Aktivieren der Basic Authentication für den Registrierungsdienst für Netzwerkgeräte (NDES)

Wird der Registrierungsdienst für Netzwerkgeräte (NDES) neu installiert (Vorzugsweise ohne Enterprise Administrator Berechtigungen), wird zunächst nur die Windows-integrierte Authentisierung für die Administrations-Webseite aktiviert. Mit dieser ist (per NT LAN Manager, NTLM) Protokoll auch eine Authentisierung per Benutzername und Passwort möglich. Nicht alle Client-Anwendungen unterstützen diese jedoch.

Ebenso könnte ein Unternehmen gewillt sein, NTLM wo möglich zu deaktivieren und Kerberos für die Anmeldung zu erzwingen. Mit dem Erzwingen von Kerberos fällt die Möglichkeit weg, sich per Benutzername und Passwort an der Administrations-Seite für den Registrierungsdienst für Netzwerkgeräte anzumelden (da dies mit NTLM-Anmeldedaten erfolgt). Um hier wieder eine Möglichkeit zu schaffen, kann jedoch die Basic Authentication nachgerüstet werden.

Einen Ausweg aus diesem Dilemma kann die Basic Authentisierung sein, deren Einrichtung im folgenden dargelegt werden soll.

Der Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service, NDES) bietet eine Möglichkeit, Geräten, welche nicht über eine Kennung im Active Directory verfügen (beispielsweise Netzwerkgeräte wie Router, Switches, Drucker, Thin Clients oder Smartphones und Tablets), Zertifikate von einer Zertifizierungsstelle zu beantragen. Für eine detailliertere Beschreibung siehe Artikel "Grundlagen Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service, NDES)".

Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem, hat sich bereits in unzähligen Unternehmen auf der ganzen Welt bewährt und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden. Professionelle Wartung wird ebenfalls angeboten.

Es sollte unbeding sichergestellt sein, dass die Administrations-Webseite für die Verwendung von SSL konfiguriert ist und diese erzwungen wird. Für die Beantragungs-Webseite ist dies hingegen nicht erforderlich.

Zunächst muss die Basic Authentisierung zu den Funktionen des Internet Information Service (IIS) hinzugefügt werden.

Add-WindowsFeature -Name Web-Basic-Auth

Nachdem der Webserver-Dienst neu gestartet wurde, wird die IIS Manegementkonsole gestartet und in der Default Web Site auf der rechten Seite die Option "View Applications" aufgerufen.

Per Doppelklick öffnet man die Einstellungen für "/certsrv/mscep_admin".

Hier wählt man nun die Option "Authentication".

Die Option "Basic Authentication" wird aktiviert.

Anschließend sollte noch auf den Button "Edit" geklickt werden und im nachfolgenden Dialog eine Standard-Domäne eingetragen werden.

Funktionstest

Zum Testen bietet sich das Tool curl an, welches praktisch in jeder Linux-Distribution enthalten ist. Auch eine Windows-Version existiert.

curl -u 'username:Password' https://{NDES-Server}/certsrv/mscep_admin/ --output -

Die Kommandozeilenargumente bedeuten dabei folgendes:

  • "–output -" erzwingt die Ausgabe an der Kommandozeile, da NDES UTF16-LE Kodierung verwendet, was von curl als "Binär" erkannt wird
  • "–insecure" überspringt optional die Prüfung des Serverzertifikats (nicht für Produktiveinsatz empfohlen)

Weiterführende Links:

Ein Gedanke zu „Aktivieren der Basic Authentication für den Registrierungsdienst für Netzwerkgeräte (NDES)“

Kommentare sind geschlossen.

de_DEDeutsch