2
Radius (NPS) Authentifizierung VLAN auf MAC Basis
Hallo,
ich möchte gerne Clients die sich mit dem WLan verbinden mit Hilfe des Radius verschiedene VLans zuweisen.
Prinzipiell funktioniert das alles soweit ganz gut ich kann eine Richtline machen und die Caller-ID eintragen. Das zugehörige VLan wird dann per Attribute an den Aruba Virtual Controller zurückgegeben.
Nun ist das problem das ich so immer nur eine Caller-ID pro Richtline eingetragen könnte, wenn ich das so umsetze müsste ich ewig viele Richtlinien erstellen.
Ziel ist es:
1. User wählt SSID aus
2. User Authentifiziert sich mit seinen AD User Daten
3. Wenn Caller-ID bekannt, dannn VLan XXX
4. Wenn Caller-ID unbekannt, dann VLan ZZZ
Ich suche nach einem Weg die Mac Adressen Zentral zu hinterlegen und dann in einer Richtlinie prüfen zu lassen.
Ich hoffe jemand hat eine Idee wie ich das umsetzen kann.
Es geht dabei hauptsächlich um die Trennung von Firmeninternen Geräten und BYOD Geräten. Zudem soll es für den Nutzer selbst dabei keine Unterschiede im Vorgehen geben.
ich möchte gerne Clients die sich mit dem WLan verbinden mit Hilfe des Radius verschiedene VLans zuweisen.
Prinzipiell funktioniert das alles soweit ganz gut ich kann eine Richtline machen und die Caller-ID eintragen. Das zugehörige VLan wird dann per Attribute an den Aruba Virtual Controller zurückgegeben.
Nun ist das problem das ich so immer nur eine Caller-ID pro Richtline eingetragen könnte, wenn ich das so umsetze müsste ich ewig viele Richtlinien erstellen.
Ziel ist es:
1. User wählt SSID aus
2. User Authentifiziert sich mit seinen AD User Daten
3. Wenn Caller-ID bekannt, dannn VLan XXX
4. Wenn Caller-ID unbekannt, dann VLan ZZZ
Ich suche nach einem Weg die Mac Adressen Zentral zu hinterlegen und dann in einer Richtlinie prüfen zu lassen.
Ich hoffe jemand hat eine Idee wie ich das umsetzen kann.
Es geht dabei hauptsächlich um die Trennung von Firmeninternen Geräten und BYOD Geräten. Zudem soll es für den Nutzer selbst dabei keine Unterschiede im Vorgehen geben.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 347087
Url: https://administrator.de/contentid/347087
Printed on: April 25, 2024 at 14:04 o'clock
2 Comments
Latest comment
Hallo,
wir nutzen den Windows Radius Server für die Authentifizierung der MAC-Adressen im LAN.
Dafür haben wir für alle Geräte die Zugriff haben sollen, einen AD-Benutzer angelegt. Dieser hat als Anmeldename und Passwort jeweils die MAC des Gerätes.
Die Benutzer sind in Gruppen sortiert und je VLAN unterteilt.
Der Server prüft dann lediglich, ob die MAC-Adresse Mitglied einer Gruppe ist.
Somit gibt es je VLAN eine Gruppe und eine Richtlinie.
Damit haben wir eine zumindest gewisse Grundsicherheit erreicht.
LG
wir nutzen den Windows Radius Server für die Authentifizierung der MAC-Adressen im LAN.
Dafür haben wir für alle Geräte die Zugriff haben sollen, einen AD-Benutzer angelegt. Dieser hat als Anmeldename und Passwort jeweils die MAC des Gerätes.
Die Benutzer sind in Gruppen sortiert und je VLAN unterteilt.
Der Server prüft dann lediglich, ob die MAC-Adresse Mitglied einer Gruppe ist.
Somit gibt es je VLAN eine Gruppe und eine Richtlinie.
Damit haben wir eine zumindest gewisse Grundsicherheit erreicht.
LG
Das hiesige .1x Tutorial beschreibt diese sog. "Mac Bypass" Funktion:
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
