Worum geht's?
ThinClients sind im Bezug auf die Vereinfachung im Clientmanagement und in Punkto Sicherheit eine richtige Entscheidung. Sicherlich gibt es immer wieder Features und Funktionen, die man vermissen kann (vor allem im Bezug auf Media). Jedoch bekommt man viele Vorteile in Bezug auf Verfügbarkeit und Unabhängigkeit am Endpunkt. Die Sicherheit ist am Endgerät selbst auch schon hoch. Leider fehlt es dann aber noch auf der letzten Meile – Verbindung Igel zum Netzwerk.
Im normalen Windows Umfeld ist dies recht schnell mit zertifikatsbasierter Authentifizierung auf Basis von 802.1X abgehakt, aber im Igel Umfeld ist das nicht so einfach. Man findet kaum Anleitungen oder wird darüber aufgeklärt, wieso manche Dinge erforderlich sind. Dieses Thema ist nämlich nicht so schnell abgehakt wie andere Managementpunkte in der Igel UMS.
verschiedene Möglichkeiten der Authentifizierung
Voraussetzung für die aufgezeigten Wege sind immer eine CA (1-2-3-n Stufig ist egal), ein NPS (oder vergleichbare Lösungen) und eine entsprechend konfigurierte Switchumgebung.
Es gibt verschiedene Möglichkeiten die Authentifizierung durchzuführen.
- Die einfache – statische
- Man erstellt ein Zertifikat welches benutzerbezogen existiert
- Exportiert dieses als key und cert file
- Importiert es in der ums und weisst es den clients zu
- Erstellt eine Konfig, damit dieses cert genutzt wird
Der Nachteil bei diesem Vorgang ist, dass entweder für alle Geräte ein Zertifikat erstellt werden muss oder man ein Zertifikat für alle Geräte genutzt und der Verwaltungsaufwand sehr hoch ist.
Zusätzlich darf man nicht vergessen das Zertifikat/die Zertifikate rechtzeitig auszutauschen, ansonsten steht die Umgebung zum Stichtag.
Königsdiziplin
Die Königsdisziplin hierbei ist der automatische Rollout von Zertifikaten via SCEP/NDES.
- Rollout via SCEP/NDES
- Man benötigt zusätzlich zur CA ein NDES/SCEP Server
- Man erstellt eine Konfig zum ScepDeployment
- Man benötigt für jeden Igel ein gleichnamiges AD Konto
- Dem AD Konto wird das Zertifikat im Namemapping zugeordnet
- Anschließend regelt der IGEL zukünftig die Verlängergung eigenständig
- Das ganze lässt sich dann auch noch skripten
War dieser Artikel hilfreich für Sie?