Zum Inhalt springen

Empfohlene Beiträge

Geschrieben

ich hab nen anliegen zu nem radius- server...!!

ich hab unser netzwerk abgesichert mit ner portbasierten netzzugangssteuerung nach IEEE 802.1x.

hab als authentifizierungsmethode eap-tls ausgewählt. jeder client braucht ein x.509 zertifikat um sich gegenüber dem radius-server zu authentifizieren. dazu muss ja demnach eine PKI aufgebaut werden. was ich noch nicht verstehe. . . wie läuft das mit dem schlüsselaustausch??? wer bekommt bzw. besitzt nen öffentlichen und wer den privaten schlüssel bei der ganzen sache????? bitte helft mir !!!! brauche dringend rat. :confused:

Geschrieben

Der öffentliche Schlüssel liegt auf dem Server und mit dem privaten Schlüssel identifiziert sich der User an dem Server. Den öffentlichen Schlüssel darf jeder haben und kann auf diversen Servern o.ä. hinterlegt werden (wie dies z.B. by PGP auch gemacht wird). Den privaten Schlüssel darf nur die Person haben, die sich damit identifiziert (also möglichst auf USB-Stick oder so, damit er nicht auf einem Rechner liegt, zu dem auch andere Zugriff haben).

Siehe auch hier.

Geschrieben

Die Clients deiner Domäne können sich bei der PKI nen Zertifikat abholen, das funktioniert relativ automatisch. Beachte jedoch, dass die PKI des Win2k3 Standard Servers keine Maschinenzertifikate für Clients ausgeben kann, dafür brauchst den Enterprise Server.

Alternativ bietet sich auch an Protected-EAP zu verwenden, anstatt EAP-TLS. Damit entfällt die aufwendige Verteilung von Zerts und das Sicherheitsniveau ist trotzdem beachtlich. Zu PEAP kannst mal googeln oder englischsprachiges Wiki befragen

Geschrieben

das heißt also der radius server besitzt nen öffentl. schlüssel und der user, der das x.509 zertifikat vorher abgeholt hat identifiziert sich mit seinem privaten schlüssel am radius server ?!

hat die PKI auch nen zusammenhang beim eap-tls handshake mit dem premaster-secret???

weil nachdem die authentifizierungsmethode eap-tls von beiden parteien ausgewählt wurde erfolgt ja der tls-handshake und nen premaster secret wird erstellt.

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...