Principales respuestas
Control de acceso a red inalambrica en máquinas que no son del dominio mediante NPS/Radius

Pregunta
-
Hola,
El tema es que necesito controlar el acceso a red inalámbrica con un direccionamiento concreto a máquinas que no forman parte de mi dominio, pero si quiero controlar, esto es; que la máquina que no es del dominio necesite en la autenticación de red poderse validar contra el controlador de dominio, ya sea la MAC del dispositivo o lo que sea.
Que se os ocurre.
Carlos Del Prado
Respuestas
-
Hay un dato clave que te estás pasando por alto :)
Tú mismo dices un ámbito diferente en el DHCP, eso implicaría que están en una red IP diferente, y por lo tanto para que calquiera pueda conectarse a la red, es necesario un Router que las interconecte
Luego, lo más sencillo es que ese Router tenga cortafuegos
Otra posibilidad ya que nombras la situación, lo que planteas es justamente algo conocido y ya inventado :)
Se llama BYOD ("Bring Your Own Device") busca información sobre ese tema
Bring your own device - Wikipedia
https://en.wikipedia.org/wiki/Bring_your_own_deviceGuillermo Delprato
MVP - MCSE - MCSA2012
Buenos Aires, Argentina
El Blog de los paso a paso
MCITP: Enterprise Administrator / Server Administrator
MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration
Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
- Propuesto como respuesta Moderador M jueves, 20 de octubre de 2016 14:06
- Marcado como respuesta Moderador M miércoles, 26 de octubre de 2016 14:43
Todas las respuestas
-
No hay forma que una máquina que no es parte del Dominio se autentique contra un Controlador de Dominio
Para lo que creo que buscas, lo que se hace es una red aparte para invitados, y luego se conecta si fuera necesario al resto de la red, pero con un cortafuegos de por medio (bien configurado ;))
Guillermo Delprato
MVP - MCSE - MCSA2012
Buenos Aires, Argentina
El Blog de los paso a paso
MCITP: Enterprise Administrator / Server Administrator
MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration
Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
-
Se me ocurre, a ver que te parece?
Crear un ámbito nuevo para el dhcp al que estén conectados los AP, de esta forma el direccionamiento de red seria diferente al de las otras redes, luego como las cuentas de los usuarios si son de AD podría autenticarlos y dejarlos entrar en la red, pero como el direccionamiento es diferente no podrían llegar a la red de "servicios" y al ser Wifi daría igual que se cambiaran la ip porque el medio físico no les permite llegar a mi red.
Debes saber que los usuarios que usaran esa wifi ya tienen cuenta en el dominio, lo que sucede es que los equipos que usan son de cliente y esto significa que yo no lo puedo controlar.
De esta forma podría tener controlado quien accede a la red, sin tener que hacer mas gestión que la que ya se hace, bueno en este caso en las reglas del radius abría que crear un grupo donde estarían las cuentas de los usuarios que usan los equipos agenos al dominio.
Que te parece, así sabría quien se puede conecar, no tendría que meter ningún free radius ni ningún otro sistema de gestión de usuarios y estaría seguro en tanto que los equipos no accederían a la red del AD.
Gracias por tus opiniones
Carlos Del Prado
-
Hay un dato clave que te estás pasando por alto :)
Tú mismo dices un ámbito diferente en el DHCP, eso implicaría que están en una red IP diferente, y por lo tanto para que calquiera pueda conectarse a la red, es necesario un Router que las interconecte
Luego, lo más sencillo es que ese Router tenga cortafuegos
Otra posibilidad ya que nombras la situación, lo que planteas es justamente algo conocido y ya inventado :)
Se llama BYOD ("Bring Your Own Device") busca información sobre ese tema
Bring your own device - Wikipedia
https://en.wikipedia.org/wiki/Bring_your_own_deviceGuillermo Delprato
MVP - MCSE - MCSA2012
Buenos Aires, Argentina
El Blog de los paso a paso
MCITP: Enterprise Administrator / Server Administrator
MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration
Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
- Propuesto como respuesta Moderador M jueves, 20 de octubre de 2016 14:06
- Marcado como respuesta Moderador M miércoles, 26 de octubre de 2016 14:43