Sicherheit in Schulungsräumen (Switchports)

[lefg 276]

Folgender Weg: User bootet seinen Rechner. Der Ethernetport ist derzeit ja noch in keinem VLAN. Die Windowsanmeldung kommt hoch und der User meldet sich an. (EAPoL ja?).

Damit ein User sich anmelden kann, braucht der Rechner nicht dafür eine IP?

Per z.B. Radius wird gecheckt, darf der User und wenn ja, welches VLAN? Meldung geht zurück und Port wird in das entsprechende VLAN gelegt und dem User wird eine IP zugewiesen.

Ist es denn möglich, einem User eine IP zu zuweisen?

[Wordo 11]

Ob er unbedingt eine IP braucht um sich anzumelden weiss ich nicht, aber eine Verbindung ist oft nicht noetig wenn der Client sich mind. ein mal erfolgreich an der Domaene angemeldet hat, danach sind die Daten gecached (ab XP? Bin Windowsdau)

[Frank04 10]

Damit ein User sich anmelden kann, braucht der Rechner nicht dafür eine IP?

 

An der Domäne schon, aber er meldet sich ja quasi am Switch an, der dann den Radius fragt, danach kommt erst das DHCP.

 

Das ist ja auch mein Problem, wie kann ich realisieren, dass der User sein Profile bekommt usw.

 

Noch einfacher: Kennt jemand ein funktionierendes System, wo genau das gemacht wird. Dynamische VLAN Zuordnung via 802.1x, mit DHCP und Windows?

 

 

Ist es denn möglich, einem User eine IP zu zuweisen?

*g* na gut, dem Client, nicht dem User.

[Wordo 11]

Ein starker Radiusserver sollte das eigentlich koennen, Radiator z.B., hier ist ne nette Diskussion. Meine AD Kenntnisse sind aber extrem beschraenkt, vielleicht isses nicht das richtige fuer dich:

http://www.open.com.au/archives/radiator/2005-09/msg00030.html

[Frank04 10]

Hmm, was ich mit jedoch Nortel Switchen, Windows 2003 Server IAS, DHCP und Windows 2000 Laptop erfolgreich getestet habe:

 

Am Switch ist konfiguriert 802.1x, Angabe des Radius. Am IAS ist konfiguriert, User XY gehört in VLAN abc. VLAN abc ist Subnetz 12345.

 

Laptop eingeschaltet und man muss sich lokal anmelden, weil sonst das mistige Windows natürlich erst gar nicht hochfährt. O.K., dann nochmal Netzkabel ziehen und wieder Einstecken. Jetzt geht ein Windowsfenster hoch (EAPoL?). O.K. User/Name Passwort eingegeben. Im Hintergrund wird das jetzt an den Radius Server geschickt, der prüft Username/Passwort Kombination am ADS und legt den Switchport nach der Gutmeldung in das für den User bestimmte VLAN. Wenn DHCP noch nicht ausgetimt hat, bekommt der Client auch eine IP Adresse vom DHCP Server.

Sooo, dann ist Schluss. Der Client hat eine IP und darf pingen. Tätää. Er ist aber nicht an der Domäne angemeldet und hat auch keine Profiles bekommen etc. Weil das Windows Logon ja schon vorher war und Windows ja auch nicht auf die Idee kommt, dass der User sich nach dem EAPoL Logon auch noch weiter anmelden muss...

[Wordo 11]

Hmmm .. macht man nicht i.d.R. ein Gast-VLAN wo den Clients erst mal die Moeglichkeit gegeben wird sich anzumelden? Danach wird einem dann das "richtige" VLAN zugewiesen. So kenn ich das ..

 

Theoretisch (nach erfolgreicher Anmeldung) muessten man dann beim Logonscript hast den ipconfig /renew (?) ausfuehren .. oder er bekommt die IP von Radius (ISA?)

[daking 10]

Hola,

 

für die Anmeldung benötigst du keine IP Adresse, dass läuft auf L2. Die IP Adresse bekommst du über DHCP aus dem VLAN, dass dir nach der erfolgreichen Anmeldung am Switch über den Radius Server zugeteilt wurde (bei erfolgreicher Anmeldung wirst du also nie im Gast VLAN sein!)

 

 

Falls es Probleme mit Windowsrechner gibt liegt dies an einem Bug, der verhindert, dass sich der Rechner vor allen Aktionen am Netzwerk anmeldet.

 

802.1X mit Vlan vergabe ist auch mit dem Freeware radiusd für Linux möglich...

 

 

 

Ciao.