none
802.1x - prakticke nasazeni

    Dotaz

  • Zajimalo by me, jak se v praxi resi nasledujici situace pri nasazeni 802.1x. Uvazujme "dratovou" sit, overovani na urovni pocitace certifikatem. Tento certifikat je vydan interni CA. RADIUS server realizovan na Win Srv 2008 R2 pomoci NPS, klienti Win 8, 7, Vista. Pominme ted non-Windows zarizeni.

    Rekneme, ze je 802.1x uspesne implementovano. Do firmy prijde dodavka novych PC. Aby mohly byt stanice nainstalovany/nakonfigurovany, potrebuji komunikovat v LAN. Nicmene v LAN komunikovat nebudou, dokud se neoveri pomoci 802.1x. Pomoci 802.1x se neoveri, dokud nebudou mit certifikat pro overeneni a nebudou pro overeni nakonfigurovany. Avsak certifikaty a nastaveni z GPO se naplikuji, dokud nebudou overeny . . .

    Napadaji mne tri reseni, jak z toho ven:

    1. Vse rucne - rucne nainstalovat prislusne certifikaty a provest nastaveni overovani. IMHO trosku nesikovne.

    2. Pouzit Guest VLAN, kam "spadnou" neoverene stanice. Jenomze zarizeni v teto Guest VLAN by musela mit pristup na interni CA a take na DC (kvuli pridani do domeny a aplikaci GPO). Tohle uz mi trosku neguje smysl implementace 802.1x.

    3. Instalace resit v nejake technicke mistnosti, kde budou porty na switchich bez nutnosti overeni, a pristup zde budou mit jen IT technici.

    Jak tohle resite Vy, respektive jake jsou bezne postupy?


    BB

    pondělí 29. října 2012 11:50

Odpovědi

  • ahoj,

    Ondra Sevecek kdysi napsal peknej clanek na jeho blogu: http://www.sevecek.com/Lists/Posts/Post.aspx?ID=41

    Jinak u nas pouzivame nekolik VLANu, z nichz jedna je instalacni a z te je FA pristup do site. Takze v technicke mistnosti nainstalujeme pc/nb a pak ho po pridani do domeny posleme do sveta (tedy tvuj bod 3). Nevim, jestli je to bezny postup, ale kdysi davno mi to prislo jako nejelegantnejsi reseni ;)

    • Označen jako odpověď Bohdan Bijecek pondělí 29. října 2012 12:59
    pondělí 29. října 2012 12:48

Všechny reakce

  • ahoj,

    Ondra Sevecek kdysi napsal peknej clanek na jeho blogu: http://www.sevecek.com/Lists/Posts/Post.aspx?ID=41

    Jinak u nas pouzivame nekolik VLANu, z nichz jedna je instalacni a z te je FA pristup do site. Takze v technicke mistnosti nainstalujeme pc/nb a pak ho po pridani do domeny posleme do sveta (tedy tvuj bod 3). Nevim, jestli je to bezny postup, ale kdysi davno mi to prislo jako nejelegantnejsi reseni ;)

    • Označen jako odpověď Bohdan Bijecek pondělí 29. října 2012 12:59
    pondělí 29. října 2012 12:48
  • Diky za odpoved.

    Mi to taky prijde jako relativne nejschudnejsi reseni, tedy alespon pro firmu spise mensi velikosti (50 - 100 stanic), o kterou s v tomto pripade jedna.

    Jenom jsem potreboval vedet, jestli nahodou neuvazuju uplne blbe. :o)


    BB

    pondělí 29. října 2012 12:59
  • neni zac, mozna uvazujeme blbe oba ;)

    kdyby jsi jeste neco potreboval vedet, nerikam, ze jsem expert, ale s RADIUSem jsem si uzil celkem dost ;)



    pondělí 29. října 2012 13:15
  • No ja si teprve uzivat zacinam, takze pripadne dalsi dotazy nejsou uplne vylouceny. :o)

    BB

    pondělí 29. října 2012 13:17