schlumpfinchen
Goto Top

Authentifizierung über IAS - Unterscheiden zwischen internem und externem User (zb Besucher)

Guten Morgen!

Wir haben folgende Ausgangssituation bzw. Anforderung:
HP Radio Port mit HP Wireless Edge Modul
Windows Server 2003 mit IAS

Nun sollen wir einen Raum mit WLAN ausstatten, in dem sowohl Gäste/Besucher/Vortragende als auch firmeninterne User das WLAN nutzen können.
Es soll aber so sein, dass "externe" nur ins Internet dürfen (für Webdemos etc.) und "interne" natürlich auch ins Firmennetzwerk.

Kann man das irgendwie über die IAS Authentifizierung machen? Oder wie kann ich zwischen "internem" und "externem" User unterscheiden?


Weiters haben wir derzeit unseren DHCP Server (Win Server 2003) so eingestellt, dass jeder eine IP zugewiesen bekommt. Kann man dies nur auf zb
Domainuser beschränken?

Freu mich über jeden Hinweis.

Danke und LG
schlumpfinchen

Content-ID: 155372

Url: https://administrator.de/contentid/155372

Ausgedruckt am: 22.11.2024 um 22:11 Uhr

aqui
aqui 19.11.2010, aktualisiert am 18.10.2012 um 18:44:08 Uhr
Goto Top
Normalerweise macht man sowas schnell und bequem mit einer Gäste Hotspot Lösung wie z.B. dieser hier:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
bzw. VLAN basierend mit getrennten APs oder ESSID fähigen APs mit multiplen SSIDs hier
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Auf dieser kleinen Appliance (Wenn du sie auf einem preiswerten Alix_Bord_realisierst kannst du die Benutzer dann entweder über eine lokale Datenbank abfragen oder was du vorhast besser mit einem Radius Server wie dem IAS. Das ist wahlweise konfigurierbar im Setup.
Radius hat den Vorteil, das du alle Benutzer zentral halten kannst.
Mit der Voucher Option, kannst du Gästen sogar Einmal Passwörter vergeben. Das ist sehr bequem, da du dann nicht immer neue User anlegen musst und diese Passwörter auch zeitlich limitiert werden können.
Die Einrichtung des Radius kannst du hier nachlesen:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Sie ist absolut analog beim IAS.
dog
dog 19.11.2010 um 22:09:42 Uhr
Goto Top
Apropos VLAN über RADIUS:

Mir hat jemand mal folgende Geschichte erzählt:
  • Cisco Switche
  • STP
  • VLAN-Zuweisung über RADIUS und Geräte-MAC-IDs
  • Zwei Geräte, die in unterschiedliche VLANs kommen würden
  • Beide an einen Unmanaged Switch und dann an den richtigen Switch stecken
  • Netzwerk tot

Wenn du mal Zeit zum Spielen hast kannst du ja mal folgendes ausprobieren face-wink
aqui
aqui 20.11.2010 um 01:07:34 Uhr
Goto Top
Mittlerweile haben die Premium Hersteller das aber im Griff. Das sind Mac based VLANs und das funktioniert auch wenn man einen NetGear oder D-Link Billigswitch vor dem Cisco hat.
Über den Radius lernt der Cisco welches Paket er zu welcher Mac in welches VLAN forwarden soll am Port.
Das man natürlich STP Loop Protection usw. an so einem Port einschalten sollte ist klar damit man mit einem Loop auf dem Dödelswitch davor nicht das Netzwerk lahmlegt. Mit einer wasserdichen Konfig bekommt man das DAU fest mittlerweile face-wink
So weit geht das aber bei Schlumpfinchens Banal Lösung ja gar nicht zumal er keinen Cisco hat und ProCurve sowas gar nicht kann...
Sein Szenario kann man noch mit einfachen und simplen Bordmitteln im Handumdrehen zum Fliegen bringen.
schlumpfinchen
schlumpfinchen 22.11.2010 um 07:42:12 Uhr
Goto Top
Danke aqui - werde mir deine Links mal bei Gelegenheit ansehen.

@dog: wie aqui schon richtig erkennt - wir haben HP switches im Einsatz...


und...ähemm....schlumpfinchen ist eine SIE face-wink
schlumpfinchen
schlumpfinchen 01.12.2010 um 10:35:30 Uhr
Goto Top
Guten Tag!

Wir haben nun ein WLAN konfiguriert. Wie schaff ich es, dass Clients, die sich in dieses WLAN verbinden, vom DHCP Server (Win Server 2003) eine Adresse zugewiesen bekommen? Welche Options brauch ich hier? Ich möchte keine DHCP Adresse direkt vom Wireless-Edge-Modul vergeben sondern nur über den Server.

Vielen Dank schon mal im Voraus!