Radius Server Domain Harici Makineler

Domain ortamında workgroup olan radius onay almayada zateb bağlanamaz yapınızdan biraz bahsedermisiniz 

2. yol captiva portal kurmak hatta bu daha iyi bunuda ldap üzerinde DC Authentication yaparsın DC kullanıcı kendi kullanıcı adı şifresiyle ağa bağlanır 

sorun olursa log bakar gerekli işlem yapabilirsin Captiva porta ücretsiz olarak Pfsense yapabilirsin incelemeni öneririm

Merhaba,

Yani tam olarak şunu istiyorum. Domainime üye olmayan makineler (Bilgisayar, tablet, telefon vs.) radius sunucum tarafından networkume kabul edilmesin. yani bağlanamasınlar.

MS NPS yani radius tarafında Domain Users yerine Domain Computers seçerek bunu bir policy ile yapabiliyorsunuz.

fakat benimde araştırdığım kadarıyla Radius şunu yapamıyor.

yaklaşık 20 kuralım var, x Security Group + Domain Computers birlikte eşleşirse şeklinde çalışmıyor.

Security gruplarım için kurallar çalışıyor,

Domain Computers ekleyince de çalışıyor ama ikisi birlikte eşleşecek şekilde çalışmıyor.

sizin istediğiniz tam olarak bu mu emin değilim ama benim yapmak istediğim şuydu;

ağa bağlanan cihaz, Domain Computers ise ve Users Security grup eşleşirse yukarıdan aşağıya doğru kurallara bakarak ilgili kurala al.

Domain computer eşleşmiyor ama security grup eşleşiyorsa yani Domain Computers değil ama Domain users ise bu kullanıcıların BYOD dediğimiz şahsi telefonu-bilgisayarı, yada şirket telefonu vs olabilir bunlar için yukarıda eşleşme olmaayacağı için en alttaki kuralı uygula yani Domains Users için açtığım kural.

bunu şunun için yapıyorum, şirkete ait yönettiğim kaynaklar belli, ama aynı zamanda şirket çalışanları benim kullanıcılarım bu nedenle hergün guest ağına kimlik doğrulatmak zorunda değilim çünkü kimliklerini biliyorum, bunları farklı bir ağa alarak ikinci bir önlem olarak burada captive portal uygulayabilirim.

ama bunu yukarıda belirttiğim gibi NPS Domain computers + Domain users (both) birlikte yapamıyor.

bunu şöyle yapmak da mümkün,

Domain Computers altındaki bilgisayarlarınızı da tıpkı kullanıcılar gibi security gruplar altına alabilirsiniz.

örneğin Muhasebe, muhasebe kullanıcıları için kullandıkları bilgisayarları muhasebe-x isimli gruba member olursa, NPS tarafında bu grubu seçerek bilgisayar eşleşmesini yaptırarak ağa bağlayabilirsiniz. 

diğer bir ifade ile, NPS tarafında Domain Users OR Domain Computers yaptığınızda policy çalışıyor ama Domain Users AND Domain Computers yapınca çalışmıyor.

en azından ben çalıştıramadım ve araştırdığım kaynaklarda da benzer durum için NPS desteği olmadığı söyleniyor.

Selam Bu talebinin onca yolu var ücretli / ücresiz vs local ve wifi olarak tavsiyem captiva portal kurarsın ağına erişin adama hazırladığın sayfa gelir ve kullanıcı adı şifre sorar 

kullanıcı bilgisi kısmı 2 yol var 1. tek tek kullanıcı açarsın 2. yol Active directory varsa bunu ldap üzerinden kullanırsın ki tavsiyemdir

adam kullanıcı adı şifresini yazar doğruysa ağa erişir değilse erişemez böylece telefon tablet vs peşinde koşmazsın

hatta swich destekliyorsa wifi vlan ile ayır local portlar içinde swich port security yap şirket pc harici biri kablolu bağlandığından o port devre dışı kalır

bu captiva portal ücretsiz yolu pfsense kur onlarca döküman mevcut 

ücretli yol firewall veya ufak araştırmayla ücretli hizmetler yer alıyor

sizin önerdiğiniz çözüm captive portal, kullanıcı doğrulaması yani kimlik denetimi için çözüm olabilir.

ama 802.1x uygulamak (şirket kaynakları ile diğer cihazları ayırmak ayrıştırmak), buna ek olarak dynamic vlan yapmak, port güvenliği, ağ erişim kontrolü gibi bir konu olunca evet free ürünler var ama desteği, kurulumu ve yetenekleri vs. tartışılır.

NPS 802.1x ile ilgili birçok yeteneği sağlıyor, ama maalesef yetmiyor (biraz da ticari sebeplerden olsa gerek başka çözümlere yönelmemiz adına).

yukarıdaki talep captive portal ihtiyacı değil gibi anlıyorum, captive portal ile kimlik denetimi yapabilirsiniz, iş cihaz denetimi de yapmaya gelince hatta ileri gidip sadece bilgisayarı, kullanıcı adını değil de işletim sisteminin güncelliğini, antivirüs olup olmadığını varsa güncel olup olmadığını vs kontrole gelince o zaman NPS değil, NAC çözüm oluyor.

eldeki imkanlarla neler yapılabileceğine bakınca 802.1x ile ağa bağlanan cihazlara kimlik denetimi yaptırmak, buna göre politikalara sokmak mümkün ama MS NPS'i geliştirmiyor, aslında NPS üzerinde de işletim sistemi versiyonu gibi kontroller yapmak mümkün.

Selam ,

captiva portal bir öneri yani alternatif karşımdakinin yetknlik ve bilgi bilemem sonuçta sihirli kürem yok  ve vuradaki amaç basit ve maliyetsiz çözüm sunmak sonuçta her şirket IT bütçeler yağdırmaz ve pfsense captiva portal kurmak max 2 saat

ayrıca 802,1x captiva alternatif örnek ki swich ve yapısı müsade ederse 

Captiva portal yapar 802,1x ile destekler 

Vlan ilede sonlandırır ve gerekli önlem almış olur 😉