Moin,
eine Frage zum Verständnis von Realms bei Lancom, ich scheine da noch nicht ganz durchzublicken.
Wir haben die Auth für das interne WLAN per RADIUS-Weiterleitung an einen Windows NPS-Server geschaltet. Dort wird dann geprüft, ob User auch Mitglied der WLAN-AD-Gruppe ist. Wenn ja, gewährt NPS den Zugriff und WLAN intern wird verbunden. Funktioniert auch soweit.
Das funktioniert aber nur solange, wie der Realm-Name in der Liste der Weiterleitungs-Server am WLC auch den Namen unserer AD-Domain trägt. Ändert man den Namen des Realms, schlägt die Authentifizierung am NPS fehl.
Warum ich das frage: Wir haben eigentlich zwei NPS-Server, aber wenn nur ein Realm funktioniert, geht das Fallback natürlich nicht, falls NPS01 mal ausfällt, da man keine zwei gleichen Listeneinträge in den Weiterleitungs-Servern pflegen kann. Also habe ich den zweiten Realm anders benannt. Manchmal nutzt der WLC aber auch ohne Ausfall des NPS01 den NPS02 und dort kann der User aufgrund des Realms dann nicht authentifiziert werden.
An welcher Stelle müsste ich denn die Namen der verwendeten Realms ändern, am NPS, am WLC oder am Client per GPO?
RADIUS Realm Verständnis
Moderator: Lancom-Systems Moderatoren
Re: RADIUS Realm Verständnis
Ich habe die Frage jetzt ein paar Male gelesen, aber so 100% ist mir bis jetzt nicht klar, was da gemacht wird.
(1) Ihr macht WLAN mit 802.1X, also WPA-Enterprise, und der WLC spielt lediglich RADIUS-Proxy und leitet die RADIUS-Anfragen der APs an einen NPS weiter. Korrekt?
(2) Was meinst Du mit "Ändert man den Namen des Realms..."? Wo hast Du den Realm geändert? Auf der Client-Seite, so dass der Benutzername mit einem anderen Realm bzw. mit einer anderen Domäne hereinkommt, oder hast Du die Forwarding-Tabellen auf dem WLC geändert?
(3) Ein Realm oder eine Domäne ist letzten Endes ein Verweis, in welcher 'Benutzerdatenbank' ein bestimmter Benutzer nachgeschlagen werden soll. Das ist so ähnlich wie der PPP-Benutzername bei einem DSL-Zugang. Das ...@t-online.de sagt dem AC beim Betreiber des Anschlusses, dass er beim Server der Telekom nachfragen soll, ob das ein gültiger Benutzername ist und ob das Passwort stimmt. Bei Windows ist es halt der vorangestellte Domänenname, in der Form 'domain\nutzername'. Und anhand dieses Realms oder Domänennamens wählt das LANCOM aus, wohin es die RADIUS-Anfrage weiterleiten soll.
(4) Wenn Ihr zwei NPS-Server habt, pflegen die dann die gleiche Benutzerdatenbank oder nicht? Wenn beide letzten Endes die gleiche Domäne bedienen, dann trägst Du den zweiten Server einfach als weiteren Server in die Forwarder-Tabelle ein, mit einem beliebig gewählten, aber ansonsten nicht genutzten Namen als 'Realm', und trägst diesen Namen in der Spalte 'Backup' für den ersten Server ein. Damit verkettest Du die zwei Einträge und wenn der erste NPS nicht antwortet, wird die Anfrage an den zweiten geschickt. Der Realm des Backup-Eintrags spielt in diesem Fall keine weitere Rolle.
(5) Wenn beide NPS-Server unterschiedliche Benutzerdatenbanken haben, dann sind das auch zwei getrennte Domänen und der Client muss die von vornherein passend über eine voran gestellte Domäne adressieren.
(1) Ihr macht WLAN mit 802.1X, also WPA-Enterprise, und der WLC spielt lediglich RADIUS-Proxy und leitet die RADIUS-Anfragen der APs an einen NPS weiter. Korrekt?
(2) Was meinst Du mit "Ändert man den Namen des Realms..."? Wo hast Du den Realm geändert? Auf der Client-Seite, so dass der Benutzername mit einem anderen Realm bzw. mit einer anderen Domäne hereinkommt, oder hast Du die Forwarding-Tabellen auf dem WLC geändert?
(3) Ein Realm oder eine Domäne ist letzten Endes ein Verweis, in welcher 'Benutzerdatenbank' ein bestimmter Benutzer nachgeschlagen werden soll. Das ist so ähnlich wie der PPP-Benutzername bei einem DSL-Zugang. Das ...@t-online.de sagt dem AC beim Betreiber des Anschlusses, dass er beim Server der Telekom nachfragen soll, ob das ein gültiger Benutzername ist und ob das Passwort stimmt. Bei Windows ist es halt der vorangestellte Domänenname, in der Form 'domain\nutzername'. Und anhand dieses Realms oder Domänennamens wählt das LANCOM aus, wohin es die RADIUS-Anfrage weiterleiten soll.
(4) Wenn Ihr zwei NPS-Server habt, pflegen die dann die gleiche Benutzerdatenbank oder nicht? Wenn beide letzten Endes die gleiche Domäne bedienen, dann trägst Du den zweiten Server einfach als weiteren Server in die Forwarder-Tabelle ein, mit einem beliebig gewählten, aber ansonsten nicht genutzten Namen als 'Realm', und trägst diesen Namen in der Spalte 'Backup' für den ersten Server ein. Damit verkettest Du die zwei Einträge und wenn der erste NPS nicht antwortet, wird die Anfrage an den zweiten geschickt. Der Realm des Backup-Eintrags spielt in diesem Fall keine weitere Rolle.
(5) Wenn beide NPS-Server unterschiedliche Benutzerdatenbanken haben, dann sind das auch zwei getrennte Domänen und der Client muss die von vornherein passend über eine voran gestellte Domäne adressieren.
Re: RADIUS Realm Verständnis
Danke erstmal für die ausführliche Antwort.
VG
Korrekt.
(1) Ihr macht WLAN mit 802.1X, also WPA-Enterprise, und der WLC spielt lediglich RADIUS-Proxy und leitet die RADIUS-Anfragen der APs an einen NPS weiter. Korrekt?
Letzteres, mit "Realms" meine ich die Einträge unter der Forwarding-Tabelle am WLC unter RADIUS > Server > Weiterleitung > Weiterleitungs-Server(2) Was meinst Du mit "Ändert man den Namen des Realms..."? Wo hast Du den Realm geändert? Auf der Client-Seite, so dass der Benutzername mit einem anderen Realm bzw. mit einer anderen Domäne hereinkommt, oder hast Du die Forwarding-Tabellen auf dem WLC geändert?
Ok, macht Sinn.(3) Ein Realm oder eine Domäne ist letzten Endes ein Verweis, in welcher 'Benutzerdatenbank' ein bestimmter Benutzer nachgeschlagen werden soll. Das ist so ähnlich wie der PPP-Benutzername bei einem DSL-Zugang. Das ...@t-online.de sagt dem AC beim Betreiber des Anschlusses, dass er beim Server der Telekom nachfragen soll, ob das ein gültiger Benutzername ist und ob das Passwort stimmt. Bei Windows ist es halt der vorangestellte Domänenname, in der Form 'domain\nutzername'. Und anhand dieses Realms oder Domänennamens wählt das LANCOM aus, wohin es die RADIUS-Anfrage weiterleiten soll.
Ja, ist alles das selbe AD mit den gleiche Benutzern. Das mit der Backup-Funktion hatte ich vorhin mal eingestellt, ich teste gleich mal, ob die Authentifizierung dann durch geht. Bei zwei Realms ohne Backup-Verlinkung hatte es eben nicht funktioniert, obwohl beide Realms nach der Domain benannt waren - der erste nur mit Domain und der zweite mit Domain.loc. Wenn dann 1:1 der String abgeglichen wird, kanns natürlich nicht funktionieren.(4) Wenn Ihr zwei NPS-Server habt, pflegen die dann die gleiche Benutzerdatenbank oder nicht? Wenn beide letzten Endes die gleiche Domäne bedienen, dann trägst Du den zweiten Server einfach als weiteren Server in die Forwarder-Tabelle ein, mit einem beliebig gewählten, aber ansonsten nicht genutzten Namen als 'Realm', und trägst diesen Namen in der Spalte 'Backup' für den ersten Server ein. Damit verkettest Du die zwei Einträge und wenn der erste NPS nicht antwortet, wird die Anfrage an den zweiten geschickt. Der Realm des Backup-Eintrags spielt in diesem Fall keine weitere Rolle.
VG