Microsoft NPS Radius Server äußere identität abfragen
Hallo,
Ich würde gerne eine Richtline erstellen die eine ganz bestimmte äußere identität ohne Login Zugirff auf ein bestimmtes VLAN gewährt. Nun ja, letzteres kann ich ohne Probleme aber wie kann ich die äußere identität abfragen?
Gruß an die IT-Welt,
J Herbrich
Ich würde gerne eine Richtline erstellen die eine ganz bestimmte äußere identität ohne Login Zugirff auf ein bestimmtes VLAN gewährt. Nun ja, letzteres kann ich ohne Probleme aber wie kann ich die äußere identität abfragen?
Gruß an die IT-Welt,
J Herbrich
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 340305
Url: https://administrator.de/forum/microsoft-nps-radius-server-aeussere-identitaet-abfragen-340305.html
Ausgedruckt am: 22.05.2025 um 19:05 Uhr
6 Kommentare
Neuester Kommentar
Hallo,
Was verstehst du unter äußere Identität? Jonas Meier, Jonas@aldi.de, Jonas@Herbrich.de, Jonas@intern.herbrich.de oder was?
Gruß,
Peter
Was verstehst du unter äußere Identität? Jonas Meier, Jonas@aldi.de, Jonas@Herbrich.de, Jonas@intern.herbrich.de oder was?
Gruß,
Peter
Moin,
Spaß beiseite!
Meisnt du damit, wie sich ein Client am NPS zu erkennen gibt, also über welches Merkmal (MAC-Adressen ,VLAN-ID, über welche SSID, ...)
Gruß
em-pie
Zitat von @Pjordorf:
Was verstehst du unter äußere Identität? Jonas Meier, Jonas@aldi.de, Jonas@Herbrich.de, Jonas@intern.herbrich.de oder was?
Vermutlich einfach nur das Aussehen (Gesicht) des sich Anmeldenden...Was verstehst du unter äußere Identität? Jonas Meier, Jonas@aldi.de, Jonas@Herbrich.de, Jonas@intern.herbrich.de oder was?
Spaß beiseite!
Meisnt du damit, wie sich ein Client am NPS zu erkennen gibt, also über welches Merkmal (MAC-Adressen ,VLAN-ID, über welche SSID, ...)
Gruß
em-pie
Die äußere Identität ist nur fürs Routing da, da man ja RADIUS-Server verketten kann. Damit ist wird es vom NPS durch eine Connection Request Policy ausgewertet. Eine Connection Request Policy kann aber kein Accept oder Deny rausgeben, damit ist es nicht möglich. Du müsstest dann noch weitere RADIUS-Server einrichten, die dann für die äußere Identität zuständig sind und ein Accept oder Deny rausgeben können. Diese Entscheidung erfolgt immer anhand der inneren Identität.
Kleiner Tipp am Rande: Du stellst hier so viele Fragen, die man sehr problemlos mit Google abhandeln kann. Häufig findet man über die deutschen Begriffe sehr wenig, da in der IT eben Englisch die vorherrschende Sprache ist. Daher macht es Sinn, manchmal einfach die englischen Begriffe zu suchen, also in deinem Fall "outer identity".
Kleiner Tipp am Rande: Du stellst hier so viele Fragen, die man sehr problemlos mit Google abhandeln kann. Häufig findet man über die deutschen Begriffe sehr wenig, da in der IT eben Englisch die vorherrschende Sprache ist. Daher macht es Sinn, manchmal einfach die englischen Begriffe zu suchen, also in deinem Fall "outer identity".
Hallo,
Ich möchte im Prinzip folgendes machen. Ex existiert ein W-Lan mit der SSID eduroam, gut. Alle die sich dort einloggen sollen erstmal von der Universität Hamburg sein (Phase 1 Autentifizierung wo bei leicht zu umgehen, weil jeder als Äußere Identität anonymous@uhh.de einstellen kann. Gut, die Phase2 autentifizierung besteht aus einen Capitive Portal was gegen ein LDAP abgeglichen wird (also nur leute die ich kenne). An die Innere Identiät kommt man nicht ran (ok könnte das Cert über den poodle holen aber ist gegen hacker etik also nope).
Als Hack, könnte ich einen Free dachte ich mir frage ich die Äußere Identität ab und sage einfach jeder kann sich anmelden und wird autentifiziert + VLAN ID für's capitive netz?
Gruß an die IT-Welt,
J Herbrich
Ich möchte im Prinzip folgendes machen. Ex existiert ein W-Lan mit der SSID eduroam, gut. Alle die sich dort einloggen sollen erstmal von der Universität Hamburg sein (Phase 1 Autentifizierung wo bei leicht zu umgehen, weil jeder als Äußere Identität anonymous@uhh.de einstellen kann. Gut, die Phase2 autentifizierung besteht aus einen Capitive Portal was gegen ein LDAP abgeglichen wird (also nur leute die ich kenne). An die Innere Identiät kommt man nicht ran (ok könnte das Cert über den poodle holen aber ist gegen hacker etik also nope).
Als Hack, könnte ich einen Free dachte ich mir frage ich die Äußere Identität ab und sage einfach jeder kann sich anmelden und wird autentifiziert + VLAN ID für's capitive netz?
Gruß an die IT-Welt,
J Herbrich
Es gibt etliche Anleitungen zum Thema eduroam und nps. Wie gesagt, das Accept oder Deny kommt vom entfernten RADIUS.
Hallo,
Ja, die Delegation durch's DFN steht noch aus und ich suche schon nach Providern im Ausland die delegieren. Ein Freund aus Algerien hat dort sein Privates Eduroam
Gruß an die IT-Welt,
J Herbrich
Ja, die Delegation durch's DFN steht noch aus und ich suche schon nach Providern im Ausland die delegieren. Ein Freund aus Algerien hat dort sein Privates Eduroam
Gruß an die IT-Welt,
J Herbrich
