none
NPSについて RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票

    NPSのRadius機能について教えてください。

    VPNサーバとワイヤレスコントローラの認証をAD認証にしたいのですが

    1台のドメインコントローラで上記は実現できますでしょうか?

    VPNサーバとワイヤレスコントローラ用のRadiusサーバは対象のDCを指定しており、DC側でもRadiusクライアントとして

    VPNサーバとワイヤレスコントローラを登録しております。

    まず、VPNサーバ用のポリシーを作成して検証しましたがこちらは問題ございませんでした。

    しかし、ワイヤレスコントローラ用のポリシーを作成後(VPNより優先度は高)VPNの認証は失敗してしまいます。

    VPNポリシーの優先度をワイヤレス用より高くすると、認証は成功します。

    あまり詳しくないので教えていただけますと幸いです。

    

    2019年6月24日 1:08
    |

回答

  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    この件ですが、NPSのポリシー設定をうまく使えば、2台の「機能の異なる」RADIUSクライアントについて、それぞれ設定することは可能だと思います。

    やり方としては、接続要求ポリシーとネットワークポリシーの両方について「条件」に、「RADIUSクライアントのプロパティ」にある「クライアントIPv4アドレス」等、RADIUSクライアントの情報を加えることです。ポリシーを評価する場合「条件」にある内容に該当していればポリシー条件に合致するものとして評価の対象となり、条件に該当していない場合、評価そのものがスキップされます。(実際のポリシーの[条件]タブに内容は書いてあります)

    無関係なポリシーでRADIUSクライアントの接続許可が評価されると、おっしゃるような問題が発生するので、RADIUSクライアントごとに切り分けられるよう、ポリシーを設定してください。

    ただ、複雑になることは間違いないので、ふつうは同じ接続条件のRADIUSクライアントを許可するポリシーを設定するように思います。

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2019年6月25日 6:00
    |

すべての返信

  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    この件ですが、NPSのポリシー設定をうまく使えば、2台の「機能の異なる」RADIUSクライアントについて、それぞれ設定することは可能だと思います。

    やり方としては、接続要求ポリシーとネットワークポリシーの両方について「条件」に、「RADIUSクライアントのプロパティ」にある「クライアントIPv4アドレス」等、RADIUSクライアントの情報を加えることです。ポリシーを評価する場合「条件」にある内容に該当していればポリシー条件に合致するものとして評価の対象となり、条件に該当していない場合、評価そのものがスキップされます。(実際のポリシーの[条件]タブに内容は書いてあります)

    無関係なポリシーでRADIUSクライアントの接続許可が評価されると、おっしゃるような問題が発生するので、RADIUSクライアントごとに切り分けられるよう、ポリシーを設定してください。

    ただ、複雑になることは間違いないので、ふつうは同じ接続条件のRADIUSクライアントを許可するポリシーを設定するように思います。

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2019年6月25日 6:00
    |
  • Question
    サインインして投票
    0
    サインインして投票

    ご回答ありがとうございます。

    上記の通り、2つのポリシーの条件にRadiusクライアントごとの設定を追加することで

    ワイヤレス、VPNともに認証できることを確認できました。

    2019年6月26日 4:20
    |
  • Question
    サインインして投票
    0
    サインインして投票

    NPSのVPN接続の認証についてもう1つ確認させてください。

    VPN接続できる端末を限定することはできますでしょうか?

    NPSの許可する条件でDomain computersグループを追加すればドメインに参加した端末しか

    VPN接続はできないと思い試しましたが、ドメイン参加した端末でも認証が通りませんでした。

    使用しているVPNソフトウェアはSoftetherのもので、Radius認証を使用する場合は端末を限定することはできなそうだったため、Radius側で端末を限定することが出来ればご教授ください。

    2019年6月26日 8:15
    |
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    追加の質問の件ですが、新しい質問をされる場合、新規スレッドにお願いします。あとから検索で内容を確認する際に、質問や回答がわかりにくくなってしまうためです。

    ご協力をお願いします。

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2019年6月26日 19:21
    |