Microsoft Netzwerkrichtlinienserver - Mac Authentfizierung + Dynamic Vlan Assignment
Hallo an alle,
unsere Wlan Infrastruktur besteht aus Cisco APs und einem WLC.
Der WLC strahlt eine SSID aus. Man muss sich dort mit einem Domänenaccount (sprich Benutzername und Kennwort) authentifizieren.
Weitergeleitet werden diese Anfragen an einen Microsoft NPS. Dort gibt es für jede Sicherheitsgruppe eine Netzwerkrichtlinie, mit der Bedingung "Windows-Gruppe".
Wenn also User Meier in Gruppe X ist, wird die Bedingung erfüllt und er bekommt das dazugehörige Vlan X zugewiesen. Ein User Müller in Gruppe Y bekommt das Vlan Y zugewiesen.
Das unsichere dabei ist, dass man sich mit seinem Benutzernamen auch mit privaten Geräten anmelden kann. Das möchte ich gerne ändern.
GIbt es eine Möglichkeit, als Bedingung noch die Abfrage von Mac Adressen hinzuzufügen?
Und wenn ja, kann man das einfach in die bestehende Netzwerkrichtlinie mit einbauen?
Also zusätzlich zu der Bedingung "Windows-Gruppe".
Vielen Dank im Voraus.
unsere Wlan Infrastruktur besteht aus Cisco APs und einem WLC.
Der WLC strahlt eine SSID aus. Man muss sich dort mit einem Domänenaccount (sprich Benutzername und Kennwort) authentifizieren.
Weitergeleitet werden diese Anfragen an einen Microsoft NPS. Dort gibt es für jede Sicherheitsgruppe eine Netzwerkrichtlinie, mit der Bedingung "Windows-Gruppe".
Wenn also User Meier in Gruppe X ist, wird die Bedingung erfüllt und er bekommt das dazugehörige Vlan X zugewiesen. Ein User Müller in Gruppe Y bekommt das Vlan Y zugewiesen.
Das unsichere dabei ist, dass man sich mit seinem Benutzernamen auch mit privaten Geräten anmelden kann. Das möchte ich gerne ändern.
GIbt es eine Möglichkeit, als Bedingung noch die Abfrage von Mac Adressen hinzuzufügen?
Und wenn ja, kann man das einfach in die bestehende Netzwerkrichtlinie mit einbauen?
Also zusätzlich zu der Bedingung "Windows-Gruppe".
Vielen Dank im Voraus.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 393415
Url: https://administrator.de/forum/microsoft-netzwerkrichtlinienserver-mac-authentfizierung-dynamic-vlan-assignment-393415.html
Ausgedruckt am: 23.12.2024 um 05:12 Uhr
5 Kommentare
Neuester Kommentar
GIbt es eine Möglichkeit, als Bedingung noch die Abfrage von Mac Adressen hinzuzufügen?
Ja, musst du aber auf dem WLAN Controller für das AP Profil auch aktivieren.Cisco lässt 2 Reihenfolgen zu:
- Zuerst Mac und dann 802.1x
- Zuerst 802.1x und dann Mac
NPS/Radius dann entsprechend konfigurieren.
Ja, das ist richtig. Bei Mac Passthrough ist der Username im Radius Server (NPS) die Mac und auch das Passwort.
Siehe dazu auch:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Siehe dazu auch:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius