wie die 802.1x Authentisierung aktiviert wird ist mir grundsätzlich klar.

Aktiviert man 802.1x durch eintragen eines Users und Password spricht die innovaphone-Hardware zunächst EAP-MD5. Nun darf der Radius nicht ablehnen sondern muss so konfiguriert werden, dass er EAP-TLS anfragt. Daraufhin wird das Zertifikat vorgehalten.

Dieser Ablauf funktioniert in unseren Installationen mit "Extreme NAC", "Cisco ISE" und weiteren.

Ich bin allerdings gerade auf eine andere Herausforderung gestoßen.

Mit erscheinen des Server 2016 wurden NAP und weitere Dienste aus der NPS Rolle mit der Begründung Obsolet entfernt.

Quelle: https://docs.microsoft.com/en-us/windows-server/networking/technologies/nps/nps-top

Um oben angesprochenes Verhalten der inno-Hardware zu provozieren war jedoch "NAP enforcement" nötig.

Bedeutet das für die Zukunft, dass der Microsoft NPS einfach das falsche Produkt für innovaphone ist oder wird sich hier etwas an den Möglichkeiten 802.1x zu konfigurieren ändern? Ist damit zu rechnen, dass andere Hersteller dieses Verfahren ebenfalls aus ähnlichen Gründen entfernen werden?

Mein Vorschlag wäre es zum Beispiel unter dem Feld EAP-MD5 ein weiteres Feld EAP-TLS einzufügen in dem man mit Aktivierung eines Hakens dafür sorgt, dass die Hardware ihr Zertifikat unmittelbar vorhält.

Beste Grüße

Kevin