Das Thema wurde schon mal anderweitig angerissen, jedoch nicht konkretisiert und daher frage ich mal in die Runde.
Wir verwenden einen WLC-1000 in Verbindung mit ein paar Access-Points (OW602 und LX-6400) und lassen mit der NPS-Windows Rolle die Authentifikation der WiFi-User durchführen.
Nicht notwendig für das Szenario aber zum Verständnis noch etwas über die Konfiguration.
Die AP's sind mit fixer IP versehen und stehen in einem Management-VLAN. Den SSID's sind ebenfalls separate VLANs zugewiesen. Das Traffic aller VLANs wird über einen Sophos Firewall-Cluster gesteuert. Der WLC kann die Ap's erreichen und managen und das kommt bei den Zielen an. Soweit, so gut.
All dies funktioniert bereits und auch die Authentifikation mit Hilfe des Windows-NPS funktioniert.
Was nicht funktioniert ist die Bedingung in den Netzwerkrichtlinien. Davon gibt es derzeit zwei - je AD-Benutzergruppe eine, die je einem WIFI-SSID Profil auf dem WLC zugeordnet ist.
Hier der Weg/Struktur der Radius Authentifikation:
WiFi-User: xyz@contoso.com --> AD-GlobalGroupe_WIFIxyz <--AD-DomainLocalGroup_WIFIxyz <-- NPS_NetPolicy_WIFI_xyz <-- WLC-RADIUS_Profile_WIFI_xyz <-- SSID(WIFY_xyz)
Da ich zwei unterschiedliche SSIDs mit unterschiedlichen Nutzerprofilen und Netzwerkwegen habe, dachte ich mir, ich könnte in der Net-Policy des Radius-Servers die Bedingungen nutzen, um den Zugang zu steuern. Eine der Bedingung ist die Gruppenmitgliedschaft des Users; einer weitere Bedingung ist dass die Verbindung mit dem NAS-Porttyp 802.11 (FUNK) ist.
Beide NPS Profile haben die gleichen Bedingungen und so werden beide Gruppen für beide Profile authentifiziert. Das ist so nicht gewünscht.
Das Radius Protokoll liefert noch eine "Called-Station-ID", die u.a. auch eine Teilzeichenkette der SSID enthält, über die die Auth-Anfrage reinkommt. Die Anrufer-ID abzufragen geht nur mit einer RegExp-Zeichenkette. Bisher ist es mir nicht gelungen, einen erfolgreichen Match hinzubekommen. Die Webseiten, die solche Zeichenketten prüfen können, haben kein Problem mit den Strings die ich als Filter einsetzte. Authentifizieren kann ich aber dennoch nicht, wenn ich die "Anrufer-ID" als Kriterium einsetzte.
Gibt es noch andere abfragbare Kriterien, die sich in den Profilen zu den SSID's festlegen lassen, die ich dann in der NPS-Policy abfragen lassen, damit die Radius-Profile für den NPS unterscheidbar sind?
Ich wäre sehr dankbar für ein paar Tipps.
WLC-1000 mit NPS
Forum zum LANCOM WLC-4100, WLC-4025+, WLC-4025 und WLC-4006 WLAN-Controller
Moderator: Lancom-Systems Moderatoren
Zurück zu „Alles zum LANCOM WLC-4100, WLC-4025+, WLC-4025 und WLC-4006 WLAN-Controller“
Gehe zu
- Ankündigungen
- ↳ LANCOM-Forum.de Ankündigungen
- LANCOM Management Cloud (LMC)
- ↳ LANCOM Management Cloud
- LANCOM-Systems Router
- ↳ Fragen zur LANCOM Systems Routern und Gateways
- ↳ Fragen zu LANCOM UMTS/LTE Router
- ↳ Fragen zum Thema Firewall
- ↳ Fragen zum Thema VPN
- ↳ Fragen zum Thema IPv6
- ↳ Fragen zu LANCOM Systems VoIP Router
- LANCOM-Systems WLAN Controller
- ↳ Alles zum LANCOM WLC-4100, WLC-4025+, WLC-4025 und WLC-4006 WLAN-Controller
- LANCOM Systems Accesspoints, Karten und Antennen
- ↳ LANCOM Wireless aktuelle Accesspoints
- ↳ LANCOM Wireless aeltere Accesspoints
- ↳ LANCOM AirLancer
- ↳ AirLancer Extender Antennen
- LANCOM LCMS - LANCOM Management System
- ↳ LANCOM LCMS/LANtools - (LANconfig, LANmonitor, LANtracer ...)
- ↳ LANCOM Wireless ePaper
- ↳ LANCOM Large Scale Monitor (LSM) und Large Scale Rollout (LSR)
- ↳ LANCOM: LANCOM LANCAPI und CAPI Fax-Modem
- ↳ LANCOM Software-Optionen
- ↳ LANCOM "Mobile Apps"
- ↳ Alles zum LANCOM Advanced VPN Client
- LANCOM Ethernet Switches
- ↳ LANCOM "managed" Switches
- ↳ LANCOM "unmanaged" Switches
- LANCOM-Forum Allgemeines
- ↳ LANCOM-Forum.de Regeln
- ↳ LANCOM: News und Ankündigungen
- ↳ LANCOM FAQ: FAQ-Bereich
- ↳ LANCOM: Allgemeine Fragen
- ↳ LANCOM: Feature Wünsche
- ↳ LANCOM: Custom LANCOM
- Sonstiges
- ↳ Allemeine Themen
- ↳ LANCOM-Forum.de