Authentifizierung über IAS - Unterscheiden zwischen internem und externem User (zb Besucher)
Guten Morgen!
Wir haben folgende Ausgangssituation bzw. Anforderung:
HP Radio Port mit HP Wireless Edge Modul
Windows Server 2003 mit IAS
Nun sollen wir einen Raum mit WLAN ausstatten, in dem sowohl Gäste/Besucher/Vortragende als auch firmeninterne User das WLAN nutzen können.
Es soll aber so sein, dass "externe" nur ins Internet dürfen (für Webdemos etc.) und "interne" natürlich auch ins Firmennetzwerk.
Kann man das irgendwie über die IAS Authentifizierung machen? Oder wie kann ich zwischen "internem" und "externem" User unterscheiden?
Weiters haben wir derzeit unseren DHCP Server (Win Server 2003) so eingestellt, dass jeder eine IP zugewiesen bekommt. Kann man dies nur auf zb
Domainuser beschränken?
Freu mich über jeden Hinweis.
Danke und LG
schlumpfinchen
Wir haben folgende Ausgangssituation bzw. Anforderung:
HP Radio Port mit HP Wireless Edge Modul
Windows Server 2003 mit IAS
Nun sollen wir einen Raum mit WLAN ausstatten, in dem sowohl Gäste/Besucher/Vortragende als auch firmeninterne User das WLAN nutzen können.
Es soll aber so sein, dass "externe" nur ins Internet dürfen (für Webdemos etc.) und "interne" natürlich auch ins Firmennetzwerk.
Kann man das irgendwie über die IAS Authentifizierung machen? Oder wie kann ich zwischen "internem" und "externem" User unterscheiden?
Weiters haben wir derzeit unseren DHCP Server (Win Server 2003) so eingestellt, dass jeder eine IP zugewiesen bekommt. Kann man dies nur auf zb
Domainuser beschränken?
Freu mich über jeden Hinweis.
Danke und LG
schlumpfinchen
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 155372
Url: https://administrator.de/contentid/155372
Ausgedruckt am: 22.11.2024 um 22:11 Uhr
5 Kommentare
Neuester Kommentar
Normalerweise macht man sowas schnell und bequem mit einer Gäste Hotspot Lösung wie z.B. dieser hier:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
bzw. VLAN basierend mit getrennten APs oder ESSID fähigen APs mit multiplen SSIDs hier
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Auf dieser kleinen Appliance (Wenn du sie auf einem preiswerten Alix_Bord_realisierst kannst du die Benutzer dann entweder über eine lokale Datenbank abfragen oder was du vorhast besser mit einem Radius Server wie dem IAS. Das ist wahlweise konfigurierbar im Setup.
Radius hat den Vorteil, das du alle Benutzer zentral halten kannst.
Mit der Voucher Option, kannst du Gästen sogar Einmal Passwörter vergeben. Das ist sehr bequem, da du dann nicht immer neue User anlegen musst und diese Passwörter auch zeitlich limitiert werden können.
Die Einrichtung des Radius kannst du hier nachlesen:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Sie ist absolut analog beim IAS.
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
bzw. VLAN basierend mit getrennten APs oder ESSID fähigen APs mit multiplen SSIDs hier
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Auf dieser kleinen Appliance (Wenn du sie auf einem preiswerten Alix_Bord_realisierst kannst du die Benutzer dann entweder über eine lokale Datenbank abfragen oder was du vorhast besser mit einem Radius Server wie dem IAS. Das ist wahlweise konfigurierbar im Setup.
Radius hat den Vorteil, das du alle Benutzer zentral halten kannst.
Mit der Voucher Option, kannst du Gästen sogar Einmal Passwörter vergeben. Das ist sehr bequem, da du dann nicht immer neue User anlegen musst und diese Passwörter auch zeitlich limitiert werden können.
Die Einrichtung des Radius kannst du hier nachlesen:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Sie ist absolut analog beim IAS.
Apropos VLAN über RADIUS:
Mir hat jemand mal folgende Geschichte erzählt:
Wenn du mal Zeit zum Spielen hast kannst du ja mal folgendes ausprobieren
Mir hat jemand mal folgende Geschichte erzählt:
- Cisco Switche
- STP
- VLAN-Zuweisung über RADIUS und Geräte-MAC-IDs
- Zwei Geräte, die in unterschiedliche VLANs kommen würden
- Beide an einen Unmanaged Switch und dann an den richtigen Switch stecken
- Netzwerk tot
Wenn du mal Zeit zum Spielen hast kannst du ja mal folgendes ausprobieren
Mittlerweile haben die Premium Hersteller das aber im Griff. Das sind Mac based VLANs und das funktioniert auch wenn man einen NetGear oder D-Link Billigswitch vor dem Cisco hat.
Über den Radius lernt der Cisco welches Paket er zu welcher Mac in welches VLAN forwarden soll am Port.
Das man natürlich STP Loop Protection usw. an so einem Port einschalten sollte ist klar damit man mit einem Loop auf dem Dödelswitch davor nicht das Netzwerk lahmlegt. Mit einer wasserdichen Konfig bekommt man das DAU fest mittlerweile
So weit geht das aber bei Schlumpfinchens Banal Lösung ja gar nicht zumal er keinen Cisco hat und ProCurve sowas gar nicht kann...
Sein Szenario kann man noch mit einfachen und simplen Bordmitteln im Handumdrehen zum Fliegen bringen.
Über den Radius lernt der Cisco welches Paket er zu welcher Mac in welches VLAN forwarden soll am Port.
Das man natürlich STP Loop Protection usw. an so einem Port einschalten sollte ist klar damit man mit einem Loop auf dem Dödelswitch davor nicht das Netzwerk lahmlegt. Mit einer wasserdichen Konfig bekommt man das DAU fest mittlerweile
So weit geht das aber bei Schlumpfinchens Banal Lösung ja gar nicht zumal er keinen Cisco hat und ProCurve sowas gar nicht kann...
Sein Szenario kann man noch mit einfachen und simplen Bordmitteln im Handumdrehen zum Fliegen bringen.