none
IAS EAP-MD5認證 + AD +Dynamic Vlan RRS feed

  • 問題

  •  

    前情提要:
    公司最近要採用Radius認證,經過驗證的User會依照所屬的Group assign不同的VLAN,再從DHCP get 到 ip

    劇情簡介:
    由於IAS 是採EAP-MD5認證,用戶登入網域後須再經過一次驗證,因此User登入後,在User未經過認證的情況下,User並無法連到AD

    問題:
    由於公司的資安政策需要三個月就變換一次密碼,在User無法連到AD的情況下,AD上帳戶設定的 "使用者必須在下次登入時變更密碼" 並不會生效,也就是說User在敲完帳號密碼後,不會顯示 "需修改密碼" 的選項,請教這是我設定上的疏失還是正常現象?有無方法可解?

    2008年4月26日 下午 08:37

解答

  • IAS 不同於實體網路線先 broadcast DHCP 並取得 IP.

    IAS 的流程是

    1. 用戶電腦先到 IAS client (Wireless AP) 做認證 (WEP or TKI, etc)
    2. 至憑證中心驗證
    3. 帳號驗證 (AD)
    4. 取得 IP

    因此就 IAS 的流程來說, 沒有辦法做到登入時可以像一般網路一樣有提是要變更密碼的視窗. 我建議您可以寫個 script 來檢查使用者的密碼期限, 在快要過期前一星期或兩星期就先以 email 方式通知使用者變更密碼. 如此可以避免因密碼過期無法登入 IAS 的情況

    2008年4月30日 上午 02:17

所有回覆

  • IAS 不同於實體網路線先 broadcast DHCP 並取得 IP.

    IAS 的流程是

    1. 用戶電腦先到 IAS client (Wireless AP) 做認證 (WEP or TKI, etc)
    2. 至憑證中心驗證
    3. 帳號驗證 (AD)
    4. 取得 IP

    因此就 IAS 的流程來說, 沒有辦法做到登入時可以像一般網路一樣有提是要變更密碼的視窗. 我建議您可以寫個 script 來檢查使用者的密碼期限, 在快要過期前一星期或兩星期就先以 email 方式通知使用者變更密碼. 如此可以避免因密碼過期無法登入 IAS 的情況

    2008年4月30日 上午 02:17
  •  

    感謝您的回覆

    不過小弟仍有兩點疑問

    PEAP with MS-Chapv2 是否一定要在server端使用憑證?

    由於小弟目前仍卡在憑證的部份,所以還沒驗證

    另外就是如果採用PEAP with MS-Chapv2

    勾選"使用者在密碼過期後可以變更密碼"的選項

    這樣有解嗎?

     

    煩請不吝賜教

     

    感恩

    2008年4月30日 下午 07:23