axel90
Goto Top

Frage zu Microsoft NPS + Radius Authentifizierung auf Switchen

Hallo!
ich möchte Cisco Switche an einen Microsoft NPS anbinden, sodass beim Login Radius Authentifizerung durchgeführt wird.
Wie das funktioniert weiß ich.

Mein Problem ist das:
Auf dem aktuellen NPS gibt es schon zwei Radius Clients (zwei Wireless Controller) und 12 Netzwerkrichtlinien dazu. (für Dynamic Vlan Assignment).

Jeden Switch muss ich ja alles neuen Radius-Client anlegen und dann benötige ich noch eine Netzwerkrichtlinie.

Meine Frage nun:
Es gibt ja eine Verarbeitungsreihenfolge der Richtlinien.
Kann ich nun für die Switche einfach eine neue Richtlinie erstellen, sodass alle anderen immernoch funktionieren?
Oder gibt es eine feste Verbindung zw. Richtlinie und Client, dass man einstellen muss, dass diese Richtlinie diesen Radius Clients zugeordnet ist?
Kann mir da jemand helfen?
Vielen Dank im Voraus!

Content-ID: 318135

Url: https://administrator.de/contentid/318135

Ausgedruckt am: 05.11.2024 um 10:11 Uhr

aqui
aqui 18.10.2016 um 10:12:38 Uhr
Goto Top
Jeden Switch muss ich ja alles neuen Radius-Client anlegen
Nein, es reicht auch wenn man ein Netzwerksegment angibt und dann eine Richtlinie für das gesamte Segment nimmt.
Man muss nicht jeden Switch einzeln anlegen. In einem Netzwerk mit 500 Switches wäre das ja auch ziemlicher Blödsinn.
Kann ich nun für die Switche einfach eine neue Richtlinie erstellen, sodass alle anderen immernoch funktionieren?
Ja
Hier findest du weitere Infos zu dem Thema:
http://www.heise.de/netze/artikel/Radius-mit-Windows-Server-2087800.htm ...
http://www.andysblog.de/windows-wireless-lan-802-1x-und-nps
http://www.matrixpost.de/blog/?p=4
usw.
Axel90
Axel90 18.10.2016 aktualisiert um 13:12:58 Uhr
Goto Top
Wie weiß der NPS, wenn er eine Anfrage von einem Radius Client bekommt, welche Richtlinie er dafür hernehmen muss?
aqui
aqui 18.10.2016 um 14:07:08 Uhr
Goto Top
Das sieht er anhand der Absender IP
Axel90
Axel90 18.10.2016 aktualisiert um 15:15:24 Uhr
Goto Top
Das is ja genau das, was ich nicht verstehe:
Bei den vorhandenen Richtlinen für die Dynamic Vlan Zuweisung für Wlan Notebooks, sehe ich nirgendwo eine Bedingungen etc., dass nur Anfragen von den beiden WLC Radius Clients gelten.
Wenn ich dann also eine weitere Richtlinie für die AAA Authentifizierung der Switche anlege. Verstehe ich nicht, wie dann der NPS weiß, okay diese eine Richtlinie nur verwenden, wenn Anfragen von den Cisco Switchen kommen.
Das andere sind ja die Wireless Controller, für die will ich keine AAA Authentifizierung. Für die soll also diese Richtlinie nicht gelten.

Kann man das vielleicht einstellen?
Ich kenn mich mit dem NPS kaum aus. Ich weiß wie man AAA mit Cisco Switchen einrichtet.
Allerdings weiß ich nicht was passiert, wenn schon vorhandene Richtlinien da sind.
Das müsste ich wissen.
Axel90
Axel90 19.10.2016 um 11:58:55 Uhr
Goto Top
Kann mich jemand erleuchten? face-big-smile