Unterschied zwischen Maschinen- und Benutzerkonten

Infusion · 07.01.2008

wir haben peap als authentifizierungs-methode gewählt. peap benötigt keine pki. lediglich der server muss ein gültiges zertifikat besitzen. das ist ja auch was mich so stutzig macht. mir erscheint diese methode nicht gerade sicher, wenn nur maschinenkonten für die anmeldung verwendet werden. kann man eine domänenzugehörigkeit nicht auch fälschen?

mfg

Infusion

Marco · 07.01.2008

Domänenzugehörigkeit im AD kannst du nicht fälschen. Mir ist zumindest nichts bekannt.
Installier dir nen Zertifikat und lass es per GPO verteilen. Dann sollen sich die PC´s über dieses Zertifikat am Radiusserver authentifizieren.

Infusion · 07.01.2008

kann denn der user nicht selber seinen spn bzw. fqdn ändern oder erstellen?
pki ist leider nicht erwünscht. meine aufgabe besteht ja genau darin, das vorgegebene system: 802.1x mit peap und maschinenauth gegen ad, auf einen möglichen einsatz hin zu testen.

was mich nur wundert ist, dass es zu dem genauen ablaufen der maschinenauth gegen eine ad keine dokumentationen gibt.

mfg

Infusion

Marco · 07.01.2008

Microsoft lässt sich da nicht in die Karten schaun. Da wirst auch nicht viel finden. Schnittstellendokus sind sehr rar.
Es gibt gute Radiusauthentifizierungsanleitungen, die einfach mal ausprobieren. Is gar ned so schwer wies sichs am Anfang anhört.

Infusion · 07.01.2008

ne, das ist auch nicht schwer. mein testaufbau funktioniert bestens.
meine probleme sind eher von theoretischer natur. hab vorhin mal aus verzweifelung microsoft angerufen, aber die wollen mir auch keine auskunft geben.

man muss doch herausfinden können mit welchen daten der computer sich am ad authentifiziert.... :|

mfg

Infusion

Infusion · 07.01.2008

ich hab das hier in nen cisco forum gefunden:

On a computer that is configured to perform machine authentication, machine authentication occurs when the computer started. Provided that the AAA client sends RADIUS accounting data to ACS, when a computer is started and before a user logs in on that computer, the computer appears on the Logged-In Users List in the Reports and Activity section. Once user authentication begins, the computer no longer appears on the Logged-In Users List.

PEAP-based machine authentication uses PEAP (EAP-MS-CHAPv2) and the password for the computer established automatically when it was added to the Microsoft Windows domain. The computer sends its name as the username and the format is:

host/computer.domain

where computer is the name of the computer and domain is the domain to which the computer belongs. The domain segment might also include subdomains, if they are used; so that the format may be:

host/computer.subdomain.domain

das stammt aus nen acs white paper.
so wie das da beschrieben wird authentifiziert sich der rechner mit seinem computernamen als name und der sid als passwort.

mfg

Infusion

Infusion · 08.01.2008

ich habe mal nen paar traces gemacht:

ldap request:
http://www.pkds.de/datenserver/homepage/pictures/request.jpg

ldap reply:
http://www.pkds.de/datenserver/homepage/pictures/ldap.jpg

bei dem request sieht man, dass die anfrage mit dem spn geschieht. aber leider kann ich die sid nirgends finden. oder ist die verschlüsselt? wenn ja, wo? an welcher stelle soll die stehen?

mfg

Infusion

Infusion · 16.01.2008

ich nochmal ;-)

wisst ihr vielleicht auch in wie weit kerberos mit der 802.1x authentifizierung zu tun hat?

mfg

Infusion

Unterschied zwischen Maschinen- und Benutzerkonten

Infusion

Marco

Infusion

Marco

Infusion

Infusion

Infusion

Infusion

Unterschied zwischen Maschinen- und Benutzerkonten

ANGEBOTE & SPONSOREN

Neueste Themen

Statistik des Forums