none
Реализация WiFi через NPS RRS feed

  • Общие обсуждения

  • Доброго времени суток Уважаемые коллеги!

    Есть домен и система WiFi на базе UniFi (*nx движок).Вот задумались над тем, как бы сделать так, что бы не прописывать пароль для каждого нового/мобильного/временного пользователя, а использовать человеческое решение-например: надо человеку WiFi, поместил УЗ в определенную группу и пользователь при подключении получил бы автоматом и WiFi и нужный VLAN.

    Вопрос:

    Кто ни будь реализовывал данную задачу, через службы NPS/RADIUS Windows Server 2012 R2 ?

    Спасибо!


    Люди тратят здоровье, что бы заработать $, а затем тратят $, что бы вернуть здоровье!

    9 ноября 2015 г. 14:02

Все ответы

  • С членством в группе всё просто (сам издавна так делаю): создаётся сетевая политика, в которой в качестве условия прописывается членство в глобальной группе (плюс, если RADIUS работает не только для WiFi, добавляются другие условия, позволяющие выделить запросы именно от точек доступа - такие, как NAS-IP-address, NAS-Port-Type).

    C VLAN немного сложнее: там нужно в этой же политике указать выдачу NAS нужного атрибута RADIUS, какого именно - это, вообще говоря, зависит от производителя NAS (в данном случае - точки доступа).


    Слава России!

    9 ноября 2015 г. 15:00
  • Как вариант -атрибут MAC адрес.

    Люди тратят здоровье, что бы заработать $, а затем тратят $, что бы вернуть здоровье!

    9 ноября 2015 г. 15:13
  • пользователь при подключении получил бы автоматом и WiFi и нужный VLAN.

    VLAN - это атрибут сети\сетевой карты, а не пользователя.
    я делал примерно так:
     - порт точки доступа (ZyXel) подключается к транковому порту коммутатора
     - на точке создаются WiFi с необходимыми сетями (DHCP должен\может быть на точке), каждая из которых принадлежит своему VLAN
     - если используется RADIUS - всё равно придётся прописывать логин и пароль (802.1x EAP) для подключения к WiFi, иначе как аппарат поймёт в какой группе его владелец?

    9 ноября 2015 г. 15:22
    Модератор
  • Как вариант -атрибут MAC адрес.

    Люди тратят здоровье, что бы заработать $, а затем тратят $, что бы вернуть здоровье!

    Атрибут чего? Клиента, подключающегося к точке доступа?

    Тогда я имел в виду другое - передачу от RADIUS-сервера инструкций NAS, как именно настроить сетевой "порт" (точнее, в случае WiFi - ассоциацию), т.е. в какой VLAN (виртуальную WiFi-сеть) поместить. Эта информация в протоколе RADIUS передаётся в атрибутах сообщения-ответа, а какие именно атрибуты передавать (кроме некоего стандартного набора) - это на NPS настраивается как раз в сетевой политике.


    Слава России!


    • Изменено M.V.V. _ 9 ноября 2015 г. 16:28
    9 ноября 2015 г. 16:26
  • Можно ли в НПС сервере создать правило, в зависимости от группы "работать" с определенным DHCP?
    9 ноября 2015 г. 17:44
    Модератор
  • Вообще-то, DHCP раздаёт адреса через широковещательные сообщения. Так что в рамках одного VLAN - вряд ли.


    Слава России!

    9 ноября 2015 г. 20:25
  • я имел ввиду другое.
    можно ли принудительно клиенту указать IP адрес DHCP сервера?
    к примеру, клиент получает информацию - DHCP имеет адрес 10.10.10.11
    и клиент шлёт DHCPDISCOVER с заголовком "для 10.10.10.11".
    и клиенту соответсвенно ответчает только 10.10.10.11 и выдаёт адрес из своего пула.

    9 ноября 2015 г. 20:55
    Модератор
  • DHCP сам отдаст свободный айпишник из этого пула, потому что по умолчанию он слушает и запоминает то, из какой подсети и какого привязанного NIC (на DHCP)  пришел широковещательный запрос. Так DHCP понимает как раздать нужный айпишник из нужного пула, если пулов несколько.

    Люди тратят здоровье, что бы заработать $, а затем тратят $, что бы вернуть здоровье!



    • Изменено rеstless 9 ноября 2015 г. 21:51
    9 ноября 2015 г. 21:47
  • потому что по умолчанию он слушает и запоминает то, из какой подсети и какого привязанного NIC (на DHCP)  пришел широковещательный запрос. Так DHCP понимает как раздать нужный айпишник из нужного пула, если пулов несколько
    ну тогда ваш вопрос "решён": привязывайте (резервируйте) IP из нужной подсети к устройству, а сами подсети уже принадлежат VLANам.

    9 ноября 2015 г. 23:30
    Модератор
  • Добрый день.

    В продолжение обсуждения. Есть настроенный Radius сервер и инфраструктура точек доступа UniFi. Появилась задача распределять пользователей в разные vlans в зависимости от их членства в группах AD. Настроены разные SSID с разными подсетями со статической привязкой к vlans (UniFi не поддерживает на текущий момент динамическое назначение Vlan ID через Radius сервер). Подскажите как возможно/правильно разграничить доступ групп AD к Wi-Fi сетям, через Radius сервер. Если известна хорошая-подробная документация по Radius серверу Windows, просьба поделиться.


    25 ноября 2015 г. 17:29
  • Решил использовать Called-Station-ID, как условие для разграничения доступа.
    26 ноября 2015 г. 7:46