axel90
Goto Top

Microsoft Netzwerkrichtlinienserver - Mac Authentfizierung + Dynamic Vlan Assignment

Hallo an alle,
unsere Wlan Infrastruktur besteht aus Cisco APs und einem WLC.
Der WLC strahlt eine SSID aus. Man muss sich dort mit einem Domänenaccount (sprich Benutzername und Kennwort) authentifizieren.

Weitergeleitet werden diese Anfragen an einen Microsoft NPS. Dort gibt es für jede Sicherheitsgruppe eine Netzwerkrichtlinie, mit der Bedingung "Windows-Gruppe".

Wenn also User Meier in Gruppe X ist, wird die Bedingung erfüllt und er bekommt das dazugehörige Vlan X zugewiesen. Ein User Müller in Gruppe Y bekommt das Vlan Y zugewiesen.

Das unsichere dabei ist, dass man sich mit seinem Benutzernamen auch mit privaten Geräten anmelden kann. Das möchte ich gerne ändern.

GIbt es eine Möglichkeit, als Bedingung noch die Abfrage von Mac Adressen hinzuzufügen?

Und wenn ja, kann man das einfach in die bestehende Netzwerkrichtlinie mit einbauen?

Also zusätzlich zu der Bedingung "Windows-Gruppe".

Vielen Dank im Voraus.

Content-ID: 393415

Url: https://administrator.de/forum/microsoft-netzwerkrichtlinienserver-mac-authentfizierung-dynamic-vlan-assignment-393415.html

Ausgedruckt am: 23.12.2024 um 05:12 Uhr

JohnDorian
JohnDorian 21.11.2018 aktualisiert um 14:12:43 Uhr
Goto Top
Hallo Axel,

man kann die Authentifizierung meines Wissens auch an Domänen-Konten der Computer binden. Wäre dann halt auf Windows-Clients beschränkt. Wie genau das konfiguriert werden muss kann ich dir zwar nicht sagen aber vielleicht hilft dir der Ansatz weiter face-smile

Gruß, JD
aqui
aqui 21.11.2018 um 15:41:44 Uhr
Goto Top
GIbt es eine Möglichkeit, als Bedingung noch die Abfrage von Mac Adressen hinzuzufügen?
Ja, musst du aber auf dem WLAN Controller für das AP Profil auch aktivieren.
Cisco lässt 2 Reihenfolgen zu:
  • Zuerst Mac und dann 802.1x
  • Zuerst 802.1x und dann Mac
Musst du auch customizen wie du das willst.
NPS/Radius dann entsprechend konfigurieren.
Axel90
Axel90 22.11.2018 aktualisiert um 10:09:55 Uhr
Goto Top
Kannst du mir sagen, wie ich das zum einen auf dem WLC, zum anderen auf dem NPS einstelle?

Zum NPS: Ich habe gelesen, dass man normale AD User anlegen muss. Der Name besteht dann aus der Mac Adresse. Im NPS dann als weitere Bedingung nochmal "Windows Gruppe" anlegen?

WLC SSID sieht momentan so aus:
wlc
aqui
aqui 22.11.2018 um 11:23:37 Uhr
Goto Top
Ja, das ist richtig. Bei Mac Passthrough ist der Username im Radius Server (NPS) die Mac und auch das Passwort.
Siehe dazu auch:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Axel90
Axel90 22.11.2018 um 11:40:23 Uhr
Goto Top
Was meinst du mit: "und auch das Passwort." ?