Unsere Service Factory hat Ihnen hier einen Beitrag zu dem oben genannten Thema bereitgestellt! :-)
Alle Jahre wieder wird es bei uns zwischen den Tagen ein weniger ruhiger und wir haben noch einmal Zeit verschiedene Themen in unserem Lab zu testen.
In diesem Jahr war es meine Herausforderung 802.1x Zertifikate automatisiert auf nativen Microsoft Telefonen zu verteilen. Leider gibt es kaum Dokumentation zu dem Thema. Laut Datenblatt sollten es alle verfügbaren Telefone können, aber über die praktische Umsetzung gibt es keine Unterlagen und auch in den üblichen Blogs konnte ich keine Details finden. Entsprechend hieß es dann Trial-and-Error.
Zum Testen standen mir ein Yealink MP56 Phone und ein Poly CCX400 bzw. CCX500 zur Verfügung. Die Konfiguration für die CCX Serie ist so weit identisch so, dass es auch mit einem CCX600 funktionieren sollte.
Da ich noch nie ein natives Teams Telefon von Yealink in den Händen gehalten hatte, habe ich mit diesem begonnen.
Im Lab habe ich ein neues Netz aufgebaut, die DHCP Option 160 gesetzt und geschaut, ob sich das Telefon bei meinem FTP Server meldet und welche Dateien angefordert werden.
Erfreulicherweise hat das Yealink Telefon nicht nur eine spezifische Konfigurationsdatei für seine MAC Adresse, sondern auch eine „y000000000122.cfg“ angefordert. Mit dieser Datei habe ich dann ein Template erzeugt und konnte das Telefon mit Konfigurationsparametern versorgen.
Unter anderem werden ftp bzw. http Pfade angegeben, wo das Telefone die Zertifikate herunterladen kann. Dort liegt dann allerdings auch der private Key des Zertifikates im Klartext. Im Lab ist das in Ordnung, aber in einer echten Produktivumgebung darf das natürlich nicht der Fall sein.
Nach ein paar Stunden war ich dann so weit, dass ich ein Yealink Telefon mit Factory Defaults ins Netz bringen konnte und sich diese eine vorgegebene Firmware zieht, die Sprache, die Zeitzone und das Admin-Passwort setzt. Anschließend wird das Zertifikat heruntergeladen und 802.1x aktiviert. Fertig. Das Telefon ist nun bereit für die Anmeldung durch einen Benutzer.
Das Sicherheitsproblem mit dem Private Key des Zertifikates auf dem FTP Server habe ich dahingehend gelöst, dass ich die Dateien auf einen Webserver (IIS) umgezogen habe und über die Rewrite Rules nur Telefone zugreifen lasse. Sämtliche Zugriffe von Webbrowsern werden blockiert und Directory Browsing ist deaktiviert.
Nun da die Infrastruktur stand, das gleiche noch einmal mit den Poly Telefonen. Hier hat die Forschungsarbeit um ein Vielfaches länger gedauert und ich war mehrfach kurz davor aufzugeben. Die Poly Telefone sind auf den ersten Blick deutlich komplexer zu konfigurieren, aber am Ende hat auch das funktioniert.
Bei den Poly Telefonen habe ich die Zertifikate direkt in die „shared.cfg“ geschrieben und die Konfigurationsdateien, sowie die Firmware wieder auf dem gehärteten IIS gespeichert.
Auch hier am Ende dasselbe Ergebnis, wie bei dem Yealink Telefon: Das Poly mit Factory Defaults ins Netz bringen und warten, dass sich dieses eine vorgegebene Firmware zieht. Anschließend konfiguriert das Telefon die Sprache, die Zeitzone, das Admin-Passwort, lädt das Zertifikat herunter und aktiviert 802.1x mit EAP-TLS. Auch dieses Telefon ist nun bereit für die Anmeldung durch einen Benutzer.
Die Lösung läuft nun vollautomatisch und neue Telefone werden ohne händisches Eingreifen für die Benutzer vorbereitet. Nach der Provisierung können die Telefone an die Benutzer übergeben und an Switch Ports mit aktiviertem 802.1x angeschlossen werden.
Durch verschiedene Virtual Directories im IIS können verschiedene Einstellungen und Zertifikate für verschiedene Site (z.B. Länder) verteilt werden.
Um ein Zertifikat auszutauschen, wird dieses einfach im IIS ausgetauscht und die Telefone ziehen dieses spätestens beim nächsten Neustart. Dieser kann auch geplant und über das Teams Admin Center getriggert werden.
Bei Interesse an unserer Lösung, stellen wir gerne über unseren Vertrieb ein White Paper bereit und natürlich unterstützen wir Sie auch bei der Konfiguration. Melden Sie sich gerne bei mir: dietmar.kraume@alliance-teg.com.
Mit besten Gruessen!
Comments