellt:

http://www.cisco.com/en/US/products/sw/secursw/ps2086/products_configuration_example09186a00801df0ea.shtml

 

Des weiteren würde ich wie erwähnt, bei Problemen die ganze Geschichte mal mit nem IAS laufen lassen und den AEGIS Client benutzen. Der XP Client läuft nun auch endlich bei uns, ein Abstellen der Server-Zertifikatsüberprüfung hat da doch weitergeholfen. Verwunderlich ist nur das unser CA in der Liste drin steht und das ganze mit dem IAS auch läuft. Auch beim AEGIS Client kann ich die Option ruhig anlasssen...

Naja mal schauen, hab noch ein bissel Zeit, um ein wenig rumzuspielen.

[tinsel 10]

öhm welche Service Packs habt ihr installiert? Bin mir nicht 100%ig Sicher aber ich glaube im SP1 oder SP2 gab es ein Update für 802.1x

[AndreasWeller 10]

Installiert ist Win XP SP2, mit allen aktuellen Updates. Habe aber gelesen, das es irgendwie möglich ist die Serverzertifikate expliziet als vertrauenswürdig anzumelden. Da ist auf jeden Fall noch ein Problem bei uns, würde mich aber auch mal interessieren, ob das bei dir alles so funktioniert, wie in der Anleitung vorgegeben...

[tinsel 10]

Ich arbeite zur Zeit nur mid EAP-MD5 und als Ziel ist EAP-PEAP geplant. EAP-TLS soll nicht verwendet werden da der aufwand für ein PKI zu groß wäre.

[AndreasWeller 10]

hm nun gut, wir werden weiterhin nach dem Problem mit den vertrauenswürdigen Stammzertifizierern suchen, also wenn jemand noch ne gut Idee hat, nur her damit....

[tinsel 10]

keine Ahnung ob euch das Hilft :

 

http://www.windowsitpro.com/Article/ArticleID/44917/44917.html?Ad=1

[AndreasWeller 10]

sehr guter Artikel, nur leider hört er da auf, wo unsere Probleme beginnen. Mit einem IAS läuft es bei uns auch problemlos in allen Varriationen. Er lässt auch leider die Überprüfung des Server Zertifikates einfach weg, indem diese Funktion einfach enabled wird.(Wie wir es halt auch gerad machen)

Jetzt habe ich natürlich folgenede Fragen, was läuft beim ACS anders und wie wichtig ist die Überprüfung des Server Zertifikates?

[tinsel 10]

wie wichtig kommt auf deine Umgebung an.

Das Serverzertifikat ist im Grunde genommen das gleiche wie bei einer SSL geschützen http Verbindung. Dort prüfst du oder auch nicht ob der Server der ist der er vorgibt zu sein.