802.1x-Computerauthentifizierung mit Hostname anstelle von cert

7

Meine Konfiguration umfasst: Cisco ACS als RADIUS-Server, MS AD-, MS PKI- und Cisco 2960G-Switches. Workstations sind zu 95% XP Pro SP3 vollständig gepatcht, einige 7 Pro sind vollständig gepatcht.
Die automatische Registrierung von Computerzertifikaten ist aktiviert und funktioniert.

Gruppenrichtlinienobjekt fürverdrahtete dot1x-Einstellungen

Resultierende NIC-Einstellungen vom Gruppenrichtlinienobjekt auf der Workstation: Geben Sie hier die Bildbeschreibung ein

Die Portkonfiguration auf den Switches lautet wie folgt:
Switchport-Zugriff vlan 56-
Switchport-Modus Zugriffsauthentifizierungssteuerungsrichtung
in
Authentifizierungsereignis fehlgeschlagene Aktion autorisieren vlan 66-
Authentifizierungsereignisserver tote Aktion vlan 56-
Authentifizierungsereignis neu initialisieren Aktion ohne Antwort autorisieren vlan 66-
Authentifizierungsereignisserver-Aktion aktiv Neuinitialisierung der
Authentifizierung Host-Modus Multi-Auth-
Authentifizierung Port-Control
Verletzung der automatischen Authentifizierung schützen
mab
dot1x pae Authentifikator
Spanning-Tree Portfast

Das Problem, das ich habe, ist, dass Computer beim Booten versuchen, sich mit ihrem Hostnamen und nicht mit ihrem Zertifikat zu authentifizieren. Dies schlägt fehl, aber eine Minute später verwenden sie das Computerzertifikat und die Authentifizierung ist erfolgreich. Die Konfiguration funktioniert (meistens), aber hin und wieder bekomme ich einen Computer (ca. 250 Setup für dot1x), der versucht, sich mit seinem Hostnamen zu authentifizieren, der fehlschlägt und dann stoppt. Wenn ich den kabelgebundenen Autokonfigurationsdienst neu starte, wird er perfekt authentifiziert, aber ein Neustart führt zu einem erneuten Problem.

Geben Sie hier die Bildbeschreibung ein
Es ist auch sehr ärgerlich, dass diese Fehler in den Protokollen angezeigt werden, da ich aufgrund ihrer Häufigkeit keine Warnungen einrichten kann, um mich zu benachrichtigen, wenn ein tatsächlich nicht autorisierter Computer mit dem Netzwerk verbunden wurde. dh zu viele Fehlalarme.

Meine Frage ist, warum die Workstation zuerst versucht, sich mit ihrem Hostnamen zu authentifizieren, wenn ich sie für die Verwendung ihres Computerzertifikats konfiguriert habe.

Auf der drahtlosen Seite funktioniert alles perfekt. Cisco APs und WLCs.

BEARBEITEN * Ich habe einen Hotfix KB957931 gefunden, der angibt, dass XP SP3 den dot1x-Verkehr 20 Minuten lang ignoriert, nachdem eine Authentifizierungsfehlermeldung empfangen wurde. Mit dem Hotfix können Sie einen Registrierungsschlüssel erstellen, um diese zuvor fest codierte Einstellung zu ändern. Ich habe den Patch auf eine Workstation angewendet und die Blockierungszeit auf 1 Minute (das Minimum) geändert. Nach einer Minute authentifiziert sich die Workstation zwar, erneuert jedoch nicht ihre IP-Adresse. Das Warten von einer Minute ist weder ideal noch befasst es sich mit der Erneuerung der IP, sodass ich immer noch mit der ursprünglichen Frage gut zurechtkomme. Warum identifiziert sich die Box mit ihrem Namen anstelle ihres Zertifikats?

UPDATE * 11.01.12 Ich bin heute wieder auf dieses Problem gestoßen und habe mich beim Client umgesehen . Ich habe festgestellt, dass auf der Registerkarte "Authentifizierung" der lokalen Netzwerkverbindung die Einstellungen nicht mehr abgeblendet und geändert wurden, um Kennwörter anstelle von Zertifikaten zu verwenden. Ich weiß, dass beim Booten lokale Gruppenrichtlinien angewendet werden, unabhängig davon, ob der PC zu einer Domäne gehört oder nicht, und ich weiß, dass mein Gruppen-Gruppenrichtlinienobjekt alles überschreibt, was lokal festgelegt wurde. Wenn sich der PC aus irgendeinem Grund nicht authentifizieren kann (in diesem Fall ein Stromausfall des Netzwerkgeräts), werden die Domänenrichtlinien nicht mehr angewendet, und anscheinend werden alle meine Einstellungen geändert. Ich bin nicht sicher, warum sie sich ändern, da nie lokale Gruppenrichtlinienobjekte konfiguriert wurden.

Ich möchte also nicht nur wissen, warum sich PCs mit ihrem Hostnamen identifizieren, bevor sie ihr Zertifikat verwenden, sondern auch eine zweite Frage.

Wie erstelle ich eine lokale Gruppenrichtlinie auf XP-Arbeitsstationen mit den dot1x-Einstellungen (sie fehlen in den verfügbaren Standardvorlagen) und wie kann ich diese auf alle meine Arbeitsstationen übertragen? Ich habe versucht, Sicherheitsvorlagen zu verwenden, aber sie enthalten nicht die Einstellungen, die ich benötige. Ich muss Einstellungen über Computerkonfiguration -> Richtlinien -> Windows-Einstellungen -> Sicherheitseinstellungen -> Systemdienste anwenden. Das letzte Bit fehlt sowohl in lokalen Gruppenrichtlinienobjekten unter XP als auch im SCA-Snap-In.

Es ist zu beachten, dass ich bereits ein Domänen-Gruppenrichtlinienobjekt habe, das einwandfrei funktioniert. Gibt es nicht eine einfache Möglichkeit, dies zu exportieren und als lokales Gruppenrichtlinienobjekt für jede Workstation anzuwenden?

Für die Beantwortung einer der beiden Fragen werden volle Punkte vergeben.

Paul Ackerman
quelle
Gibt es eine Chance, dass Sie einige erfasste Pakete von einem AP zwischen dem mobilen Client und dem Radius-Server erhalten? (am AP wäre ideal) Vielleicht gibt es eine Art Netzwerkengpass, bei dem der Client die RADIUS-Authentifizierung sendet ... aber bevor er die erfolgreiche Authentifizierung zurückerhält ... sendet er den Hostnamen für die Authentifizierung.
TheCompWiz
Wireless funktioniert gut. Das Problem tritt nur im kabelgebundenen Netzwerk auf. Ich habe einige Aufnahmen gemacht und sehe, dass der PC auf EAPOL mit seinem Hostnamen für die Identität reagiert (was fehlschlägt). Auf den meisten Computern antworten sie ungefähr eine Minute später mit ihrem Zertifikat, das dann erfolgreich ist, aber nicht alle tun dies. Die problematischen Workstations reagieren nie wieder und sitzen unbefugt da und tun dies nur einmal alle 2 Wochen. Sehr zufällig und sehr nervig.
Paul Ackerman

Antworten:

1

Ich weiß nicht genau, ob dies die Lösung ist, aber ich denke, dass der Computer beim Neustart versucht, sich "zu früh" vor den anderen Diensten anzumelden, die die Verwendung des Zertifikats anstelle des Zertifikats unterstützen Hostname. Versuchen Sie vielleicht, den Netlogon-Dienst auf "Automatisch (verzögerter Start)" zu setzen?

Ryan Ries
quelle
Ja, das ist ziemlich genau das, was ich gedacht habe, aber ich möchte wirklich wissen, wie dieser Prozess funktioniert und wie ich ihn vermeiden kann, ohne zusätzliche "Wartezeit" zu verursachen. Außerdem scheint ein verzögerter Start in XP (95% meiner Workstations) keine Option zu sein. Gibt es ein Add-On, um dies für XP zu aktivieren? Ich könnte eine Abhängigkeit von einem anderen Dienst erstellen, aber welcher Dienst verarbeitet Zertifikate?
Paul Ackerman
Ich habe den Netlogon-Dienst so geändert, dass er vom Kryptografiedienst abhängt, und das ACS-Protokoll wurde nicht geändert. Es wurde immer noch als Hostname der Box identifiziert und 91 Sekunden später das Zertifikat verwendet. Übrigens sehe ich die Zertifikatsauthentifizierung jedes Mal 91-100 Sekunden später (außer wenn es nie wieder versucht wird).
Paul Ackerman
Wenn dies der Fall ist, suche ich nach einer Dokumentation, die dies unterstützt, damit ich eine Problemumgehung finden kann, da das, was ich versucht habe, nicht ordnungsgemäß funktioniert hat.
Paul Ackerman