michaelw84
Goto Top

Server2012 R2 Radius Richtlinien bestimmten Clients zuordnen

Hallo zusammen,

ich habe einen Radius Server (NAP) unter Server 2012R2 für den Wlan Access konfiguiert und der funktioniert auch soweit.
(Das war die gute Nachricht)

Frage 1:

Kann man Verschiedenen SSID´s unterschiedliche Richtlinien zuweisen?

Ich möchte folgendes bezwecken:

Mein Router der als AP missbraucht wird hat die IP 192.168.1.1 diesen habe ich als Client hinzugefügt und habe dort unter derselben IP zwei Wlan Netze (SSID´s) das eine soll per Richtlinie nur genutzt werden dürfen wenn es sich ein Computerobjekt in einer bestimmten Gruppe befindet. (Das funktioniert).

Jetzt möchte ich aber auch das auf der 2. SSID jeder einwählen kann. (Mobilephones als Guest somit kein zugriff aufs Netzwerk).

Wenn nun ein Gast sich mit der ersten SSID einwählt wird die Auth. abgelehnt was auch richtig ist.
Wenn nun ein Gast sich mit der zweiten SSID einwählt wird die Auth. ebenso abgelehnt da dieselben Richtlinien gelten und der Gast natürlich nicht in der Gruppe der Computer objekte ist.

Frage 2:

Ist es möglich verschiedenen Clients (unterschiedliche Client IP adressen) unterschiedliche Richtlinien zuzuweisen?
Ich hoffe Ihr könnt helfen.

Gruß

Content-ID: 314067

Url: https://administrator.de/forum/server2012-r2-radius-richtlinien-bestimmten-clients-zuordnen-314067.html

Ausgedruckt am: 26.12.2024 um 14:12 Uhr

catachan
catachan 01.09.2016 um 05:11:09 Uhr
Goto Top
Hi

Ja das geht. Die Cisco Controller beispielsweise geben ein Nas Attribut in der Form Mac:Ssid beim Request mit. Schau mal ins Eventlog und such dir das Attribut raus. Das gibst du in Die Policy und kannst das mit Regex auswerten.

Müsste auch bei anderen Controllern gehen.

LG
MichaelW84
MichaelW84 01.09.2016 um 06:30:30 Uhr
Goto Top
Danke,
Ich bin auch der Meinung dass man es irgendwo eingeben können sollte.
Leider erschließt sich mir nicht wo in der Richtlinie ich das eingeben soll.

Vielleicht kannst du mir dazu noch etwas genaueres sagen wo genau ich das eintragen muss (ich denke in der policy unter Bedingungen) beim NAP von MS.
catachan
catachan 01.09.2016 um 07:46:35 Uhr
Goto Top
Hi

was für einen Controller hast du ?

LG
MichaelW84
MichaelW84 01.09.2016 um 07:54:50 Uhr
Goto Top
Ich benutze wie oben beschrieben D-Link Wlan router als AP mit WPA-Enterprise und zur auth. Server2012R2 Radius Rolle.

Ich habe weiter recharchiert und bin mit deiner Hilfe auf NAS-Identyfire gestossen.
In meinen Geräten kann ich keine NAS-ID seperat vergeben.
Ist die NAS-ID gleich der SSID?
catachan
catachan 01.09.2016 um 08:20:32 Uhr
Goto Top
Hi

schau ins eventlog des NPS. Dort steht genau drinnen was der AP schickt. Normalerweise steht die SSID im Nas-Identifier drinnen.

LG
MichaelW84
MichaelW84 01.09.2016 um 08:55:04 Uhr
Goto Top
Ok danke werde es testen,
jetzt ist mir ein anderes Problem untergekommen.
Ich betreibe in dem Netzwerk noch einen Drucker der per WLAN angebunden ist in dem habe ich keine Möglichkeit für die Verbindung einen Benutzernamen anzugeben gibt es da auch eine Möglichkeit das gerät zu verbindnen? weist du das zufällig?