在進行802.1X認證時,並無法在Aruba Controller上設定一個帳號能同時讓幾台設備使用。
如果要做限制,只能在Radius Server上去限制,而Radius Server就要能判斷使用人數。
在管控嚴格的網路環境,會希望能夠讓控管設備使用,最嚴謹的是加入Active Directory(AD)的Windows設備,才能使用內部網路。不過最嚴謹的做法,卻會失去一些彈性,那如果還沒加入AD的設備,是不是就不能使用無線網路去加入AD?
客戶會希望保持彈性跟嚴謹,這是近年越來越常見的要求。如果要高度自定義的認證環境,Aruba ClearPass是非常頂尖的產品,基本上能做到大部分認證需求。如果沒有的話,還能用NPS蹭一下。
如果Windows設備有加入AD,在認證時可以走電腦驗證,設備可以直接連線上。此時的使用者名稱是以設備名稱為主,可以讓Client得到存取權限較大的Role。
如果沒有加入AD,不能通過電腦驗證,此時無線網路連線就會提示需要輸入使用者名稱跟密碼。員工透過自己的帳密就能通過802.1X認證,但預設並沒有去限制一個帳號能指定某台設備,員工可以在自己手機、平板等BYOD輸入自己的帳號密碼登入802.1X。
要用透過NPS去限制一帳號一設備或是該帳號不限制,就需要在使用者>內容>撥入,勾選「確認撥入者識別碼」然後把對應格式的MAC Address填入。
這裡不講相關NPS要怎麽設定,可以參考之前的文章,或是其他關鍵詞。如果有正確設定,在認證通過之後,就能在事件檢視器中看到稽核成功(6272)的事件。
這裡可以看到「發出呼叫的工作站識別碼」,如果要限制該MAC來源才能使用該帳號,就可以再此複製,然後貼上在AD使用者內容中「確認撥號者識別碼」。
為了呈現失敗的樣子,先把識別碼改掉。基於802.1X會記錄帳號密碼資訊,下次就不必重新輸入。如果有識別碼不對,下次再重新連線認證時,就會連不上。
重新連線時,發現連線失敗,查看事件檢視器,得到稽核失敗(6273)訊息。
再次改回正確的識別碼,重新連線,能順利連線上。
