grizzly999 11 Geschrieben 4. Juni 2005 Melden Teilen Geschrieben 4. Juni 2005 Hi,Das relativ einfachste Mittel ist die Einführung von IPSEC, dann bekommen in der einfachsten Variante nur Rechner mit Kerberoszertifikat, also Domänenmitglieder, überhaupt nur Kontakt zum DHCP-Server bzw. anderen Maschinen. MAC-Filter am Router zu pflegen, fände ich, zumindest bei grösseren Netzen, auf Dauer ziemlich langweilig :rolleyes: cu blub Geht IMHO nicht. Problem: Um einen KDC für den Ticketerhalt zu kontaktieren brauch ich eine IP. Die IP soll es in dem Fall aber erst geben, wenn ein Kerberos Ticket vorhanden, aber ohne IP kein Ticket usw, die Katze beisst sich in den Schwanz. Daher sollte man bei IPSec mit Kerberos Auth. auch DHCP als Exemption einrichten. Etwas anderes wäre es mit X.509 Zertifikaten, wobie der Client auch erst mal eines bekommen muss von einer CA. Aber dann wäre wieder 801.X erste Wahl. grizzly999 Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 4. Juni 2005 Melden Teilen Geschrieben 4. Juni 2005 Hi grizzly, stimmt, der Beitritt zur Domäne erfolgt am einfachsten nicht IPSEC-authentifiziert über eine feste IP-Adresse. Wenn der Client dann sein Zertifikat hat, wird er auf DHCP geswitcht. Aber klar, es gibt nicht nur einen Weg zum Ziel cu blub Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.