ich hab nen anliegen zu nem radius- server...!!

ich hab unser netzwerk abgesichert mit ner portbasierten netzzugangssteuerung nach IEEE 802.1x.

hab als authentifizierungsmethode eap-tls ausgewählt. jeder client braucht ein x.509 zertifikat um sich gegenüber dem radius-server zu authentifizieren. dazu muss ja demnach eine PKI aufgebaut werden. was ich noch nicht verstehe. . . wie läuft das mit dem schlüsselaustausch??? wer bekommt bzw. besitzt nen öffentlichen und wer den privaten schlüssel bei der ganzen sache????? bitte helft mir !!!! brauche dringend rat. :confused:

Der öffentliche Schlüssel liegt auf dem Server und mit dem privaten Schlüssel identifiziert sich der User an dem Server. Den öffentlichen Schlüssel darf jeder haben und kann auf diversen Servern o.ä. hinterlegt werden (wie dies z.B. by PGP auch gemacht wird). Den privaten Schlüssel darf nur die Person haben, die sich damit identifiziert (also möglichst auf USB-Stick oder so, damit er nicht auf einem Rechner liegt, zu dem auch andere Zugriff haben).

Siehe auch hier.

Die Clients deiner Domäne können sich bei der PKI nen Zertifikat abholen, das funktioniert relativ automatisch. Beachte jedoch, dass die PKI des Win2k3 Standard Servers keine Maschinenzertifikate für Clients ausgeben kann, dafür brauchst den Enterprise Server.

Alternativ bietet sich auch an Protected-EAP zu verwenden, anstatt EAP-TLS. Damit entfällt die aufwendige Verteilung von Zerts und das Sicherheitsniveau ist trotzdem beachtlich. Zu PEAP kannst mal googeln oder englischsprachiges Wiki befragen

das heißt also der radius server besitzt nen öffentl. schlüssel und der user, der das x.509 zertifikat vorher abgeholt hat identifiziert sich mit seinem privaten schlüssel am radius server ?!

hat die PKI auch nen zusammenhang beim eap-tls handshake mit dem premaster-secret???

weil nachdem die authentifizierungsmethode eap-tls von beiden parteien ausgewählt wurde erfolgt ja der tls-handshake und nen premaster secret wird erstellt.