none
Control de acceso a red inalambrica en máquinas que no son del dominio mediante NPS/Radius RRS feed

  • Pregunta

  • Hola,

    El tema es que necesito controlar el acceso a red inalámbrica con un direccionamiento concreto a máquinas que no forman parte de mi dominio, pero si quiero controlar, esto es; que la máquina que no es del dominio necesite en la autenticación de red poderse validar contra el controlador de dominio, ya sea la MAC del dispositivo o lo que sea.

    Que se os ocurre.


    Carlos Del Prado

    miércoles, 19 de octubre de 2016 14:32

Respuestas

  • Hay un dato clave que te estás pasando por alto :)

    Tú mismo dices un ámbito diferente en el DHCP, eso implicaría que están en una red IP diferente, y por lo tanto para que calquiera pueda conectarse a la red, es necesario un Router que las interconecte

    Luego, lo más sencillo es que ese Router tenga cortafuegos

    Otra posibilidad ya que nombras la situación, lo que planteas es justamente algo conocido y ya inventado :)

    Se llama BYOD ("Bring Your Own Device") busca información sobre ese tema

    Bring your own device - Wikipedia
    https://en.wikipedia.org/wiki/Bring_your_own_device

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Propuesto como respuesta Moderador M jueves, 20 de octubre de 2016 14:06
    • Marcado como respuesta Moderador M miércoles, 26 de octubre de 2016 14:43
    jueves, 20 de octubre de 2016 10:05
    Moderador

Todas las respuestas

  • No hay forma que una máquina que no es parte del Dominio se autentique contra un Controlador de Dominio

    Para lo que creo que buscas, lo que se hace es una red aparte para invitados, y luego se conecta si fuera necesario al resto de la red, pero con un cortafuegos de por medio (bien configurado ;))

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    miércoles, 19 de octubre de 2016 19:48
    Moderador
  • Se me ocurre, a ver que te parece?

    Crear un ámbito nuevo para el dhcp al que estén conectados los AP, de esta forma el direccionamiento de red seria diferente al de las otras redes, luego como las cuentas de los usuarios si son de AD podría autenticarlos y dejarlos entrar en la red, pero como el direccionamiento es diferente no podrían llegar a la red de "servicios" y al ser Wifi daría igual que se cambiaran la ip porque el medio físico no les permite llegar a mi red.

    Debes saber que los usuarios que usaran esa wifi ya tienen  cuenta en el dominio, lo que sucede es que los equipos que usan son de cliente y esto significa que yo no lo puedo controlar.

    De esta forma podría tener controlado quien accede a la red, sin tener que hacer mas gestión que la que ya se hace, bueno en este caso en las reglas del radius abría que crear un grupo donde estarían las cuentas de los usuarios que usan los equipos agenos al dominio.

    Que te parece, así sabría quien se puede conecar, no tendría que meter ningún free radius ni ningún otro sistema de gestión de usuarios y estaría seguro en tanto que los equipos no accederían a la red del AD.

    Gracias por tus opiniones


    Carlos Del Prado

    jueves, 20 de octubre de 2016 5:40
  • Hay un dato clave que te estás pasando por alto :)

    Tú mismo dices un ámbito diferente en el DHCP, eso implicaría que están en una red IP diferente, y por lo tanto para que calquiera pueda conectarse a la red, es necesario un Router que las interconecte

    Luego, lo más sencillo es que ese Router tenga cortafuegos

    Otra posibilidad ya que nombras la situación, lo que planteas es justamente algo conocido y ya inventado :)

    Se llama BYOD ("Bring Your Own Device") busca información sobre ese tema

    Bring your own device - Wikipedia
    https://en.wikipedia.org/wiki/Bring_your_own_device

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Propuesto como respuesta Moderador M jueves, 20 de octubre de 2016 14:06
    • Marcado como respuesta Moderador M miércoles, 26 de octubre de 2016 14:43
    jueves, 20 de octubre de 2016 10:05
    Moderador