Jump to content

Fragen zu Netzwerkzugang per 802.1x


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen,

 

um nicht jedem Device das sich an einem unserer Netzwerkports ansteckt Zugriff zu unserem Netzwerk zu geben, haben wir den NAP-Server und unsere Switche entsprechend konfiguriert.

 

Es funktioniert auch soweit, dass unsere Windowsclients nach der Authentifizierung ins passende VLAN kommen und somit Zugriff erhalten.

Nun haben wir aber drei Fälle, bei welchen das leider nicht so einfach geht und wollte mal nachfragen wie hier eure Erfahrungen sind bzw wie wir das am besten realisieren.

 

1.) Geräte wie Drucker, Wie werden die am sinnvollsten hier eingebunden?

2.) Linux und auch Macrechner bei den Clients, wie werden diese eingebunden?

3.) Gästerechner, wir haben diverse Dienstleister oder freie Mitarbeiter die Zugriff auf unser LAN benötigen, aber die Clients natürlich auch nicht in unserer Domäne hängen.

 

Wäre prima wenn ihr mir hier weiterhelfen könntet wie das am besten zu realisieren wäre und was hier Best/Practise ist.

 

Zu 2 und 3 haben wir uns schon überlegt wir könnten die Clients per User/Passwort authentifizieren, aber das wäre teilbar und erscheint uns somit nicht wirklich sicher.

 

Gruß Lars

Link zu diesem Kommentar

Für Gäste: Gäste VLAN

Für normale Gäste klar, es gibt aber Gäste bzw. IT-Dienstleister die Zugriff in unser Netz benötigen. Wie wird sowas realisiert? Fürs WLAN haben wir hier ein Ticketsystem wo die Gäste einen Tagespass bekommen.

 

Für Drucker: unsere können 802.1x wir haben aber einfach feste Druckerports auf den Switchen. Wenn sich da einer einstöpselt kann er die anderen Drucker erreichen, sonst nix.

Ok, das ist einfach, unsere hängen auch in einem eigenen VLAN, somit wäre das auch unkritisch.

 

Für Linux: kann 802.1x. Hier sehe ich das Problem nicht.

Linux und auch Mac können 802.1x, das ist klar. Aber wie realisieren wir das am besten? User und Passwort allein ist nicht wirklich ein Schutz, sonst könnte ein Mitarbeiter seinen privaten Rechner einstecken und authentifiziert sich auch da mit User und Passwort.
Link zu diesem Kommentar

Du könntest du linuxrechner zu domänenMitglieder machen.

 

Bei Apple hab ich keine Ahnung.

 

Das mit den dienstleistern ist schwierig. Denen könnte man ein Zertifikat zukommen lassen.

 

Man könnte die dienstleister auch verpflichten einen radiusserver zu betreiben und das ganze so wie das DFN-roaming aufziehen. Je nach dem wer ihr seid und wer die dienstleister sind kann das gehen oder halt auch nicht.

Link zu diesem Kommentar

Das ist so langweilig pragmatisch...

Eine verteilte hierarchische radius-Infrastruktur durchzudrücken ist doch viel cooler.

 

Ne im ernst: Wenn es Angst vor privaten Geräten gibt wüsste ich nicht wieso man Dienstleistergeraten mehr vertrauen sollte.

 

Was ist denn der Grund warum nur eigene Geräte ins Netz sollen und keine privaten? Hat es was mit Sicherheit zu tun? Was unterscheidet private Geräte, von Dienstleistern und eigene?

bearbeitet von magheinz
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...