Lektion 2: Verwalten der Netzwerkauthentifizierung 147
Konfigurieren der 802.1x-LAN-Authentifizierung
802.1x-kompatible Switches unterstützen eine Netzwerkzugangskontrolle auf Portbasis.
Diese Kontrolle hindert einen Host an der Kommunikation über den Switchport, mit dem er
verbunden ist, bis er seine Authentifizierung erfolgreich abgeschlossen hat. Das bedeutet
einen zusätzlichen Schutz, weil nur autorisierte Personen und Geräte eine Verbindung mit
dem Netzwerk herstellen können. Wenn Sie einen 802.1x-kompatiblen Switch korrekt
einstellen, kann niemand ein nichtautorisiertes Gerät an den Switch anschließen und sich
Zugang zum Netzwerk verschaffen, weil ohne erfolgreiche Authentifizierung kein Netz-
werkzugriff möglich ist.
802.1x-kompatible Switches überprüfen die Verbindungsanforderungen nicht selbst, sondern
delegieren die Authentifizierung an einen RADIUS-Server. Der Vorgang ist im Wesentlichen
derselbe wie bei der RADIUS-Authentifizierung von VPN oder Einwählverbindungen, nur
dass es sich beim Zugriffspunkt nun um einen 802.1x-kompatiblen Switch handelt.
Die Konfiguration eines 802.1x-kompatiblen Switche als RADIUS-Client erfordert genau
dieselben Arbeitsschritte wie die Konfiguration eines anderen RADIUS-Clients.
1. Öffnen Sie die Konsole Netzwerkrichtlinienserver und erweitern Sie den Knoten NPS
(Lokal)\RADIUS-Clients und -Server.
2. Klicken Sie den Knoten RADIUS-Clients mit der rechten Maustaste an und wählen Sie
dann Neuer RADIUS-Client.
3. Geben Sie im Dialogfeld Neuer RADIUS-Client folgende Informationen über den
802.1x-kompatiblen Switch ein (es handelt sich um dasselbe Dialogfeld, das bereits
in Abbildung 3.6 gezeigt wurde):
■ Anzeigename
■ IP-Adresse oder Hostname
■ Gemeinsamer geheimer Schlüssel
Hinweis NAP mit 802.1x-Erzwingung
NAP mit 802.1x-Erzwingung verwendet 802.1x-kompatible Switches und wird in Kapitel 4
ausführlicher behandelt.
802.1X-Authentifizierungsprotokolle
Windows Server 2008 und Windows Vista unterstützen folgende Protokolle für die 802.1x-
Authentifizierung:
■ EAP-TLS Dies ist ein Authentifizierungsprotokoll auf Zertifikatbasis. Daher können
Sie zur Authentifizierung Smartcards, Computerzertifikate oder Benutzerzertifikate
verwenden. Dieses Protokoll ist zu Clientcomputern kompatibel, auf denen Windows
XP, Windows Vista, Windows Server 2003 oder Windows Server 2008 ausgeführt
wird. Es erfordert für jeden RADIUS-Server ein Computerzertifikat und für jeden ver-
kabelten Client ein Computerzertifikat, Benutzerzertifikat oder eine Smartcard. Die
Clients und die RADIUS-Server müssen der Zertifizierungsstelle vertrauen, die das
Zertifikat des Kommunikationspartners ausgestellt hat.
148 Kapitel 3: Konfiguration des Netzwerkzugriffs
■ PEAP-MS-CHAPv2 Dies ist ein Authentifizierungsprotokoll auf Kennwortbasis,
bei dem die Authentifizierung durch eine verschlüsselte TLS-Sitzung (Transport Layer
Security) geschützt wird. Wenn Sie dieses Protokoll zur Authentifizierung verwenden,
müssen Sie auf dem authentifizierenden RADIUS-Server ein Computerzertifikat
installieren, dem alle Clients vertrauen.
■ PEAP-TLS Dies ist ein Authentifizierungsprotokoll auf Zertifikatbasis. Daher kön-
nen
Sie zur Authentifizierung Smartcards, Computerzertifikate oder Benutzerzertifikate
verwenden. Dieses Protokoll ist nur zu Clientcomputern kompatibel, auf denen Win-
dows Vista oder Windows Server 2008 ausgeführt wird. Wie EAP-TLS verlangt dieses
Protokoll für jeden RADIUS-Server ein Computerzertifikat und für alle verkabelten
Clients ein Computerzertifikat, Benutzerzertifikat oder eine Smartcard. Die Clients
und die RADIUS-Server müssen der Zertifizierungsstelle vertrauen, die das Zertifikat
des Kommunikationspartners ausgestellt hat.
Da EAP-TLS und PEAP-TLS voraussetzen, dass sowohl Clients als auch Authentifizie-
rungsserver über Zertifikate verfügen, erfordern beide Protokolle die Bereitstellung einer
geeigneten PKI, die gewöhnlich mit den Active Directory-Zertifikatdiensten (AD CS, Active
Directory Certificate Services) aufgebaut wird. Die Verwendung von AD CS erleichtert die
Lösung der Probleme, die sich bei der Einrichtung der erforderlichen Vertrauensbeziehungen
ergeben.
Hinweis 802.1X-Authentifizierungsprotokolle
Lesen Sie außerdem durch, was in Lektion 1 über die Authentifizierungsprotokolle gesagt
wird, die Sie zur 802.1x-LAN-Authentifizierung verwenden können.
Konfigurieren von 802.1x-Clients
Auf 802.1x-Clients können Sie folgende Authentifizierungsmodi einstellen:
■ Nur Benutzer Die 802.1x-Authentifizierung erfolgt mit den Anmeldeinformationen
des Benutzers nach der Anmeldung des Benutzers, sofern in der Gruppenrichtlinie
keine einmalige Anmeldung aktiviert wurde.
■ Nur Computer Die 802.1x-Authentifizierung erfolgt mit den Anmeldeinforma-
tionen des Computers, bevor der Windows-Anmeldebildschirm angezeigt wird.
■ Computer oder Benutzer Die 802.1x-Authentifizierung erfolgt zweimal, das erste
Mal vor der Anmeldung mit den Anmeldeinformationen des Computers und dann noch
einmal nach der Anmeldung mit den Anmeldeinformationen des Benutzers. Das ist die
Standardauthentifizierungsmethode.
Der Standardauthentifizierungsmodus ist Computer oder Benutzer. Das ermöglicht Compu-
tern, die wie Datei- oder Druckserver im Netzwerk Ressourcen bereitstellen, die Kommuni-
kation mit dem Netzwerk, ohne dass ein Benutzer angemeldet sein müsste. Der Authentifi-
zierungsmodus Nur Computer ermöglicht ebenfalls Computern, die sich authentifizieren
können, ohne direkte Benutzerintervention den Zugriff auf das Netzwerk.
Das einmalige Anmelden (single sign-on) ermöglicht eine Durchführung der Netzwerk-
authentifizierung mit zwischengespeicherten Anmeldeinformationen des Benutzers, noch
bevor die Benutzeranmeldung erfolgt. Damit lässt sich das Problem lösen, dass keine
Get Aktualisieren Ihrer MCSA/MCSE-Zertifizierung auf Windows Server 2008 MCTS - Original Microsoft Training für Examen 70-648 und 70-649 now with the O’Reilly learning platform.
O’Reilly members experience books, live events, courses curated by job role, and more from O’Reilly and nearly 200 top publishers.
