winlicli
Goto Top

802.1x mit Windows Servern

Hallo zusammen,

ich habe eben mit einem Windows 12R2 ein Radius-Server eingerichtet und den mit meinen Switchen connectet.
Nun können sich nur mit der Domäne authentifizierte Benutzer mit dem Netz anmelden.

Neue Domänenuser können sich allerdings nicht mehr anmelden, da der Port dies nicht zu lässt.

Wie macht ihr das? Habt ihr einen bestimmten Port nicht mit 802.1x konfiguriert, damit der User sich dann über diesen Port erstmalig anmelden und er dann sein
Gerät zu seinem Arbeitsplatz nehmen kann (wo dann 802.1x konfiguriert ist) oder gibt es da bessere Methoden?

Danke und Lg

Content-Key: 571457

Url: https://administrator.de/contentid/571457

Ausgedruckt am: 29.03.2024 um 11:03 Uhr

Mitglied: aqui
aqui 13.05.2020 aktualisiert um 15:10:33 Uhr
Goto Top
Das ist eine Fehl- oder Falschkonfiguration des Radius Servers deinerseits (NPS). 802.1x kann per se niemals unterscheiden ob die User am Port Mitglieder einer Microsoft Domain sind oder nicht. Auch Microsoft fremde Geräte wie Android Smartphones, Apple Macs, Linux usw. kann ja problemlos 802.1x nutzen in einer gemischten Umgebung OHNE Domänen Mitglieder zu sein.
Würde das also stimmen was du sagst wäre .1x Port Security ein denkbar schlechtes Konzept, was es natürlich nicht ist.
Bringe also dein AD auf Vordermann bzw. die Einbindung in den NPS dann klappt das auch fehlerfrei. Das AD ist ja das Backend auf das der Radius zurückgreift.

Alternativ kannst du über die Mac Passthrough Funktion Clients auch immer anhand ihrer Mac Adresse im Radius authentifizieren sollte das über die .1x Credentials fehlschlagen.
Es gibt zig Lösungen das umzusetzen. Bei dir ist es rein nur die falsche Gruppen Zugehörigkeit.
http://www.heise.de/netze/artikel/Radius-mit-Windows-Server-2087800.htm ...
http://www.andysblog.de/windows-drahtgebundenes-lan-802-1x-und-nps
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Cisco SG 350x Grundkonfiguration
https://www.youtube.com/watch?v=KAGEA7OnPvY
Mitglied: WinLiCLI
WinLiCLI 13.05.2020 um 15:54:00 Uhr
Goto Top
Ich habe mir Quellen angeschaut. Also die Konfiguration ist identisch verlaufen.
In meiner Testumgebung können sich nur berechtigte User anmelden, die der Radius aus den AD Informationen ermittelt.

User die nicht in der AD angelegt sind, kriegen keinen Netzwerkzugriff.
Geräte wie Linux und co. müssten in deren Netzwerkeinstellungen gültige Netzwerkeinstellungen eintragen, damit diese dann im Netz berechtigt sind.

Mein aktuelles Problem ist ja, dass User die sich bisher noch nie an einem Client angemeldet haben, sich nicht anmelden können, da diese sich nicht authentifizieren können.
Mitglied: DopeEx1991
DopeEx1991 15.05.2020 um 21:28:48 Uhr
Goto Top
Hi,
dann hast du einen Fehler in deiner Konfiguration. Wie ist denn die authentifizierung auf deinem Client konfiguriert?

Wenn du sagst, ein Anwender kann sich über.1x erst anmelden, wenn er vorher schonmal angemeldet war, würde das ja bedeuten, dass er sich nach jedem Passwortwechel nicht mehr mit seinem Netzwerk verbinden kann.

Lg