802.1X Authentifizierung von Domänencomputern
Moin zusammen,
ich möchte, dass dem Port beim Unifi Switch automatisch ein VLAN zugewiesen wird, je nach dem welcher Rechner sich gerade ansteckt.
Aufbau:
Unifi Controller, Unifi Switch
Microsoft NPS Server 2022
Der Microsoft NPS Server bietet in den Netzwerkrichtlinien bei den Bedingungen die Möglichkeit Computergruppen zu erkennen (um ihnen dann automatisch ein VLAN zuzuweisen).
Der Unifi Controller scheint jedoch nur MAC Based Authentifizierungen im Radius Profil zu unterstützen. Die MAC Based Authentifizierung habe ich bereits erfolgreich getestet und sie funktioniert. Jedoch möchte ich im AD die Domänencomputer Gruppen pflegen, weil die MAC Adressen nicht im Schema des Domänencomputers zu sehen sind.
Geht das überhaupt? Bzw warum ist es dann im NPS vorgesehen? Etwa mit anderen Switchen?
Danke Euch and keep rockin'
Der Mike
ich möchte, dass dem Port beim Unifi Switch automatisch ein VLAN zugewiesen wird, je nach dem welcher Rechner sich gerade ansteckt.
Aufbau:
Unifi Controller, Unifi Switch
Microsoft NPS Server 2022
Der Microsoft NPS Server bietet in den Netzwerkrichtlinien bei den Bedingungen die Möglichkeit Computergruppen zu erkennen (um ihnen dann automatisch ein VLAN zuzuweisen).
Der Unifi Controller scheint jedoch nur MAC Based Authentifizierungen im Radius Profil zu unterstützen. Die MAC Based Authentifizierung habe ich bereits erfolgreich getestet und sie funktioniert. Jedoch möchte ich im AD die Domänencomputer Gruppen pflegen, weil die MAC Adressen nicht im Schema des Domänencomputers zu sehen sind.
Geht das überhaupt? Bzw warum ist es dann im NPS vorgesehen? Etwa mit anderen Switchen?
Danke Euch and keep rockin'
Der Mike
Please also mark the comments that contributed to the solution of the article
Content-ID: 12639755439
Url: https://administrator.de/contentid/12639755439
Printed on: October 4, 2024 at 01:10 o'clock
3 Comments
Latest comment
Geht das überhaupt? Bzw warum ist es dann im NPS vorgesehen? Etwa mit anderen Switchen?
Ja klar, dein Switch muss halt standardisiertes 802.1x und EAP Passthrough am Port unterstützen nicht nur MAC-Auth dann klappt das mit jedem Radius Backend auch mit dem NPS über EAP-TLS/PEAP-TTLS &Co. und der Zuordnung der Identity zu der Gruppe problemlos denn die Regeln bestimmt ja dann am Ende immer der Radius-Server wer sich wann wo womit und wie ausweisen muss. Bei Computern selbst geschieht das ja vornehmend über Zertifikate die für die Geräte ausgestellt wurden.Gruß pp-.
Und wie es mit dem Freeradius geht steht HIER! 😉