none
Настройка NPS для авторизации клиентов WiFi RRS feed

  • Вопрос

  • Добрый день!

    Может кто подскажет, как реализовать следующую схему:

    Клиенты подключаются к открытому WiFi (без паролей). Точка доступа отсылает запрос на Radius Server в котором содержится имя пользователя в виде mac-адреса (т.е., SubjectUserName 345678abcdef). Если пользователь есть в базе, то отдавать одни настройки, если нет, другие.

    Никак не получается сделать действие для не авторизованных пользователей в Network Policies. При любых настройках в логах пишет "Authentication failed due to a user credentials mismatch. Either the user name provided does not map to an existing user account or the password was incorrect.". Как заставить NPS игнорировать логин/пароль и, вообще, наличие пользователя в базе?

Ответы

  • в Microsoft NPS все действия происходят строго согласно сетевым политикам и их порядку. Вам нужно найти необходимое условие в политиках, которое будет разрешать подключение без проверки пользователя\устройства. Например, "день и время", но я не проверял. Также можно попробовать отключить два пред-настроенных правила, которые запрещают подключение (не могу ни картинку вставить, ни ссылку)

    А вообще, разрешать покдключение "без пользователя в базе" не имеет смысла, и небезопасно. Проще создать гостевую сеть (в отдельном VLAN) и не привязывать сеть ни к RADIUS ни каким-либо паролям.

Все ответы

  • Дополню. На freeradius это реализуется в настройках users:

    345678abcdef Cleartext-Password := "345678abcdef"
            Tunnel-Type = 13,
            Tunnel-Medium-Type = 6,
            Tunnel-Private-Group-Id = 8

    DEFAULT Auth-Type := Accept
            Tunnel-Type = 13,
            Tunnel-Medium-Type = 6,
            Tunnel-Private-Group-Id = 9

    Т.е., по умолчанию тоже аксептить клиентов и выдавать настройки. И именно с реализацией DEFAULT в NPS вопрос.

  • Галку "Allow clients to connect without negotiation of authenticated method" в разделе Authentication на вкладке Constraints свойств сетевой политики пробовали ставить?

    Слава России!

  • Пробовал, но он все равно не найдя пользователя в AD, делает reject.
  • Пробовал, но он все равно не найдя пользователя в AD, делает reject.
    посмотрите этот линк

    The opinion expressed by me is not an official position of Microsoft

    Модератор
  • Не нашел в этой документации, как сделать действие по умолчанию. Всё так же описано как авторизовывать клиентов по mac адресу и не сказано, а что будет если клиента нет в базе.
  • в Microsoft NPS все действия происходят строго согласно сетевым политикам и их порядку. Вам нужно найти необходимое условие в политиках, которое будет разрешать подключение без проверки пользователя\устройства. Например, "день и время", но я не проверял. Также можно попробовать отключить два пред-настроенных правила, которые запрещают подключение (не могу ни картинку вставить, ни ссылку)

    А вообще, разрешать покдключение "без пользователя в базе" не имеет смысла, и небезопасно. Проще создать гостевую сеть (в отдельном VLAN) и не привязывать сеть ни к RADIUS ни каким-либо паролям.