TheLion092 0 Geschrieben 4. April 2018 Melden Teilen Geschrieben 4. April 2018 Guten Tag, kurz zu mir: Ich bin Azubi Fachinformatiker-Systemintegration und sitze derzeit an meinem Abschlussprojekt. Als Projekt habe ich die Evaluierung verschiedener Netzwerkrichtlinienenserver-Lösungen unter anderem auch Microsoft NPS. Dieser soll mit einem Cisco Switch Endgeräten dynamisch ein VLAN zuweisen. Als Anforderung ist in meinem Projekt ausschließlich MAC Authentisierung (im Produktivsystem später zusätzlich auch mit Zertifikat) vorgesehen. Nun, den NPS habe ich soweit auch schon zum laufen bekommen, dass er einem Endgerät am Switch dynamisch ein VLAN zuweist. Dafür muss man in der AD einen Benutzeraccount anlegen, dessen Name und Passwort identisch mit der MAC Adresse des jeweiligen Engerätes sind. Wenn man nun zusätzlich auch mit Zertifikaten arbeiten möchte, muss man dafür einen Computeraccount anlegen. Somit habe ich für für ein Endgerät 2 Accounts in meiner AD, was bei einer großen Anzahl an Endgeräten die AD ganz schön aufbläht. Meine Frage ist nun, ob es möglich ist, die MAC Adresse auch in einem Computeraccount, anstelle von einem Benutzeraccount zu hinterlegen. Ich habe bereits einige Zeit mit googeln verbracht und etwas gefunden, dass man die MAC wohl in den Eigenschaften des Computeraccounts (Einwählen -> Anruferkennung verifizieren) hinterlegen kann, jedoch lässt der NPS das Engerät nicht rein. Ist dies überhaupt möglich oder habe ich da etwas missverstanden ? Hier noch die Quelle zu meinem Suchergebniss:https://blogs.technet.microsoft.com/nap/2006/09/08/enhance-your-802-1x-deployment-security-with-mac-filtering/ Zitieren Link zu diesem Kommentar
Dukel 454 Geschrieben 4. April 2018 Melden Teilen Geschrieben 4. April 2018 Willst du die Mac dann nicht mit dem Zertifikat ersetzen? D.h. es wird nur noch das Zertifikat benötigt und du brauchst nur noch ein Computeraccount. Zitieren Link zu diesem Kommentar
TheLion092 0 Geschrieben 4. April 2018 Autor Melden Teilen Geschrieben 4. April 2018 (bearbeitet) Das Problem ist, dass viele Endgeräte in meinem "Betrieb" (Hochschule) nicht mit Zertifikaten umgehen können wie z.B. Stempeluhr, GLT Technik usw. bearbeitet 4. April 2018 von TheLion092 Zitieren Link zu diesem Kommentar
Dukel 454 Geschrieben 4. April 2018 Melden Teilen Geschrieben 4. April 2018 K.a. ob das geht, aber du kannst das evtl. mischen. D.h. PC's bekommen ein Zertifikat und andere Geräte wird die Mac Adresse genutzt. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.