Public Spot Benutzer zur Anmeldung am AD Benutzen

Forum zum LANCOM WLC-4100, WLC-4025+, WLC-4025 und WLC-4006 WLAN-Controller

Moderator: Lancom-Systems Moderatoren

Antworten
krdbo
Beiträge: 5
Registriert: 31 Jan 2023, 15:51

Public Spot Benutzer zur Anmeldung am AD Benutzen

Beitrag von krdbo »

Hallo zusammen,

ich habe eine Frage an euch und hoffe Ihr habt einen Lösungsansatz.

Und zwar habe ich folgende Idee / Problemstellung.

Ich würde gerne die durch den Public Spot erzeugten Benutzer zur Anmeldung am Active Directory benutzen.

Habt ihr eine Idee, wie ich das am charmantesten lösen könnte oder ob es überhaupt möglich ist?

Ich habe vor Ort ein WIN2k16 Domänencontroller und einen WLC4006 mit FW10.12.0292

Ich hatte die Idee den RADIUS Server des WLCs zu nutzen und diese über den Domänencontroller abzufragen...nur finde ich da keine hilfreichen Tips seitens Microsoft...oder benötige ich hier einen NPS?
tstimper
Beiträge: 956
Registriert: 04 Jun 2021, 15:23
Wohnort: Chemnitz
Kontaktdaten:

Re: Public Spot Benutzer zur Anmeldung am AD Benutzen

Beitrag von tstimper »

krdbo hat geschrieben: 31 Jan 2023, 16:26 Hallo zusammen,

ich habe eine Frage an euch und hoffe Ihr habt einen Lösungsansatz.

Und zwar habe ich folgende Idee / Problemstellung.

Ich würde gerne die durch den Public Spot erzeugten Benutzer zur Anmeldung am Active Directory benutzen.

Habt ihr eine Idee, wie ich das am charmantesten lösen könnte oder ob es überhaupt möglich ist?

Ich habe vor Ort ein WIN2k16 Domänencontroller und einen WLC4006 mit FW10.12.0292

Ich hatte die Idee den RADIUS Server des WLCs zu nutzen und diese über den Domänencontroller abzufragen...nur finde ich da keine hilfreichen Tips seitens Microsoft...oder benötige ich hier einen NPS?
Wir erzeugen per Script WLC Public Spot User.
Das könnten wir dann auch auf AD machen.

Den User ansich muss es ja dann im AD geben.
Die Gültigkeit müsste man mit Radius geeignet verbandeln.

Willst Du denn AD User stundenweise erzeugen / enablen?

Viele Grüße

ts
TakeControl: Config Backup für LANCOM Router, ALC, APs und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
krdbo
Beiträge: 5
Registriert: 31 Jan 2023, 15:51

Re: Public Spot Benutzer zur Anmeldung am AD Benutzen

Beitrag von krdbo »

Das wäre auch eine Option, sind die Kennungen dann wieder so Zufallsgeneriert?

Die Benutzer sollten hier wirklich wochenweise Gültigkeit haben und dann auch wieder ablaufen.

Ich würde gerne die Benutzer so anlegen, dass diese im AD automatisch in eine Sicherheitsgruppe angelegt werden und optimalerweise auch nach Ablauf der Ticketgültigkeit nicht mehr im AD gültigkeit haben.

Denn ich nutze im Hintergrund eine vSphere Lösung, sodass es hier optimalerweise so wäre, dass die angelegten Benutzer aus dem Public Spot auch zeitgleich dann für die Anmeldung am vSphere und den VMs welche in der Domäne sind genutzt werden könnten.
tstimper
Beiträge: 956
Registriert: 04 Jun 2021, 15:23
Wohnort: Chemnitz
Kontaktdaten:

Re: Public Spot Benutzer zur Anmeldung am AD Benutzen

Beitrag von tstimper »

krdbo hat geschrieben: 01 Feb 2023, 13:41 Das wäre auch eine Option, sind die Kennungen dann wieder so Zufallsgeneriert?

Die Benutzer sollten hier wirklich wochenweise Gültigkeit haben und dann auch wieder ablaufen.

Ich würde gerne die Benutzer so anlegen, dass diese im AD automatisch in eine Sicherheitsgruppe angelegt werden und optimalerweise auch nach Ablauf der Ticketgültigkeit nicht mehr im AD gültigkeit haben.

Denn ich nutze im Hintergrund eine vSphere Lösung, sodass es hier optimalerweise so wäre, dass die angelegten Benutzer aus dem Public Spot auch zeitgleich dann für die Anmeldung am vSphere und den VMs welche in der Domäne sind genutzt werden könnten.
Wir haben unser ------ Management System ursprünglich zum Konfig Sichern und Erzeugen von "schönen" WLC Vouchern gebaut.
Mittlerweise ist das erweitert auf HP / Aruba und kann Scripten usw...
Als Secret Store nutzen wir SecureAnyBox, das kann über Station Agenten lokale Passworter und auch AD Passwörter tagesweise ändern.
Also man könnte die Passwörter für eine Woche vorgenerieren, die dann auch jeweils nur an dem Tag gültig sind.
Und AD würde Radius Quelle sein (geeignet angebunden sage ich mal...)

Also machbar ist das.

Viele Grüße

ts
TakeControl: Config Backup für LANCOM Router, ALC, APs und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
krdbo
Beiträge: 5
Registriert: 31 Jan 2023, 15:51

Re: Public Spot Benutzer zur Anmeldung am AD Benutzen

Beitrag von krdbo »

Dann wäre es noch schön, wenn du mir vielleicht erklären könntest, wie ich dann mit meinem WLC die Voucher für Public Spot generieren kann und diese Daten in das AD bringen kann.

Am besten mit Benutzung des Wizards. Das Problem ist komplizierte scripting Parameter die ggf. noch Anpassungen und Admin Rechte bedürfen, würde ich gerne vermeiden.

Der optimale Weg wäre:

WLC mit Public Spot Benutzer Assistenten z.B. 10 Benutzer anlegen und diese direkt ins AD meines DC zu schreiben.

Umgekehrt, würde auch gehen wenn es relativ unkompliziert wäre.

Das Problem ist, das wir hier eine Schulungsabteilung sind und auch Kollegen die Voucher generieren müssen, die nicht so IT Affin sind. Noch dazu haben wir die Hürde, dass die Schulungen dann mal ne Woche, mal 3 Tage oder auch mal 2 Wochen andauern und die Teilnehmer diesen Voucher dann auch für die Dauer der Schulung behalten. Das war mit dem Public Spot Assistenten sehr einfach umzusetzen.
tstimper
Beiträge: 956
Registriert: 04 Jun 2021, 15:23
Wohnort: Chemnitz
Kontaktdaten:

Re: Public Spot Benutzer zur Anmeldung am AD Benutzen

Beitrag von tstimper »

krdbo hat geschrieben: 01 Feb 2023, 14:34 Dann wäre es noch schön, wenn du mir vielleicht erklären könntest, wie ich dann mit meinem WLC die Voucher für Public Spot generieren kann und diese Daten in das AD bringen kann.

Am besten mit Benutzung des Wizards. Das Problem ist komplizierte scripting Parameter die ggf. noch Anpassungen und Admin Rechte bedürfen, würde ich gerne vermeiden.

Der optimale Weg wäre:

WLC mit Public Spot Benutzer Assistenten z.B. 10 Benutzer anlegen und diese direkt ins AD meines DC zu schreiben.

Umgekehrt, würde auch gehen wenn es relativ unkompliziert wäre.

Das Problem ist, das wir hier eine Schulungsabteilung sind und auch Kollegen die Voucher generieren müssen, die nicht so IT Affin sind. Noch dazu haben wir die Hürde, dass die Schulungen dann mal ne Woche, mal 3 Tage oder auch mal 2 Wochen andauern und die Teilnehmer diesen Voucher dann auch für die Dauer der Schulung behalten. Das war mit dem Public Spot Assistenten sehr einfach umzusetzen.
Wir haben dazu spezielle Software geschrieben, die steuert dann den WLC und erstellt die Voucher nach dem Kunden Design.
Die erstellt dann im Hintergrund per Script die Public Spot User.
Ebenso könnten wir gleich die AD User mit generieren.
Man könnte auch ein Tablett and die Wand hängen, über welche das dann ausgelöst wird.

Oder einfach ein Powershell Script auf den Desktop, der AD User und Public Spot User erzeugt und wieder aufräumt.

Per Hand gibt es nur das, was der WLC hergibt über dem WEB Public Spot User Wizard.

Viele Grüße

ts
TakeControl: Config Backup für LANCOM Router, ALC, APs und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
krdbo
Beiträge: 5
Registriert: 31 Jan 2023, 15:51

Re: Public Spot Benutzer zur Anmeldung am AD Benutzen

Beitrag von krdbo »

Danke tstimper,

könntest du mir das Powershell Script welches diese Funktion umsetzt mal zur Verfügung stellen oder zumindest die Quellen wo du die Informationen her hast? Ein Powershellscript würde ja völlig ausreichen. Die Software wäre natürlich noch schöner, aber da kann ich ggf. dann ja noch etwas basteln wenn ich die Befehle kenne.

Das wäre sehr nett von dir
tstimper
Beiträge: 956
Registriert: 04 Jun 2021, 15:23
Wohnort: Chemnitz
Kontaktdaten:

Re: Public Spot Benutzer zur Anmeldung am AD Benutzen

Beitrag von tstimper »

krdbo hat geschrieben: 09 Feb 2023, 15:58 Danke tstimper,

könntest du mir das Powershell Script welches diese Funktion umsetzt mal zur Verfügung stellen oder zumindest die Quellen wo du die Informationen her hast? Ein Powershellscript würde ja völlig ausreichen. Die Software wäre natürlich noch schöner, aber da kann ich ggf. dann ja noch etwas basteln wenn ich die Befehle kenne.

Das wäre sehr nett von dir
75% von dem was Du brauchst haben wir in unser ------ Management System reinprogrammiert, der Rest ist vielleicht noch ein Manntag Arbeit.

Das Problem ist ja, die Daten jeweils sicher und auditiert im WLC / Public Spot / AD einzurichten.

Interessant wäre, warum Du denn konkret AD Accounts brauchst? Für Schulungs PCs?

Viele Grüße

ts
TakeControl: Config Backup für LANCOM Router, ALC, APs und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
krdbo
Beiträge: 5
Registriert: 31 Jan 2023, 15:51

Re: Public Spot Benutzer zur Anmeldung am AD Benutzen

Beitrag von krdbo »

tstimper hat geschrieben: 09 Feb 2023, 20:01
krdbo hat geschrieben: 09 Feb 2023, 15:58 Danke tstimper,

könntest du mir das Powershell Script welches diese Funktion umsetzt mal zur Verfügung stellen oder zumindest die Quellen wo du die Informationen her hast? Ein Powershellscript würde ja völlig ausreichen. Die Software wäre natürlich noch schöner, aber da kann ich ggf. dann ja noch etwas basteln wenn ich die Befehle kenne.

Das wäre sehr nett von dir
75% von dem was Du brauchst haben wir in unser ------ Management System reinprogrammiert, der Rest ist vielleicht noch ein Manntag Arbeit.

Das Problem ist ja, die Daten jeweils sicher und auditiert im WLC / Public Spot / AD einzurichten.

Interessant wäre, warum Du denn konkret AD Accounts brauchst? Für Schulungs PCs?

Viele Grüße

ts
Danke dir ts,

das hat was mit der Schulungsumgebung zu tun und Effizienzsteigerung bzw. Vereinfachung von Zugriffen auf die Umgebung.

Ich habe hier Teilnehmer in Schulungen , die vom absoluten IT - Anfänger reichen bis hin zu Systemspezialisten die mit mehreren Servern und virtuellen Maschinen Arbeiten und da ist es für mich auch in der laufenden Schulung einfacher mit Gruppenrichtlinien individuell eingreifen zu können oder je nach Schulung andere Rahmenbedingungen für die Schulungsumgebung zur Verfügung zu stellen. Auch ist es für Webinare für mich einfache so auf die Teilnehmerumgebungen zuzugreifen zu können um hier ggf. bei der Fehlersuche zu helfen. Aus diesem Grund benötige ich die AD Accounts...das macht mir als netten Nebenefekt dann auch eine bessere Nachvollziehbarkeit für unsere Incidentmanagement System, wenn es hier zu anfragen kommen sollte.

Also es wäre super, wenn du mir die Dokumentation von LANCOM nennen könntest wo das erzeugen der Benutzer mit einem Script erklärt wird.

Viele Grüße,

krdbo
tstimper
Beiträge: 956
Registriert: 04 Jun 2021, 15:23
Wohnort: Chemnitz
Kontaktdaten:

Re: Public Spot Benutzer zur Anmeldung am AD Benutzen

Beitrag von tstimper »

krdbo hat geschrieben: 13 Feb 2023, 13:52
tstimper hat geschrieben: 09 Feb 2023, 20:01
krdbo hat geschrieben: 09 Feb 2023, 15:58 Danke tstimper,

könntest du mir das Powershell Script welches diese Funktion umsetzt mal zur Verfügung stellen oder zumindest die Quellen wo du die Informationen her hast? Ein Powershellscript würde ja völlig ausreichen. Die Software wäre natürlich noch schöner, aber da kann ich ggf. dann ja noch etwas basteln wenn ich die Befehle kenne.

Das wäre sehr nett von dir
75% von dem was Du brauchst haben wir in unser ------ Management System reinprogrammiert, der Rest ist vielleicht noch ein Manntag Arbeit.

Das Problem ist ja, die Daten jeweils sicher und auditiert im WLC / Public Spot / AD einzurichten.

Interessant wäre, warum Du denn konkret AD Accounts brauchst? Für Schulungs PCs?

Viele Grüße

ts
Danke dir ts,

das hat was mit der Schulungsumgebung zu tun und Effizienzsteigerung bzw. Vereinfachung von Zugriffen auf die Umgebung.

Ich habe hier Teilnehmer in Schulungen , die vom absoluten IT - Anfänger reichen bis hin zu Systemspezialisten die mit mehreren Servern und virtuellen Maschinen Arbeiten und da ist es für mich auch in der laufenden Schulung einfacher mit Gruppenrichtlinien individuell eingreifen zu können oder je nach Schulung andere Rahmenbedingungen für die Schulungsumgebung zur Verfügung zu stellen. Auch ist es für Webinare für mich einfache so auf die Teilnehmerumgebungen zuzugreifen zu können um hier ggf. bei der Fehlersuche zu helfen. Aus diesem Grund benötige ich die AD Accounts...das macht mir als netten Nebenefekt dann auch eine bessere Nachvollziehbarkeit für unsere Incidentmanagement System, wenn es hier zu anfragen kommen sollte.

Also es wäre super, wenn du mir die Dokumentation von LANCOM nennen könntest wo das erzeugen der Benutzer mit einem Script erklärt wird.

Viele Grüße,

krdbo

Hi krdbo,

verstanden.

Eine Doku von LANCOM zu Deinem Anforderungsfall kenne ich nicht.

Wir haben wie gesagt die WLC / Public Spot Steuerung in unser ------ reinprogramiert.
Das ist Software die man kaufen kann.
Eine Erweiterung im AD Account creation wäre auch möglich.

Schau mal ob Dir das weiterhilft
https://support.lancom-systems.com/know ... NPS+Server
https://www.lancom-systems.com/docs/LCO ... 09428.html
https://nolabnoparty.com/en/setup-nps-f ... directory/
https://www.heise.de/ratgeber/Radius-au ... 87800.html

Letzendlich machst Du folgendes:

- Public Spot user um WLC erzeugen an der WLC CLI
- Als Radius Server Windows nehmen
- AD User mit Powershell erzeugen

Und das dann in einer GUI schön zusammenbauen.
Oder nur als Script laufen lassen.

Viele Grüße

ts
TakeControl: Config Backup für LANCOM Router, ALC, APs und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
Antworten

Zurück zu „Alles zum LANCOM WLC-4100, WLC-4025+, WLC-4025 und WLC-4006 WLAN-Controller“