heuchler 17 Geschrieben 21. Mai 2013 Melden Teilen Geschrieben 21. Mai 2013 Guten Abend zusammen, mal eine kurze Frage. Ich suche nach einer Alternative zur Authentifizierung über 802.1x. Hintergrund ist dass die Fremdgeräte im Netzwerk wachsen und erstaunlicherweise auch noch unter den TOP5 in der Webhistory auftauchen. Das möchten wir gerne unterbinden, aufgrund der gemischten und gewachsenen Struktur könnte ich mir gut vorstellen dass es zu Problemen kommt. Deswegen ist meine Überlegung eine Art "Hotspot" einzurichten, oder dass Clients einen Agent installiert bekommen der wiederum den Netzwerkzugriff freigibt. Clients ohne Agent werden erstmal geblockt, bis sie vielleicht manuell (z.B. für Gäste oder Außendienstler) freigegeben werden. Hat da jemand eine Idee? Besten Dank und einen angenehmen Abend. Zitieren Link zu diesem Kommentar
Dukel 455 Geschrieben 21. Mai 2013 Melden Teilen Geschrieben 21. Mai 2013 Geht es nur um den Internetzugang oder generell Netzwerkzugriff? Für ersteres ist ein Proxy (Zwangs oder Authentifizierend) dienlich (und einfacher als die komplette Infrastruktur zu ändern). Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 22. Mai 2013 Melden Teilen Geschrieben 22. Mai 2013 Einen Proxy in sein eigenes Gerät einzutragen ist aber genauso einfach. Und nap/nac funktioniert zwar mit dhcp, aber das hat dann wenig mit Sicherheit zu tun. ;) also führt meiner Meinung nach kein weg um 802.1x herum. Zitieren Link zu diesem Kommentar
heuchler 17 Geschrieben 22. Mai 2013 Autor Melden Teilen Geschrieben 22. Mai 2013 Es geht um den generellen Netzwerkzugriff der für Fremdgeräte eingeschränkt werden soll.Websurfing wird schon über Proxy und AD-Auth realisiert. Nächstes Problem: manche Notebooks sind nicht in der Domäne, zum Beispiel manche Außendienstler.Da siehts wieder b***d aus mit dem 802.1x. Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 22. Mai 2013 Melden Teilen Geschrieben 22. Mai 2013 Warum? Man kann sich auch explizit anmelden. Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 22. Mai 2013 Melden Teilen Geschrieben 22. Mai 2013 Eigentlich sollte man fremden Geräten den Netzwerkzugriff generell verbieten. Wenn das nicht geht, könnte man vielleicht auch spezielle Netzwerkdosen einrichten, auf deren Port ein speziellen VLAN getaggt ist. Dieses VLAN wird dann halt nur zum Proxy geroutet oder es wird (besser) ein eigener kaskadierter Proxy installiert. Zur Sicherheit wird bei den internen PC's dann Radius verwendet. NAP lässt sich übrigens auch mit Radius kombinieren (und macht vielleicht auch nur dann Sinn). Clients, die nicht der Policy entsprechen (z.B. gültiges Computer Zertifikat) , landen dann im obigen "Gäste-Netz". -Zahni Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 23. Mai 2013 Melden Teilen Geschrieben 23. Mai 2013 Nächstes Problem: manche Notebooks sind nicht in der Domäne, zum Beispiel manche Außendienstler. Da siehts wieder b***d aus mit dem 802.1x. Weshalb sind immer die Notebooks der Außendienstmitarbeiter nicht in der Domain? Es gibt für die Benutzer keinerlei Nachteile wenn die Geräte in der Domain sind. Zitieren Link zu diesem Kommentar
Hannes91 10 Geschrieben 24. Mai 2013 Melden Teilen Geschrieben 24. Mai 2013 Dass manche Geräte nicht in der Domäne sind ist eigentlich kein Problem. Man bringt entweder das Zertifikat manuell auf die Notebooks oder mit MSCHAP per Username und Passwort authentifizieren. Mir fällt spontan auch keine bessere Lösung ein. Wenn die Switche 802.1x unterstützen kann man die Einführung durchaus relativ kostengünstig hinbekommen. Zitieren Link zu diesem Kommentar
RalphT 15 Geschrieben 25. Mai 2013 Melden Teilen Geschrieben 25. Mai 2013 Nächstes Problem: manche Notebooks sind nicht in der Domäne, zum Beispiel manche Außendienstler. Das macht nichts. Ich habe hier Domänenclients und Clients die nicht der Domäne sind. Außerdem habe ich hier Drucker an geschützten Netzwerkdosen. Ich habe diese Geräte über MAC-Authentifizierung angeschlossen. Ich denke, dass viele Switche 802.1x und MAC-Authentifizierung können. Weshalb sind immer die Notebooks der Außendienstmitarbeiter nicht in der Domain? Es gibt für die Benutzer keinerlei Nachteile wenn die Geräte in der Domain sind. Das Thema hatte ich auch schon. Mir hat mal einer gesagt, dass er nie Notebooks für Außendienstler in eine Domäne legen würde. Ich sehe das genauso wie Du. Ich habe alle in der Domäne. Man kann den Wert ja für Anmeldungen ohne Domäne ja hochsetzen. Ich meine der Wert 25 ist Standard. Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 25. Mai 2013 Melden Teilen Geschrieben 25. Mai 2013 Den Wert gibt's nur nicht. Das was du meinst ist die anzahlzwischengespeicherter Anmeldeinformatiomen. Und das hat mit der Anzahl der Anmeldungen ohne Domäne eines Users mit zwischengespeicherter Anmeldeinformatiomen genau nix zu tun. Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 25. Mai 2013 Melden Teilen Geschrieben 25. Mai 2013 Das Thema hatte ich auch schon. Mir hat mal einer gesagt, dass er nie Notebooks für Außendienstler in eine Domäne legen würde. Mit welcher Begründung würde er das machen? Ich sehe das genauso wie Du. Ich habe alle in der Domäne. Man kann den Wert ja für Anmeldungen ohne Domäne ja hochsetzen. Ich meine der Wert 25 ist Standard. Das ist nicht das was Du meinst, sobald Du einmal an der Domain angemeldet bist, kannst Du das noch unendlich lange und oft machen. Zitieren Link zu diesem Kommentar
RalphT 15 Geschrieben 25. Mai 2013 Melden Teilen Geschrieben 25. Mai 2013 Mit welcher Begründung würde er das machen? Leider habe ich ihn damals nicht gefragt. Er sagte damals, dass kein Notebook, welches auch nur zw. außer Hause ist, etwas in der Domäne zu suchen hat. Den Wert gibt's nur nicht. Das was du meinst ist die anzahlzwischengespeicherter Anmeldeinformatiomen. Und das hat mit der Anzahl der Anmeldungen ohne Domäne eines Users mit zwischengespeicherter Anmeldeinformatiomen genau nix zu tun. Tja das wusste ich nicht. Wieder was dazu gelernt. :) Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 25. Mai 2013 Melden Teilen Geschrieben 25. Mai 2013 Leider habe ich ihn damals nicht gefragt. Er sagte damals, dass kein Notebook, welches auch nur zw. außer Hause ist, etwas in der Domäne zu suchen hat. Der Grund für diese Aussage hätte mich jetzt mal interessiert. Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 25. Mai 2013 Melden Teilen Geschrieben 25. Mai 2013 (bearbeitet) Wir haben die Notebooks i.d.R. auch nicht in einer Domäne. Die Begründung ist, es gibt keine Notwendigkeit dafür, also auch die Arbeit nicht und auch nicht die Kosten. Wir sind damit ganz schön OT. bearbeitet 25. Mai 2013 von lefg Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 25. Mai 2013 Melden Teilen Geschrieben 25. Mai 2013 Hängt halt immer stark vom Einsatz ab. Bei uns sind alle in der Domäne, auch wenn sie theoretisch nur einmal im Jahr in der Firma wären. Sollte demnächst dann endlich DA kommen, gibt's eigentlich gar keinen Grund mehr, das nicht zu tun. ;) Bye Norbert Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.