Symbadisch 10 Geschrieben 21. September 2016 Melden Teilen Geschrieben 21. September 2016 Hallo zusammen, um nicht jedem Device das sich an einem unserer Netzwerkports ansteckt Zugriff zu unserem Netzwerk zu geben, haben wir den NAP-Server und unsere Switche entsprechend konfiguriert. Es funktioniert auch soweit, dass unsere Windowsclients nach der Authentifizierung ins passende VLAN kommen und somit Zugriff erhalten. Nun haben wir aber drei Fälle, bei welchen das leider nicht so einfach geht und wollte mal nachfragen wie hier eure Erfahrungen sind bzw wie wir das am besten realisieren. 1.) Geräte wie Drucker, Wie werden die am sinnvollsten hier eingebunden? 2.) Linux und auch Macrechner bei den Clients, wie werden diese eingebunden? 3.) Gästerechner, wir haben diverse Dienstleister oder freie Mitarbeiter die Zugriff auf unser LAN benötigen, aber die Clients natürlich auch nicht in unserer Domäne hängen. Wäre prima wenn ihr mir hier weiterhelfen könntet wie das am besten zu realisieren wäre und was hier Best/Practise ist. Zu 2 und 3 haben wir uns schon überlegt wir könnten die Clients per User/Passwort authentifizieren, aber das wäre teilbar und erscheint uns somit nicht wirklich sicher. Gruß Lars Zitieren Link zu diesem Kommentar
magheinz 110 Geschrieben 21. September 2016 Melden Teilen Geschrieben 21. September 2016 Für Gäste: Gäste VLAN Für Drucker: unsere können 802.1x wir haben aber einfach feste Druckerports auf den Switchen. Wenn sich da einer einstöpselt kann er die anderen Drucker erreichen, sonst nix. Für Linux: kann 802.1x. Hier sehe ich das Problem nicht. Zitieren Link zu diesem Kommentar
Symbadisch 10 Geschrieben 21. September 2016 Autor Melden Teilen Geschrieben 21. September 2016 Für Gäste: Gäste VLANFür normale Gäste klar, es gibt aber Gäste bzw. IT-Dienstleister die Zugriff in unser Netz benötigen. Wie wird sowas realisiert? Fürs WLAN haben wir hier ein Ticketsystem wo die Gäste einen Tagespass bekommen. Für Drucker: unsere können 802.1x wir haben aber einfach feste Druckerports auf den Switchen. Wenn sich da einer einstöpselt kann er die anderen Drucker erreichen, sonst nix.Ok, das ist einfach, unsere hängen auch in einem eigenen VLAN, somit wäre das auch unkritisch. Für Linux: kann 802.1x. Hier sehe ich das Problem nicht.Linux und auch Mac können 802.1x, das ist klar. Aber wie realisieren wir das am besten? User und Passwort allein ist nicht wirklich ein Schutz, sonst könnte ein Mitarbeiter seinen privaten Rechner einstecken und authentifiziert sich auch da mit User und Passwort. Zitieren Link zu diesem Kommentar
magheinz 110 Geschrieben 21. September 2016 Melden Teilen Geschrieben 21. September 2016 Du könntest du linuxrechner zu domänenMitglieder machen. Bei Apple hab ich keine Ahnung. Das mit den dienstleistern ist schwierig. Denen könnte man ein Zertifikat zukommen lassen. Man könnte die dienstleister auch verpflichten einen radiusserver zu betreiben und das ganze so wie das DFN-roaming aufziehen. Je nach dem wer ihr seid und wer die dienstleister sind kann das gehen oder halt auch nicht. Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 21. September 2016 Melden Teilen Geschrieben 21. September 2016 Alternativ setzt man die Dienstleister entweder vor einen PC mit 802.1x der euch gehört, oder gibt ihnen entsprechende Ports. Die werden ja wohl nicht irgendwo rumsitzen, sondern im Normalfall in eurer Nähe, oder? Bye Norbert Zitieren Link zu diesem Kommentar
magheinz 110 Geschrieben 21. September 2016 Melden Teilen Geschrieben 21. September 2016 (bearbeitet) Das ist so langweilig pragmatisch... Eine verteilte hierarchische radius-Infrastruktur durchzudrücken ist doch viel cooler. Ne im ernst: Wenn es Angst vor privaten Geräten gibt wüsste ich nicht wieso man Dienstleistergeraten mehr vertrauen sollte. Was ist denn der Grund warum nur eigene Geräte ins Netz sollen und keine privaten? Hat es was mit Sicherheit zu tun? Was unterscheidet private Geräte, von Dienstleistern und eigene? bearbeitet 21. September 2016 von magheinz Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 21. September 2016 Melden Teilen Geschrieben 21. September 2016 Deswegen sagte ich ja, wenn die "Angst/Paranoia" groß genug für sowas ist, muß ich eben Geräte dafür vorhalten, denen ich vertraue. 1 Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 22. September 2016 Melden Teilen Geschrieben 22. September 2016 Mitgebrachte Fremdgeräte kommen nicht ans interne LAN. Schon hat man ein Problem weniger ;) Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 22. September 2016 Melden Teilen Geschrieben 22. September 2016 Und daraus folgt jetzt... ;) Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 22. September 2016 Melden Teilen Geschrieben 22. September 2016 Na die Dosen mit Bauschaum... Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 22. September 2016 Melden Teilen Geschrieben 22. September 2016 Ich meinte das Thema Dienstleister ;) es sei denn ihr habt nur Handwerker mit bauschaum als Dienstleister. Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 22. September 2016 Melden Teilen Geschrieben 22. September 2016 Die setzen sich neben mir und wir machen das dann zusammen. Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 22. September 2016 Melden Teilen Geschrieben 22. September 2016 Also an einem eurer Geräte. ;) Zitieren Link zu diesem Kommentar
Azharu 119 Geschrieben 22. September 2016 Melden Teilen Geschrieben 22. September 2016 Oder man lässt sie über eine Remotesession auf eines der eigenen Geräte in die Umgebung hinein Zitieren Link zu diesem Kommentar
Dukel 455 Geschrieben 22. September 2016 Melden Teilen Geschrieben 22. September 2016 Dazu muss der zugreifende Client auch im Netz sein. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.