anak1m
Goto Top

Radius-Server auf Win. Srv. 2008R2

Hallo zusammen,

ist es möglich bei einem Radius-Server auf Basis von Win. Srv. 2008R2 die Verbindungsanforderungsrichtlinie und Netzwerkrichtlinie auf bestimmte SSIDs einzustellen.

Beispiel:

Für die SSID Test1 soll das ganze ausschließlich über Computerzertifikate stattfinden.

Für die SSID Test2 soll die Authentifizierung aufgrund einer AD-Gruppe stattfinden.

Danke für eure Hilfe und einen schönen Freitag face-smile

VG

Content-ID: 306123

Url: https://administrator.de/contentid/306123

Ausgedruckt am: 25.11.2024 um 13:11 Uhr

129413
Lösung 129413 03.06.2016 aktualisiert um 12:36:47 Uhr
Goto Top
Stichwort: Called Station ID in deiner Netzwerkrichtlinie...
http://i.imgur.com/06g0Lnd.png
https://supportforums.cisco.com/discussion/11821621/multiple-ssid-authen ...
Die exakte Bezeichnung die dort einzutragen ist erhältst du aus den Logs des NPS.

Gruß skybird
colinardo
Lösung colinardo 03.06.2016 aktualisiert um 13:13:49 Uhr
Goto Top
Hallo anak1m,
da kann ich @129413 zustimmen. Die SSID wird meist in dem folgenden Format im Feld Empfangs-ID übermittelt:

screenshot

Hier MAC-Adresse des AP mit angehängtem Doppelpunkt + SSID. Die Daten bekommst du also einfach aus dem Eventlog.

Das trägst du dann im oben genannten Bedingungsfeld deiner Anforderungs- oder Netzwerkrichtlinie ein, inkl. deiner gewünschten Authentifizierungsmechanismen.

Grüße Uwe
anak1m
anak1m 03.06.2016 um 14:14:55 Uhr
Goto Top
Super - danke für die Antworten.

Das wären dann wie beschrieben unter den Bedingungen der Netzwerkrichtlinieunter Raduis-Clienteigenschafen die Anrufer-ID - hier die SSID des WLANs rein.

Noch eine Frage:

Wenn ich dann 2 Richtlinien habe werden beide abgearbeitet und die passende gewählt - oder sobald eine Richtlinie Fehlschlägt wird abgebrochen?

Danke face-smile
colinardo
Lösung colinardo 03.06.2016 aktualisiert um 14:29:33 Uhr
Goto Top
Zitat von @anak1m:
Das wären dann wie beschrieben unter den Bedingungen der Netzwerkrichtlinieunter Raduis-Clienteigenschafen die Anrufer-ID - hier die SSID des WLANs rein.
Nein nicht Anrufer-ID sondern Empfangs-ID. Die AnruferID enthält meist die MAC-Adresse des Clients der sich mit dem WLAN verbinden möchte.
Siehst du ja oben im Screenshot. Aber ich gestehe die deutschen Übersetzungen sind wirklich grausam.

Wenn ich dann 2 Richtlinien habe werden beide abgearbeitet und die passende gewählt - oder sobald eine Richtlinie Fehlschlägt wird abgebrochen?
Die Richtlinien werden alle nach der Reihenfolge wie sie im NPS stehen abgearbeitet bis eine erfolgreich ist. D.h. wenn die erste fehl schlägt geht der NPS zur nächsten und versucht den User damit durch zu lassen, wenn die Richtlinien auf "Zugriff gewähren" steht. Ist dazwischen eine Regel die Verweigert geht es für den Client natürlich auch nicht weiter.
First successfull match wins
anak1m
anak1m 03.06.2016 um 14:52:36 Uhr
Goto Top
Ahhh Hoppla - kaum macht man es richtig.

Super Danke hat alles funktioniert.

Ich wollte damit verhindern dass sich die User am "Produktiv-WLAN" anmelden - hier geht die Authentifizierung über Computer-Zertifikate-

Am Gast-Netz (nur Internet) sollen sich die User mit Ihren Handys und der AD-Kennung verbinden können.