The Cable GuyIEEE 802.1X-Authentifizierung für Kabelnetzwerke
Joseph Davies
Dieser Artikel basiert auf einer Vorabversion von Windows Server 2008. Die in diesem Artikel enthaltenen Informationen können jederzeit geändert werden.
Aufgrund der zunehmenden Beliebtheit der IEEE 802.1X-Authentifizierung für IEEE 802.11-Drahtlosnetzwerke möchten Netzwerkadministratoren diesen Standard auch für ihre Kabelnetzwerkverbindungen verwenden. Ein Drahtlosclient muss einen Satz von Anmeldeinformationen senden, die überprüft werden, bevor erlaubt wird, Drahtlosframes an das Intranet weiterzuleiten.
Aus demselben Grund muss ein IEEE 802.1X-Kabelclient eine Authentifizierung durchführen, bevor er seinen Switchport verwenden kann. Die IEEE 802.1X-Authentifizierung stellt eine zusätzliche Sicherheitsbarriere für Ihr Intranet bereit, mit der Sie verhindern können, dass Gastcomputer, nicht autorisierte Computer oder nicht verwaltete Computer, die keine erfolgreiche Authentifizierung durchführen können, eine Verbindung zu Ihrem Intranet herstellen können.
Die IEEE 802.1X-Authentifizierung wird von Ihren Kabelswitches wahrscheinlich bereits unterstützt und muss lediglich aktiviert und konfiguriert werden. Zur Authentifizierung und Autorisierung einer Kabelverbindung verwenden 802.1X-fähige Switches in der Regel das RADIUS-Protokoll (Remote Authentication Dial-In User Service), um Verbindungsanforderungsinformationen an einen RADIUS-Server wie z. B. einen auf Windows Server® 2008 basierenden Netzwerkrichtlinienserver (Network Policy Server, NPS) oder einen auf Windows Server 2003 basierenden IAS-Server (Internet Authentication Service, Internetauthentifizierungsdienst) zu senden.
Nachdem Sie Ihre Switches für RADIUS konfiguriert haben, aber noch bevor Sie eine 802.1X-Authentifizierung erforderlich machen, müssen Sie auf Ihren Kabelnetzwerkcomputern die 802.1X-Authentifizierung aktivieren und konfigurieren. Die IEEE 802.1X-Authentifizierung für Kabelnetzwerkverbindungen wird in Microsoft® Windows® seit Windows XP unterstützt. Sie müssen jedoch 802.1X-Authentifizierungseinstellungen in Windows XP und Windows Server 2003 auf jedem einzelnen Kabelclient manuell konfigurieren (über die Registerkarte „Authentifizierung“ für die Eigenschaften einer Netzwerkverbindung im Ordner „Netzwerkverbindungen“). Leider gibt es keine Möglichkeit, 802.1X-Kabelnetzwerkeinstellungen für diese älteren Betriebssysteme zentral zu konfigurieren oder Skripte für sie zu erstellen.
Glücklicherweise wird durch die Unterstützung von Kabelnetzwerkeinstellungen in der Gruppenrichtlinie und die Unterstützung der Skripterstellung mit dem Netsh-Tool in Windows Vista® und Windows Server 2008 die Bereitstellung von 802.1X-Kabelnetzwerkeinstellungen beträchtlich vereinfacht.
Kabelnetzwerkeinstellungen in der Gruppenrichtlinie
Verwenden des Diensts für die automatische Konfiguration von Kabelnetzwerken
In Windows XP und Windows Server 2003 wird das 802.1X-Verhalten von Kabelverbindungen durch den konfigurationsfreien Dienst für drahtlose Verbindung gesteuert. Unter diesen Betriebssystemen war dieser Dienst standardmäßig aktiviert, und Kabelnetzwerkverbindungen wurden in einen passiven Empfangsmodus geschaltet, wobei sie darauf warteten, dass der Switch die Authentifizierung initiiert.
In Windows Vista und Windows Server 2008 dagegen wird das 802.1X-Verhalten von Kabelverbindungen durch den Dienst für die automatische Konfiguration von Kabelnetzwerken gesteuert, der allerdings standardmäßig deaktiviert ist. Deshalb wird die Registerkarte „Authentifizierung“ für die Eigenschaften von Netzwerkverbindungen erst angezeigt, wenn der Dienst für die automatische Konfiguration von Kabelnetzwerken gestartet wurde.
Bei einem einzelnen Kabelclient, auf dem Windows Vista oder Windows Server 2008 ausgeführt wird, können Sie das Dienste-Snap-In verwenden, um den Dienst für die automatische Konfiguration von Kabelnetzwerken zu starten und ihn für automatischen Start zu konfigurieren. Wenn der Dienst für die automatische Konfiguration von Kabelnetzwerken gestartet wird, arbeiten die Kabelnetzwerkverbindungen in einem aktiven Empfangsmodus, in dem die Netzwerkverbindung versucht, die Authentifizierung mit dem Switch zu initiieren.
In einer Active Directory-Domäne können Sie mit der Gruppenrichtlinie den Dienst für die automatische Konfiguration von Kabelnetzwerken für automatischen Start konfigurieren. Konfigurieren Sie mit dem Snap-In für den Gruppenrichtlinienverwaltungs-Editor die Einstellung „Computerkonfiguration“ | „Windows-Einstellungen“ | „Sicherheitseinstellungen“ | „Systemdienste“ | „Automatische Konfiguration (verkabelt)“ für den automatischen Startmodus.
Zum Zentralisieren und Automatisieren der Konfiguration von Kabelnetzwerkeinstellungen unterstützen die Active Directory®-Domänendienste von Windows Server 2008 und Windows Server 2003 Kabelrichtlinieneinstellungen in der Gruppenrichtlinie. Diese Einstellungen ermöglichen Ihnen, als Teil der Gruppenrichtlinie „Computerkonfiguration“ für ein domänenbasiertes Gruppenrichtlinienobjekt Kabelnetzwerkeinstellungen zu konfigurieren.
Mit diesen Kabelrichtlinieneinstellungen können Sie für Kabelclients, auf denen Windows Server 2008 oder Windows Vista ausgeführt wird, die Authentifizierungsmethode und andere 802.1X-Einstellungen festlegen. Beim Beitreten zur Domäne, beim Hochfahren des Computers oder von Zeit zu Zeit nach dem Starten laden diese Betriebssysteme automatisch die Kabelnetzwerkeinstellungen der Gruppenrichtlinie herunter und wenden sie an. Beachten Sie, dass eine Active Directory-Domäne von Windows Server 2003 erweitert werden muss, um diese neuen Richtlinien zu unterstützen. Informationen dazu, wie eine Active Directory-Domäne von Windows Server 2003 erweitert wird, finden Sie unter technet.microsoft.com/bb727029.
Die Kabelnetzwerkrichtlinien können im Snap-In für den Gruppenrichtlinienverwaltungs-Editor über den Knoten „Computerkonfiguration“ | „Windows-Einstellungen“ | „Sicherheitseinstellungen“ | „Richtlinien für verkabelte Netzwerke (IEEE 802.3)“ konfiguriert werden. Standardmäßig sind keine Richtlinien für Kabelnetzwerke (IEEE 802.3) festgelegt. Um eine neue Richtlinie zu erstellen, klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf „Richtlinien für verkabelte Netzwerke (IEEE 802.3)“, und klicken Sie anschließend auf „Eine neue Windows Vista-Richtlinie erstellen“.
Das Dialogfeld „Eigenschaften“ einer Windows Vista-Kabelnetzwerkrichtlinie besteht aus einer Registerkarte „Allgemein“ und einer Registerkarte „Sicherheit“. Abbildung 1 zeigt die Standardregisterkarte „Allgemein“. Auf der Registerkarte „Allgemein“ können Sie einen Namen und eine Beschreibung für die Richtlinie konfigurieren und außerdem festlegen, ob der Dienst für die automatische Konfiguration von Kabelnetzwerken verwendet werden soll, der das 802.1X-Verhalten von Kabelverbindungen steuert. Weitere Informationen finden Sie in der Randleiste „Verwenden des Diensts für die automatische Konfiguration von Kabelnetzwerken“ dieses Artikels.
Abbildung 1** Die Standardregisterkarte „Allgemein“ einer Windows Vista-Kabelnetzwerkrichtlinie **
Abbildung 2 zeigt die Standardregisterkarte „Sicherheit“ für eine Windows Vista-Kabelnetzwerkrichtlinie. Auf der Registerkarte „Sicherheit“ können Sie die 802.1X-Authentifizierung aktivieren oder deaktivieren, die EAP-Authentifizierungsmethode (Extensible Authentication-Protokoll) auswählen und konfigurieren, den Authentifizierungsmodus („Benutzerneuauthentifizierung“, „Nur Computer“, „Benutzerauthentifizierung“ oder „Gastauthentifizierung“) auswählen sowie die Anzahl von Authentifizierungsversuchen bis zum Abbruch des Authentifizierungsvorgangs konfigurieren und angeben, ob Benutzerinformationen für spätere Verbindungen zwischengespeichert werden sollen. Wenn Zwischenspeicherung deaktiviert ist, entfernt Windows die Anmeldeinformationsdaten des Benutzers aus der Registrierung, sobald sich der Benutzer abmeldet. In diesem Fall wird der nächste Benutzer, der sich anmeldet, zur Eingabe seiner Anmeldeinformationen (wie z. B. Benutzername und Kennwort) aufgefordert.
Abbildung 2** Die Standardregisterkarte „Sicherheit“ einer Windows Vista-Kabelnetzwerkrichtlinie **
Wenn Sie auf der Registerkarte „Sicherheit“ auf die Schaltfläche „Erweitert“ klicken, können Sie erweiterte Einstellungen für 802.1X und einmaliges Anmelden konfigurieren. Abbildung 3 zeigt das Standarddialogfeld „Erweiterte Sicherheitseinstellungen“ für eine Windows Vista-Kabelnetzwerkrichtlinie. Im Dialogfeld „Erweiterte Sicherheitseinstellungen“ können Sie die in Abbildung 4 gezeigten 802.1X-Einstellungen konfigurieren.
Figure 4 802.1X-Einstellungen im Dialogfeld „Erweiterte Sicherheitseinstellungen“
| Einstellung | Beschreibung |
| Max. EAPOL-Start-Meldungen | Die Anzahl aufeinanderfolgender EAPOL-Startnachrichten (EAP over LAN), die gesendet werden, wenn auf die anfänglichen EAPOL-Startnachrichten keine Antwort empfangen wird. |
| Wartezeitraum | Das Zeitintervall zwischen der erneuten Übertragung von EAPOL-Startnachrichten, wenn auf die zuvor gesendete EAPOL-Startnachricht keine Antwort empfangen wird. |
| Startzeitraum | Der Zeitraum, in dem der authentifizierende Client keine 802.1X-Authentifizierungsaktivität durchführt, nachdem er vom Authentifikator eine Authentifizierungsfehlermeldung empfangen hat. |
| Authentifizierungszeitraum | Die Wartezeit, die der authentifizierende Client verstreichen lässt, bevor er 802.1X-Anforderungen erneut überträgt, nachdem eine End-to-End-802.1X-Authentifizierung initiiert wurde. |
| EAPOL-Startmeldung | Zeitpunkt, zu dem der Kabelclient die EAPOL-Startnachricht sendet. |
Abbildung 3** Das Standarddialogfeld „Erweiterte Sicherheitseinstellungen“ für eine Windows Vista-Kabelnetzwerkrichtlinie **
Kabelclients, auf denen Windows Server 2008 ausgeführt wird, unterstützen einmaliges Anmelden für Kabelverbindungen. Dieses Feature ist auch für die bevorstehende Version von Windows Vista Service Pack 1 geplant. Weitere Informationen finden Sie online unter technetmagazine.com/issues/2007/11/CableGuy.
Es gibt Einstellungen für einmaliges Anmelden zur Durchführung der benutzerbasierten 802.1X-Authentifizierung vor oder nach dem Benutzeranmeldeprozess sowie zur Angabe des Zeitintervalls, innerhalb dessen die benutzerbasierte 802.1X-Authentifizierung abgeschlossen sein muss, bevor der Benutzeranmeldeprozesses beginnt. Sie können auch festlegen, ob die Dialogfelder für die benutzerbasierte Authentifizierung über die Konsolidierung der Eingabefelder im Windows-Anmeldebildschirm hinaus angezeigt werden sollen. Wenn zum Beispiel ein EAP-Typ erfordert, dass ein Benutzer das Zertifikat bestätigt, das vom RADIUS-Server während der Authentifizierung gesendet wird, kann der EAP-Typ das Dialogfeld anzeigen.
Darüber hinaus können Sie festlegen, dass das System nach Durchführen der benutzerbasierten Authentifizierung eine Erneuerung des Dynamic Host Configuration-Protokolls (DHCP) der TCP/IP-Konfiguration des Kabeladapters initiieren soll. Wählen Sie diese Option aus, falls separate virtuelle LANs (VLANs) für computer- und benutzerbasierte authentifizierte Kabelclients vorhanden sind und falls es sich bei diesen VLANs um unterschiedliche IPv4- oder IPv6-Subnetze handelt.
Unterstützung für Skripterstellung mit dem Netsh-Tool
Windows Server 2008 und Windows Vista unterstützen Befehle im Netsh-LAN-Kontext des Netsh-Tools, mit denen Sie Kabelnetzwerkeinstellungen konfigurieren oder ein Kabelnetzwerkprofil (eine mit einem Namen versehene Gruppe von Kabelnetzwerkeinstellungen im XML-Format) exportieren oder importieren können. Durch die Befehlszeilenkonfiguration von Kabelnetzwerkeinstellungen können Sie Kabelnetzwerke einfacher bereitstellen, indem Sie automatisierte Skripts für Kabelnetzwerkeinstellungen erstellen, ohne die Gruppenrichtlinie zu verwenden. Die über „Richtlinien für verkabelte Netzwerke (IEEE 802.3)“ festgelegten Gruppenrichtlinieneinstellungen sind nur in der Active Directory-Domäne gültig. In einer Umgebung ohne Gruppenrichtlinieninfrastruktur kann ein Skript für die Automatisierung der Konfiguration von Kabelverbindungen mit einem Kabelprofil entweder manuell oder automatisch ausgeführt werden, z. B. als Teil des Anmeldeskripts.
Wenn Sie eine Befehlszeilenkonfiguration von Kabelclients vornehmen möchten, auf denen Windows Vista oder Windows Server 2008 ausgeführt wird, führen Sie Netsh-LAN-Befehle mit den entsprechenden Parametern aus. So wird beispielsweise durch den folgenden Befehl für die Netzwerkverbindung namens „LAN-Verbindung“ einmaliges Anmelden aktiviert und dafür konfiguriert, vor der Benutzeranmeldung eine Benutzerauthentifizierung durchzuführen:
netsh lan set profileparameter interface="Local Area Connection" ssomode=prelogon
Weitere Informationen zur Syntax von Netsh-LAN-Befehlen finden Sie unter technet.microsoft.com/aa905084.
Kabel-XML-Profile können mit dem Netsh-Tool von einem Kabelclient, auf dem Windows Server 2008 oder Windows Vista ausgeführt wird, exportiert und danach in einen Windows Server 2008- oder Windows Vista-Kabelclient importiert werden. Verwenden Sie zum Exportieren eines Kabelprofils den Befehl „netsh lan export profile“. Wenn Sie ein Kabelprofil importieren möchten, verwenden Sie den Befehl „netsh lan add profile“. Einige nützliche Beispiele für Kabelprofile finden Sie unter msdn2.microsoft.com/aa816372.
Durch Befehlszeilen- und XML-Profil-Unterstützung können Sie einen Kabelclient in das mit 802.1X-Authentifizierung arbeitende Kabelnetzwerk der Organisation einbinden. Ein Kabelclientcomputer, der kein Mitglied der Domäne ist, kann über Computeranmeldeinformationen keine Verbindung mit dem Kabelnetzwerk herstellen. Außerdem kann ein Computer der Domäne nicht beitreten, solange keine erfolgreiche Verbindung mit dem Kabelnetzwerk aufgebaut wurde. Die Befehlszeilen- und XML-Profil-Unterstützung ermöglicht jedoch einem Kabelcomputer, mit Benutzeranmeldeinformationen eine Verbindung zum Kabelnetzwerk einer Organisation herzustellen und danach den Computer mit der Domäne zu verknüpfen. Weitere Informationen finden Sie unter technet.microsoft.com/bb727031.
Joseph Daviesist technischer Redakteur bei Microsoft und lehrt und schreibt seit 1992 über Themen im Bereich der Windows-Netzwerke. Er hat fünf Bücher für Microsoft Press verfasst und ist der Autor der monatlich erscheinenden TechNet-Rubrik „The Cable Guy“.
© 2008 Microsoft Corporation und CMP Media, LLC. Alle Rechte vorbehalten. Die nicht genehmigte teilweise oder vollständige Vervielfältigung ist nicht zulässig.