locked
NPS & User + PC RRS feed

  • Question

  • Bonjour 

    Je viens de configurer un Srv NPS pou rl'accès wifi type entreprise. 

    La stratégie de demande de connexion pour réseau sans fils est créé :

    Condition : Type de port NAS

    Paramtres : Fournisseur d'authentification : Ordinateur  local

    Remplacer l'auth : Desactive

    Configuration du protocole EAP : Configuré

    La stratégie Réseau aussi :

    Condition  : Type Port NAS, Groupe Utilisateur, Groupe Ordinateur

    ....

    Le probleme est que je n'arrive pas à faire en sorte que les deux condition grp ordi et grp user match ensemble, pourtant quand je desctive l'un ou l'autre des condition (drp ordi ou grp ustilisateur) cela fonctionne. en fonction de la configuration de la carte "Authentification utilisateur ou ordinateur" ou "Authentification utilisateur" dans le cas ou le grp NPS est Utilisateur, et seulement "Authentification Ordinateur" dans le cas ou le grp NPS est un groupe d'ordinateur.

    Mais si je mets les 2 conditions au niveau NPS je ne peux plus me connecter.

    Comment faire pour avoir les deux conditions qui match la règle NPS?

    Qlq un aurait il une idee?

    Bon réveillon en attendant

    lundi 31 décembre 2012 17:36

Réponses

  • Bonjour,

    avez-vous essayé de créer 2 règles NPS différentes? Une pour la condition Ordinateur, l'autre pour l'utilisateur.

    L'ordinateur s'authentifie bien avant l'utilisateur...

    Certaines cartes réseau WIFI (comme celle d'Intel) permettent de définir des "profils wifi" utilisateurs spéciaux qui sont utilisés AVANT la connexion de l'utilisateur, et APRES la fermeture de la session de l'utilisateur, pour gérer (par exemple) correctement l'écriture des profils itinérants. L'ajout de ces profils utilisateurs spéciaux dans le groupe d'utilisateurs utilisé par la règle NPS permettrait de résoudre ce problème.

    A bientôt,


    Thierry DEMAN. Exchange MVP. MCSA Windows Server 2012 (73 MCPs). https://mvp.support.microsoft.com/profile=CE2B565B-B13D-4C24-B04D-F0D5766D14A1 http://www.faqexchange.info

    jeudi 3 janvier 2013 16:43
  • Le protocole d'auth utilisé ne permet pas de présenter des credentials multiples (ordi + user), il peut présenter l'un OU l'autre, mais pas les deux en même temps. Les deux auth (machine et user) sont complétements disjoints.

    Vous pouvez voir pour cela l'explication de Clay Semour sur http://social.technet.microsoft.com/Forums/en-US/winserverNAP/thread/1b027cc1-6b97-4779-b8e9-ced71ed93651

    Les stratégies NPS sont évalués comme des ACL de pare-feu : elles sont évaluées dans l'ordre, la première qui match donne l'accès (ou le refuse), si aucune ne match l'accès est refusé. Vous pouvez par contre mettre un accès 802.1X sur la partie Ordinateur pour la connexion au WiFi, puis un portail captif pour l'auth utilisateur pour aller sur Internet. Pour l'accès au réseau d'entreprise en interne, de toute façon si l'utilisateur n'est pas auth sur le domaine, ses accès seront plutôt limités.



    vendredi 4 janvier 2013 10:24

Toutes les réponses

  • Bonjour,

    avez-vous essayé de créer 2 règles NPS différentes? Une pour la condition Ordinateur, l'autre pour l'utilisateur.

    L'ordinateur s'authentifie bien avant l'utilisateur...

    Certaines cartes réseau WIFI (comme celle d'Intel) permettent de définir des "profils wifi" utilisateurs spéciaux qui sont utilisés AVANT la connexion de l'utilisateur, et APRES la fermeture de la session de l'utilisateur, pour gérer (par exemple) correctement l'écriture des profils itinérants. L'ajout de ces profils utilisateurs spéciaux dans le groupe d'utilisateurs utilisé par la règle NPS permettrait de résoudre ce problème.

    A bientôt,


    Thierry DEMAN. Exchange MVP. MCSA Windows Server 2012 (73 MCPs). https://mvp.support.microsoft.com/profile=CE2B565B-B13D-4C24-B04D-F0D5766D14A1 http://www.faqexchange.info

    jeudi 3 janvier 2013 16:43
  • Le protocole d'auth utilisé ne permet pas de présenter des credentials multiples (ordi + user), il peut présenter l'un OU l'autre, mais pas les deux en même temps. Les deux auth (machine et user) sont complétements disjoints.

    Vous pouvez voir pour cela l'explication de Clay Semour sur http://social.technet.microsoft.com/Forums/en-US/winserverNAP/thread/1b027cc1-6b97-4779-b8e9-ced71ed93651

    Les stratégies NPS sont évalués comme des ACL de pare-feu : elles sont évaluées dans l'ordre, la première qui match donne l'accès (ou le refuse), si aucune ne match l'accès est refusé. Vous pouvez par contre mettre un accès 802.1X sur la partie Ordinateur pour la connexion au WiFi, puis un portail captif pour l'auth utilisateur pour aller sur Internet. Pour l'accès au réseau d'entreprise en interne, de toute façon si l'utilisateur n'est pas auth sur le domaine, ses accès seront plutôt limités.



    vendredi 4 janvier 2013 10:24
  • Tout d'abord bonne année 2013 à tous,

    Merci pour ces réponses, il semble effectivement il n'y ait pas la possibilité d'utiliser les 2 conditions en même tps, pour répondre au 1 er poste oui nous avons reussi l'authentiofication Machine ou User mais pas les 2 en meme temps, bien que dans le wizard du NPS on a bien cette possibilité qui ne fonctionne pas au final... A faire a suivre.

    La 2eme idée serait de poussez un certificat en passant par "l'authentification cartes à puces ou autre certificat" mais la question la est est il possible d'avoir un certificat particulier pour chaque utilisateur ou un seul certificat pour le service. Dans ces cas qu'elle est la demarche à suivre ?

    Merci d'avance.

    Gad.

    vendredi 4 janvier 2013 15:45
  • La 2eme idée serait de poussez un certificat en passant par "l'authentification cartes à puces ou autre certificat" mais la question la est est il possible d'avoir un certificat particulier pour chaque utilisateur ou un seul certificat pour le service. Dans ces cas qu'elle est la demarche à suivre ?

    Vous pouvez avoir un certificat par utilisateur, soit via une PKI interne (rôle Autorité de Certification) ou via un certificat public. Dans l'AD vous associez chaque certificat à un utilisateur (ou un ordinateur), celui ci remplace sert à l'authentification. Dans le cas d'une PKI interne, l'association entre certificat et utilisateur/ordinateur peut être automatique.

    mardi 8 janvier 2013 10:38
  • Les certificats c'est pas mal.
    Il y a pas mal de renseignements ici Certificat de serveur NPS : configurer le modèle et l’inscription automatique

    mardi 8 janvier 2013 13:58