none
informazione riguardante Internet Autenthication Service RRS feed

  • Domanda

  • Ciao a tutti, avrei bisogno di un'informazione: siccome dovrei implementare nella mia azienda un servizio di accesso Wireless sia per i dipendenti e sia per alcuni esterni, ho impostato un radius server tramite la funzionalità Internet Authentication Service e ho impostato i vari access point (cisco aironet 1200 series) come radius client. Ho creato poi una policy di accesso remoto (sempre tramite Internet Authentication Service) con cui autorizzo tutti i dipendenti (per i quali ho creato un ou apposita in active directory denominata "Accesso dipendenti WiFi") all'accesso tramite il proprio nome utente/password da qualsiasi dispositivo (devono avere accesso a qualsiasi risorsa interna aziendale come ad es. tutti i siti intranet aziendali). E fin qui sembra funzionare tutto correttamente. Il problema sorge per gli utenti esterni (pochi) che hanno bisogno di utilizzare internet tramite WiFi solo in alcuni determinati giorni, per i quali ho creato un'altra ou in Active directory denominata "Accesso esterni WiFi"). Ecco, ciò che vorrei fare è bloccare per questi ultimi utenti l'accesso ai siti intranet o comunque ad alcuni determinati indirizzi IP o range di IP come ad esempio 10.10.*..ecc.. c'è la possibilità di farlo tramite active directory o tramite policy di accesso remoto presente nella funzionalità di Internet Authentication Service?

    Grazie e saluti.

    venerdì 9 gennaio 2015 14:54

Risposte

  • dovresti crearti una IAS policy (io ho NPS) e provare ad agire sulle voci delle immagini qui sotto:


    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    lunedì 12 gennaio 2015 10:58
    Moderatore
  • Ciao, scusa ma gli Aironet hanno la possibilità di avere più SSID. Se per gli utenti esterni crei un SSID secondario magari su una classe diversa senza andare a complicarti la vita e metti un dhcp con scadenza ridotta su quella? Se piega male puoi sempre cambiare la pwd di autenticazione per la rete guest...sempre dipende da quanti client hai.

    Ciao!

    A.

    venerdì 9 gennaio 2015 15:08
    Moderatore

Tutte le risposte

  • Ciao, scusa ma gli Aironet hanno la possibilità di avere più SSID. Se per gli utenti esterni crei un SSID secondario magari su una classe diversa senza andare a complicarti la vita e metti un dhcp con scadenza ridotta su quella? Se piega male puoi sempre cambiare la pwd di autenticazione per la rete guest...sempre dipende da quanti client hai.

    Ciao!

    A.

    venerdì 9 gennaio 2015 15:08
    Moderatore
  • Ciao, intanto grazie, la tua è una buona soluzione, non ci ho proprio pensato all'utilizzo di SSID multipli. Sto facendo alcuni test e in effetti, previa corretta configurazione, potrebbe svolgere correttamente ciò che avevo in mente. Il fatto però è che vorrei gestire, se possibile, tutti gli accessi alla rete Wireless (sia guest che interna) direttamente da active directory in base a gruppi di utenti, non permettendo l'accesso tramite wpa ma solo tramite nome utente/password e gestire ogni gruppo di utenti (soprattutto per il gruppo degli esterni) direttamente dalle policy dell'Internet Authentication Service, in modo da configurare i giorni in cui essi possono connettersi, il numero massimo dei minuti di connessione e altro ancora. Questa soluzione mi servirebbe anche per avere un controllo più generale, siccome gli access point sono una decina suddivisi in varie sedi distanti tra loro e un unico server di autenticazione che si trova in sede centrale. Gli utenti esterni non sono molti, una quindicina, che utilizzeranno la rete in diversi giorni ciascuno. La domanda è: è possibile bloccare a un determinato gruppo di utenti l'accesso a determinati indirizzi IP direttamente da Active Directory o da policy IAS? In ogni caso grazie comunque della risposta che è stata molto utile.

    Ciao!

    venerdì 9 gennaio 2015 16:56
  • dovresti crearti una IAS policy (io ho NPS) e provare ad agire sulle voci delle immagini qui sotto:


    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    lunedì 12 gennaio 2015 10:58
    Moderatore
  • Ciao cicicone,

    Abbiamo ancora il tuo thread aperto nel Forum di  Windows Server.

    Per chiudere il thread puoi segnare come risposta gli interventi che hanno risposto alla tua domanda iniziale. Aggiungo che il tuo riscontro tornerà sicuramente utile per chi si dovesse trovare nella medesima situazione, così è molto gradito dai membri della community anche condividere una soluzione tua.

    Grazie a tutti della partecipazione nel forum!


    • Microsoft offre questo servizio gratuitamente, per aiutare gli utenti e aumentare il database dei prodotti e delle tecnologie. Il contenuto viene fornito “così come è e non comporta alcuna responsabilità da parte dell’azienda.

    giovedì 15 gennaio 2015 09:05