![]() |
|
IT и Связь Обсуждение "айтишных" вопросов и средств связи |
![]() |
|
Опции темы | Опции просмотра |
![]() |
#1 |
Заслуженный Участник
|
![]()
Привет всем. Собственно настроил MAC based authentication для устройств не поддерживающих 802.1x Но вот засада. Win IAS может аутентифицировать эти хосты только если найдёт account v Active Directory где вместо имени: МАС адрес каждого хоста. Проблема в том что и пароль тоже требует идентичный логину.
Эту дыру в security я не желаю оставлять открытой. Вопрос: Есть ли варианты безопасной аутентикации мак хостов с IAS прежде чем я начну искать другой radius server? мысли в слух: 1. Может как-то ограничить authentication этих мас хостов только с IAS IP адреса? 2. Есть какой нить плагин который позволит закинуть туда список МАСов и ткнуть IAS radius в эту таблицу вместо Active directory? Последний раз редактировалось vova7777, 11.03.2011 в 08:23. |
![]() |
![]() |
Зарегистрируйтесь или войдите под своим именем, чтобы спрятать этот рекламный блок |
![]() |
#4 |
Заслуженный Участник
|
![]()
Чувствую далеко я забрёл. В интернете максимум 2-3 человека реально понимали о чём идёт речь и давали ответы. Вообшем после нескольких дней моего research..
Вот несколько вариантов усиления безопасности такой системы(может пригодится кому): 1) Cisco switch который аутентицирует мак хосты via 802.1x посылает их в IAS как user and password = МАC address. Изменить это походу не возможно. Абыдна да? 2) В Win2k3 Можно также ensure that the MAC Addresses group is denied logon locally и login via terminal services это легко делается с GPO. 3) В менюшке каждого акаунта в AD есть опция ограничить доступ толко к указанным хостам. Там тоже можно указать на что-то несушиствующее и этим ограничить доступ. нам ведь нужна authentication not authorization ![]() 4) Еще отменил доступ к файлам этой группе мак хостов исключив их с domain users group. 5) Через ADSI залез в Active Directory Settings. Папка с мак акаунтами которую нужно ограничить доступ имеет primaryGroupID 513. Пробовал изменить это GroupID на другой номер. Это наверника вывело бы эту групу небезопасных акаунтов из Аctive directory. Просто изменить ID не поличилось но потом подумав - это ведь очень глубокая модификация которая может негативно отразится на упдейтах и т.д. Ну и на последок добавлю что можно перенаправить мак аутентификацию на другой сервер. установить отдельный можно и виртуальный например Win2k8 с NPS и создать там группу хостов не подключая этот сервер к домену. Дайте знать если есть еще какие мысли, варианты... |
![]() |
![]() |
![]() |
|
|
![]() |
||||
Тема | Автор | Раздел | Ответов | Последнее сообщ. |
Join domain, Active Directory | вЫлЫсЫпЫдЫстЫ | IT и Связь | 9 | 02.06.2010 14:27 |
Rail Security | Asiza | Общие темы | 1 | 20.03.2010 23:16 |
вопросик по Active Directory on Windows Server 2003 | vova7777 | IT и Связь | 3 | 10.05.2009 15:04 |
Safety and security | Georgio | Общие темы | 18 | 22.12.2008 23:26 |
.Net: IO.Directory.Exists | magician | IT и Связь | 2 | 21.07.2008 12:04 |