Skip to content

EAP-TLS-Authentifizierung mit Organisationszertifikatsserver

MCSE EAP-TLS ist Extensible Authentication Protocol over Tunneled Transport Layer Security. Es geht dabei um ein Protokoll zur Authentifizierung von Clients, das dabei auch auf RADIUS-Server zurückgreifen kann.

Dazu wird auf Transport Layer Security Protocol (als TLS im RFC 2246 spezifizierte Weiterentwicklung von SSL) aufgesetzt. Mit TLS kann der Client sich per Public-Key authentifizieren. Aber:Alle anderen Methoden lassen sich auch verwenden, er meldet sich dann anonym an und auf Applikationslevel erfolgt dann die eigentliche Anmeldung, wie beispielsweise bei einem Webserver.

Mit einem eigenem Zertifikatsserver kann man seine Datenübertragung absichern, allerdings können die Zertifikate extern nicht überprüft werden.
Zertifikatsserver mit Win2003 Server einrichten

Bei Verwendung von EAP-TLS wird der gesamte Datenverkehr mit einer End-to-End Verschlüsselung gesichert und die Anmeldeinformationen werden nicht als Teil des Authentifizierungsprozesses über das Internet übertragen.

Internet Authentication Service (IAS) Serverdienst

MCSE Die Microsoft-Umsetzung von RADIUS ist der IAS-Serverdienst:
http://de.wikipedia.org/wiki/RADIUS

Man kann damit die Authentifizierung für mehrere VPN- bzw. Einwahlserver an zentraler Stelle durchführen. Es wird nur ein IAS-Server (im Rest der Welt: RADIUS-Server) benötigt und z.B. alle Einwahlkunden eines Providers oder VPN-Verbindung externer Mitarbeiter können dann so authentifiziert werden.

Ein Satz RAS-Richtlinien kann für das gesamte Unternehmen zentralisiert werden. Wenn ein RRAS-Server für die RADIUS-Authentifizierung konfiguriert ist, werden statt der der auf dem RAS-Server gespeicherten RAS-Richtlinien die auf dem IAS-Server gespeicherten RAS-Richtlinien verwendet.

Der IAS-Server muss kein zusätzlicher physikalischer Server sein, sondern kann zusätzlich zu einem VPN-Server installiert werden. Auf jedem VPN-Server ist dann noch ein RADIUS-Client erforderlich.

Active Directory Service Interface (ADSI)

MCSE Der Active Directory Service Interface (ADSI) ist eine COM-Komponente von Microsoft. Man kann damit Skripte erstellen um Daten von NT 4.0, Novell NetWare und Directory Service sowie LDAP (v3) zu konvertieren oder mit eine Skript tausende von Benutzern auf einmal anzulegen.
ADSI (Active Directory Service Interfaces) Scriptomatic

Für die Migration von NT-Domains mit Benutzern und Ressourcen wird man aber eher das ADMT verwenden.

Migration der Benutzerkonten von Unix in Active Directory

MCSE "ldifde.exe" kann zum Exportieren und Importieren von Daten verwendet werden und ermöglicht die Durchführung von Batchvorgängen wie Hinzufügen, Ändern und Löschen von Daten in Active Directory.

Damit kann man auch Benutzerkonten aus einer Textdatei, die auf dem Unix-System erstellt wurde, in in das Active Directory migrieren.

Die Passwörter benötigen eine Sonderbehandlung und können nicht migriert werden: Man muss alle Benutzerkonten mit dem gleichen, komplexen Kennwort ausstatten und sicherstellen, dass die Kennwörter bei der ersten Anmeldung geändert werden müssen.

Windows NT PDC durch neuen DC mit AD ersetzen

MCSE Wenn ein neuer Windows Server 2003 in ein Netzwerk gebracht werden soll, geht man am besten so vor: Der neue DC wird mit Windows NT als BDC installiert und dann als PDC hochgestuft. Der alte PDC wird dann automatisch zum BDC heruntergestuft und muss dann aus dem Netz genommen werden.

Erst nun kann der Primary Domain Controller (PDC) auf Windows Server 2003 aktualisiert werden. Dabei bleiben die Vertrauensstellungen allerdings weiterhin Windows NT 4.0-Vertrauensstellungen, daher sollten alle Vertrauensstellungen gelöscht und neu erstellt werden.
tweetbackcheck