5
Microsoft Netzwerkrichtlinienserver - Mac Authentfizierung + Dynamic Vlan Assignment
Hallo an alle,
unsere Wlan Infrastruktur besteht aus Cisco APs und einem WLC.
Der WLC strahlt eine SSID aus. Man muss sich dort mit einem Domänenaccount (sprich Benutzername und Kennwort) authentifizieren.
Weitergeleitet werden diese Anfragen an einen Microsoft NPS. Dort gibt es für jede Sicherheitsgruppe eine Netzwerkrichtlinie, mit der Bedingung "Windows-Gruppe".
Wenn also User Meier in Gruppe X ist, wird die Bedingung erfüllt und er bekommt das dazugehörige Vlan X zugewiesen. Ein User Müller in Gruppe Y bekommt das Vlan Y zugewiesen.
Das unsichere dabei ist, dass man sich mit seinem Benutzernamen auch mit privaten Geräten anmelden kann. Das möchte ich gerne ändern.
GIbt es eine Möglichkeit, als Bedingung noch die Abfrage von Mac Adressen hinzuzufügen?
Und wenn ja, kann man das einfach in die bestehende Netzwerkrichtlinie mit einbauen?
Also zusätzlich zu der Bedingung "Windows-Gruppe".
Vielen Dank im Voraus.
unsere Wlan Infrastruktur besteht aus Cisco APs und einem WLC.
Der WLC strahlt eine SSID aus. Man muss sich dort mit einem Domänenaccount (sprich Benutzername und Kennwort) authentifizieren.
Weitergeleitet werden diese Anfragen an einen Microsoft NPS. Dort gibt es für jede Sicherheitsgruppe eine Netzwerkrichtlinie, mit der Bedingung "Windows-Gruppe".
Wenn also User Meier in Gruppe X ist, wird die Bedingung erfüllt und er bekommt das dazugehörige Vlan X zugewiesen. Ein User Müller in Gruppe Y bekommt das Vlan Y zugewiesen.
Das unsichere dabei ist, dass man sich mit seinem Benutzernamen auch mit privaten Geräten anmelden kann. Das möchte ich gerne ändern.
GIbt es eine Möglichkeit, als Bedingung noch die Abfrage von Mac Adressen hinzuzufügen?
Und wenn ja, kann man das einfach in die bestehende Netzwerkrichtlinie mit einbauen?
Also zusätzlich zu der Bedingung "Windows-Gruppe".
Vielen Dank im Voraus.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 393415
Url: https://administrator.de/contentid/393415
Printed on: April 24, 2024 at 19:04 o'clock
5 Comments
Latest comment
Hallo Axel,
man kann die Authentifizierung meines Wissens auch an Domänen-Konten der Computer binden. Wäre dann halt auf Windows-Clients beschränkt. Wie genau das konfiguriert werden muss kann ich dir zwar nicht sagen aber vielleicht hilft dir der Ansatz weiter
Gruß, JD
man kann die Authentifizierung meines Wissens auch an Domänen-Konten der Computer binden. Wäre dann halt auf Windows-Clients beschränkt. Wie genau das konfiguriert werden muss kann ich dir zwar nicht sagen aber vielleicht hilft dir der Ansatz weiter
Gruß, JD
GIbt es eine Möglichkeit, als Bedingung noch die Abfrage von Mac Adressen hinzuzufügen?
Ja, musst du aber auf dem WLAN Controller für das AP Profil auch aktivieren.Cisco lässt 2 Reihenfolgen zu:
- Zuerst Mac und dann 802.1x
- Zuerst 802.1x und dann Mac
NPS/Radius dann entsprechend konfigurieren.
Kannst du mir sagen, wie ich das zum einen auf dem WLC, zum anderen auf dem NPS einstelle?
Zum NPS: Ich habe gelesen, dass man normale AD User anlegen muss. Der Name besteht dann aus der Mac Adresse. Im NPS dann als weitere Bedingung nochmal "Windows Gruppe" anlegen?
WLC SSID sieht momentan so aus:
Zum NPS: Ich habe gelesen, dass man normale AD User anlegen muss. Der Name besteht dann aus der Mac Adresse. Im NPS dann als weitere Bedingung nochmal "Windows Gruppe" anlegen?
WLC SSID sieht momentan so aus:
Ja, das ist richtig. Bei Mac Passthrough ist der Username im Radius Server (NPS) die Mac und auch das Passwort.
Siehe dazu auch:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Siehe dazu auch:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Was meinst du mit: "und auch das Passwort." ?
