Fistandantilus 10 Geschrieben 1. Dezember 2006 Melden Teilen Geschrieben 1. Dezember 2006 Hallo zusammen, stehe vor folgender Problematik: Wir setzen im Unternehmen MS IAS ein um mac authentication für wired Computer zu haben. Funktioniert ja so weit ganz nett ;) Da bis vor kurzem eine sehr harmlose Password Policy konfiguriert war gab es hier eigentlich keine Probleme. Das Problem das wir jetzt haben ist, daß wir die PasswordPolicy verschärft haben, haben wir troubles mit dem Komplexitäts setting in diesem Fall hier. MS IAS benötigt ja um eine NIC per mac auhentication zu authentifizieren ein UserObject im AD dessen Username die MAC von der NIC ist diese aber auch gleichzitig das Password. Und dann zieht klarerweise die Password pol mit der obligatorischen Meldung: "Windows cannot set the passsword for user xyz because: - password does'nt meet the pwd pol requirements.........." Hat irgendjemand eine idee die uns weiterhelfen könnte? Gibt es eine Möglichkeit dem IAS beizubringen ein anderes PWD zur MAC zu akzeptieren? Die policy abzudrehen ist keine lösung ;) Vielen Dank für die Hilfe Zitieren Link zu diesem Kommentar
weg5st0 10 Geschrieben 1. Dezember 2006 Melden Teilen Geschrieben 1. Dezember 2006 Hi Fistandilius, dieses Problem hatten wir auch. Das Problem liegt imho am Switch. Wir konnten dann am Switch eine Option aktivieren, die nicht die MAC-Adresse als Passwort verwendet, sondern ein anderes komplexes Standardpasswort sendet. (Extreme Switche). Wenn diese Option nicht verfügbar ist, kannst du dir vermutlich nur helfen, indem du kurzzeitig die komplexe Richtlinie abschaltest, wenn du einen neuen MAC-User anlegst. Hier dann die Option - Kennwort läuft nicht ab - setzen. Anschliessend wieder die Policy aktivieren. Zitieren Link zu diesem Kommentar
Fistandantilus 10 Geschrieben 3. Dezember 2006 Autor Melden Teilen Geschrieben 3. Dezember 2006 wir verwenden ausschließlich Cisco NW Komponenten, die es verstehen würden das problem ist nur das der IAS es nicht anders kann per design ;). Nach etlichen Gesprächen mit Trainerkollegen und ehemaligen Kollegen (unter anderen kenne ich nun auch ein unternehmen mit genau der selben Problematik) hab ich mal nen supportcall bei MS aufgemacht. Haben wir ja im Vertrag dabei ;) ich werde den post up2date halten was bei MS rauskommt cheers Zitieren Link zu diesem Kommentar
weg5st0 10 Geschrieben 4. Dezember 2006 Melden Teilen Geschrieben 4. Dezember 2006 wir verwenden ausschließlich Cisco NW Komponenten, die es verstehen würden das problem ist nur das der IAS es nicht anders kann per design ;). Ich lasse mich da korrigieren, aber ich halte es nicht für einen Designfehler, wenn Passwortrichtlinien durchgesetzt werden -oder? Es ist doch eher problematisch, wenn User und Passwort den gleichen Wert haben. Auch halte ich diese Art von Netlogin für zweifelhafte Sicherheit. Das ändern einer MacAdresse ist immerhin Hacking Grundkurs 2te Stunde und stellt kein Problem dar. Diese Krücke gibts imho nur wegen Druckern und ähnlichem Gedöns, was kein 802.1x kann. Deren Ports sollten aber dann auch in separaten VLAns liegen und per Accesslisten abgeschottet werden. Alles andere ist Augenwischerei. Zitieren Link zu diesem Kommentar
Fistandantilus 10 Geschrieben 5. Dezember 2006 Autor Melden Teilen Geschrieben 5. Dezember 2006 das war zumindest die Aussage von MS. Drucker und alle anderen Krücken liegen sowieso in einem anderen VLAN. Zu den Extreme Switches weißt du noch welche Option das war ?? Ich hoffe das dies von Cisco auch unterstützt wird. Sollte schon so sein. danke für die info Zitieren Link zu diesem Kommentar
weg5st0 10 Geschrieben 5. Dezember 2006 Melden Teilen Geschrieben 5. Dezember 2006 Ich kann nur mit Bestimmtheit sagen, daß es bei Cisco anders eingerichtet wird. Bei extreme hiess das feature netlogin und die Kommandos waren dann set netlogin ...... Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.