grizzly999 11 Geschrieben 4. Juni 2005 Melden Geschrieben 4. Juni 2005 Hi,Das relativ einfachste Mittel ist die Einführung von IPSEC, dann bekommen in der einfachsten Variante nur Rechner mit Kerberoszertifikat, also Domänenmitglieder, überhaupt nur Kontakt zum DHCP-Server bzw. anderen Maschinen. MAC-Filter am Router zu pflegen, fände ich, zumindest bei grösseren Netzen, auf Dauer ziemlich langweilig :rolleyes: cu blub Geht IMHO nicht. Problem: Um einen KDC für den Ticketerhalt zu kontaktieren brauch ich eine IP. Die IP soll es in dem Fall aber erst geben, wenn ein Kerberos Ticket vorhanden, aber ohne IP kein Ticket usw, die Katze beisst sich in den Schwanz. Daher sollte man bei IPSec mit Kerberos Auth. auch DHCP als Exemption einrichten. Etwas anderes wäre es mit X.509 Zertifikaten, wobie der Client auch erst mal eines bekommen muss von einer CA. Aber dann wäre wieder 801.X erste Wahl. grizzly999
blub 115 Geschrieben 4. Juni 2005 Melden Geschrieben 4. Juni 2005 Hi grizzly, stimmt, der Beitritt zur Domäne erfolgt am einfachsten nicht IPSEC-authentifiziert über eine feste IP-Adresse. Wenn der Client dann sein Zertifikat hat, wird er auf DHCP geswitcht. Aber klar, es gibt nicht nur einen Weg zum Ziel cu blub
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden