Domänenanmeldung über MD5-Challenge

[Pitt84 10]

Hallo zusammen,

 

ich nutze 802.1x Authentifizierung an einenm Switch. Das läuft auch soweit über MD5, allerdings ist es nicht möglich, dass sich der Client bei der Domänenanmeldung direkt auch am Netzwerk anmeldet und somit ist auch die Domäne in dem Moment nicht verfügbar, da der Client ja noch nicht mit dem Netzwerk verbunden ist. Ich habe gesehen, dass es bei Windows XP unter den Authentifizierungseinstellungen auch die Möglichkeit gibt, "geschütztes EAP" zu wählen und dort in der Konfiguration kann man ihm dann sagen, dass er die Domänenanmeldedaten direkt zur Authentifizierung verwenden soll.

 

Warum geht das bei EAP-MD5 nicht????

 

Braucht man für MS-CHAPv2 auch ein Zertifikat oder Zertifikatsserver? Und wenn, kennt jemand ein gutes Howto, wie man es unter Windows für den IAS einrichten kann?

 

 

Vielen Dank schonmal

 

Gruß, Pittkill

[grizzly999 11]

MD5, das ist doch eine Benutzerauthentifizierung (die nicht empfehlenswert ist). Für 801.x braucht man auf jeden Fall ein Computerzertifikat auf dem Client und dem RADIUS-Server. Die Benutzerauthentifizierung sterht auf einem anderen Blatt

 

grizzly999

[Pitt84 10]

EAP-MD5 meine ich, die Benutzerauthentifizierung funktioniert ja mit EAP-MD5, aber eben nur, wenn ich mich schon lokal angemeldet habe. Er soll aber direkt die Domänenanmeldedaten für die Authentifizierung verwenden, damit sich der User nicht immer erst lokal anmelden muss, um Netzzugriff zu erhalten.

 

MD5 alleine ist natürlich nicht zu empfehlen, aber für eine interne Authentifizierung innerhalb eines Firmennetzwerkes reicht es laut Auftraggeber aus. Es ist ja nichts anderes als CHAP. SO hab ich es verstanden.

 

EAP-MD5 und CHAP scheinen laut Google das gleiche zu sein.

[grizzly999 11]

Im Prinzip ja, aber normalerweise muss für CHAP und MD5 beim Benutzer das Häkchen "Kennwort mit umkehrbarer Verschlüsselung speichern" gestezt sein, was eine Reduzierung der Sicherheit bedeutet.

 

 

grizzly999

[Pitt84 10]

Genau, das reversible Abspeichern der Kennwörter auf dem Server ist ein Sicherheitsrisiko, aber es haben ja normalerweise auch nur autorisierte Personen Zugriff zum Rechenzentrum, wo sich der Server befindet, somit man der Sache schon wieder mehr vertrauen könnte, aber gut....

 

Kann es sein, dass das nicht geht mit der Domänenanmeldung bei MD5, weil dort keine Zertifikate übertragen werden und er MD5 nicht übertragen kann. Irgendwie so...???:suspect:

[grizzly999 11]

Es ist bei MD5 nicht nur der Server das Problem, wenn ich an den physisch rankomme, dann spielt es auch keine Rolle, ob das Kennnwort in einem OWF abgelegt ist.

 

Die Anmeldung scheitert wahrscheinlich da dran, dass das Netzwerk noch nicht da ist, wenn die Useranmeldung stattfindet. bei XP sollte die Richtlinie "Beim Neustarten und vor der Anmeldung immer auf das Netzwerk warten" helfen.

 

grizzly999

[Pitt84 10]

Ja aber er soll ja die Benutzerdaten der AD benutzen, um sich dann am RADIUS und dann and er Domäne anzumelden.

[grizzly999 11]

Ich sagte nichts anderes

 

grizzly999

[Pitt84 10]

Achso...;) Ich dachte, das die Richtlinie nur besagt, dass zuerst auf das Netzwerk gewartet wird BEVOR die Anmeldung an der Domäne vollzogen wird, also ohne Benutzerauthentifizierung am RADIUS.

 

wo finde ich denn diese sicherheitsrichtlinie unter xp?

[grizzly999 11]

Hier: Description of the Windows XP Professional Fast Logon Optimization feature

 

grizzly999

[Pitt84 10]

Geht nicht. Windows unterstützt kein EAP-MD5 als Authentifizierungsmethode über die Domänenanmeldung. Warum weiß ich nicht und anscheinend auch sonst niemand. Noch nicht mal im Internet findet man etwas dazu.:mad:

[grizzly999 11]

Wer sagt, dass das Windows nicht unterstützt? :rolleyes:

 

Das wird unterstützt, und zwar vom Server 2003 bis XP als Client (VISTA als Client hat es nicht mehr drin, aber nachinstallierbar).

 

Noch nicht mal im Internet findet man etwas dazu

Natürlich nicht, denn es geht ja. :mad:

Hat der User das Häkchen am Konto?

Ist das Kennwort geändert worden?

Ist MD5 beim Client eingestellt?

Ist beim RADIUS Server MD5 als Authentifizierungsmethode eingestellt?

 

grizzly999

[Pitt84 10]

MD5 ist beim Client eingestellt (Netzwerkverbindunge-->Eigenschaften-->Authentifizierung-->EAP-Typ:MD5Challenge)

Beim IAS habe ich alle Authentifizierungsmethode ausgewählt, es sind also erstmal alle erlaubt

Welches Häkchen am Konto meinst Du?

Warum Kennwort ändern?

 

 

MSCHAPv2 beinhaltet die einseitige Zertifikatsauthentifizierung, dass heißt, dass das Zertifikat des Servers als vertrauenswürdig bei den Clients installiert werden muss. Oder nicht????

 

Grundlagen bringe ich mir gerade selber bei bezüglich IAS usw. nd bin auch schon einen riesen Schritt weitergekommen, sonst würde die Authentifizierung über IAS per MD5-Challenge ja auch nicht funktionieren. Unter Windows "Netzwerkverbindung --> Eigenschaften" kann man nur bei MSCHAPv2 "Automatisch eigenen Windows-Anmeldenamen und Kennwort (und Domäne, falls vorhanden)" anklicken.

[Pitt84 10]

Aber nochmal kurz vorweg, die MD5-Challenge Authentifizierung funktioniert!!!! Eben nur, wenn ich schon angemeldet bin, wenn ich den Rechner neustarte und mich dann an der Domäne anmelden will, ist diese NATÜRLICH nicht erreichbar, da ich mich ja noch nicht in dem Moment am Netzwerk angemeldet habe. Das soll er aber automatisch machen mit den Anmeldedaten der AD. Also erst Anmeldung am Netzwerk, dann DHCP und dann AD

[grizzly999 11]

Welches Häkchen am Konto meinst Du?

Warum Kennwort ändern?

Du liest meine beiträge auch aufmerksam? Das Häkchen habe ich ziemlich weit oben angesprochen und nachgefragt. Daraufhin hast du dann weitergeredet, als wüsstest du genau worum es geht.

 

 

MSCHAPv2 beinhaltet die einseitige Zertifikatsauthentifizierung, dass heißt, dass das Zertifikat des Servers als vertrauenswürdig bei den Clients installiert werden muss. Oder nicht????

MSCHAPV2 beinhaltet keine Zertifikatsauthentifizierung. Es findet eine gegenseitige Authentifizierung statt, aber Zertifikate ... NEIN, nicht nötig.