5
Microsoft Netzwerkrichtlinienserver - Mac Authentfizierung + Dynamic Vlan Assignment
Hallo an alle,
unsere Wlan Infrastruktur besteht aus Cisco APs und einem WLC.
Der WLC strahlt eine SSID aus. Man muss sich dort mit einem Domänenaccount (sprich Benutzername und Kennwort) authentifizieren.
Weitergeleitet werden diese Anfragen an einen Microsoft NPS. Dort gibt es für jede Sicherheitsgruppe eine Netzwerkrichtlinie, mit der Bedingung "Windows-Gruppe".
Wenn also User Meier in Gruppe X ist, wird die Bedingung erfüllt und er bekommt das dazugehörige Vlan X zugewiesen. Ein User Müller in Gruppe Y bekommt das Vlan Y zugewiesen.
Das unsichere dabei ist, dass man sich mit seinem Benutzernamen auch mit privaten Geräten anmelden kann. Das möchte ich gerne ändern.
GIbt es eine Möglichkeit, als Bedingung noch die Abfrage von Mac Adressen hinzuzufügen?
Und wenn ja, kann man das einfach in die bestehende Netzwerkrichtlinie mit einbauen?
Also zusätzlich zu der Bedingung "Windows-Gruppe".
Vielen Dank im Voraus.
unsere Wlan Infrastruktur besteht aus Cisco APs und einem WLC.
Der WLC strahlt eine SSID aus. Man muss sich dort mit einem Domänenaccount (sprich Benutzername und Kennwort) authentifizieren.
Weitergeleitet werden diese Anfragen an einen Microsoft NPS. Dort gibt es für jede Sicherheitsgruppe eine Netzwerkrichtlinie, mit der Bedingung "Windows-Gruppe".
Wenn also User Meier in Gruppe X ist, wird die Bedingung erfüllt und er bekommt das dazugehörige Vlan X zugewiesen. Ein User Müller in Gruppe Y bekommt das Vlan Y zugewiesen.
Das unsichere dabei ist, dass man sich mit seinem Benutzernamen auch mit privaten Geräten anmelden kann. Das möchte ich gerne ändern.
GIbt es eine Möglichkeit, als Bedingung noch die Abfrage von Mac Adressen hinzuzufügen?
Und wenn ja, kann man das einfach in die bestehende Netzwerkrichtlinie mit einbauen?
Also zusätzlich zu der Bedingung "Windows-Gruppe".
Vielen Dank im Voraus.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 393415
Url: https://administrator.de/contentid/393415
Ausgedruckt am: 22.11.2024 um 18:11 Uhr
5 Kommentare
Neuester Kommentar
Hallo Axel,
man kann die Authentifizierung meines Wissens auch an Domänen-Konten der Computer binden. Wäre dann halt auf Windows-Clients beschränkt. Wie genau das konfiguriert werden muss kann ich dir zwar nicht sagen aber vielleicht hilft dir der Ansatz weiter
Gruß, JD
man kann die Authentifizierung meines Wissens auch an Domänen-Konten der Computer binden. Wäre dann halt auf Windows-Clients beschränkt. Wie genau das konfiguriert werden muss kann ich dir zwar nicht sagen aber vielleicht hilft dir der Ansatz weiter
Gruß, JD
GIbt es eine Möglichkeit, als Bedingung noch die Abfrage von Mac Adressen hinzuzufügen?
Ja, musst du aber auf dem WLAN Controller für das AP Profil auch aktivieren.Cisco lässt 2 Reihenfolgen zu:
- Zuerst Mac und dann 802.1x
- Zuerst 802.1x und dann Mac
NPS/Radius dann entsprechend konfigurieren.
Kannst du mir sagen, wie ich das zum einen auf dem WLC, zum anderen auf dem NPS einstelle?
Zum NPS: Ich habe gelesen, dass man normale AD User anlegen muss. Der Name besteht dann aus der Mac Adresse. Im NPS dann als weitere Bedingung nochmal "Windows Gruppe" anlegen?
WLC SSID sieht momentan so aus:
Zum NPS: Ich habe gelesen, dass man normale AD User anlegen muss. Der Name besteht dann aus der Mac Adresse. Im NPS dann als weitere Bedingung nochmal "Windows Gruppe" anlegen?
WLC SSID sieht momentan so aus:
Ja, das ist richtig. Bei Mac Passthrough ist der Username im Radius Server (NPS) die Mac und auch das Passwort.
Siehe dazu auch:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Siehe dazu auch:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Was meinst du mit: "und auch das Passwort." ?
