Dokumentation. IEEE 802.1x Konfigurations Management. Communication for the open minded. Administrationsanleitung A31003-J4200-M A9

Transkript

1 Dokumentation IEEE 802.1x Konfigurations Management Administrationsanleitung A31003-J4200-M A9 Communication for the open minded Siemens Enterprise Communications

2 Copyright Siemens Enterprise Communications GmbH & Co. KG 2007 Hofmannstr. 51, D München Bestellnummer: A31003-J4200-M A9 Communication for the open minded Siemens Enterprise Communications Die Informationen in dieser Broschüre enthalten lediglich allgemeine Beschreibungen bzw. Leistungsmerkmale, welche im konkreten Anwendungsfall nicht immer in der beschriebenenen Form zutreffen bzw. welche sich durch Weiterentwicklung der Produkte ändern können. Die gewünschten Leistungsmerkmale sind nur dann verbindlich, wenn sie bei Vertragsabschluss ausdrücklich vereinbart werden. Liefermöglichkeiten und technische Änderungen vorbehalten. Die verwendeten Marken sind Eigentum der Siemens Enterprise Communications GmbH & Co. KG bzw. der jeweiligen Inhaber.

3 bktoc.fm Inhalt Inhalt X Authentifizierung für IP Telefone Einführung Was ist 802.1x? Warum ist 802.1x wichtig? Wer braucht 802.1x? Die IEEE 802.1x Authentifizierung der Telefone IEEE 802.1x Einrichten und Anwenden Anschlussübersicht Sicherheit IEEE 802.1X Funktionsweise Überblick EAP-TLS Voraussetzung Freigegebene Features Weiterführende Dokumentation Übersicht der Installation Linux-Lösung unter opensuse Microsoft Lösung mit Windows Server Zertifikate im DLS administrieren Flussdiagramm zur Einführung von IEEE 802.1x Installation unter opensuse Installation von OpenSSL Installation von FreeRADIUS Server Installation von TinyCA Zertifikate erstellen Anforderungen an Zertifikate Regeln für Logon-Namen Root-Zertifikat mit TinyCA2 erstellen Server-Zertifikat mit TinyCA2 erstellen Client-Zertifikat mit TinyCA2 erstellen Zertifikate exportieren FreeRadius Server für EAP-TLS konfigurieren und starten Zertifikate für optipoint und OpenStage Telefone Zertifikats-Formate Einfaches Zertifikat (Client-Zertifikat) im Textformat Installation unter Windows Server Installation des Active Directory Installation der Internetinformationsdienste (IIS) Installation des Zertifizierungsdienstes Auswahl des Zertifizierungs-Typ Zertifizierungsstelle anlegen Installation des Internetauthentifizierungsdienst (IAS) IEEE 802.1x Konfigurations Management, Administrationsanleitung 0-1

4 bktoc.fm Inhalt Anlegen eines Benutzer Kontos im Active Directory Benutzer anlegen Gruppe anlegen Zugriffsrechte im Internet Authentication Service (IAS) festlegen Authenticator als DNS-Host angelegen RADIUS Client erstellen Anlegen des RADIUS-Client und verifizieren der IP Adresse (Switch) Passwort des RADIUS-Client festlegen EAP Konfiguration im IAS EAP-Typ auswählen Installation von Zertifikaten unter Windows XP Installation des Root-Zertifikats Root-Zertifikat überprüfen Exportieren des Root-Zertifikats aus dem Zertifikatsspeicher Installation eines Benutzerzertifikats Überprüfen des Benutzerzertifikats Exportieren des Benutzerzertifikats aus dem Zertifikatsspeicher Zertifikate im DLS administrieren Plug&Play Template Phone bzw. RADIUS Zertifikat importieren Zertifikat entfernen Oberflächenbeschreibung für Zertifikats-Register Plug and Play mit IEEE 802.1X Überblick Testumgebung Telefon auf DHCP einstellen Plug & Play in DLS konfigurieren Plug&Play Profil erstellen DHCP Adressbereich (Scope) Switch-Konfiguration zum Beispiel für Cisco Catalyst Einschränkungen Konfiguration Cisco Konfiguration (verwendeter Port fa0/ Plug & Play Funktion Plug & Play Funktion mit VLAN-Übertragung über DLS Zusammenarbeit zwischen Telefone und PC Beispiel: Telefon hat Zertifikat / PC hat kein Zertifikat Standort-/Netzwerkwechsel Beispiele für Switch-Konfigurationen Switch-Beispiel 1: Cisco Konfiguration Switch-Beispiel 2: Enterasys Matrix N1 Platinum Konfiguration Switch-Beispiel 3: ProCurve Konfiguration IEEE 802.1x Konfigurations Management, Administrationsanleitung

5 bktoc.fm Inhalt Stichwörter I-1 Glossar II-1 Abkürzungen III-1 IEEE 802.1x Konfigurations Management, Administrationsanleitung 0-3

6 bktoc.fm Inhalt 0-4 IEEE 802.1x Konfigurations Management, Administrationsanleitung

7 c01.fm 802.1X Authentifizierung für IP Telefone Einführung X Authentifizierung für IP Telefone 1.1 Einführung Was ist 802.1x? 802.1x dient zur Authentisierung einer Entität (z. B. PC oder Telefon) im Netzwerk. Die Authentisierung erfolgt auf Layer 2 (OSI) und basiert auf der MAC-Adresse der Entität. Diese Entität kann ein Server, PC, Laptop, Drucker oder IP-Telefon sein Warum ist 802.1x wichtig? Der Zugang zu dem Netzwerk wird geregelt. Der Zugang kann mit Hilfe eines Managementsystems auf verschiedene Ressourcen begrenzt und kontrolliert werden. Das Einschleichen von Unbekannten in das Datennetzwerk wird erschwert Wer braucht 802.1x? Alle Unternehmen, die verhindern wollen, dass sich unbekannte Geräte in das Firmennetzwerk einschleichen. Dabei entscheiden wirtschaftliche Gesichtspunkte: Umzugserleichterungen im Datennetzwerk Flexible Office Projektteams, die nur eine bestimme Zeit zusammenarbeiten Gast-Accounts im Datennetzwerk, z. B.: Geschäftspartnern in Unternehmen und administrative Gesichtspunkte: Zuteilung von Netzwerkressourcen Betriebswirtschaftlichen Programmen (SAP) Verwaltung von Gruppen nach Regeln IEEE 802.1x Konfigurations Management, Administrationsanleitung 1-1

8 c01.fm 802.1X Authentifizierung für IP Telefone Die IEEE 802.1x Authentifizierung der Telefone 1.2 Die IEEE 802.1x Authentifizierung der Telefone 802.1x Authentifizierung erfolgt über Digitale Zertifikate und EAP-TLS via RADIUS Server. Start-Zustand / Vorbereitung / Deployment Der Switch erlaubt nur den Erstzugriff auf Telefonmanagementtool (DLS) über ein guest VLAN mit eingeschränktem Zugriff. Das Telefon sieht nur das DLS (IP Adresse wird vom DLS versorgt) und ist an keinem Proxy registriert Das Telefon ist noch nicht am Kunden-Netzwerk angemeldet Der DLS Server lädt die in der CA (Trustcenter) generierten Zertifikate auf das Telefon (User Zertifikat und Server Zertifikat) Ablauf der 802.1x Authentifizierung EAPoL RADIUS Entität (SuppliKant) Switch (Authentifikator) Radius-Server (Authentifizierungs- Server) Der Start der 802.1x Authentifizierung erfolgt durch einen Reboot des Telefons Der Netzwerk-Switch schickt einen 802.1x Request an den Port, wo Telefon und PC (falls vorhanden) angeschlossen sind Telefon und/oder PC antworten auf diesen Request Die gegenseitige Authentifizierung erfolgt mit dem Austausch von Zertifikaten (User Zertifikat und RADIUS Zertifikat); bei Phone und RADIUS Server sind beide Zertifikate verfügbar Die Entität (in diesem Fall das Telefon) darf nur ein 802.1x Request für den Netzwerk- Access aussenden, alle anderen Datenpakete von dieser Entität werden verworfen (EAP Protokoll) 1-2 IEEE 802.1x Konfigurations Management, Administrationsanleitung

9 c01.fm 802.1X Authentifizierung für IP Telefone Die IEEE 802.1x Authentifizierung der Telefone Der Layer 2 Switch schickt die Anfrage weiter zum Radius Server Der RADIUS Server (IAS von MicroSoft, ACS von Cisco oder Free-Radius-Server von Linux) führt ein Zertifikatsvergleich durch; dazu wird eine Datenbank verwendet die z. B. über Active Directory angebunden ist Ist der Zertifikatsvergleich positiv, dann schickt der Radius Server eine Success-Meldung an den Layer 2 Switch Der Layer 2 Switch gibt darauf hin den Port am Switch frei, an dem die authentifizierten Devices angeschlossen sind Damit ist die erstmalige Authentifizierung abgeschlossen Zyklische Re-Authentifizierung ist konfigurierbar über den Switch IEEE 802.1x Konfigurations Management, Administrationsanleitung 1-3

10 c01.fm 802.1X Authentifizierung für IP Telefone Die IEEE 802.1x Authentifizierung der Telefone Ablauf einer vollständigen Authentifizierung mittels EAPoL Entität (Authentifikator) 2. EAPoL-Start Radius-Server 3. EAP-Request/Identity 4. EAP-Response/Identity 5. EAP-Request 6. EAP-Response 7. EAP-Success 4. Radius-Access-Request 5. Radius-Access-Challenge 6. Radius-Access-Request 7. Radius-Access-Accept 8. wird z. B. der PC abgezogen, so erfolgt ein Proxy-EAP-Logoff über das IP-Telefon. Netzzugriff erlaubt Netzzugriff geblockt 1. Der Port zum Benutzersystem ist im unauthorized Zustand, d. h. der Netzwerkzugang wird verwehrt. 2. Die Entität startet den Austausch mit einer EAPoL-Start-Nachricht. 3. Der normale EAP-Austausch beginnt, indem der Authentifikator ein EAP-Request/Identity- Paket schickt. 4. Darauf antwortet die Entität mit einem EAP-Response/Identity, das vom Authentifikator als RADIUS-Access-Request weitergeleitet wird. 1-4 IEEE 802.1x Konfigurations Management, Administrationsanleitung

11 c01.fm 802.1X Authentifizierung für IP Telefone Die IEEE 802.1x Authentifizierung der Telefone 5. Der RADIUS-Server antwortet mit einem RADIUS-Access-Challenge-Paket, das vom Authentifikator unter Auswahl des geeigneten Protokolls mit allen notwendigen Daten an das Benutzersystem übermittelt wird. 6. Dieser wiederum sendet die vom Benutzer eingegebenen Daten als EAP-Response zurück an den Authentifikator, der daraufhin die Ergebnisdaten in das Daten-Feld eines RA- DIUS-Access-Requests verpackt und weiterleitet. 7. Der RADIUS-Server bewilligt den Zugriff mit einem RADIUS-Access-Accept, woraufhin der Authentifikator ein EAP-Success an die Entität versendet und den Port in den authorized Zustand schaltet. Der Entität ist für die Benutzung des Netzwerkes authentifziert und kann auf das Netz zugreifen. 8. Wird z. B. der PC vom der Entität abgezogen, sendet sie ein EAPoL-Logoff an den Authentifikator, der wiederum den Port für den PC in den unauthorized Zustand zurücksetzt, damit sich hier kein fremdes Gerät anschließen kann. > Das Benutzersystem muss nicht zwangsweise eine EAPoL-Start-Nachricht senden. Der Authentifikator kann jederzeit ein EAP-Request/Identity versenden, um die Authentifizierungsdaten auf den neuesten Stand zu bringen. IEEE 802.1x Konfigurations Management, Administrationsanleitung 1-5

12 c01.fm 802.1X Authentifizierung für IP Telefone IEEE 802.1x Einrichten und Anwenden 1.3 IEEE 802.1x Einrichten und Anwenden Anschlussübersicht X wurde erstmals für Wireless LAN (WLAN) eingeführt, um Zugang und Daten über einen Access Point zu schützen. Derselbe Standard wird verwendet, um Zugang zu Endgeräten in einem LAN über einen Access Switch zu sichern. Ein IP-Telefon verwendet das EAPoL-Protokoll bzw. EAP-TLS, das eine auf Zertifikaten basierende Authentifizierung ist. Dieses auf Authentifizierung basierende Zertifikat ( EAP-TLS) ist sicherer als andere Methoden und schließt die Anforderungen eines Endgeräts wie ein Telefon oder ein PC ein. IEEE 802.1x Sicherheit für IP-Netzwerke Anschlußmöglichkeit 1-6 IEEE 802.1x Konfigurations Management, Administrationsanleitung

13 c01.fm 802.1X Authentifizierung für IP Telefone IEEE 802.1x Einrichten und Anwenden Sicherheit IEEE 802.1X Funktionsweise 1 Wichtig: LAN Switch muss " Multi-Domain am Switchport unterstützen. IEEE802.1x ist nicht für Multi- User Authentication konzipiert (Das Verfahren für Port-Zugangskontrolle nimmt an, dass die Ports die es bedient eine Point-to-Point-Verbindung zwischen Supplicant und einem Einzel- Authenticator anbietet. 2 3 Radius Server DLS Asset-DB (z.b. Meta Directory) PKI 1. das IP-Telefon ( Supplicant) wird an das LAN angeschlossen und wird am Switch Port blockiert 2. der LAN-Switch ( Authenticator) verschickt einen EAP Request an das IP-Telefon 3. das IP-Telefon antwortet mit seinem Geräte-Zertifikat über EAP- TLS 4. der LAN-Switch leitet dieses an den Radius Server (Authentifizierungs-Server) weiter, der das Endgerät in der Asset-Datenbank sucht 5. auf Grund der Berechtigungen des Users wird der entsprechende Port am LAN-Switch konfiguriert (VLAN, ToS, etc.) und das IP-Telefon aus seiner Quarantäne entlassen IEEE 802.1x Konfigurations Management, Administrationsanleitung 1-7

14 c01.fm 802.1X Authentifizierung für IP Telefone IEEE 802.1x Einrichten und Anwenden 802.1X ohne Multi-User-Authentifizierung Falls 802.1X Multi-User Authentication nicht unterstützt, gibt es 2 Varianten. 1. Single Host Authentication Nur ein Gerät darf auf das LAN zugreifen, wenn es authentifiziert ist. 2. Multi Host Authentication Ein Gerät lässt sich authentifizieren und öffnet damit den Port für alle weiteren Geräte. Nur die Variante mit dem Single- Host-Authentication ist wirklich sicher Die Variante Multi Host Authentication hat zusätzlich den Nachteil, dass der Port geschlossen wird, wenn das authentifizierte Gerät entfernt wird und die Re-Authentifizierung aktiv ist. 1-8 IEEE 802.1x Konfigurations Management, Administrationsanleitung

15 c01.fm 802.1X Authentifizierung für IP Telefone IEEE 802.1x Einrichten und Anwenden Überblick EAP-TLS Nachstehend der Datenfluß zwischen IEEE 802.1x Komponenten während einer EAP-TLS basierenden Authentifizierung. IP Phone Access Switch RADIUS Server EAPOL-Start EAP-Response/ Identity= opticlient EAP-Request/ Identity RADIUS Access-Request/ EAP-Message/EAP-Response/ Identity= opticlient EAP-Response/ EAP-TYPE=EAP-TLS (TLS client_hello) EAP-Request/ EAP-Type=EAP-TLS (TLS Start, S bit set) RADIUS Access-Request/ EAP-Message/EAP-Response/ EAP-TYPE=EAP-TLS (TLS client_hello) EAP-Request/ EAP-Type=EAP-TLS (TLS server_hello, TLS certificate, TLS server_key_exchange, TLS certificate_request, TLS server_hello_done) RADIUS Access-Challenge/ EAP-Message/EAP-Request/ EAP-TYPE=EAP-TLS RADIUS Access-Challenge/ EAP-Message/EAP-Request/ EAP-TYPE=EAP-TLS (TLS server_hello, TLS certificate, TLS server_key_exchange, TLS certificate_request. TLS server_hello_done) EAP-Response/ EAP-TYPE=EAP-TLS (TLS certificate, TLS client_key_exchange, TLS certificate_verify, TLS change_cipher_spec, TLS finished) RADIUS Access-Request/ EAP-Message/EAP-Response/ EAP-TYPE=EAP-TLS (TLS certificate, TLS client_key_exchange, TLS certificate_verify, TLS change_cipher_spec, TLS finished) EAP-Request/ EAP-Type=EAP-TLS (TLS change_cipher_spec TLS finished) RADIUS Access-Challenge/ EAP-Message/EAP-Request/ EAP-TYPE=EAP-TLS (TLS change_cipher_spec, TLS finished) EAP-Response/ EAP-TYPE=EAP-TLS RADIUS Access-Request/ EAP-Message/EAP-Response/ EAP-TYPE=EAP-TLS EAP-Success RADIUS Access-Accept/ EAP-Message/EAP-Success (other attributes) IEEE 802.1x Konfigurations Management, Administrationsanleitung 1-9

16 c01.fm 802.1X Authentifizierung für IP Telefone IEEE 802.1x Einrichten und Anwenden Voraussetzung IP-Telefone OptiPoint HFA alle Versionen ab Firmware V5 R4.2.0 OptiPoint SIP V6 alle Versionen ab Firmware V6 R OptiPoint SIP V7 alle Versionen ab Firmware V7 R0.9.0 Ist EAPOL-Logoff mit 802.1x nicht eingeschaltet bzw. es gibt keine Zertifikate auf dem Telefon, so gelten folgende Versionen OptiPoint HFA alle Versionen ab Firmware V5 R4.6.0 OptiPoint V7 alle Versionen ab Firmware V7 R1.3.0 OpenStage Modell 20, 40 und OpenStage 60/80 ab Software Release V1 R (FP 4.3) und V0 R (FP 4.4) Access Switch, der 802.1X unterstützt Cisco Catalyst 3560 ProCurve Switch 3500yl (HP) Enterasys Matrix N1 Platinum Nortel Huawei und weitere RADIUS Server der EAP-TLS unterstützt MS IAS Cisco Radius Cisco ACS FreeRadius und weitere Public Key Infrastruktur (PKI) mit einem Zertifizierungsdienst (Certificate Authority bzw. CA) der Zertifikate erstellen und an den RADIUS und den Deployment Server (DLS) verteilen kann. Die IP-Adresse eines NTP-Server muss im Telefon eingetragen sein und es muss gewährleistet sein, dass dieser jederzeit erreichbar ist IEEE 802.1x Konfigurations Management, Administrationsanleitung

17 c01.fm 802.1X Authentifizierung für IP Telefone IEEE 802.1x Einrichten und Anwenden Freigegebene Features Seit 2008 sind folgende Features bei OpenStage SIP und optipoint 410/420 SIP/HFA und seit 2009 diese auch auf OpenStage HFA freigegeben: Support 802.1x (authentication method: EAP-TLS) mit EAPOL-Logoff MAB MAC Authentication Bypass MDA Multi Domain Authentication (Cisco) MUA Multi User Authentication (Enterasys) IEEE 802.1x Konfigurations Management, Administrationsanleitung 1-11

18 c01.fm 802.1X Authentifizierung für IP Telefone IEEE 802.1x Einrichten und Anwenden Weiterführende Dokumentation In der folgenden Tabelle finden Sie einige nützliche Referenzen. Der IEEE-Standard ist einigermaßen verständlich. Die RFCs sind auch relativ einfach beschrieben. IEEE 802.1x standard document IEEE_802.2x_bei_wikipedia EAP standard, RFC 2284 EAP TLS, RFC 2716 One-Time Password, RFC 1938 EAP: IETF draft search page RADIUS, RFC 2865 RADIUS_bei_wikipedia RADIUS Accounting, RFC 2866 RADIUS Tunneling Attributes support, RFC s 2867 RADIUS Tunneling Attributes support, RFC s 2868 RADIUS Extensions, RFC 2869 RADIUS Support for EAP, RFC IEEE 802.1x Konfigurations Management, Administrationsanleitung

19 Übersicht der Installation 2 Um IEEE 802.1x einzuführen sind u. A. folgende Komponenten erforderlich: RADIUS- Server als Authentifizierungs-Server (einschließlich Supplicant wie z. B. PC und Telefon) Server- Root- und Client-Zertifikate 2.1 Übersicht der Installation Der RADIUS-Server kann als Linux-oder Windows Server 2003-Lösung installiert werden. Für die Microsoft-Lösung wird ein Rechner mit einer Windows Server 2003 Enterprise-Version mit den erforderlichen Administration-Tools verwendet. Um zu den Beschreibungen der einzelnen Installationschritte zu verzweigen, können Sie auch das Flussdiagramm zur Einführung von IEEE 802.1x verwenden Linux-Lösung unter opensuse 11.2 Folgende Bearbeitungsschritte sind durchzuführen Installation von OpenSSL auf Seite 2-5 Installation von FreeRADIUS Server auf Seite 2-5 Installation von TinyCA2 auf Seite 2-5 Zertifikate erstellen auf Seite 2-6 FreeRadius Server für EAP-TLS konfigurieren und starten auf Seite 2-16 IEEE 802.1x Konfigurations Management, Administrationsanleitung 2-1

20 Übersicht der Installation Microsoft Lösung mit Windows Server 2003 Installation des Active Directory auf Seite 2-23 Installation der Internetinformationsdienste (IIS) auf Seite 2-32 Installation des Zertifizierungsdienstes auf Seite 2-34 Auswahl des Zertifizierungs-Typ auf Seite 2-35 Zertifizierungsstelle anlegen auf Seite 2-37 Installation des Internetauthentifizierungsdienst (IAS) auf Seite 2-42 Anlegen eines Benutzer Kontos im Active Directory auf Seite 2-45 Benutzer anlegen auf Seite 2-46 Gruppe anlegen auf Seite 2-51 Zugriffsrechte im Internet Authentication Service (IAS) festlegen auf Seite 2-55 Authenticator als DNS-Host angelegen auf Seite 2-56 RADIUS Client erstellen auf Seite 2-59 Anlegen des RADIUS-Client und verifizieren der IP Adresse (Switch) auf Seite 2-60 Passwort des RADIUS-Client festlegen auf Seite 2-61 EAP Konfiguration im IAS auf Seite 2-63 EAP-Typ auswählen auf Seite 2-68 Installation von Zertifikaten unter Windows XP auf Seite 2-73 Installation des Root-Zertifikats auf Seite 2-74 Root-Zertifikat überprüfen auf Seite 2-77 Exportieren des Root-Zertifikats aus dem Zertifikatsspeicher auf Seite 2-77 Installation eines Benutzerzertifikats auf Seite 2-78 Überprüfen des Benutzerzertifikats auf Seite 2-84 Exportieren des Benutzerzertifikats aus dem Zertifikatsspeicher auf Seite Zertifikate im DLS administrieren Plug&Play Template auf Seite IEEE 802.1x Konfigurations Management, Administrationsanleitung

21 Flussdiagramm zur Einführung von IEEE 802.1x 2.2 Flussdiagramm zur Einführung von IEEE 802.1x E A P H a t d e r K u n d e b e r e i t s Z e r t i f i k a t e? N e i n I A S k o n f i g u r i e r e n? J a Is t A c tiv e D ire c to ry b e r e i t s v o r h a n d e n? N e i n I n s t a l l a t i o n v o n A c t i v e D i r e c t o r y N e i n J a J a F r e e R A D I U S k o n fig u rie r e n? J a In s ta lla tio n v o n O p e n S S L L i n u x In s ta lla tio n d e r In te rn e t- i n f o r m a t i o n s d i e n s t e (IIS ) N e i n I n s t a l l a t i o n v o n F r e e R A D I U S f ü r L i n u x In s ta lla tio n d e r Z e r t i f i z i e r u n g s d i e n s t e I n s t a l l a t i o n v o n T i n y C A 2 f ü r L i n u x In s ta lla tio n d e s In te rn e t- a u t h e n t i f i z i e r u n g s - d i e n s t e s ( I A S ) E i n r i c h t e n u n d E x p o r t i e r e n v o n Z e r t i f i k a t e n ; F r e e R A D I U S S e r v e r f ü r L i n u x k o n f i g u r i e r e n E r s t e l l e n e i n e s B e n u t z e r K o n t o s i m A c t i v e D i r e k t o r y Ü b e r g a b e d e r Z e r t i f i k a t e d u r c h d e n K u n d e n E i n r i c h t e n v o n I A S a c c e s s rig h ts fü r d e n A u t h e n t i c a t o r (S w itc h ) A n d e r e n R A D I U S k o n fig u rie r e n? J a I n s t a l l a t i o n e i n e s a n d e r e n R A D I U S E i n r i c h t e n v o n Z e r t i f i k a t e n u n t e r W i n d o w s X P u n d e x p o r t i e r e n d e r Z e r tifik a te N e i n E n d e E s s i n d a l l e b e n ö t i g t e n Z e r t i f i k a t e v o r h a n d e n : S e r v e r c e r t i f i c a t e C l i e n t c e r t i f i c a t e Im p o rtie re n d e r Z e r t i f i k a t e n a c h D L S Für ausführliche Informationen, auf blau gerahmten Shapes klicken. P l u g a n d P l a y m i t Z e r tifik a t R e b o o t d e s T e l e f o n s IEEE 802.1x Konfigurations Management, Administrationsanleitung 2-3

22 Flussdiagramm zur Einführung von IEEE 802.1x Für ausführliche Informationen, auf blau gerahmte Shapes klicken. Is t d a s T e le fo n z e rtifiz ie r t? N e i n K a n n d a s T e le f o n D L S e r r e i c h e n? N e in D e n N e t z w e r k - A d m i n is t r a t o r n a c h e i n e r G a s t - V L A N f r a g e n J a N e in J a J a V L A N - I D e r h a l t e n? R P lu g a n d P la y m it Z e rtifik a t e b o o t d e s T e l e f o n s W a r E A P e rfo lg r e ic h? N e in P o r t i s t g e s c h l o s s e n ; N e t z w e r k p r o b l e m ; R A D I U S i s t n i c h t e r r e i c h b a r ; Z e r t i f i k a t e s i n d n i c h t g ü lt ig E n d e J a W a r S I P R e g i s t r a t i o n e rfo lg r e ic h? N e in S I P T r a c e u n d F e h le r b e h e b u n g E n d e J a E n d e 2-4 IEEE 802.1x Konfigurations Management, Administrationsanleitung

23 Installation unter opensuse Installation unter opensuse 11.2 FreeRADIUS/WinXP Authentication Setup Hier wird beschrieben, wie ein FreeRADIUS Server für TLS und PEAP Authentifizierung erstellt und für Windows XP Clients ( Supplicants) konfiguriert wird (der Server ist für ein Home- oder Test-LAN konfiguriert). Es gibt drei bekannte Dokumentationen über TLS-Authentifizierung mit FreeRADIUS Server: Diese Dokumentationen liefern zwar einen ausgezeichneten Background, sind aber etwas veraltet. Es wird davon ausgegangen, dass Sie die nachfolgend beschriebenen Schritte durchführen, statt die in den oben genannten Dokumenten aufgeführten Anweisungen Installation von OpenSSL In der Regel ist OpenSSL bereits installiert. Sollte das nicht der Fall sein, so installieren Sie die aktuellste Version über die YaST Softwaremanagement indem Sie in dem Suchfeld openssl eingeben und anschließend openssl und openssl-certs markieren Installation von FreeRADIUS Server Installieren Sie die aktuellste Version über die YaST Softwaremanagement indem Sie in dem Suchfeld freeradius eingeben und anschließend freeradius-server markieren Installation von TinyCA2 Installieren Sie die aktuellste Version über die YaST Softwaremanagement indem Sie in dem Suchfeld tinyca2 eingeben und anschließend tinyca2 markieren. > TinyCA2 ist für den Einsatz in einer Testumgebung vorgesehen. Für Enterprise-Anwendungen stehen entsprechende Tools zur Verfügung. Fragen Sie dazu Ihren Switch-Hersteller (z. B. Cisco Secure Access Control Server (ACS) Version 5.1). Jetzt müssen noch die erforderlichen Zertifikate erstellt werden. IEEE 802.1x Konfigurations Management, Administrationsanleitung 2-5

24 Installation unter opensuse Zertifikate erstellen Wen Sie EAP-TLS verwenden, benötigen der Authenfifizierungs-Server und alle Supplicants (Clients) Zertifikate [RFC2459]. Verwenden Sie EAP-TTLS oder PEAP, verlangt nur der Authentifizierungs-Server Zertifikate. Supplicant Zertifikate sind optional. Sie bekommen Zertifikate von einer Zertifizierungsstelle (Certificate Authority CA). Ist keine Zertifizierungsstelle verfügbar, kann OpenSSL verwendet werden, um eigene Zertifikate zu generieren Anforderungen an Zertifikate Folgende Attribute sollten bei der Zertifikatserzeugung berücksichtigt werden: Phone-Zertifikat: X509v3 Extended Key Usage: TLS Web Client Authentication RSA Public Key: (1024 bit) bei Optipoint, (2048) bei OpenStage RADIUS-Zertifikat: RSA Public Key: (2048 bit) X509v3 extensions: X509v3 Key Usage: critical, Digital Signature, Key Encipherment, Key Agreement, Certificate Sign X509v3 Extended Key Usage: TLS Web Server Authentication, TLS Web Client Authentication SubCA-Zertifikat: RSA Public Key: (2048/4096 bit) X509v3 extensions: X509v3 Basic Constraints: critical, CA:TRUE X509v3 Key Usage: critical, Digital Signature, Certificate Sign, CRL Sign RootCA-Zertifikat: RSA Public Key: (2048/4096 bit) X509v3 extensions: X509v3 Basic Constraints: critical, CA:TRUE X509v3 Key Usage: critical, Digital Signature, Certificate Sign, CRL Sign 2-6 IEEE 802.1x Konfigurations Management, Administrationsanleitung

25 Installation unter opensuse Regeln für Logon-Namen Das Zertifikat-Feld Allgemeiner Name muss den Anforderungen von Microsofts Regeln für Logon-Namen bzw. UPN (User Principal Names) entspechen (siehe Bedienungsanleitung MS Windows Server 2003, Internetauthentifizierungsdienst (IAS)). Logon-Namen müssen folgenden Regeln entsprechen Lokale Logon-Namen auf einem Rechner und globale Logon-Namen innerhalb einer Domain müssen eindeutig sein. Logon-Namen können bis zu 104 Zeichen lang sein. Es ist aber nicht zweckmäßig, Logon-Namen zu verwenden, die länger als 64 Zeichen lang sind. Für alle Konten ist ein Microsoft Windows NT 1 Logon-Name vergeben, der auf die ersten 20 Zeichen des Windows 2000 Logon-Namen voreingestellt ist. Der Microsoft Windows NT 1 Logon-Name muss innerhalb einer Domain eindeutig sein. Benutzer, die sich von Windows 2000 Rechnern aus anmelden, können ihren Windows 2000 oder Windows NT 1 Logon-Namen verwenden. Dabei spielt der Domain- Betriebsmodus keine Rolle. Logon-Namen dürfen folgende Zeichen nicht enthalten: " / \ [ ] : ; =, + *? < > Logon-Namen können alle anderen Sonderzeichen einschließlich Leerzeichen, Punkte, Binde- und Unterstriche enthalten. Es ist aber nicht sinnvoll, Leerzeichen in einem Konto-Namen zu verwenden. Client-Rechner, die mit LAN-Kabel verbunden sind: Für die Benutzer- und Computer-Zertifikate dieser Rechner gilt folgendes: Sie müssen einen übereinstimmenden privaten Schlüssen haben. Sie müssen die Client-Authentifizierung EKU (OID " ") enthalten Computer-Zertifikate müssen im lokalen Zertifikatsspeicher des Rechners installiert sein. Computer-Zertifikate müssen in der Eigenschaft Subject Alternative Name den FQDN des mit LAN-Kabel verbundenen Client-Rechners. enthalten. Benutzer-Zertifikate müssen im aktuellen Benutzer-Zertifikatsspeicher installiert sein. Benutzer-Zertifikate müssen in der Eigenschaft Subject Alternative Name den UPN (User Principal Name) des Benutzerkontos enthalten. 1. Version 4.0 oder früher IEEE 802.1x Konfigurations Management, Administrationsanleitung 2-7

26 Installation unter opensuse Root-Zertifikat mit TinyCA2 erstellen Rufen Sie das Programm TinyCA2 auf. Sie erhalten den Dialog Neue CA erstellen. Nachstehend ein Beispiel mit bereits ausgefülltem Dialog: Als Beispiel wurden folgende Werte eingetragen: Name: Verzeichnisname, unter dem das Root-Zertifikat auf der Festplatte gespeichert wird. Sie finden in diesem Verzeichnis auch alle Zertifikate, die mit diesem signiert wurden. Common Name: Ist der eigentliche Name des Zertifikats. Land: Länderkürzel Passwort: Wird immer benötigt, um neue Zertifikate zu signieren Bundesstaat oder Provinz: Lokales Bundesland z. B. BY für Bayern Standort: Lokaler Ort oder Stadt Organisation: Betreffende Firma Organisationseinheit: Z. B. Abteilungs- oder Bereichsname Adresse: Ansprechpartner für Zertifikate Gültigkeit: Gültigkeitsdauer des Zertifikats in Tagen (sollte ggf. dem Beispiel entsprechen) 2-8 IEEE 802.1x Konfigurations Management, Administrationsanleitung

27 Installation unter opensuse 11.2 Schlüssellänge: Empfohlen 4096 Digest: Hash-Verfahren. Auch hier kann das Beispiel SHA-1 übernommen werden. Bestätigen Sie den Dialog mit OK. Zur Überprüfung erhalten Sie folgenden Dialog. Passen Sie ggf. das Feld nscomment an und bestätigen Sie mit OK. Bestätigen Sie anschließende Erfolgsmeldung mit OK. Sie erhalten folgende Liste: IEEE 802.1x Konfigurations Management, Administrationsanleitung 2-9

28 Installation unter opensuse 11.2 Im Register CA werden alle erstellten Root-Zertifikate angezeigt IEEE 802.1x Konfigurations Management, Administrationsanleitung

29 Installation unter opensuse Server-Zertifikat mit TinyCA2 erstellen Jetzt kann das freeradius Server (Client) Zertifikat erstellt werden. Wechseln Sie dazu in das Register Anforderungen. Rufen Sie mit der rechten Maustaste das Kontextmenü auf und klicken Sie auf Neu. Sie erhalten folgenden Dialog: Common Name: Name des Servers z. B. voller DNS-Name. Adresse: Adresse des Verantwortlichen für den Server Passwort: Passwort für den privaten Schlüssel Digest: kann auf Voreinstellung bleiben Algorithmus: Ebenfalls auf Voreinstellung belassen Bestätigen Sie den Dialog mit OK. IEEE 802.1x Konfigurations Management, Administrationsanleitung 2-11

30 Installation unter opensuse 11.2 Wechseln Sie zum Register Anforderungen. Klicken Sie im folgenden Dialog mit der rechten Maustaste auf die Zeile des betreffenden Root-Zertifikats. Wählen Sie in der anschließenden Auswahl Signiere Anforderung (Server). Geben Sie im nachfolgenden Dialog bitte das Passwort des Root-Zertifikats ein und legen Sie eine Gültigkeitsdauer des Zertifikats fest. Die Adresse kann hinzugefügt werden. Falls Sie Zertifikate auch für Windows-Anwendungen einsetzen wollen, achten Sie bitte darauf, dass dieser Dialog das Feld Verwendung des Schlüssels (erweitert) enthält IEEE 802.1x Konfigurations Management, Administrationsanleitung

31 Installation unter opensuse 11.2 In dieses Feld muss die XP Extension eingetragen werden, sonst funktioniert die Authentisierung unter Windows XP nicht. Bestätigen Sie mit OK. Sollte dieses Feld nicht angezeigt werden, so muss noch ein ergänzender Eintrag bei den OpenSSL Einstellungen von TinyCA2 erfolgen. Brechen Sie daher ggf. den vorherigen Dialog ab und klicken Sie in der Menüzeile auf Einstellungen und wählen Sie OpenSSL Konfiguration. Wechseln Sie in das Register Server Zertifikate. Sie sehen folgenden Dialog: Stellen Sie den Wert für Verwendung des Schlüssels (erweitert/extendedkeyusage) auf Frage Benutzer. Diese Einstellung muss analog auch für Client-Zertifikate eingestellt werden. Bestätigen Sie den Dialog mit OK. > Falls es bei der Signierung zu einem Fehler kommen sollte (meist Passwort falsch), sollten Sie TinyCA2 beenden und neustarten. Sie erhalten eine entsprechende Bestätigung. IEEE 802.1x Konfigurations Management, Administrationsanleitung 2-13

32 Installation unter opensuse Client-Zertifikat mit TinyCA2 erstellen Für neue Zertifikate müssen Sie vorher eine neue Anforderung mit neuem Namen erstellen, wie unter Server-Zertifikat mit TinyCA2 erstellen auf Seite 2-11 bereits beschrieben. Bei Signiere Anforderung wählen Sie Signiere Anforderung (Benutzer). Stellen Sie ggf. vorher unter Einstellungen in der OpenSSL Konfiguration im Register Benutzer Zertifikate die Option Verwendung des Schlüssels (erweitert/extendedkeyusage) auf den Wert Frage Benutzer. Falls Sie eine Meldung mit Zertifikat überschreiben bekommen, in der behauptet wird, dass bereits ein Zertifikat mit identischem Namen existiert, brechen Sie bitte den Vorgang ab, starten Sie TinyCA2 neu und wiederholen Sie den Vorgang Zertifikate exportieren 1. Server-Zertifikat Wechseln Sie in das Register Zertifikate. Hier finden Sie das Server- und das Client-Zertifikat. Markieren Sie zuerst das Server-Zertifikat und wählen Sie im Kontext-Menü der rechten Maustaste Zertifikat exportieren. Sie erhalten folgenden Dialog: Tragen Sie einen sinnvollen Namen wie z. B. radius-server-cert.pem in das Feld Datei ein. Speichern Sie die Datei ab. Sie erhalten eine Bestätigung Wechseln Sie anschließend in das Register Schlüssel und verfahren Sie wie beim Zertifikat. Vergeben Sie z. B. einen Namen wie radius-server-key.pem und speichern Sie die Datei ab. Sie erhalten eine Bestätigung. 2. Client-Zertifikat Wechseln Sie wieder in das Register Zertifikate und exportieren Sie das Client-Zertifikat. Als Export-Format wählen Sie PKCS#12. Klicken Sie auf Speichern und füllen Sie den anschließenden Dialog aus. Sie erhalten eine Bestätigung. Der Schlüssel wird bei diesem Format zusammen mit dem Zertifikat gespeichert und muss deshalb nicht separat exportiert werden IEEE 802.1x Konfigurations Management, Administrationsanleitung

33 Installation unter opensuse Root-Zertifikat Um das Root-Zertifikat zu exportieren, wechseln Sie in das Register CA. Da Sie sowohl auf dem Radius Server (Linux) als auch auf dem Client (Windows) ein Root-Zertifikat hinterlegen müssen, benötigen Sie zwei Formate:.pem für Linux.der für Windows Klicken Sie auf die Schaltfläche CA Exportieren (vorletztes Symbol). Exportieren Sie das Root-Zertifikat im pem- und der-format. Sie erhalten jeweil eine Bestätigung. IEEE 802.1x Konfigurations Management, Administrationsanleitung 2-15

34 Installation unter opensuse FreeRadius Server für EAP-TLS konfigurieren und starten Kopieren Sie die erstellten Zertifikate (Root-, Server- und Key-Zertifikat) in das Verzeichnis /etc/raddb/certs. Falls in diesem Ordner noch keine Datei dh1024.pem (Diffie-Hellmann Parameter) existiert, müssen Sie diese noch erstellen. Geben Sie dazu folgenden Befehl ein: openssl dhparam -out dh1024.pem 1024 In der Radius-Konfiguration ( /etc/raddb/radius.conf) ist unter authorize und authenticate EAP bereits vorgesehen. Ändern Sie jetzt die Datei /etc/raddb/eap.conf an den entsprechenden Stellen nach Ihren Erfordernissen ähnlich, wie im nachfolgenden Beispiel vorgegeben: eap { default_eap_type = tls timer_expire = 60 ignore_unknown_eap_types = no cisco_accounting_username_bug = no.... tls { certdir = ${confdir}/certs cadir = ${confdir}/certs private_key_password = private_key_file = ${certdir}/radius-server-key.pem certificate_file = ${certdir}/radius-server-cert.pem CA_file = ${cadir}/siemensca-cacert.pem dh_file = ${certdir}/dh1024.pem random_file = ${certdir}/random fragment_size = 1024 include_length = yes.. Sie können jetzt den Radius-Server mit dem Befehl: radiusd -X & starten (der Parameter X steht für Debug-Modus) IEEE 802.1x Konfigurations Management, Administrationsanleitung

35 Installation unter opensuse Zertifikate für optipoint und OpenStage Telefone Kopieren Sie z. B. über FTP das Client-Zertifikat (im.pkcs#12 Fomat) und das Root-Zertifikat (.der ) auf den vorgesehenen Windows XP Rechner. 1. Root-Zertifikat importieren Doppelklick auf die entsprechende Zertifikatsdatei. Sie erhalten folgenden Dialog: Klicken Sie auf Zertifikat installieren..., anschließend auf Weiter und Fertigstellen. Bestätigen Sie die Sicherheitswarnung. Zur Überprüfung rufenen Sie Systemsteuerung -> Internetoptionen -> Inhalte -> Zertifikate auf. Im Register Vertrauenswürdige Stammzertifizierungsstellen sollte das Root-Zertifikat aufgelistet sein. Zur weiteren Verwendung des Zertifikats müssen Sie es wieder exportieren ( Exportieren des Root-Zertifikats aus dem Zertifikatsspeicher). IEEE 802.1x Konfigurations Management, Administrationsanleitung 2-17

36 Installation unter opensuse Client-Zertifikat importieren Doppelklicken Sie auf die entsprechende Zertifikatsdatei. Der Zertifikatsimport Assistent wird aufgerufen. Ist der Dateiname richtig ausgewählt, klicken Sie auf Weiter. Geben Sie das Kennwort für den Privaten Schlüssen ein, markieren Sie die Option Schlüssel als exportierbar markieren und klicken Sie auf Weiter. Bestätigen Sie auch den nachfolgenden Dialog mit Weiter und schließen Sie den Vorgang mit Fertigstellen ab. Zur Überprüfung rufenen Sie Systemsteuerung -> Internetoptionen -> Inhalte -> Zertifikate auf. Im Register Eigene Zertifikate sollte das Client-Zertifikat aufgelistet sein. Zur weiteren Verwendung des Zertifikats müssen Sie es wieder exportieren ( Exportieren des Benutzerzertifikats aus dem Zertifikatsspeicher) IEEE 802.1x Konfigurations Management, Administrationsanleitung

37 Installation unter opensuse Zertifikats-Formate Das PEM-Format verwendet die Kopf- und Fußzeilen: -----BEGIN CERTIFICATE END CERTIFICATE----- Es akzeptiert auch Dateien mit folgendem Inhalt: -----BEGIN X509 CERTIFICATE END X509 CERTIFICATE----- Trusted Zertifikate haben folgende Zeilen: -----BEGIN TRUSTED CERTIFICATE END TRUSTED CERTIFICATE----- Die Konvertierung in das UTF8-Format unter Verwendung der Namens-Optionen geht davon aus, dass T61-Zeichenketten den ISO Zeichensatz benutzen. Das ist eigentlich nicht korrekt, aber sowohl Netscape und MSIE, als auch viele Zertifikate verwenden es. Obwohl es nicht korrekt ist, ist es wahrscheinlicher, dass die Mehrzahl der Zertifikate richtig angezeigt werden. Die fingerprint -Option nimmt einen Auszug vom DER-verschlüsselten Zertifikat. Das wird gewöhnlich Fingerabdruck genannt. Durch die Eigenschaft von Nachrichten-Auszügen ist der Fingerabdruck eines Zertifikats eindeutig. Man kann also davon ausgehen, dass zwei Zertifikate mit dem gleichen Fingerabruck übereinstimmen. Der Netscape Fingerabdruck verwendet MD5, während MSIE SHA1 verwendet. Die Option - sucht den Betreff (Namen des Betreffs) und die alternative Namenserweiterung des Betreffs. Nur eindeutige -Adressen werden ausgegeben: identische Adressen werden nur einmal ausgegeben. -inform DER PEM NET Diese Parameter legen das Eingabeformat fest. Im Normalfall erwartet der Befehl ein X509- Zertifikat, dies kann sich jedoch ändern, wenn andere Optionen wie -req verwendet werden. Beim DER-Format handelt es sich um die DER-Verschlüsselung des Zertifikats; PEM ist die base64-verschlüsselung der DER-Verschlüsselung, ergänzt durch zusätzliche Kopf- und Fußzeilen. Bei der Option NET handelt es sich um ein obskures, mittlerweile absolutes Netscape Server-Format. Beachten Sie dazu die Abschnitte und der RFC IEEE 802.1x Konfigurations Management, Administrationsanleitung 2-19

38 Installation unter opensuse Einfaches Zertifikat (Client-Zertifikat) im Textformat Beispiel: Certificate: Data: Version: 3 (0x2) Serial Number: 4 (0x4) Signature Algorithm: sha1withrsaencryption Issuer: C=DE, ST=BY, L=Munich, O=Enterprise, OU=Systemtest, CN=enterpriseCA/ Address=kremer@teamone.de Validity Not Before: May 17 12:50: GMT Not After : May 17 12:50: GMT Subject: C=DE, ST=BY, L=Munich, O=Enterprise, OU=Systemtest, CN=benutzerzertifikat/ Address=benutzerzertifikat Subject Public Key Info: Public Key Algorithm: rsaencryption RSA Public Key: (4096 bit) Modulus (4096 bit): 00:de:9e:ac:aa:06:bd:aa:97:2b:a5:aa:44:35:fd: 4c:f0:f0:dc:92:ac:39:14:1d:35:d6:72:db:e1:68: 85:49:e2:e0:79:22:81:34:13:58:5a:df:dc:eb:79: 43:26:7f:16:38:86:75:1d:d4:32:79:c8:5f:04:d2: 3f:77:35:99:be:8f:24:89:93:30:59:ae:e9:e1:14: f4:6f:a8:d2:5b:d3:5d:49:04:f4:14:df:63:49:f5: da:b5:78:27:9b:90:f5:9f:1f:67:ef:60:05:36:08: 2d:39:27:54:92:9b:a1:c5:b5:83:0b:7e:c4:5b:33: 4a:79:af:02:43:9b:2d:e9:61:b1:2e:b0:d2:93:46: 70:52:1a:23:f9:44:17:1c:9e:32:bb:36:2d:75:d6: f6:53:89:0f:14:8c:f0:c7:10:e9:cc:cc:33:1a:e0: e9:a3:a3:96:80:81:78:97:ec:42:40:b0:9d:63:7d: de:4f:d3:ad:7c:0a:ad:73:f2:66:e4:ff:f6:ff:0e: 47:7e:6b:b0:5e:9f:14:23:19:b4:4e:29:7e:d2:b3: 95:c2:c7:89:3f:be:c7:2c:a1:07:b7:76:74:b5:56: bb:81:f1:96:4c:1d:38:67:cc:76:33:7b:7d:d1:2f: fb:e8:d7:9b:63:62:51:0e:5e:1f:70:e9:5e:4b:7b: e4:55:06:aa:c3:45:50:e4:84:29:67:40:98:90:c1: 48:59:c4:01:c8:d6:f2:3a:ca:67:8c:54:e2:14:16: 3b:8f:33:79:39:de:7a:68:77:98:de:34:87:c8:01: b0:b2:09:2b:b3:ab:ff:d8:00:50:cd:40:80:ff:7f: 2-20 IEEE 802.1x Konfigurations Management, Administrationsanleitung

39 Installation unter opensuse b:2f:63:1a:71:4d:12:0e:4a:c4:05:b7:c6:81:67: 63:07:d8:34:97:cf:18:e6:c7:f6:d7:3b:e5:84:0a: 1d:81:82:a4:7b:00:e3:d6:00:e2:b1:d2:c3:70:8d: 54:04:e3:5e:ce:46:7a:3b:57:33:7c:37:ce:9e:1b: 06:20:84:35:6c:fa:bb:8f:08:25:fa:7c:dd:50:de: 66:3e:4f:87:56:ef:1b:5d:c7:a8:8a:57:64:2e:42: f0:37:6e:c5:f4:58:d9:f9:ab:f8:09:7f:dd:30:88: 05:ad:f4:d4:42:05:7d:95:52:1b:c9:58:67:03:72: d1:64:fc:66:64:1c:af:86:17:06:b1:9f:a8:ec:3b: 24:f4:31:d9:15:a6:e0:bb:f2:f4:a4:b4:0e:e4:25: 01:be:cb:ae:be:1e:8f:b2:64:44:96:f0:35:06:02: 4c:09:81:ba:0d:b7:f6:06:c7:af:d2:63:2d:a0:55: 61:2b:11:d5:48:98:79:39:58:35:28:0a:db:81:61: a3:bd:c5 Exponent: (0x10001) X509v3 extensions: X509v3 Basic Constraints: CA:FALSE Netscape Cert Type: SSL Client, S/MIME, Object Signing Netscape Comment: TinyCA Generated Certificate X509v3 Subject Key Identifier: 18:77:51:1F:83:60:D8:09:E3:F9:46:B0:B5:13:63:2A:91:42:BC:F4 X509v3 Authority Key Identifier: keyid:8f:db:7a:d7:97:fe:5e:a6:16:a7:fe:bd:29:b9:f9:c1:a2:a6:f2:10 serial:9a:9d:17:c1:79:c5:7b:ec X509v3 Issuer Alternative Name: X509v3 Subject Alternative Name: benutzerzertifikat X509v3 Key Usage: critical Digital Signature, Key Encipherment X509v3 Extended Key Usage: critical Signature Algorithm: sha1withrsaencryption e0:a1:8e:71:ad:1a:00:6c:50:02:f9:7a:bd:65:93:c4:74:b5: 7e:3d:f8:26:d0:63:5a:92:c5:96:1b:73:25:5c:59:97:cf:31: IEEE 802.1x Konfigurations Management, Administrationsanleitung 2-21

40 Installation unter opensuse 11.2 cd:a6:c6:b0:14:1c:03:40:68:d4:2b:9d:55:de:07:b9:4b:85: 0b:db:60:44:ae:77:c0:cf:00:45:e8:bc:cb:3c:6a:e4:5f:3b: 2b:43:28:df:29:05:ea:eb:6d:b0:1d:61:7f:21:ea:5e:c2:4e: 07:da:8f:7e:f3:f4:b4:80:82:90:56:38:d5:04:ef:24:55:8a: 66:d0:f7:06:54:37:86:87:c5:63:e6:b9:59:53:88:81:fb:cd: 22:1e:61:9f:85:bf:9e:18:e1:94:91:3b:88:9b:19:c1:c6:b0: 8d:90:65:2e:49:41:14:d3:89:0a:eb:1b:97:8a:33:c8:d5:f5: 61:75:3c:30:48:ac:25:3a:dc:ea:b5:26:3c:e7:11:39:75:98: fe:41:52:32:55:1e:de:9b:b5:70:be:af:51:fe:2d:8f:69:64: 36:de:f7:7d:a5:59:6d:e8:3d:02:07:3b:4a:35:87:b3:ae:f0: 1c:2b:d8:50:ea:f6:d8:d5:cf:d3:e7:87:fa:89:8a:82:c2:21: 70:30:88:ba:03:3d:d3:ac:96:f8:cb:ce:b7:d2:83:7e:0e:c3: 35:f7:42:99:46:0b:18:b5:11:28:97:87:5b:b5:8d:ce:6f:b6: c0:2e:87:99:24:08:85:47:79:3d:89:72:dd:c9:de:aa:ff:7e: fd:8e:e2:75:15:ae:d4:54:6c:b3:ba:d5:fc:29:4f:40:4f:08: 34:d8:2d:97:08:2a:78:6e:55:03:3f:6a:a4:d7:4a:e7:1e:e1: 43:38:26:cf:4c:3b:b9:3f:e0:00:7f:43:85:b1:65:68:6f:c5: 08:20:7d:23:a0:32:9c:63:30:bd:c2:58:37:95:d9:2d:2f:1e: eb:fa:bf:59:23:e7:4e:26:a2:26:69:0f:dc:01:e0:bf:33:3f: 86:4f:36:3c:44:c7:02:ed:d5:4a:4e:ac:6a:ee:3b:78:7b:9b: a7:67:ed:41:f1:58:d4:fa:b0:ec:fe:6a:85:c6:ad:a9:2e:ec: d8:cf:7a:42:73:b4:4a:8d:87:8c:6c:c2:81:85:6b:b9:de:95: ba:75:e8:2a:35:38:60:cd:ad:fd:4a:fd:b3:86:9d:5c:9e:4f: 43:7a:5d:3a:9a:72:2d:d3:cb:fc:70:c1:1a:ae:f3:9e:08:d5: 1c:84:99:2a:2f:8f:4b:48:7e:ff:48:81:bf:da:fb:d3:a6:2f: be:3e:26:4e:12:b2:46:e0:02:71:40:ac:3b:51:86:7c:6e:38: 44:f5:d8:43:1a:a5: 2-22 IEEE 802.1x Konfigurations Management, Administrationsanleitung

41 Installation unter Windows Server Installation unter Windows Server 2003 > Dieses Dokument beschreibt die Installation eines gänzlich neuen Servers. Verwenden Sie einen vorhandenen Server, so können die Dialoge von dieser Beschreibung abweichen Installation des Active Directory Wesentlicher Bestandteil des Sicherheitskonzeptes von Windows ist das Active Direktory, in dem die meisten Sicherheitsinformationen abgelegt sind. Dazu gehören z. B.: Authentifizierungsinformationen zu den Benutzern (Benutzerkonten) Informationen über Vertrauenstellungen zwischen einzelnen Windows Domänen Sicherheitsrichtlinien Über diese Funktion wird insbesondere der Zugriff durch Unbefugte auf das System unterbunden. Vertrauensstellungen zwischen Domänen legen fest, wie der Zugriff auf Ressourcen über Domänengrenzen hinweg erfolgen darf. Sicherheitsrichtlinien sind Verhaltensregeln des Systems, nach denen Ressourcen zur Verfügung gestellt werden. Dazu zählen beispielsweise die Begrenzung der Zahl möglicher Anmeldeversuche oder eine Forderung nach Änderung der Benutzerkennwörter in bestimmten Zeitabständen. Die Verfügbarkeit des Active Directorys wird durch Zusammenarbeit aller eingerichteten Domänencontroller einer Windows Domäne gewährleistet. Über die Anwendung und die Eigenschaften des Active Directory gibt es ausführliche Literatur, die Sie bei einschlägigen Anbietern finden (z. B. Suche über Google). Die nachfolgend aufgeführte Beispiel-Installation enthält alle erforderlichen Schritte. Das Active Directory kann mit den Standard-Optionen installiert werden: Start Ausführen Öffnen : dcpromo.exe IEEE 802.1x Konfigurations Management, Administrationsanleitung 2-23

42 Installation unter Windows Server IEEE 802.1x Konfigurations Management, Administrationsanleitung

43 Installation unter Windows Server 2003 IEEE 802.1x Konfigurations Management, Administrationsanleitung 2-25

44 Installation unter Windows Server IEEE 802.1x Konfigurations Management, Administrationsanleitung

45 Installation unter Windows Server 2003 IEEE 802.1x Konfigurations Management, Administrationsanleitung 2-27

46 Installation unter Windows Server IEEE 802.1x Konfigurations Management, Administrationsanleitung

47 Installation unter Windows Server 2003 Achtung: Kennwort nicht vergessen. IEEE 802.1x Konfigurations Management, Administrationsanleitung 2-29

48 Installation unter Windows Server IEEE 802.1x Konfigurations Management, Administrationsanleitung