none
NPS порядок применения правил RRS feed

  • Вопрос

  • Не могу до конца понять, как в итоге применяются политики сети?

    У меня есть сервер сетевых политик NPS и есть правило - разрешено всем (Domain Users) подключаться к сети по доменному логину/паролю, используя Radius.

    Теперь некой группе windows я хочу разрешить подключаться только по сертификату, при этом не трогая Domain Users. 

    Возможно ли это?

    Или всегда все пользователи будут подключаться по первому правилу без сертификатов?

    В документации сказано что NPS перебирает все правила, пока не найдет правило, которое разрешит. То есть, независимо от того, что я ограничу (разрешу некой группе), все пользователи будут подключаться по логину/паролю?

    Вот то что я делаю на живом примере. У меня есть одна WiFi сеть с Radius, которая разрешает подключаться всем доменным пользователям к сети по доменному логину/паролю используя Radius сервер. То есть, доменный пользователь оказавшись в видимости сети WiFi автоматом подключается к этой сети без участия пользователя. Работает.

    Теперь я создал вторую сеть WiFi (второй SID), которую я хочу привязать к этому же самому серверу NPS, но разрешать пользователям подключаться по сертификату. Что бы разграничить пользователей, я создал эксперементальную группу windows, которую привяжу к NPS, что бы этой группе было разрешено подключаться только по сертификату. Но имея правило для Domain Users подключаться сразу, сработает ли моя эксперемент группа с более узкой областью пользователей?.










    • Изменено user00431 6 апреля 2021 г. 13:09
    6 апреля 2021 г. 12:43

Все ответы

  • Вам нужно создать первое правило, где будут указаны те кто будет подключаться via 802.1x и второе правило (где по логин/паролю), но вместо domain users указать другую группу. 
    7 апреля 2021 г. 5:22
  • Это вариант. Но исходя из вашей логики, порядок правил в nps для двух разных групп уже не имеет значения.

    Не трогая Domain Users никак нельзя обойтись?

    7 апреля 2021 г. 5:26
  • можно: использовать дополнительные условия или NAS ID, или Called Station ID, равные SSID каждой WiFi в каждом правиле.

    Пример для первого варианта по ссылке.

    Пример для второго варианта по ссылке.

    7 апреля 2021 г. 7:24
  • В правиле есть условия (группа прописывается там), и есть ограничения (метод аутентификации прописывается там).

    Насколько я помню (надо бы уточнить, давненько в те области не лазил), находится первая политика, соотвествующая условию, и проверяются ограничения (в частности - способ аутентификации). Если ограничения не проходят, то доступ отклоняется.


    Слава России!

    8 апреля 2021 г. 3:47
  • Метод аутентификации это не ограничения, а требование для клиента. Ограничения, они же условия - у автора это Группы AD. Доступ отклоняется, если требование не выполняется - не проходит аутентификация. Выбор метода аутификации у автора зависит от двух политик:

    user00431 вы пробовали просто поменять порядок правил? К вашим пользователям, которым требуется аутентификация по сертификатам, будет применена первая политика с требованием сертификата, и в случае успеха другие политики обрабатываться не будут.

    8 апреля 2021 г. 11:53