123106
Oct 05, 2020, updated at Oct 07, 2020 (UTC)
1294
9
0
DOT1X-Zertifizierung vor dem Windows-Start
Hallo,
beim Ablauf einer DOT1X-Zertifizierung habe ich ein Verständnisproblem: Unsere Windows-Clients sind per GPO mit Client-Zertifikaten versehen (die ich mir im lokalen Zertifikatsspeicher anzeigen lassen kann). Die Authentifizierung an der Cisco ISE funktioniert auch einwandfrei, wie ich beim Einschalten eines Clients am Switchport sehe (Befehl "show authentication session interface..."). Es dauert zwei bis drei Sekunden, dann meldet der Switch-Port eine erfolgreiche Authentifizierung. Zu diesem Zeitpunkt jedoch ist der soeben eingeschaltete PC vielleicht gerade mal aus dem Prozess des Initialisierens heraus und kann eigentlich noch kein Zertifikat aus dem Windows-Zertifikatsspeicher herausgegeben haben.
Meine Frage wäre also: Wie gelangt ein Zertifikat aus dem Windows-Zertifikatsspeicher zum Authentifizierungs-Server, bevor Windows gestartet ist?
Ist mit Sicherheit ein Denkfehler meinerseits - wer kann Licht ins Dunkel bringen?
Vorab vielen Dank und Gruß
Stefano
beim Ablauf einer DOT1X-Zertifizierung habe ich ein Verständnisproblem: Unsere Windows-Clients sind per GPO mit Client-Zertifikaten versehen (die ich mir im lokalen Zertifikatsspeicher anzeigen lassen kann). Die Authentifizierung an der Cisco ISE funktioniert auch einwandfrei, wie ich beim Einschalten eines Clients am Switchport sehe (Befehl "show authentication session interface..."). Es dauert zwei bis drei Sekunden, dann meldet der Switch-Port eine erfolgreiche Authentifizierung. Zu diesem Zeitpunkt jedoch ist der soeben eingeschaltete PC vielleicht gerade mal aus dem Prozess des Initialisierens heraus und kann eigentlich noch kein Zertifikat aus dem Windows-Zertifikatsspeicher herausgegeben haben.
Meine Frage wäre also: Wie gelangt ein Zertifikat aus dem Windows-Zertifikatsspeicher zum Authentifizierungs-Server, bevor Windows gestartet ist?
Ist mit Sicherheit ein Denkfehler meinerseits - wer kann Licht ins Dunkel bringen?
Vorab vielen Dank und Gruß
Stefano
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 610365
Url: https://administrator.de/contentid/610365
Printed on: April 19, 2024 at 17:04 o'clock
9 Comments
Latest comment
Der Domänenadmin hat vorausschauend agiert und die richtige Gruppenrichtlinie gesetzt:
https://www.heise.de/ct/artikel/Windows-Rechner-zu-schnell-fuer-die-Doma ...
https://www.heise.de/ct/artikel/Windows-Rechner-zu-schnell-fuer-die-Doma ...
Hallo,
wie ist der der Output von
brammer
wie ist der der Output von
show authentication session interfacebrammer
und kann eigentlich noch kein Zertifikat aus dem Windows-Zertifikatsspeicher herausgegeben haben.
Woher stammt deine Behauptung? Hast du im Bootprozess schwarz auf weiß gesehen welche DLLs schon geladen wurden, oder ist das nur wieder eine "Vermutung"? Ist es ein Computer oder User-Zertifikat? Auf Computer-Zertifikate hat Windows schon sehr früh im Bootvorgang Zugriff und kann damit die Netzwerkschnittstelle schon sehr zeitig freischalten, noch bevor der Login-Screen überhaupt erst erscheint.
Statt mal zu messen und sich parallel zum aktivierten Dot1x Debugging auf dem Cisco Switch auch den Radius Requests des Switches mit dem Client Port mal mit dem Wireshark anzusehen kann man natürlich auch ein Administrator Forum fragen.
Ein Debug und der Wireshark Trace hätten es sofort wasserdicht beantwortet.... Vermutlich ist Winblows schneller als der TO denkt.
Ein Debug und der Wireshark Trace hätten es sofort wasserdicht beantwortet.... Vermutlich ist Winblows schneller als der TO denkt.
Woher stammt deine Behauptung?
Aus Düsseldorf.
Hast du im Bootprozess schwarz auf weiß gesehen welche DLLs schon geladen wurden...
Hmm, unsere Windows-Systeme zeigen sowas nicht an.
...oder ist das nur wieder eine "Vermutung"?
Steht im Text, gebe hier aber gerne Hilfestellung.
Ist es ein Computer oder User-Zertifikat?
Ein Computer-Zertifikat.
...schon sehr zeitig freischalten, noch bevor der Login-Screen überhaupt erst erscheint.
NOCH VOR DEM LOGIN-SCREEN??? NEIIIN! SAG BLOSS! Also das hätte ich ja wirklich nicht gedacht. Tolles System.
Also ich stehe übrigens auch immer zeitig auf - vielleicht unterhalten wir uns lieber darüber.
Ah OK verstehe , Troll der keine Antwort will, auch nicht schlecht, na denn Prost mit dem Gesöff aus Duseldorf.
Statt mal zu messen und sich parallel zum aktivierten Dot1x Debugging auf dem Cisco Switch auch den Radius Requests
des Switches mit dem Client Port mal mit dem Wireshark anzusehen kann man natürlich auch ein Administrator Forum fragen.
des Switches mit dem Client Port mal mit dem Wireshark anzusehen kann man natürlich auch ein Administrator Forum fragen.
Entschuldige Kollege, ich wusste nicht, dass das hier ein Treffpunkt für Arschlöcher ist. Gibt es eigentlich Fragen, für die ihr euch nicht zu schade fühlt und mit "Miss doch selber nach" beantwortet?
Was für eine Freakshow deprivierter Nerds!? Welcome to Germany.
Ah OK verstehe , Troll der keine Antwort will, auch nicht schlecht, na denn Prost mit dem Gesöff aus Duseldorf.
Du hast nicht geantwortet, sondern Zeit verschwendet und CO2 produziert.
Kann wohl in den Papierkorb !!
TO hat sich abgemeldet und kein Interesse mehr an einer zielführenden Hilfe !
TO hat sich abgemeldet und kein Interesse mehr an einer zielführenden Hilfe !
