none
Informazioni CAL device per mac authentication con freeradius RRS feed

  • Discussione generale

  • Buongiorno, potreste aiutarmi a capire se abbiamo bisogno di licenze CAL device aggiuntive quando inseriamo in AD nuovi oggetti per permettere al radius la mac authentication?

    es. quando lo switch rileva un dispositivo connesso ad una sua porta invia il mac address di tale dispositivo al freeradius (linux) quest'ultimo tramite una query LDAP chiede all'AD se il mac address è presente in AD. Se lo è il radius comunica allo switch che il dispositivo può entrare in rete al contrario no.

    La domanda quindi è: questi oggetti mac address sono soggetti a licenza CAL?

    grazie

    martedì 14 aprile 2015 08:06

Tutte le risposte

  • Purtroppo questa community non si occupa di licensing, quindi per avere una risposta ufficiale dovresti contattare il supporto commerciale Microsoft.

    https://support.microsoft.com/it-it

    In ogni caso se ho capito bene stai implementando una MAC address authentication tramite NPS, quindi considerando l'ultimo documento Microsoft Product Use Rights (Aprile 2015):

    Definizioni
    CAL è l’acronimo di Client Access License. Esistono due tipi di CAL: per utente e per dispositivo. Una CAL per utente consente l’accesso al software server da qualsiasi dispositivo da parte di un solo utente. Una CAL per dispositivo consente l’accesso al software server da un solo dispositivo da parte di qualsiasi utente.

    Licenze di accesso

    1.  Il licenziatario dovrà cedere ogni licenza CAL a un utente o a un dispositivo, a seconda del caso, e ogni licenza External Connector a un Server con Licenza.

    Condizioni Aggiuntive:

    GESTIONE CERTIFICATI E IDENTITÀ
    Una licenza CAL è necessaria inoltre per qualsiasi persona per la quale vengano emesse o gestite tramite il software le informazioni di identità.

    A mio parere dovrebbe essere necessario acquistare una CAL per dispositivo per ogni dispositivo che esegue l'autenticazione in Windows Server (quindi per ogni MAC address inserito in Active Directory).

    martedì 14 aprile 2015 08:41
    Moderatore
  • Dovresti chiedere al supporto licensing.

    Qualche considerazione:

    l'attributo non é presente di default nella classe "coumputer" che raprresenta computer facenti parte del dominio, ho visto peró che é presente nella classe "device".

    Immagino abbiate creato istanze della classe device per lo scopo, in questo caso non credo siano necessarie CAL.

    Detto questo mi chiedevo come mai usate AD come repository di oggetti "device" se questi non sono parte del dominio.

    Se invece avete esteso la classe Computer allora vi servono le cal.


    This post is provided AS IS with no warranties or guarantees, and confers no rights.
    ~~~
    Questo post non fornisce garanzie e non conferisce diritti


    • Modificato aperelli martedì 14 aprile 2015 08:53
    martedì 14 aprile 2015 08:53
  • Grazie per le risposte.

    Volevamo usare AD per comodità (farebbe praticamente solo da repository db) inserendo gli oggetti mac address tramite adsiedit, non creando quindi un vero e proprio "oggetto device".

    Dalla documentazione Microsoft non riesco a capire bene se, ad esempio un telefono voip, che NON accede al dominio ma c'ha solo il proprio mac address censito in AD, avrà bisogno della CAL relativa.

    Proverò a girare la richiesta nella parte di supporto licenze che mi avete indicato.

    grazie!

    martedì 14 aprile 2015 09:11
  • Si, se non crei dei veri e propri oggetti Active Directory probabilmente non servono CAL come diceva aperelli ma è sempre meglio chiedere al supporto commerciale.

    Mi raccomando, aggiornaci su eventuali sviluppi.

    Un saluto.

    giovedì 16 aprile 2015 08:45
    Moderatore