magheinz 110 Geschrieben 8. Januar 2015 Melden Teilen Geschrieben 8. Januar 2015 Vohanden ist eine Windows AD mit einer funktionierenden PKI. Ich würde jetzt gerne dafür sorgen das Rechner mit Zertifikat in ein bestimmtes VLAN kommen und Rechner ohne in ein "Gast-Netz". Soweit so einfach. Wenn ich jetzt aber meine Rechner in verschiedene VLANs stecken möchte, z.B: pro Liegenschaft ein anderes, wie gehe ich da vor? Brauche ich dann unter-PKIs damit die unterschiedlich unterschriebene Zertifikate bekommen oder kann ich z.B. auch nach OU im AD unterscheiden? Ich bräuchte da mal einen Schubser in die richtige Richtung. Magnus Zitieren Link zu diesem Kommentar
Dunkelmann 96 Geschrieben 8. Januar 2015 Melden Teilen Geschrieben 8. Januar 2015 Moin, am einfachsten wäre es vermutlich an allen Standorten das gleiche VLAN für authentifizierte Clients zu verwenden. Du könntest am NPS als Bedingung z.Bsp. den Namen des Radius Clients verwenden - der am NPS konfigurierte Anzeigename. Dabei werden auch Wildcards unterstützt. Bspw. 'SW-LOK-AA-*' könnte bei geigneter Nomenklatur eine Richtlinie für alle Switches (SW) an der Lokation (LOK) Aachen (AA) mit einer fortlaufenden Nummer (00-99) abdecken. Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 8. Januar 2015 Melden Teilen Geschrieben 8. Januar 2015 Ja, in der Theorie klappt das nur richtig mit ein Switch der Radius http://de.wikipedia.org/wiki/IEEE_802.1X unterstützt. Das Ganz kann man dann mit Windows NAP "verheiraten" http://en.wikipedia.org/wiki/Network_Access_Protection Zitieren Link zu diesem Kommentar
Doso 77 Geschrieben 8. Januar 2015 Melden Teilen Geschrieben 8. Januar 2015 Windows NAP wird ab der nächsten Windows Server Version nicht mehr unterstützt. Denke nicht das man das nun noch einführen sollte. Zitieren Link zu diesem Kommentar
magheinz 110 Geschrieben 9. Januar 2015 Autor Melden Teilen Geschrieben 9. Januar 2015 am einfachsten wäre es vermutlich an allen Standorten das gleiche VLAN für authentifizierte Clients zu verwenden. Das ist aber nunmal gewünscht. MIt einem VLAN ist das einfach, da weiss ich was ich machen muss. Windows NAP wird ab der nächsten Windows Server Version nicht mehr unterstützt. Denke nicht das man das nun noch einführen sollte. Das wusste ich nicht. Was wird denn dann die neue Vorgehensweise sein? Fällt die komplette Rolle NPAS weg? 802.1x ist auch klar. Ich hab in den Büros cisco sg300er im Einsatz. Die Frage die sich aufgetan hat ist wie man da die Liegenschaften unterscheidet. Ob man mehrere CAs oder unterCAs benötigt oder ob man da irgendwie anhand der OU in der sich der Rechner befindet unterscheiden kann. Zitieren Link zu diesem Kommentar
Dunkelmann 96 Geschrieben 9. Januar 2015 Melden Teilen Geschrieben 9. Januar 2015 Standortabhängige Richtlinien benötigen in den meisten Fällen keine eigene CA. Der NPS hat einige Möglichkeiten, Bedingungen abzubilden. Die OU gehört jedoch nicht dazu. Was gefällt Dir daran nicht, den Radius Client (Switch) als Indikator für den Standort zu nutzen? Zitieren Link zu diesem Kommentar
magheinz 110 Geschrieben 9. Januar 2015 Autor Melden Teilen Geschrieben 9. Januar 2015 Standortabhängige Richtlinien benötigen in den meisten Fällen keine eigene CA. Der NPS hat einige Möglichkeiten, Bedingungen abzubilden. Die OU gehört jedoch nicht dazu. Was gefällt Dir daran nicht, den Radius Client (Switch) als Indikator für den Standort zu nutzen? Weil ich des öfteren verschiedene VLANs auf einem Switch haben muss. z.B. ein Rechenr der ein Infoterminal ist und ein kassensystem Zitieren Link zu diesem Kommentar
Dunkelmann 96 Geschrieben 9. Januar 2015 Melden Teilen Geschrieben 9. Januar 2015 Bei AD-Mitgliedern bietet sich eine Sicherheitsgruppe als Kriterium an. Bei nicht AD Mitgliedern könnte eine angepasste Zertifikatsvorlage mit zusätzlichem EKU Attribut verwendet werden. http://technet.microsoft.com/en-us/library/hh945104.aspx Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 9. Januar 2015 Melden Teilen Geschrieben 9. Januar 2015 Ich bin nicht ganz bewandert in den Thema. Es müsste doch möglich sein, anhand des personalisierten (Computer-)Zertifikats über einen Radius-Server einem Computer das gewünschte VLAN zuweisen. Eventuell kann man über die ORG-Infos im Zertifikat auch noch etwas zuweisen. Zitieren Link zu diesem Kommentar
Dunkelmann 96 Geschrieben 10. Januar 2015 Melden Teilen Geschrieben 10. Januar 2015 Jain. Der NPS kann out of the box nur EKU OIDs (Verwendungszwecke) prüfen. Neben Gültigkeit usw. natürlich. http://technet.microsoft.com/de-de/library/cc772401%28v=ws.10%29.aspx Einige Radius Clients können Filter/Regeln auf Basis anderer Zertifikatsattribute (OU, C, L usw.) anwenden. Man sollte beim dem Thema zwischen den drei A, Authentication, Authorization, Accounting, sauber trennen und genau überlegen, was wie und womit umgesetzt werden soll. Es gibt wohl eine NPS API, mit der sich benutzerdefinierte Bedingungen realisieren lassen sollen. Das habe ich allerdings noch nicht im Einsatz gesehen. Zitieren Link zu diesem Kommentar
magheinz 110 Geschrieben 12. Januar 2015 Autor Melden Teilen Geschrieben 12. Januar 2015 na dann werde ich wohl mal sehen ob das nicht mit freeradius einfacher umzusetzen ist. Die Zuordnung der VLANs anhand der OU hat dem Charm das jeder Depp das bedienen kann und es trotzdem höchst flexibel ist. Wird das verschieben in die korrekte OU vergessen hat der Rechner kein Netz und die It-Abteilung wird zeitnah per Telefon informiert :-) Zum Testen können wir jede Rechner überall einstöpseln und er funktioniert so wie er soll. mal sehen ob das mit freeradius geht... Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 12. Januar 2015 Melden Teilen Geschrieben 12. Januar 2015 Nicht die OU-Attribute im Zertifikat mit dem AD vermischen. Im Zertifikat kann man die als User nicht ändern. Zitieren Link zu diesem Kommentar
magheinz 110 Geschrieben 12. Januar 2015 Autor Melden Teilen Geschrieben 12. Januar 2015 Ich will auch nicht nach user sondern nach Rechner-OU filtern. Irgendwie muss das doch gehen das man das AD befragt in welcher OU sicher in bestimmter Rechner befindet. die einzige andere Alternative wären ja mehrere CAs, unterCAs o.ä. Ich muss halt sicherstellen das ich einen Rechner einfach umziehen kann. Das darf nicth vom user abhängen sondern nur vom Rechner selber. Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 12. Januar 2015 Melden Teilen Geschrieben 12. Januar 2015 Mit NPS wird das gehen. Wie das aber in der nächsten Windows-Version dann funktionieren soll, ist mir nicht bekannt. Eventuell gibt es von Cisco noch eine andere Implementierung. Zitieren Link zu diesem Kommentar
Dunkelmann 96 Geschrieben 12. Januar 2015 Melden Teilen Geschrieben 12. Januar 2015 Ich will auch nicht nach user sondern nach Rechner-OU filtern. Irgendwie muss das doch gehen das man das AD befragt in welcher OU sicher in bestimmter Rechner befindet. die einzige andere Alternative wären ja mehrere CAs, unterCAs o.ä. Ich muss halt sicherstellen das ich einen Rechner einfach umziehen kann. Das darf nicth vom user abhängen sondern nur vom Rechner selber. Die aktuelle OU im AD ist kein Sicherheitsmerkmal und mMn nicht für die Autorisierung geeignet. Ein Sicherheitskonzept darauf aufbauen zu wollen, erscheint mir fragwürdig. Noch ein letzter Ratschlag, bevor ich wegen Beratungsresistenz aufgebe:Beschäftige Dich bitte mit dem Themen PKI, Zertifikatsvorlagen und Radius/NPS bevor Du weitere Sub CAs installierst. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.