none
Network Policy Server - настройка аутентификации по UPN имени RRS feed

  • Вопрос

  • Всем привет, 

    Есть Cisco вайфай точки доступа которые аутентифицируют пользователей посредством RADIUS сервера на базе Network Policy Server (Windows Server 2008).

    Изначально в организации Contoso был (есть и сейчас) домен contoso.local и пользователи, для доступа к беспроводной сети, авторизовывались на NPS RADIUS сервере используя общепринятое logon name. Недавно организация поменяла название на Fabrikam и для этого был добавлен UPN суффикс fabrikam.com. В связи с последними изменениями нужно настроить NPS RADIUS авторизацию так чтобы пользователи авторизовывались с помощью имя.фамилия@fabrikam.com имени.

    Подскажите пожалуйста как настроить NPS так чтобы для аутентификации использовалось UPN имя в формате адреса электронной почты. 

    Спасибо.

    2 марта 2018 г. 11:11

Ответы

  • только что проверил:
    - есть пользователь vitaly в домене contoso.com. его pre-2000 имя - vitalik
    - Добавили суффикс fabrikam.com.
    - Пользователь входит на компьютер как vitaly@fabrikam.com
    - а подключает WiFi как vitaly@fabrikam.com

    всё работает "из коробки"

    • Помечено в качестве ответа Nightwolf_82 6 марта 2018 г. 23:42
    6 марта 2018 г. 11:59
    Модератор

Все ответы

  • А как Вам вариант: авторизовывать на основании членства в группе?
    В таком случае ничего пользователю менять не надо. И да, доменное имя не обязательно указывать, username достатчно.

    2 марта 2018 г. 11:30
    Модератор
  • Добрый день Anahaym, 

    У меня как раз таки на основе членства в группе. 


    Думаете должно работать? 



    5 марта 2018 г. 0:45
  • Никак не могу разобраться как именно должно выглядеть выражение для UPN суффикса firstname.lastname@fabrikam.com. 

    Помогите пожалуйста разобраться. 

    5 марта 2018 г. 5:51
  • Никак не могу разобраться как именно должно выглядеть выражение для UPN суффикса firstname.lastname@fabrikam.com. 

    Помогите пожалуйста разобраться. 

    Вообще-то UPN должен совпадать с атрибутом userPrincipalName того пользователя, который аутентифицируется (в AD User & Computers это - User logon name на вкладке Account).

    Если нет возможности поменять UPN всех нужных пользователей, то можно попробовать настроить трансляцию атрибута имени пользователя в политике подключения (это другая политика, не сетевая, которую вы правите сейчас, она лежит в консоли в другой папке). Подробнее сейчас рассказать не могу.


    Слава России!

    5 марта 2018 г. 7:44
  • К сожалению конкретно в этой организации почему то вот так. 

    User Logon Name ivan.petrov.

    Pre-Windows 2000 Logon Name (он же samAccountName) petri.

    Я думаю вы про это.

    Был бы очень признателен если бы направили как нужно прописать паттерн который бы соответствовал UPN имени имя.фамилия@домен.ком.

    И еще. Политика по умолчанию имеет порядковый номер обработки 999999. Это значит что новая политика будет применяться первой. А будет ли применяться политика по умолчанию при условии что новая политика по каким то причинам не срабатывает?

    5 марта 2018 г. 10:52
  • User Logon Name ivan.petrov.

    Там после ввода поля имени ещё комбобокс есть, для выбора суфикса UPN. Что в нем выбрано? 

    PS Остальные вопросы - как мимнимум, до вчера.


    Слава России!

    5 марта 2018 г. 11:10
  • первое:
    - не трогайте Connection Request Policy - они отвечают за то, кто будет отвечать на запросы авторизации. Менять их имеет смысл только если у вас несколько NPS.
    второе:
    - авторизация может проходить только через имя пользователя. Т.е. вообще никакой привязки может и не быть (настройка по умолчанию).

    Вам обязательно авторизоваться по имя@домен.ком? почему не достаточно простой авторищации по имени? зачем усложнять систему?

    Только что проверил у себя:
    - есть пользователь vitaly в домене contoso.com.
    - Добавили суффикс fabrikam.com.
    - Пользователь входит на компьютер как vitaly@fabrikam.com
    - а подключает WiFi как просто vitaly.

    5 марта 2018 г. 14:19
    Модератор
  • Продолжение. Для замены суффикса UPN нужно в Connection Request Policy перейти на вкладку Settings, выбрать в окне слева под заголовком Specify a Realm Name пункт Attribute, в окне справа выбрать в комбобоксе attribute "User-Name" и добавить для него правило Find: @новый.суффикс.upn - Replace: @старый.суффикс.upn, имя пользователя при этом изменено не будет, а суффикс UPN - заменится.

    Работа этих правил не зависит от того, для чего используется Connection Request Policy (https://docs.microsoft.com/en-us/windows-server/networking/technologies/nps/nps-crp-realm-names), так что можете настраивать их и для локального RADIUS-сервера.

    Политики подключения применяются только если удовлетворяется их фильтр: значение Type of network access server на вкладке Overview и все условия с вкладки Conditions. Если хоть одно из условий не соблюдено - политика пропускается и проверяется следующая политика. Так что, если хотите, чтобы эта политика срабатывала только для имён с новым UPN - добавьте в Conditions фильтр по User Name (там допустимы регулярные выражения в формате RegEx). Но, в принципе, она работоспособна для любых имен пользователя - просто для имен, не имеющих формата UPN с новым суффиксом она не будет менять имя пользователя.


    Слава России!


    • Изменено M.V.V. _ 5 марта 2018 г. 20:46
    5 марта 2018 г. 20:36
  • Anahaym,

    Не знаю почему, но до добавления суффика fabrikam.com все пользователи аутентифицировались по Pre-Windows 2000 имени. Я указываю Pre-Windows 2000 потому что у пользователей User logon name и Pre-Windows 2000 logon name (он же samAccountName) разные. 

    А после добавления суффикса (это было сделано потому что компания Contoso стала Fabrikam) нужно (не знаю обязательно ли) чтобы пользователи аутентицировались на RADIUS сервере (для доступа к беспроводной сети) точно так же как они входят в домен, а именно по UPN имени (а данном случае Sally.Fengler@fabrikam.com)

    6 марта 2018 г. 10:01
  • M.V.V._,

    Вот что указано ( у каждого пользователя) 


    6 марта 2018 г. 10:02
  • M.V.V._,

    Хочу уточнить там где Find нужен новый UPN суффикс или наоборот старый, который будет заменен на тот что я укажу в поле Replace. 

    То что вы предложили с заменой Realm Name будет работать если samAccuntName и UNP name разные (как на скриншоте выше)?

    Спасибо. 

    6 марта 2018 г. 10:10
  • Значит, у вас для аутентификации по UPN из нового домена всё готово.

    Слава России!

    6 марта 2018 г. 10:11
  • Anahaym,

     Я указываю Pre-Windows 2000 потому что у пользователей User logon name и Pre-Windows 2000 logon name (он же samAccountName) разные

    Вопрос: а зачем так у Вас устроено?

    А после добавления суффикса (это было сделано потому что компания Contoso стала Fabrikam) нужно (не знаю обязательно ли) чтобы пользователи аутентицировались на RADIUS сервере (для доступа к беспроводной сети) точно так же как они входят в домен, а именно по UPN имени (а данном случае Sally.Fengler@fabrikam.com)

    только что проверил:
    - есть пользователь vitaly в домене contoso.com.
    - Добавили суффикс fabrikam.com.
    - Пользователь входит на компьютер как vitaly@fabrikam.com
    - а подключает WiFi как vitaly@fabrikam.com

    никаких настроекна NPS вообще не менял. Вот они. Хочу отметить, что политика подключение создаётся автоматически настройщиком (wizard):

    6 марта 2018 г. 10:27
    Модератор
  • Anahaym,

    К сожалению это уже как есть так есть. 

    Я так думаю что у вас это рабтает потому что samAccountName и Logon Name (а также UPN name) одинаковые. 

    6 марта 2018 г. 10:35
  • Anahaym,

    К сожалению это уже как есть так есть. 

    Я так думаю что у вас это рабтает потому что samAccountName и Logon Name (а также UPN name) одинаковые. 

    да, может быть по этому. Ибо я не вижу смысла делать их разыними в настоящее (современное) время. Попробуйте создать тестового пользователя, у которого Sam и LogonName совпадают, и протестировать.
    6 марта 2018 г. 10:52
    Модератор
  • Это можно сделать, но даже если это и будет работать ничего ведь это не даст т.к. в продакшн среде увы вот такая ерунда. 

    Я почему то думал что создание новой политики в Connection Request Policy с указанием формата который должен быть использован для аутентификации должно решить эту проблему. 

    И еще раз, разве не тут я могу указать формат логина для аутентификации на РАДИУс сервере?

     

    Естественно далее указав что РАДИУС сервер локальный.

    6 марта 2018 г. 11:11
  • обратите внимание на:

    Хочу отметить, что политика подключений создаётся автоматически настройщиком (wizard):

    Моя политика отличается от вашей. Даная политика определяет только то, что она применяется к WiFi, и за авторизацию отвечает этот локальный сервер. Никаких пользователей или групп там нет!

    Я пригляделся к вашей политике: это вообще политика по умолчанию, а не специальная политика только для WiFi.
    6 марта 2018 г. 11:36
    Модератор
  • только что проверил:
    - есть пользователь vitaly в домене contoso.com. его pre-2000 имя - vitalik
    - Добавили суффикс fabrikam.com.
    - Пользователь входит на компьютер как vitaly@fabrikam.com
    - а подключает WiFi как vitaly@fabrikam.com

    всё работает "из коробки"

    • Помечено в качестве ответа Nightwolf_82 6 марта 2018 г. 23:42
    6 марта 2018 г. 11:59
    Модератор
  • Anahaym,

    На последок вопрос, так какая все таки политка отвечает за аутентификацию пользователей? Connection Request policy или Network Policy? 

    7 марта 2018 г. 0:06
  • "Вспыла" еще одна проблема. На ноутбуках все равботает и по старому Pre-Windows 2000 имени и по новому UPN имени. Однако на мобильных устройствах не работает ни так ни так. 

    Вот как выглядит лог запись, когда юзер успешно аутентифицируется на ноутбуке: 

    Network Policy Server granted full access to a user because the host met the defined health policy.
    
    User:
                    Security ID:                                         CONTOSO\testj
                    Account Name:                                 john.test@fabrikam.com
                    Account Domain:                                             CONTOSO
                    Fully Qualified Account Name:  CONTOSO\testj
    
    Client Machine:
                    Security ID:                                         NULL SID
                    Account Name:                                 -
                    Fully Qualified Account Name:  -
                    OS-Version:                                        -
                    Called Station Identifier:                              6cfa.8990.2500
                    Calling Station Identifier:                             6067.206e.7b30
    
    NAS:
                    NAS IPv4 Address:                           192.168.10.101
                    NAS IPv6 Address:                           -
                    NAS Identifier:                                  -
                    NAS Port-Type:                                 Wireless - IEEE 802.11
                    NAS Port:                                            49579
    
    RADIUS Client:
                    Client Friendly Name:                    ap1.cisco.CONTOSO
                    Client IP Address:                                             192.168.10.101
    
    Authentication Details:
                    Connection Request Policy Name:            Use Windows authentication for all users
                    Network Policy Name:                   Wireless
                    Authentication Provider:                              Windows
                    Authentication Server:                  NPSARC1.CONTOSO.local
                    Authentication Type:                     PEAP
                    EAP Type:                                            Microsoft: Secured password (EAP-MSCHAP v2)
                    Account Session Identifier:                          -
    
    Quarantine Information:
                    Result:                                                  Full Access
                    Extended-Result:                                             -
                    Session Identifier:                                            -
                    Help URL:                                            -
                    System Health Validator Result(s):          - 

    А так выглядит запись когда юзер пытается аутентифицироваться с любого iOS/Android мобильного устройства. 

    Network Policy Server denied access to a user.
    
    Contact the Network Policy Server administrator for more information.
    
    User:
    	Security ID:			CONTOSO\testj
    	Account Name:			John.Test@contoso.com
    	Account Domain:			CONTOSO
    	Fully Qualified Account Name:	CONTOSO\testj
    
    Client Machine:
    	Security ID:			NULL SID
    	Account Name:			-
    	Fully Qualified Account Name:	-
    	OS-Version:			-
    	Called Station Identifier:		6cfa.8990.2500
    	Calling Station Identifier:		2400.bac0.02cb
    
    NAS:
    	NAS IPv4 Address:		192.168.10.101
    	NAS IPv6 Address:		-
    	NAS Identifier:			-
    	NAS Port-Type:			Wireless - IEEE 802.11
    	NAS Port:			49711
    
    RADIUS Client:
    	Client Friendly Name:		ap1.cisco.CONTOSO
    	Client IP Address:			192.168.10.101
    
    Authentication Details:
    	Connection Request Policy Name:	Use Windows authentication for all users
    	Network Policy Name:		Wireless
    	Authentication Provider:		Windows
    	Authentication Server:		NPSARC1.CONTOSO.local
    	Authentication Type:		PEAP
    	EAP Type:			-
    	Account Session Identifier:		-
    	Logging Results:			Accounting information was written to the local log file.
    	Reason Code:			300
    	Reason:				No credentials are available in the security package
    Как определить на каком этапе эта проблема возникает. Между мобильным устройствои и NPS севрером или между точкой доступа (Cisco Aironet 2600) и NPS?


    7 марта 2018 г. 2:04
  • Обязан уточнить что эта проблема не у всех пользователей мобильных устройств. Так что проблема видимо сводиться к сами мобильным устройствам. Осталось выяснить где именно там надо ковырнуть.
    7 марта 2018 г. 3:21
  • Anahaym,

    На последок вопрос, так какая все таки политка отвечает за аутентификацию пользователей? Connection Request policy или Network Policy? 

    Network Policy

    "Вспыла" еще одна проблема. На ноутбуках все равботает и по старому Pre-Windows 2000 имени и по новому UPN имени. Однако на мобильных устройствах не работает ни так ни так.
    лично проконтролируйте, что пользователь вводит имено test.user@fabrikam.com. Я проверял на iPhone
    7 марта 2018 г. 8:42
    Модератор