none
Radius + DHCP server - Windows server 2008 DataCenter RRS feed

  • Discussione generale

  • Salve,

    sto cercando di implementare un servizio di autenticazione 802.1x + scope DHCP tramite Windows server 2008.

    In questo momento ho già configurato l'AD, con i gruppi e gli utenti per l'autenticazione.

    Quello che vi chiedo è supporto nella configurazione del DHCP scope per i client autenticati con Radius.

    Ho bisogno di capire come implementare NPS-NAS per farsi che SOLO i client wireless, autenticati nella fase 1 con Radius, ottengano un IP assegnato dal DHCP. 

    Lo scenario è questo. 

    1) AP configurato in WPA2 enterprise - client radius già configurato.

    2) AD service + Radius AUTH -  funziona già!

    3) DHCP scope che gestisce le richieste dei client autenticati con Radius ed assegna un IP-MASK-GATEWAY

    Scusate ma sono newbie con Windows Server ed ho bisogno di un articolo o guida di livello 1, ovvero facile da capire.

    GRAZIE mille

    LFernando

    • Tipo modificato Maria Atanassova giovedì 9 ottobre 2014 10:35 inactive thread
    martedì 30 settembre 2014 22:09

Tutte le risposte

  • ciao,

    che tipo di AP usi ? cisco ?  prima di tutto devi aggiungere il ruolo dhcp server sul tuo bel Windows server e poi segui questa guida

    http://blogs.technet.com/b/teamdhcp/archive/2008/05/28/configuring-custom-nps-policies-per-dhcp-scope.aspx

    qui ti spiega un po' come fare.

    Mattia Lodi

    mercoledì 1 ottobre 2014 07:50
  • Ciao Mattia,

    il DHCP era già configurato con lo scope desiderato.

    Quello che mancava era la configurazione delle policy, ovvero:

    Condizioni: Se un client si è autenticato tramite RADIUS in AD e appartiene al gruppo Wireless

    Azioni: DHCP rilascia una lease valida e il client avrà un IP-MASK-DNS-GATEWAY specificati nello scope che fa match alle condizioni.

    Grazie della guida, diciamo che parla solo del DHCP e non ricopre la prima fase del RADIUS.

    Potreste indicarmi un tutorial, video, guida, articolo, ecc dove si ha l'integrazione AUTH Radius + DHCP NPS specifico per i client wireless??

    Grazie 

    LFernando

     

    mercoledì 1 ottobre 2014 09:11
  • allora mi sa che non ti sei spiegato bene, una persona arriva si collega al tuo bel AP tramite wpa2, questo la passa al tuo bel radius server che offrirà authorization + Accounting per esempio, se validati il dhcp server rilascerà un bel indirizzo ip per farti navigare....

    qual è il tuo problema ? spiegati meglio...

    mercoledì 1 ottobre 2014 09:56
  • Ciao Mattia,

    il DHCP era già configurato con lo scope desiderato.

    Quello che mancava era la configurazione delle policy, ovvero:

    Condizioni: Se un client si è autenticato tramite RADIUS in AD e appartiene al gruppo Wireless

    Azioni: DHCP rilascia una lease valida e il client avrà un IP-MASK-DNS-GATEWAY specificati nello scope che fa match alle condizioni.

    Grazie della guida, diciamo che parla solo del DHCP e non ricopre la prima fase del RADIUS.

    Potreste indicarmi un tutorial, video, guida, articolo, ecc dove si ha l'integrazione AUTH Radius + DHCP NPS specifico per i client wireless??

    Grazie 

    LFernando

     

    Qui si tratterebbe di spiegare tutto il meccanismo di autenticazione di NPS (puoi trovare delle guide qui: http://technet.microsoft.com/it-it/network/bb545879.aspx ), comunque in sintesi una possibile soluzione potrebbe essere questa:

    - Aggiungere gli access point come client RADIUS (ovviamente dovranno essere configurati per WPA2-Enterprise e dovranno puntare all'indirizzo del server per l'autenticazione)

    - Creare o abilitare un criterio di richiesta di connessione

    - Creare un criterio di rete per la rete wireless con il gruppo Active Directory degli utenti consentiti e con le impostazioni di tipologia di porta NAS per la rete wireless.

    A questo punto il DHCP potrà rilasciare indirizzi solo dopo che NPS avrà consentito la connessione alla rete wireless agli utenti, ma non verrà eseguito un controllo successivo (quindi a livello di rete cablata chiunque potrebbe ottenere un indirizzo valido). Per fare questo dovresti implementare in aggiunta anche un NAP Enforcement per il server DHCP: http://technet.microsoft.com/it-it/library/cc772356(v=ws.10).aspx

    mercoledì 1 ottobre 2014 10:49
    Moderatore
  • si ma l'utente non ha bisogno di un consiglio, ma di sapere come implementare,configurare ecc e per questo credo ci siano i corsi...e i documenti che gli hai postato li poteva semplicemente trovare digitando in Google ;-)

    Saluti

    Mattia Lodi


    • Modificato MSalterego mercoledì 1 ottobre 2014 12:27
    mercoledì 1 ottobre 2014 12:26
  • ...e i documenti che gli hai postato li poteva semplicemente trovare digitando in Google ;-)


    Vorrà dire che gli ho risparmiato una ricerca su internet :)

    mercoledì 1 ottobre 2014 12:43
    Moderatore

  • Grazie della guida, diciamo che parla solo del DHCP e non ricopre la prima fase del RADIUS.

    Potreste indicarmi un tutorial, video, guida, articolo, ecc dove si ha l'integrazione AUTH Radius + DHCP NPS specifico per i client wireless??


     

    ma tu hai scritto sopra che 

    AD + RADIUS Auth funziona già 

    quindi ?


    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    mercoledì 1 ottobre 2014 15:45
    Moderatore
  • Bene, 

    se ho deciso di chiedere supporto in questa community vuol dire che la ricerca effettuata SU GOOGLE, non ha prodotto un risultato soddisfacente.

    Non sapevo che la community di Windows fosse così "spietata".

    Grazie lo stesso!

    giovedì 2 ottobre 2014 06:29
  • allora mi sa che non ti sei spiegato bene, una persona arriva si collega al tuo bel AP tramite wpa2, questo la passa al tuo bel radius server che offrirà authorization + Accounting per esempio, se validati il dhcp server rilascerà un bel indirizzo ip per farti navigare....

    qual è il tuo problema ? spiegati meglio...

    Bene hai sintentizzato quello che ho scritto IO!

    L'implementazione è proprio quella, con Windows Server 2008 però!

    Ciao.


    giovedì 2 ottobre 2014 06:31

  • Grazie della guida, diciamo che parla solo del DHCP e non ricopre la prima fase del RADIUS.

    Potreste indicarmi un tutorial, video, guida, articolo, ecc dove si ha l'integrazione AUTH Radius + DHCP NPS specifico per i client wireless??


     

    ma tu hai scritto sopra che 

    AD + RADIUS Auth funziona già 

    quindi ?


    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    è scritto in italiano...quindi!

    Potreste indicarmi un tutorial, video, guida, articolo, ecc dove si ha l'integrazione AUTH Radius + DHCP NPS specifico per i client wireless??


    giovedì 2 ottobre 2014 06:33
  • si ma l'utente non ha bisogno di un consiglio, ma di sapere come implementare,configurare ecc e per questo credo ci siano i corsi...e i documenti che gli hai postato li poteva semplicemente trovare digitando in Google ;-)

    Saluti

    Mattia Lodi


    Volevo proprio dei consigli e se possibile una guida aggiuntiva dove si ricopre la soluzione proposta!
    giovedì 2 ottobre 2014 06:34
  • Potreste indicarmi un tutorial, video, guida, articolo, ecc dove si ha l'integrazione AUTH Radius + DHCP NPS specifico per i client wireless??


    cioè cercavi questo

    http://technet.microsoft.com/it-it/library/dd283005(v=ws.10).aspx ?


    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    giovedì 2 ottobre 2014 06:58
    Moderatore

  • A questo punto il DHCP potrà rilasciare indirizzi solo dopo che NPS avrà consentito la connessione alla rete wireless agli utenti, ma non verrà eseguito un controllo successivo (quindi a livello di rete cablata chiunque potrebbe ottenere un indirizzo valido). Per fare questo dovresti implementare in aggiunta anche un NAP Enforcement per il server DHCP: http://technet.microsoft.com/it-it/library/cc772356(v=ws.10).aspx

    ECCO il punto! Ho letto il documento ma non sono riuscito a trovare un caso specifico, o meglio una guida/video per l'enforcement sul DHCP: ma non verrà eseguito un controllo successivo (quindi a livello di rete cablata chiunque potrebbe ottenere un indirizzo valido). Per fare questo dovresti implementare in aggiunta anche un NAP Enforcement per il server DHCP.

    venerdì 3 ottobre 2014 11:23
  • Salve LuFernando,

    Puoi dare un’occhiata al questo articolo http://technet.microsoft.com/en-us/network/bb545879.aspx

    Lì ce ne sono tantissimi informazioni, ma c’è anche un lab - Step-by-Step Guide: Demonstrate NAP 802.1X Enforcement in a Test Lab

    Spero che tu trova tutto ciò che ti serve.

    venerdì 3 ottobre 2014 12:04