WLC-1000 mit NPS

Forum zum LANCOM WLC-4100, WLC-4025+, WLC-4025 und WLC-4006 WLAN-Controller

Moderator: Lancom-Systems Moderatoren

Antworten
Jupp
Beiträge: 3
Registriert: 11 Feb 2022, 13:56

WLC-1000 mit NPS

Beitrag von Jupp »

Das Thema wurde schon mal anderweitig angerissen, jedoch nicht konkretisiert und daher frage ich mal in die Runde.

Wir verwenden einen WLC-1000 in Verbindung mit ein paar Access-Points (OW602 und LX-6400) und lassen mit der NPS-Windows Rolle die Authentifikation der WiFi-User durchführen.

Nicht notwendig für das Szenario aber zum Verständnis noch etwas über die Konfiguration.
Die AP's sind mit fixer IP versehen und stehen in einem Management-VLAN. Den SSID's sind ebenfalls separate VLANs zugewiesen. Das Traffic aller VLANs wird über einen Sophos Firewall-Cluster gesteuert. Der WLC kann die Ap's erreichen und managen und das kommt bei den Zielen an. Soweit, so gut.
All dies funktioniert bereits und auch die Authentifikation mit Hilfe des Windows-NPS funktioniert.

Was nicht funktioniert ist die Bedingung in den Netzwerkrichtlinien. Davon gibt es derzeit zwei - je AD-Benutzergruppe eine, die je einem WIFI-SSID Profil auf dem WLC zugeordnet ist.

Hier der Weg/Struktur der Radius Authentifikation:
WiFi-User: xyz@contoso.com --> AD-GlobalGroupe_WIFIxyz <--AD-DomainLocalGroup_WIFIxyz <-- NPS_NetPolicy_WIFI_xyz <-- WLC-RADIUS_Profile_WIFI_xyz <-- SSID(WIFY_xyz)

Da ich zwei unterschiedliche SSIDs mit unterschiedlichen Nutzerprofilen und Netzwerkwegen habe, dachte ich mir, ich könnte in der Net-Policy des Radius-Servers die Bedingungen nutzen, um den Zugang zu steuern. Eine der Bedingung ist die Gruppenmitgliedschaft des Users; einer weitere Bedingung ist dass die Verbindung mit dem NAS-Porttyp 802.11 (FUNK) ist.

Beide NPS Profile haben die gleichen Bedingungen und so werden beide Gruppen für beide Profile authentifiziert. Das ist so nicht gewünscht.

Das Radius Protokoll liefert noch eine "Called-Station-ID", die u.a. auch eine Teilzeichenkette der SSID enthält, über die die Auth-Anfrage reinkommt. Die Anrufer-ID abzufragen geht nur mit einer RegExp-Zeichenkette. Bisher ist es mir nicht gelungen, einen erfolgreichen Match hinzubekommen. Die Webseiten, die solche Zeichenketten prüfen können, haben kein Problem mit den Strings die ich als Filter einsetzte. Authentifizieren kann ich aber dennoch nicht, wenn ich die "Anrufer-ID" als Kriterium einsetzte.

Gibt es noch andere abfragbare Kriterien, die sich in den Profilen zu den SSID's festlegen lassen, die ich dann in der NPS-Policy abfragen lassen, damit die Radius-Profile für den NPS unterscheidbar sind?

Ich wäre sehr dankbar für ein paar Tipps.
Antworten

Zurück zu „Alles zum LANCOM WLC-4100, WLC-4025+, WLC-4025 und WLC-4006 WLAN-Controller“